集中式無線局域網（WLAN）架構的應用極大降低了成本并簡化了無線系統管理、安全和升級任務，使其得到了普遍應用和快速發展。

　　特別是，隨著802.11n和Mesh技術的推出，無線網絡正在成為有線以太網的可選替代品。但是對于取代有線網絡而言，Wi-Fi必須提供高安全性和可靠性。那么有哪些措施可以防止非法訪問？網絡管理員如何監控那些“看不見”的東西呢？

　　雖然一些標準如Wi-Fi WPA2和802.11i能夠提供全新水平的無線安全能力并且得到了新的監視和入侵保護工具的支持，但企業更感興趣如何將IT安全和物理安全的優點結合在一起。

　　遺憾的是企業很難為無線網絡設置增加物理安全的防范措施。那么，企業如何平衡在為自己的員工和訪客提供移動技術便利的同時，提供對這種難以管理的自由性進行必要檢查之間的矛盾呢？

　　例如，企業不希望員工訪問的敏感信息，如人力資源、財務或新產品文檔，雖然它們也在無線局域網可達范圍內。財務部門實現移動很有意義，需要限制除財務部門以外的無線訪問，以阻止其他人可能看到敏感資料。

　　這就是基于定位的安全技術發揮作用的根本所在：基于用戶的位置限制WLAN訪問權限。這樣，除了增加了一個安全層，定位控制再加上訪問權限還可以防止網絡單元的過載（并且阻止“拒絕服務”的攻擊），以及限制訪客在哪里可以訪問網絡。

　　當今先進的WLAN交換機可以通過采用無線接入點采集的數據來報告便攜機或移動設備的位置。這些所謂的“定位”服務已經被廣泛應用于跟蹤企業的資產。例如，在醫院，它們被用來定位醫生、輸血設備和外科手術設備的位置。但是，該項技術能夠以“地理圍欄”的形式在安全方面發揮更大的作用。“地理圍欄”這一術語主要指基于移動員工和訪客的地理位置以及授權狀態等因素，從而限制對網絡訪問的活動。

　　用戶的身份基于一種或多種ID（如RFID訪客牌和移動Wi-Fi設備）來建立，同時采用定位算法來確定具體ID的位置，這樣就實現了對某人適當的網絡訪問級別的設定。其基本的前提是圍繞每一個移動設備和每名用戶建立了一個虛擬的訪問圍欄。這就是它的工作原理。無線交換機“跟蹤”用戶在樓內的行動，根據他的授權狀態和是否在指定的允許區域，來認可或拒絕他對網絡資源的訪問。

　　另外，它還設定了只有當ID卡（物理安全）符合提供給指定的用戶和他的移動設備時，才能訪問無線局域網和網絡資源，這樣就極大地降低了某人使用其他用戶的便攜機或移動設備訪問網上非授權信息的可能性。

　　再舉一個例子，無線交換機能夠對訪客進行監視，當他在會議室與公司其他員工在一起時允許訪問WLAN，而離開會議室之后的訪問則予以拒絕。同時，“地理圍欄”還可以在訪客離開允許區域后發出告警信息，并終止WLAN訪問。

　　采用RFID標簽和閱讀器，企業可以記錄用戶何時通過某個RFID門和閱讀器，以進行總體資產跟蹤。但是，最準確的定位信息一般是依靠稱之為Wi- Fi三角定位的技術來獲得。這樣，采用WLAN接入點和支持位置功能的無線交換機，企業可以通過以3個或更多接入點為信標，測量發射物體的信號強度或對設備進行探測，來跟蹤網絡中的每一個移動設備。

　　因為大多數企業的無線局域網在進行配置時都是為了確保最優的應用吞吐量，所以通常在接入點覆蓋范圍方面有很大的交疊。這意味著在任意地點，一個移動設備都能與某個接入點連接，但同時仍然可以看到和連接附近的其它接入點。采用Wi-Fi三角定位方法對移動設備定位時，需要樓內的3個接入點。該方法有3 到5米的定位誤差，準確度超過90%。

　　有些企業組合使用Wi-Fi、RFID和其它新技術來得到更加詳細的位置信息，稱之為復合法。其基本前提是通過無線交換機分析來自各方的數據（Wi-Fi和RFID）來生成網絡中每一個移動設備和用戶的更加精確的位置圖像。

　　IT安全、物理安全工具如ID卡，以及WLAN上移動設備實時監視等手段的綜合使用，把網絡的防護和智能辨認功能提升到更高的層次。其中的“地理圍欄”可以創建一個伴隨每一個移動設備移動的客戶化的無形圍欄，使網絡管理員能夠確保每一個設備僅能訪問網絡上的被授權的區域和資源。