无线入侵检测系统（WIDS）可以监测802.11主要信息流，并将其发送到中央服务器，检测攻击、未经授权的使用和违反策略的行为。覆盖式无线入侵检测系统（比如，AirDefense、AirMagnet、AirTight、Network Chemistry），使用一种专用的服务器和传感器进行监测。嵌入式无线入侵检测系统（比如，Aruba、Cisco、Trapeze）使用接入点在其空余时间监测无线局域网。本节对这些方法进行了比较，这样就可以选择最合适网络需求和安全需求的方法。

　　成本

　　原则上，使用接入点监控无线入侵检测系统，可以通过充分利用现有的硬件和以太网交换器端口，运行Cat5电缆，降低电力消耗减少安装成本。由于你的无线局域网控制器或者管理器可以作为嵌入式无线入侵检测系统服务器，也就不需要另外一个平台来运行覆盖式无线入侵检测系统的服务器软件。

　　但是，在实际中，每个系统只能做这么多。你可能需要安装更多的接入点，以承担无线入侵检测系统的负担，或者完全覆盖易受攻击的区域。安置在无线入侵检测系统服务器中的I/O和CPU的负载是相当繁重的，这样无线局域网管理器平台可能还需要按比例相应地增加，进而立即进行这两项工作。

　　此外，一些传感器使用双Power-over-Ethernet端口来插在交换器和接入点之间，这样就不需要新的电缆了。除了专门的传感器外，大部分覆盖式无线入侵检测系统可以使用所选择的接入点（比如，Aironet）来进行监测、牺牲一些功能。另一方面，大多数嵌入式无线入侵检测系统允许将接入点配置为全职监测器。这样就无需因为标签而不安：确定你需要多少监控设备，然后比较安装的单位成本。

　　覆盖范围

　　对于使用无线入侵检测系统来执行“没有无线”策略的公司而言，覆盖式无线入侵检测系统是唯一真正的选择——现有的接入点都无法使用了。其它安装了无线局域网的公司应该认真审查一下其无线入侵检测系统的覆盖需求。

　　你的无线入侵检测系统脚本应该略大于无线局域网脚本。攻击者可能潜伏在合法接入点范围之外，吸引用户与之联系或者启动攻击，你用其它方式是无法看到这些攻击的。只有专门的传感器或者仅用于监控的接入点可以添加到扩大的空间覆盖面之中。

　　在这些频段中，接入点使用特定的频段和分配好的信道。无线入侵检测系统始终可以扫描这些信道之外的范围，这是由于未经授权的接入点和点对点站点更可能占用未被使用的信道。成品802.11b/g的接入点不能监测802.11a信道，以及2.4GHz频段中的频率，这些频率仅用于其它地方。特制的无线入侵检测系统传感器通常可以扫描更多的频率，尽管产品的性能各不相同。

　　注意广度

　　有了嵌入式无线入侵检测系统，接入点花费了其部分时间为无线网络客户服务。其余时间在监测信道，或者扫描其它信道。有了覆盖式无线入侵检测系统，监测信息流成为传感器的主要任务，尽管这可能在其它无线入侵检测系统的任务上花费一些时间，比如阻止流氓攻击。

　　每个无线入侵检测系统可能会错过一些信息流——入侵者可能很遥远，而信号可能太微弱，传输可能太短暂。实际上，任何设备在RFMON模式下扫描信道，就是连续地在列表中每条信道中采取信息流样本。目标是监听很长的时间 ，通常是足够长，进而有足够的机会发现攻击、违反策略、以及流氓设备。

　　在繁忙的无线局域网中，全职的传感器显然可以监听到更多的信息流。兼职的接入点往往更容易漏掉持续时间短的攻击，比如相对静止的流氓设备。兼职的接入点也很少有空余时间运行其它无线入侵检测系统的任务——比如，全职的传感器可能可以更坚持地阻止更多流氓，并且效率更高。

　　然而，在容易使用的无线局域网中，全职的传感器不能够很好地利用备件周期，而接入点却有足够的动力将两项工作都做好。为了平衡成本和风险，你可以在小型的分支机构中，将主要设施的全职传感器与兼职的接入点混合起来，增加更多的全职传感器，因为显而易见，需要这些传感器来满足安全需求。对无线局域网的影响。

　　接入点的时间分片不仅仅会影响无线入侵检测系统的效率——它也会影响到无线局域网的性能。但是这个影响很难量化。潜在影响取决于接入点的载荷、客户密度、应用程序的信息流、扫描列表/持续时间，以及其它无线入侵检测系统的任务。比如，阿鲁巴岛的文件报告称：多个厂商的实验室测试最近发现，当针对客户服务和关闭信道监测使用扫描接入点时，如果要求接入点花费大量时间关闭信道，那么吞吐量很可能会下降16%。

　　专用的传感器和仅用于监控的接入点不会对无线局域网的性能产生不利影响。实际上，由于他们收集了更全面的信息，当遇到无线局域网的故障排除性能问题时，这些可能更有帮助。

　　另一方面，当攻击强劲袭来时——接入点失效，客户的请求突然中断——不能暂时授予专用的传感器活动的职责，来增强陷入困境的无线局域网的性能。从安全角度来讲，保持你的监测基础设施完整无缺是非常有用的，但是从业务角度来看，服务的可用性通常是最优先考虑的问题。

　　功能

　　无线入侵检测系统具备商业接入点所没有的功能，特制的传感器可以支持这些功能。扫描“关闭的”信道就是这些功能之一。特制的传感器甚至能够扫描非802.11信息流，进而用指纹识别射频干扰源，比如微波炉和蓝牙。

　　随着市场越来越成熟，覆盖式无线入侵检测系统对特制的传感器提出了更多的要求。特别是对那些用于执行新的欺诈防御策略的传感器。任何接入点可以产生解除验证信息包或者取消信息包，但是现在一些传感器可以用作无线客户端。比如，某个传感器可能与流氓接入点结合，进而追溯到网络连接。传感器可能会设法吸引某个流氓点对点模式，使其保持忙碌，而反应器设法找到并消除这个设备。由于特制的传感器不能具备接入点的功能，因此也存在较低的风险，即利用固件漏洞，在有线网络中创建一个无线后门。

　　虽然，增加兼职接入点可以提供额外的无线入侵检测系统性能，但是，实际上，与新的无线入侵检测系统相比，应该优先考虑开发新的无线局域网性能。此外，不论接入点的能力有多大，兼职的接入点不适用于执行无线入侵检测系统的任务，这些任务要求持续的活动（比如，为特定的信道或设备创建信息流捕获功能，不断地对大量的流氓解除验证）。

　　关于任何类型的覆盖式WIDS，另一个关注点是控制台和数据库的扩散，并且将它们结合起来，以便于协调和避免重复。

　　嵌入式的无线入侵检测系统更可能提供单一的、集成的管理界面，这样你既可以配置你的无线局域网，也可以监测无线局域网。嵌入式无线入侵检测系统拥有内置的标准，这些标准可以区分合法的接入点和流氓接入点，而必须采用合法接入点的列表，才能对覆盖式无线入侵检测系统进行配置。当嵌入式无线入侵检测系统决定终止某个流氓对有线网络的访问时，无论如何，这个无线局域网控制器可能会直接负责管理这个端口（比如，Cisco WLSE）。而许多覆盖式无线入侵检测系统可以直接向以太网交换器发送简单网络管理协议（SNMP）请求，将交换器的配置请求直接发送到所负责的管理系统，这种方式可能更为可取。

　　随着产品一体化的发展，这种差别会越来越不明显。比如，虽然，Trapeze在其无线局域网移动系统（一种嵌入式无线入侵检测系统）中包括了无线入侵检测系统的“核心”性能，但是，也已经与AirDefense（一种覆盖式无线入侵检测系统）结合起来。Colubris网络公司最近将AirTight 网络公司的无线入侵检测系统技术融入到其自己的InCharge射频管理器中。

　　职责分工

　　最后，除了方法和产品的不同，还要考虑组织的影响和策略要求。在一些公司，网络运作和安全法规遵从由不同的组织机构负责。选择无线局域网组件是以其产生网络的能力为基础的，而不是以安全和服务为基础。那些负责安全监测的组织可能无权使用无线入侵检测系统的现有接入点。实际上，一些公司明确要求安全审计人员和工具进行职责分工。

　　结论

　　选择一种无线入侵检测系统，需要考虑许多因素——嵌入式与覆盖式（虽然很重要）只是其中一个考虑因素。我们希望本文可以帮助你更好地理解这个考虑因素，这样你就可以使专用传感器和接入点的监测功能与贵公司的要求相符合。