你是否想過怎樣讓自己的無線網絡更安全?有人說，現在上網可以搜索（suǒ）到（dào）關於Wi-Fi安全的大量信息，如（rú）不要使用WEP，要使用WPA或WPA2，禁用（yòng）SSID廣播（bō），改變默認設置等。但僅有這些（xiē）還是不夠（gòu）的。為此，本文不（bú）再詳述這些基本技術，而是討論可增強無線網絡安全的其（qí）它方麵（miàn）。

　　1、 轉（zhuǎn）向企業級加密

　　如果你創建了一個WPA或（huò）WPA2的加密密鑰，並（bìng）且（qiě）在連接（jiē）到（dào）某個無（wú）線網絡時必（bì）須輸入這個密（mì）鑰，你（nǐ）所使用的就是WPA的預共享密鑰(PSK)模式。企業級網絡，不管是大（dà）是（shì）小，都應當用企業模式（shì）進行保（bǎo）護，因為這種保護模式向無線連接過程增加了（le）802.1X/EAP認證。用戶們不是在所有（yǒu）的計算機上輸入加密密鑰，而是通過一個用戶名（míng）和口令登錄（lù）。加密密鑰（yào）是以隱藏方式安（ān）全（quán）地使（shǐ）用，並且對每一個用戶（hù）和會話（huà）都是唯（wéi）一的（de）。

　　這種方法提供了集中管理（lǐ）功能和更好的無線網絡安全。

　　簡言之，雇員們和其它用戶在使用（yòng）企業模式時，都通（tōng）過其自己（jǐ）的賬號登錄進入網絡。在需（xū）要（yào）時（shí），管理員可以輕（qīng）易（yì）地改（gǎi）變或廢止其（qí）訪問。在（zài）雇員（yuán）離職或筆記本電腦被盜時，這種方式非常（cháng）有（yǒu）用。如果你現在正（zhèng）使用個（gè）人模（mó）式，你就（jiù）需（xū）要在所有的（de）電腦（nǎo）和接入點（diǎn）AP上（shàng）改變加（jiā）密密鑰。

　　企業（yè）模（mó）式的（de）一個特別因素（sù）是（shì）RADIUS/AAA服務器。它與網（wǎng）絡中的接入點AP通（tōng）信，並查（chá）詢用戶的數據庫。在此，筆者建議你使用windows server 2003 的IAS或Windows Sever 2008r 網絡策略服務器（qì）NPS。當（dāng）然，你也可以考慮使用開（kāi）源服（fú）務（wù）器，如最流行的FreeRADIUS。如（rú）果你覺得建立一個身份（fèn）驗（yàn）證的（de）服務器需要花費太多的金錢，或者超過了你的預算，不妨考（kǎo）慮使用外（wài）購服務（wù）。

　　2、 驗證物理（lǐ）上的安（ān）全性（xìng）

　　無線安（ān）全並不（bú）僅僅（jǐn）是技術問題。你可（kě）以擁有最強健的Wi-Fi 加密（mì），但是你又能如何（hé）阻（zǔ）止（zhǐ）某（mǒu）人將電纜線接（jiē）入到暴露的以太（tài）網端口呢?或者有人經過某個接入點時按下了複位按（àn）鈕（niǔ），將（jiāng）其恢複到了出廠設置，讓你（nǐ）的無線網絡四門大開，你（nǐ）又該如何是好（hǎo）?

　　所以（yǐ），請一定要保證你的接入點AP遠離公眾可以接（jiē）觸的地方，也不要讓雇員（yuán）隨意去（qù）擺弄它。不要把你的接入點放到桌子上（shàng），最起碼應該將其掛（guà）到牆上（shàng）或天花（huā）板上，最（zuì）好將（jiāng）其放到高（gāo）於天花板的（de）位置。

　　還可以考（kǎo）慮（lǜ）將接入（rù）點AP安裝在不易（yì）於被看到的地方，並安裝（zhuāng）外（wài）部（bù）天線，這（zhè）樣還可以（yǐ）獲得最強（qiáng）的信號。如此一（yī）來，就可以在更（gèng）大程度上限製（zhì）接入（rù）點AP，同時，又可（kě）以（yǐ）獲得兩方（fāng）麵的好處，一是增加了覆蓋範（fàn）圍，二是利用（yòng）了較高的天線。

　　當然，你不能僅關注接入點。所有（yǒu）的網（wǎng）絡連接組（zǔ）件都應當保證其安全（quán）。這甚至包括以太（tài）網（wǎng）電纜的連接。雖然下麵這種情況可（kě）能有點（diǎn）兒（ér）牽強，但是（shì）難道某個“不到黃河不死心”的家夥就沒有切斷電纜接入自己的設備（bèi）的可能?。

　　在安裝過（guò）程中（zhōng），應當對（duì）所有的接入點AP了如指掌。最好製作一（yī）張表格（gé），記錄所有的接（jiē）入點模塊，連（lián）同它們的（de）MAC地址和IP地址（zhǐ）。還要標明其所在的位置。通過這種（zhǒng）方法（fǎ）就可（kě）以確切地知道，在進行（háng）設（shè）備清（qīng）查或跟（gēn）蹤有問題的接入（rù）點AP時，這（zhè）些接入點到底在什麽地方。

　　3、 安裝入侵（qīn）檢測和(或)入侵防禦（yù）係統(即IDS和IPS)

　　這兩種係統通（tōng）常靠一個軟件來（lái）工（gōng）作，並（bìng）且使用用戶（hù）的無（wú）線網卡來嗅探（tàn）無線信號並（bìng）查找問題。這種係統可以檢（jiǎn）測欺（qī）詐性的接入點。無論是向（xiàng）網（wǎng）絡中接入一個新的接入點，還是一（yī）個現有的接（jiē）入點將其（qí）設置改變（biàn）為默認值，還是與用戶所定義的標準不匹（pǐ）配，IDS和IPS都可以檢測出來（lái）。

　　這種係統還可（kě）以分析網絡（luò）數據包（bāo），查看是否有（yǒu）人正（zhèng）在使用黑客技術（shù）或是正在（zài）實施幹擾。

　　現在有很多種的入侵檢測和防（fáng）禦係統，這些係統所（suǒ）使用的技術也各不（bú）相同（tóng）。在此，筆者向您推薦兩開（kāi）源的（de）或（huò）免費的係統，即大名鼎鼎的Kidmet和Snort。現在網上有關於這（zhè）兩（liǎng）個係（xì）統（tǒng）的大量（liàng）教程，您不妨試試。當然，如果（guǒ）你願意花錢，還可以考慮AirMagnet、AirDefence、AirTight等國外公司的產品。

　　4、 構建無線使用策略

　　正如需要（yào）其它（tā）網（wǎng）絡設備的使用（yòng）指南一樣，你也應（yīng）當有一（yī）套針（zhēn）對（duì）無線訪問的（de）使用策略，其中至少包括（kuò）以下幾條：

　　①列示（shì）可獲得授權訪（fǎng）問無線網絡的設備：最好先禁用所（suǒ）有的（de）設備（bèi），在路由器上使用（yòng）MAC地址的（de）過（guò）濾（lǜ）功能來明（míng）確地指明準許哪些設備訪問（wèn）網絡（luò）。雖然（rán）MAC地址（zhǐ）可以被欺騙，但（dàn）是這樣做顯（xiǎn）然會控製雇員（yuán）們正在網絡上使用（yòng）哪些（xiē）設備（bèi）。所（suǒ）有被（bèi）核準設備的硬拷貝及其細節都應當加以保留，以（yǐ）便（biàn）於在（zài）監（jiān）視網絡時以（yǐ）及（jí）為入侵檢測係統提供數據時進行比（bǐ）較。

　　②列示可通過無線連接訪問網絡的人員：在使用802.1X認證時，在RADIUS服（fú）務器中僅為那些需（xū）要無（wú）線訪問的人創建賬戶就可以實（shí）施這種控製。如果在有線網絡上也使用802.1X認（rèn）證（zhèng），你必（bì）須指明（míng）用戶是否要接收（shōu）有線或無線訪問，可以通過修改活動（dòng）目（mù）錄或在RADIUS服務器上（shàng）使用（yòng）認證（zhèng）策（cè）略達到這個目的。

　　③無線路由器或接入點AP的建立規（guī）則：例如，僅準許IT部（bù）門（mén）建立（lì）更（gèng）多的接（jiē）入點AP，因而不準許雇員隨意插入接入點Ap來增（zēng）強和延伸信號。對IT部門的（de）內部而（ér）言，其規則最好包（bāo）括定（dìng）義可（kě）接受的（de）設（shè）備模式和配置（zhì）等。

　　④使用Wi-Fi熱點（diǎn）或借（jiè）助公司（sī）設備（bèi）連接到（dào）家庭網絡的規則（zé）：因（yīn）為某個設備或（huò）筆記（jì）本（běn）電腦上的數據可以被（bèi）破壞，而且在不安全的無線網絡（luò）上需（xū）要監視互聯網活動（dòng），所以你可能會想到限製Wi-Fi連接僅給公（gōng）司網絡使（shǐ）用。可（kě）以借助（zhù）於（yú）Windows中的netsh實用程序，並通過運用網絡過濾（lǜ）器（qì）來加以控製。還有另外一個選（xuǎn）擇，即你可以要求一個到達公司網絡的VPN連接，這樣至少可（kě）以保護互（hù）聯（lián）網（wǎng）活動，並可以遠程訪（fǎng）問文件。

　　5、使（shǐ）用（yòng）SSL或Ipsec加（jiā）密

　　雖然你可（kě）能正使用最（zuì）新的（de）、最強健的Wi-Fi加密(位（wèi）於OSI模型的第二層上（shàng）)，也不妨（fáng）考慮實施另外一種加密機製，如IPSec(位於OSI模型的（de）第三層上)。這樣做，不但可以在無線網絡上提供雙重加密，還可以保證有線通信的安全。這會防（fáng）止雇員或外（wài）部人（rén）員隨意插入到（dào）設備的以（yǐ）太網端口進行竊聽。

　　雖然在（zài）這裏談到的這五種技（jì）術（shù）大（dà）多（duō）在有線網絡（luò）上已經（jīng）很成熟，但在許多單（dān）位的無線網絡上卻並沒有得以實施。為了（le）讓你的（de）無線網絡訪問（wèn）更安全（quán），不妨一試。