你（nǐ）是否想過怎樣讓（ràng）自己的無線網絡更安全?有人說（shuō），現在上網可（kě）以搜索到（dào）關於Wi-Fi安全的大量信息，如不要使用WEP，要使用WPA或WPA2，禁用（yòng）SSID廣播，改變默認設置等。但僅有這些（xiē）還是不夠（gòu）的。為此，本文不再詳述這些基本（běn）技術，而是討論可增強無線網絡安全的（de）其（qí）它方（fāng）麵。

　　1、 轉向企業級（jí）加密

　　如果你創建了一個WPA或WPA2的加密密鑰，並且在連接（jiē）到某個無線網絡時必須輸入這個密鑰，你所使用的就是WPA的預共享密鑰(PSK)模式（shì）。企業級網絡，不（bú）管是大（dà）是小，都應當用企業模式進行保護（hù），因為這種保護模（mó）式向無（wú）線連接過程增加了802.1X/EAP認證。用戶們不是在所有的計算機上輸入加密密鑰，而是（shì）通（tōng）過一個用戶名和口令登錄。加（jiā）密密鑰是以隱藏方式安全地使用，並且對（duì）每一個用戶和（hé）會話都是唯一的。

　　這種方法提供了集中管理（lǐ）功能和更好的（de）無（wú）線網絡安全。

　　簡言之，雇員們和其它（tā）用戶在使用企業模式時，都（dōu）通過其自己的（de）賬號登錄進入網絡。在需要時，管理員可以輕易地改變或廢止其訪問。在雇員（yuán）離職或筆記本電腦被盜時（shí），這種方（fāng）式非常（cháng）有用。如果你現在正使用個人模（mó）式，你就需要在所有的電（diàn）腦和接入點AP上改變加密密鑰。

　　企業模（mó）式的一個特別因素（sù）是RADIUS/AAA服務器。它與網絡中的接入（rù）點AP通信，並查詢用戶的數據庫。在（zài）此，筆者建議你使用windows server 2003 的IAS或Windows Sever 2008r 網絡策略（luè）服務器NPS。當然，你也可以考慮使用開源服務器，如最流行的FreeRADIUS。如果你覺得（dé）建立一個身份驗證的（de）服務（wù）器需要花費太多的金錢，或者（zhě）超過了（le）你的（de）預（yù）算，不妨考慮使（shǐ）用外購服務。

　　2、 驗證物理上的安全性

　　無線安全並不僅僅是技術問題。你（nǐ）可以擁有最強（qiáng）健的Wi-Fi 加密，但是你又能如何阻止某人將電纜線接（jiē）入到暴露的以太網（wǎng）端口呢?或（huò）者有人經（jīng）過某個（gè）接入點時（shí）按（àn）下了複位按鈕，將其（qí）恢（huī）複到了出廠設置，讓你的無線網絡四門大開，你又該如何是好?

　　所以，請一定要保證你的接入點AP遠離（lí）公眾可以接觸的地方，也不要（yào）讓雇（gù）員隨意去（qù）擺弄它。不要把你的接入點放到桌子上，最起碼應該將其掛到牆上或（huò）天花板上，最好將其放到高於天花板的位置。

　　還可以（yǐ）考慮將接入點AP安裝在不易於被（bèi）看到的地（dì）方，並安裝外部天線，這樣還可以獲得（dé）最強的信號。如此（cǐ）一來，就可以在更大程度上限製接入點AP，同時，又可以獲得兩方麵的好處，一是增加了覆蓋範圍，二是利用了較高的天線。

　　當然，你不能僅關注接入點。所有的網絡連接組件都（dōu）應當保證其安全（quán）。這甚至包括以太網電纜的連接。雖然下麵這種情況可能有（yǒu）點兒牽（qiān）強，但是難道某個“不到黃河不死心”的（de）家夥（huǒ）就沒有切斷電纜接入（rù）自己的設備的（de）可能?。

　　在安裝過程中，應當對所（suǒ）有的接入點AP了如指掌。最好製作一張表格，記錄所有的（de）接入點模塊，連同它們的MAC地址和IP地址。還要標明其所（suǒ）在的位置。通過這種方法就可以確切地知道，在進行設備清查或跟蹤有問題的接入點AP時，這些接入點到底（dǐ）在什（shí）麽地方。

　　3、 安裝入侵檢測和(或)入侵防禦係統（tǒng）(即IDS和IPS)

　　這（zhè）兩種係統通常靠一個軟件來（lái）工作，並且使用用戶的無線網卡來嗅探無線信號並查（chá）找問題。這種係統可以檢測欺詐性的接入點。無論是向網絡中（zhōng）接入一個新的接入（rù）點（diǎn），還是一個現有的接入點將其（qí）設置（zhì）改變為默認值，還是與用戶所定義（yì）的標準不匹配，IDS和IPS都可以檢測出來。

　　這種係（xì）統還可以分析網絡數據包，查看是（shì）否有人正在使用黑客（kè）技術（shù）或是正在實施幹擾。

　　現在有很（hěn）多種（zhǒng）的入侵檢測和防禦係統，這些係統所使用的技術也各不相同（tóng）。在此，筆者向您推薦兩開源（yuán）的或免費的係統，即大名鼎鼎的Kidmet和Snort。現在網上有關於這兩個係統的大量教程，您（nín）不（bú）妨試試。當然（rán），如果你願意花錢，還可以考慮AirMagnet、AirDefence、AirTight等國外公司的產品。

　　4、 構建無線使用（yòng）策略

　　正如需（xū）要其它網絡設備的使用指南一樣，你也應當有一套針對無線訪問的使用策略，其中至少包（bāo）括（kuò）以下幾條：

　　①列示可獲得授（shòu）權訪問無線網絡的設備（bèi）：最（zuì）好（hǎo）先禁用所（suǒ）有的設備，在路由器（qì）上使用MAC地址（zhǐ）的過濾功能來明（míng）確地指明準許哪些設備訪問網絡。雖然MAC地址可以（yǐ）被欺騙，但（dàn）是這樣做顯然會控製雇員們正在網絡（luò）上使用哪些設備。所有被核準設備的（de）硬拷貝及其細節都應當加以保留，以便（biàn）於在監視網（wǎng）絡時以及為入侵檢測係統提供數據時進行比較。

　　②列示（shì）可通過無線連接訪問網絡的人員（yuán）：在使用802.1X認證時，在RADIUS服務器（qì）中僅為（wéi）那些需要無線訪問的人創建賬戶就可以實（shí）施這種控製。如果（guǒ）在有線網絡上也使（shǐ）用802.1X認證，你必須（xū）指（zhǐ）明用戶是否要（yào）接收有線或無線訪問，可以通過修改（gǎi）活動目（mù）錄或在RADIUS服務（wù）器上使用（yòng）認證策略達到這（zhè）個目的。

　　③無線路（lù）由器或接（jiē）入點AP的建立規則：例如，僅準許IT部門建立更多的接（jiē）入點AP，因而不準許雇（gù）員隨（suí）意插入接入點Ap來增強（qiáng）和延伸信號。對IT部門的內部而言（yán），其規則最好包括定義可（kě）接受的（de）設備模式和配置等。

　　④使用Wi-Fi熱點（diǎn）或借助公（gōng）司設備連接到家庭網絡的規則（zé）：因為某個（gè）設備或（huò）筆記本電腦上的數據可以被破壞，而且在（zài）不安（ān）全的無線網絡上（shàng）需要監視互（hù）聯網活動，所以你可能（néng）會想到限製Wi-Fi連接僅給公司（sī）網絡使用。可以借助於Windows中的netsh實用（yòng）程序，並通過運用網絡過濾器來加以控製。還有另（lìng）外一（yī）個選擇，即你可以要求一個到達公司（sī）網絡的VPN連接，這樣至少可以保護互聯網活動，並可以遠程訪問文件（jiàn）。

　　5、使用SSL或Ipsec加密（mì）

　　雖然你可能正使用最新的（de）、最強健的Wi-Fi加密(位於（yú）OSI模型的（de）第二（èr）層上（shàng）)，也不妨（fáng）考慮（lǜ）實施（shī）另外一種加（jiā）密機製，如IPSec(位於OSI模型的第三層上)。這樣做，不但可以在無線網絡上提供雙重加密，還可以保證有線（xiàn）通信的安全。這會防（fáng）止雇（gù）員（yuán）或外部人員隨意插入到設備的以（yǐ）太（tài）網端口進行竊聽。

　　雖然在這（zhè）裏談到的這（zhè）五種技術大（dà）多在有線網絡上已經很成熟，但在許多單（dān）位的無線網絡（luò）上卻並沒有得以實施。為了讓你的無線網絡訪問更安全，不妨一試。