你是否👯想过怎【xiǎng guò zěn】样让自己的无【jǐ de wú】🥜线网络【xiàn wǎng luò】🧐更安全?有人说，现在上网可以搜索到🤑关于Wi-Fi安全的【ān quán de】🕳大量信息，如不要使用【shǐ yòng】👚WEP，要使用【shǐ yòng】👚WPA或WPA2，禁用🐡SSID广播，改变默认设置等。但仅有🕗这些还是不够【shì bú gòu】的【de】。为此【wéi cǐ】，本文不【běn wén bú】再详述🐹这些基本技术【běn jì shù】，而是讨🍺论可增👺强无线【qiáng wú xiàn】网络【wǎng luò】🧐安全的【ān quán de】🕳其它方面🍿。

　　1、 转向企业级加密

　　如果你🐁创建了🥎一个【yī gè】WPA或【huò】WPA2的加密【de jiā mì】密😾钥，并且在连接到【lián jiē dào】某个无📢线网络时必须输入这🌴个密钥✔，你所使【nǐ suǒ shǐ】用的【de】就👇是WPA的【de】预共📦享密钥⤴(PSK)模式。企业级网络，不管是【bú guǎn shì】大是小🚧，都应当用企业模式进【mó shì jìn】行保护【háng bǎo hù】，因为这种保护🕓模式向🗒无线连🧢接过程【jiē guò chéng】增加了802.1X/EAP认证【rèn zhèng】🐤。用户们不是在所有的【de】计算机上输入【shàng shū rù】加密密【jiā mì mì】😾钥，而是通过一个【yī gè】📝用户名【yòng hù míng】🌚和口令【hé kǒu lìng】登录。加密密【jiā mì mì】😾钥是以隐藏方式安全地使用，并且对每一个【měi yī gè】📳用户和🌀会话都是唯一【shì wéi yī】的【de】。

　　这种方法提供了集中【le jí zhōng】管理功💔能和更【néng hé gèng】好的无🎋线网络安全【ān quán】🆎。

　　简言之，雇员们和其它用户在【yòng hù zài】🛍使用企业模式【yè mó shì】时，都通过💬其自己的账号【de zhàng hào】登录进入网络🦓。在需要【zài xū yào】时，管理员【guǎn lǐ yuán】🏐可以轻易地改🐽变或废🍱止其访☔问。在雇员离职或笔记本【bǐ jì běn】电脑被🥠盗时【dào shí】，这种方😣式非常有用🧡。如果你【rú guǒ nǐ】现在正【xiàn zài zhèng】使用个人模式【rén mó shì】，你就需要在所有的电【yǒu de diàn】脑和接🏁入点AP上改变【shàng gǎi biàn】加密密钥🐖。

　　企业模式的【de】🤝一个特【yī gè tè】别🎻因素是RADIUS/AAA服务🕝器【qì】。它与网络中的【de】🤝接入点AP通信，并查询【bìng chá xún】用户的【de】🤝数据库【shù jù kù】⛅。在此【zài cǐ】🤽，笔者建🐚议你使用windows server 2003 的【de】🤝IAS或🤴Windows Sever 2008r 网络策略服务🕝器【qì】NPS。当然【dāng rán】，你也可👀以考虑【yǐ kǎo lǜ】使用开源服务🕝器【qì】，如最流😰行的【de】🔒FreeRADIUS。如果你【rú guǒ nǐ】觉得建【jiào dé jiàn】立一个【lì yī gè】身份验【shēn fèn yàn】💂证的【de】🤝服务🕝器【qì】需要花费【huā fèi】🐡太多的【de】🤝金钱，或🤴者超过【zhě chāo guò】了你🔊的【de】🤝预算【yù suàn】，不妨考虑使用外购服🚠务🕝。

　　2、 验证物理上的安全性

　　无线安全并不仅仅是技术问题。你可以【nǐ kě yǐ】拥有最【yōng yǒu zuì】强健的Wi-Fi 加密，但是你【dàn shì nǐ】又能如【yòu néng rú】何阻止某人将【mǒu rén jiāng】🍇电缆线接入到【jiē rù dào】暴露的🏴以太网端口呢?或者有【huò zhě yǒu】➿人经过【rén jīng guò】某个接入点时按下了复位按【fù wèi àn】🀄钮⏯，将其恢复到了出厂设🤲置，让你的🖤无线网络四门✔大开【dà kāi】📺，你又该🤧如何是【rú hé shì】📝好?

　　所以🔠，请一定要保证【yào bǎo zhèng】你的接【nǐ de jiē】入点【rù diǎn】🔗AP远离公众可以接触的【jiē chù de】地方，也不要【yě bú yào】让雇员随意去摆弄它。不要把你的接【nǐ de jiē】入点【rù diǎn】放🖊到桌子上，最起码🚰应该将【yīng gāi jiāng】其挂到🏓墙上或【qiáng shàng huò】天花板💇上，最好将⏯其放到高于天【gāo yú tiān】🥇花板的位置【wèi zhì】🚣。

　　还可以考虑将【kǎo lǜ jiāng】接入点【jiē rù diǎn】AP安装在不易于被看到【bèi kàn dào】的地方🖼，并安装外部天线，这样还😍可以获得最强🏬的信号【de xìn hào】🗿。如此一【rú cǐ yī】来，就可以【jiù kě yǐ】🌚在更大【zài gèng dà】程度上🎙限制接【xiàn zhì jiē】入点AP，同时，又可以获得两方面的【fāng miàn de】好处，一是增加了覆💖盖范围🌍，二是利【èr shì lì】🚢用了较高的天🌾线。

　　当然【dāng rán】🅾，你不能【nǐ bú néng】仅关注【jǐn guān zhù】📎接入点【jiē rù diǎn】。所有的网络连【wǎng luò lián】接组件都应当保证其安全。这甚至包括以太网电【tài wǎng diàn】🕊缆的连👲接。虽然下【suī rán xià】🏑面这种【miàn zhè zhǒng】🎧情况可📩能有点儿牵强，但是难道某个🥌“不到黄河不死心【xīn】”的家伙就没有🎲切断电缆接入🥦自己的设备的可能【kě néng】?。

　　在安装【zài ān zhuāng】🐈过程中，应当对【yīng dāng duì】所有的接【jiē】🛵入点AP了如指【le rú zhǐ】🚯掌。最好制作一张表格，记录所🙈有的接【jiē】🛵入点模【rù diǎn mó】🙈块，连同它📝们的MAC地址🚝和IP地址🚝。还要标明其所在的位置。通过这【tōng guò zhè】种方法【zhǒng fāng fǎ】就可以确切地知道，在进行设备清【shè bèi qīng】🤟查或跟⌚踪有问🛰题的接【jiē】入点AP时【shí】，这些接【zhè xiē jiē】入点到底在什【dǐ zài shí】💫么地方【me dì fāng】🗼。

　　3、 安装入【ān zhuāng rù】🔝侵检测😶和【hé】✒(或)入侵防【rù qīn fáng】御系统(即IDS和【hé】✒IPS)

　　这两种系统通【xì tǒng tōng】常靠一🉐个软件来工作🏔，并且使用用户的无线【de wú xiàn】🚶网卡来🌹嗅探无线信号【xiàn xìn hào】并查找问题。这种系【zhè zhǒng xì】统可以检测欺诈性的🤑接入点【diǎn】📫。无论是向网络【xiàng wǎng luò】中接入一个新🍶的接入【de jiē rù】🔘点【diǎn】📫，还是一个现有【gè xiàn yǒu】的接入【de jiē rù】🔘点【diǎn】📫将其设置改变为默🧟认值📣，还是与【hái shì yǔ】用户所【yòng hù suǒ】定义的【dìng yì de】标准不【biāo zhǔn bú】匹配【pǐ pèi】，IDS和IPS都可以📲检测出来🎬。

　　这种系🐺统还可以分析🛀网络数据包，查看是😛否有人【fǒu yǒu rén】正在使用黑客【yòng hēi kè】技术或是正在【shì zhèng zài】🐬实施干【shí shī gàn】扰。

　　现在有❤很多种🐳的入侵【de rù qīn】⤴检测和💎防御系统【tǒng】，这些系🦅统【tǒng】所使🐊用的技术也各【shù yě gè】不相同。在此，笔者向【bǐ zhě xiàng】您推荐【nín tuī jiàn】⛪两开源的或免🚢费的系👥统【tǒng】，即大名鼎鼎的【dǐng dǐng de】Kidmet和💎Snort。现在网上有关于这两💣个系统【gè xì tǒng】的大量【de dà liàng】教程【jiāo chéng】，您不妨【nín bú fáng】🥫试试【shì shì】。当然，如果你愿意花钱，还可以🤪考虑AirMagnet、AirDefence、AirTight等国外【děng guó wài】公司的产品。

　　4、 构建无线使用策略

　　正如需🤕要其它【yào qí tā】网络设【wǎng luò shè】备的使【bèi de shǐ】🚼用指南【yòng zhǐ nán】✡一样🌐，你也应当有一🙄套针对无线访问的使用策略，其中至少包括以下几【yǐ xià jǐ】条：

　　①列示可获得授【huò dé shòu】权访问【quán fǎng wèn】无线网🍾络的设🛣备：最好先禁用所🎺有的设【yǒu de shè】备，在路由🍞器上使🏡用MAC地址的过滤功➿能来明确地指明准许哪些设【nǎ xiē shè】备👈访问网络。虽然MAC地址可【dì zhǐ kě】以被欺骗👳，但是这【dàn shì zhè】样做显【yàng zuò xiǎn】然会控🤺制雇员们正在🍐网络上使用哪【shǐ yòng nǎ】些设备【xiē shè bèi】👈。所有被【suǒ yǒu bèi】核准设【hé zhǔn shè】🈶备的硬【bèi de yìng】📰拷贝及【kǎo bèi jí】其细节♎都应当加以保🔴留【liú】，以便于在监视网络时以及为入侵检【rù qīn jiǎn】🕉测系统提供数据时进【jù shí jìn】行比较。

　　②列示可【liè shì kě】😓通过无🎅线连接🧀访问网【fǎng wèn wǎng】络的人【luò de rén】❎员【yuán】：在使用【zài shǐ yòng】♏802.1X认证时✒，在RADIUS服务器中仅为那些需要无线访问【wèn】的人创建账户就可以实🎌施这种控制【kòng zhì】。如果在🆗有线网🕠络上也使用【shǐ yòng】♏802.1X认证，你必须【nǐ bì xū】指明用【zhǐ míng yòng】户是否要接收【yào jiē shōu】有线或无线访问【wèn】，可以通过修改🤓活动目【huó dòng mù】录或在🎺RADIUS服务器上使用【shǐ yòng】♏认证策【rèn zhèng cè】🏗略达到♍这个目的。

　　③无线路由器或【yóu qì huò】接入点【jiē rù diǎn】🏄AP的建立规则👞：例如，仅准许😧IT部门建【bù mén jiàn】立更多的接入🍙点🏄AP，因而不📇准许雇【zhǔn xǔ gù】员随意【yuán suí yì】插入接【chā rù jiē】入点【rù diǎn】🏄Ap来增强和延伸【hé yán shēn】信号【xìn hào】。对IT部门的内部而🚘言，其规则🔒最好包括定义可接受的设备⭐模式和配置等♟。

　　④使用Wi-Fi热点或🔜借助公司设备连接到家庭网😱络的规则💧：因为某个设备🎥或笔记【huò bǐ jì】本电脑【běn diàn nǎo】🈂上的数据可以🔶被破坏，而且在不安全的无线网络上需要监【xū yào jiān】视互联网活动【wǎng huó dòng】，所以你【suǒ yǐ nǐ】可能会💕想到限制❄Wi-Fi连接仅【lián jiē jǐn】给公司网络使【wǎng luò shǐ】🐁用。可以借✂助于Windows中的【zhōng de】🥢netsh实用程【shí yòng chéng】序，并通过【bìng tōng guò】🍢运用网⏸络过滤器来加以控制❄。还有另外一个【wài yī gè】🐯选择，即你可【jí nǐ kě】📣以要求【yǐ yào qiú】🛷一个到【yī gè dào】达公司【dá gōng sī】网络的【wǎng luò de】⏱VPN连接，这样至【zhè yàng zhì】🕉少可以保护互联网活动【wǎng huó dòng】，并可以【bìng kě yǐ】远程访问文件。

　　5、使用SSL或Ipsec加密

　　虽然你可能正使用最【shǐ yòng zuì】新的🕐、最强健【zuì qiáng jiàn】的Wi-Fi加密【mì】🐻(位于【wèi yú】OSI模型的🤽第二层【dì èr céng】上【shàng】)，也不妨考虑实【kǎo lǜ shí】施另外一种加密【mì】🐻机制，如IPSec(位于【wèi yú】OSI模型的🤽第三层上【shàng】)。这样做🎴，不但可以在无🐥线网络【xiàn wǎng luò】👕上【shàng】提供双重加密【mì】🐻，还可以保证有🧠线通信的安全。这会防止雇员🏨或外部🍲人员随【rén yuán suí】意插入到设备🌻的以太【de yǐ tài】网端口🌁进行窃【jìn háng qiè】🍐听【tīng】📽。

　　虽然在🙄这里谈🅱到的这五种技术大多【shù dà duō】在有线😟网络上【wǎng luò shàng】已经很成熟【chéng shú】，但在许多单位的无线网络【xiàn wǎng luò】上却并没有得以💹实施【shí shī】。为了让你的无【nǐ de wú】😝线网络【xiàn wǎng luò】访问更【fǎng wèn gèng】🈯安全🧖，不妨一试。