關(guān)于 RADIUS 如何提高 WiFi 無(wú)線(xiàn)網(wǎng)絡(luò)安全這個(gè)問(wèn)題，可能很多 IT 管理員都想了解。這就要先從WiFi 網(wǎng)絡(luò)的密碼傳播開(kāi)始談起。

縱觀很多企業(yè)在無(wú)線(xiàn)網(wǎng)絡(luò)方面的日常做法，經(jīng)常能發(fā)現(xiàn) WiFi 密碼寫(xiě)在會(huì)議室白板上；員工之間通過(guò)郵件共享密碼；有訪(fǎng)客來(lái)公司的時(shí)候，也會(huì)在便簽紙上寫(xiě)下密碼。

這么做的確很方便，但也因此產(chǎn)生了安全風(fēng)險(xiǎn)，導(dǎo)致企業(yè)的無(wú)線(xiàn)網(wǎng)絡(luò)遭遇入侵，最終將整個(gè)企業(yè)的信息數(shù)據(jù)暴露在危險(xiǎn)中。那么，企業(yè)應(yīng)該如何保護(hù)無(wú)線(xiàn)網(wǎng)絡(luò)呢？答案就是 RADIUS 協(xié)議——管控 WiFi 無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)安全的行業(yè)標(biāo)準(zhǔn)。

一、什么是RADIUS 協(xié)議？

RADIUS 是遠(yuǎn)程認(rèn)證撥入用戶(hù)服務(wù)（Remote Authentication Dial In User Service）的簡(jiǎn)稱(chēng)。其中，“撥入”一詞也反映了 RADIUS 誕生的時(shí)代背景。這項(xiàng)協(xié)議從1991年就開(kāi)始投入使用。經(jīng)過(guò)三十多年的發(fā)展，今天的 RADIUS 主要用于對(duì)遠(yuǎn)程無(wú)線(xiàn)網(wǎng)絡(luò)、VPN、網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備等進(jìn)行用戶(hù)認(rèn)證和授權(quán)，具體是通過(guò)無(wú)線(xiàn)接入點(diǎn)（WAP）上的 WPA2 協(xié)議實(shí)現(xiàn)，也就是上文提到的 SSID 和密碼的共享過(guò)程。但除此之外，企業(yè)更希望能將 RADIUS 應(yīng)用到本地的無(wú)線(xiàn)網(wǎng)絡(luò)，從而提升企業(yè)內(nèi)網(wǎng)安全。

企業(yè)有很多方案可供選擇，包括 FreeRADIUS、微軟網(wǎng)絡(luò)策略服務(wù)器（NPS）、Cisco ISA、RADIUS 即服務(wù)等。

二、RADIUS 如何增強(qiáng) WiFi 安全性

將 RADIUS 集成到微軟 Active Directory（AD）或 OpenLDAP 等目錄服務(wù)就可以實(shí)現(xiàn)加強(qiáng) WiFi 無(wú)線(xiàn)網(wǎng)絡(luò)安全。那么，具體應(yīng)該怎么實(shí)施呢？首先，為了訪(fǎng)問(wèn)受 RADIUS 保護(hù)的無(wú)線(xiàn)網(wǎng)絡(luò)，用戶(hù)必須提供唯一的核心身份憑證。
??
本質(zhì)上來(lái)說(shuō)，用戶(hù)擁有的業(yè)務(wù)系統(tǒng)身份憑證就可以用來(lái)登錄企業(yè)網(wǎng)絡(luò)。這些憑證從用戶(hù)的PC或移動(dòng)設(shè)備上的客戶(hù)端發(fā)送到 WAP，再到 RADIUS 認(rèn)證服務(wù)器。服務(wù)器會(huì)將接收的憑證和存儲(chǔ)在目錄服務(wù)中的憑證進(jìn)行匹配。需要注意的是，終端用戶(hù)憑證一般存儲(chǔ)在企業(yè)核心身份源（IdP）中，雖然也可以存儲(chǔ)在本地 RADIUS 服務(wù)器，但不會(huì)只存儲(chǔ)在服務(wù)器。
?
部署了 RADIUS 認(rèn)證服務(wù)器后，企業(yè)再也不用擔(dān)心不法分子從會(huì)議室白板或其他途徑竊取內(nèi)網(wǎng)的 SSID 和密碼。即便有了密碼，如果沒(méi)有能用于目錄服務(wù)認(rèn)證的唯一用戶(hù)憑證，依然無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò)，安全性自然大幅提升。
?
而要進(jìn)一步增強(qiáng)網(wǎng)絡(luò)安全，企業(yè)還可以使用 RADIUS 來(lái)給每個(gè)用戶(hù)進(jìn)行 VLAN 標(biāo)記。具體來(lái)說(shuō)就是將無(wú)線(xiàn)內(nèi)網(wǎng)分割成所需的任意數(shù)量的虛擬網(wǎng)絡(luò)，再將單個(gè)用戶(hù)或組（部門(mén)）分配到一個(gè)或多個(gè)特定 VLAN。這樣一來(lái)，即便個(gè)別用戶(hù)或 VLAN 出現(xiàn)問(wèn)題，也不會(huì)影響企業(yè)整體的網(wǎng)絡(luò)架構(gòu)。

三、RADIUS 實(shí)施難點(diǎn)

搭建 RADIUS 服務(wù)器的難點(diǎn)在于集成。RADIUS 服務(wù)器首先需要獲得用戶(hù)的訪(fǎng)問(wèn)權(quán)限信息，這就要通過(guò)和目錄服務(wù)集成來(lái)實(shí)現(xiàn)，可能會(huì)遇到很多問(wèn)題。然后，如果企業(yè)自行承擔(dān)服務(wù)器的安裝、配置、管理，那么 RADIUS 的整體實(shí)施會(huì)很耗時(shí)。

四、RADIUS 即服務(wù)，讓網(wǎng)絡(luò)安全更簡(jiǎn)單

寧盾NingDS身份目錄云內(nèi)置了云 RADIUS 認(rèn)證能力，相比其他方案在實(shí)施運(yùn)維上更加輕松，無(wú)需本地部署，按需訂閱功能。在安全性方面，NingDS的原理和傳統(tǒng)的 RADIUS 服務(wù)器一樣，都需要用戶(hù)出示唯一的身份憑證來(lái)獲得網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)限。
??
采用寧盾NingDS方案后，企業(yè)可以從任意位置啟用 RADIUS 認(rèn)證服務(wù)，并且可以放心將繁重的運(yùn)維工作交給廠商，無(wú)需擔(dān)心安全、停機(jī)時(shí)間或冗余等問(wèn)題，即可輕松享受安全的 WiFi 無(wú)線(xiàn)網(wǎng)絡(luò)。

（本文來(lái)源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解RADIUS認(rèn)證更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）