怎样为WLAN选择最佳EAP

申请免费试用、咨询电话：400-8352-114

在建立企业WLAN时，为无线网络选择合适的可扩展认证协议（EAP）方式是一项关键的安全决定，并且常常是不容易做出的决定。考虑到一些EAP方式（如LEAP、EAP-MD5）存在固有的安全缺陷，最好不要轻易使用它们，不过要在PEAPv0（保护性EAP）、PEAPv1、TTLS（隧道传输层安全协议）和EAP/TLS（传输层安全协议）中做出选择也并非易事。

实际上，选择一种EAP的标准常常归结于是否支持企业中已部署的基础设施。在对客户机的EAP支持方面，主要客户机的操作系统将对EAP的选择产生重要影响。Windows XP等客户机操作系统内置对PEAP和EAP/TLS的支持，但却不支持TTLS或EAP-SIM。如果想使用后两种EAP，可以使用第三方软件，但这样做会令管理员不能发挥Windows XP的优势，如组策略控制等。而对认证服务器的支持来说，并不是所有类型的EAP都支持企业网络中使用的各种认证证书。例如，PEAPv0局限在使用MS-CHAPv2认证的用户，而EAP/TLS则依靠客户端数字证书进行认证。TTLS在这方面最为灵活，它允许用户使用任意数量的认证证书。

哪种EAP方式最适合你的企业？这还取决于进行无线认证的主要出发点。如果安全性是首选因素，那么EAP/TLS是最安全EAP机制，但它需要为所有最终用户部署PKI（公共钥密基础设施）。如果你主要考虑灵活性，TTLS可以适应几乎所有的认证协议，包括一次性密码、基于令牌的认证和各种流行的口令认证机制。PEAPv0则是以Windows为中心的网络的明智选择，它内置对客户机和Windows Active Directory认证源的支持。

谨慎选择EAP类型是你无线战略的重要组成部分。同IT业中的很多决定一样，你必须根据自身的需求，在安全性、灵活性和简易性之间做出选择。这个过程很像是在挑选某种数字产品，你很清楚不会买到一件完美的东西，但在令人眼花的柜台面前，你却可以作出一个完美的选择，最好的方法就是从需求出发，从最关注的功能出发。实际上EAP的诞生正是由用户的实际安全需求所驱动的，在IEEE 802.1x本身并不提供实际认证机制的情况下，需要扩展认证协议也就是EAP的配合来解决无线局域网用户的接入认证问题。同样，当用户面对不同种类的EAP方式时，最终还是要回到最初的需求角度作出选择。