網虎RS-860

RS-860是RADIUS（Remote Authentication Dial-In User Service）伺服器，能夠確認遠端登入使用者的身分，讓通過確認的使用者透過無線基地臺存取網路資源。能夠確保無線網路使用者的合法性，增強無線網路的安全。

RS-860 RADIUS伺服器可作為網路閘道器使用，具有DHCP伺服器的功能，能夠管理所屬網域中所有網路設備的存取權，在需要高度安全性的網域中，能夠提供充足的安全性。

RS-860支援所有的連線方式，能夠使用DHCP、PPPoE或是固定IP連接到網路上，能夠因應企業內部的網路設定。設定上十分容易，網路管理者僅需要選擇所需功能，開啟之後就能夠使用RS-860提供的功能。

RS-860在802.1x功能上，提供三種不同的選項：MD5、CA及proxy RADIUS。

MD5選項使用的是以密碼為主的EAP-MD5認證類型，因為EAP-MD5並沒有提供安全交換密鑰的機制，，入侵者很容易竊取並破解訊號，造成安全上的漏洞，目前大多都已經不使用了。

CA選項使用的是信任憑證，採用EAP-TLS認證類型，設定上較為繁瑣，管理者必須先在RADIUS伺服器上產生兩種憑證，root CA與user CA。由具有root CA的RADIUS伺服器作為該網域中所有憑證的端點，確認所有發出的user CA是否正確；再產生出每個使用者獨特的user CA，藉此確認各個不同的使用者身分。

Proxy RADIUS選項則是將身分認證的要求轉至所設定的伺服器上，由該伺服器提供認證的功能。適用於公司組織較大，或是各設置地點相距過遠，則能夠提供集中式管理的功能，將所有身分認證資料統一儲存在總部，各據點間人員移動時，也不需要另外設定認證資料，可以有效地降低維護管理的成本。

管理者需要在電腦上安裝root CA以及各個使用者的user CA，才能夠開始透過EAP-TLS認證使用網路。雖然設定過程相當麻煩，但是目前沒有任何安全弱點，並且Windows XP作業系統內建支援EAP-TLS，使用上不會太困難。而Windows 98/ME/NT/2000等作業系統，也能夠藉由Service Pack加入EAP-TLS功能。

雖然操作麻煩了些，但是只有第一次設定時需要，為了安全性，這是可以接受的。RS-860的認證過程相當快速，不論是802.11b或802.11g標準，都能夠在三秒鐘之內完成認證，即可使用無線基地臺所提供的網際網路連線。

在本機的安全性上，RS-860提供了簡單的防火牆功能，能夠將ftp、smtp、telnet、http、https及pcAnywhere等連接埠轉向，交由內部網路上相對應的伺服器處理，可以有效地過濾使用這些協定的使用者，並且防止入侵者藉由這些協定攻擊。

為了預防偽裝IP的攻擊，RS-860也能夠過濾IP位址，讓特定的IP位址不能使用網路連線，只有在清單上的IP才能夠通過，有效地防止入侵者進入。

企業在使用無線網路的時候，雖然可以使用不同的加密機制，保全資訊傳遞，但是仍然不能保證資訊來源是否為合法使用者，如果搭配802.1x身分認證與RAIDUS伺服器，就能確保無線網路用戶都是合法使用者。雖然使用CA憑證較為麻煩，不過除了確認使用者身分，還可以確認電腦的授權，安全性更高。文⊙羅健豪