WAPI是我國(guó)制定的無(wú)線安全協(xié)議標(biāo)準(zhǔn)，它比其他標(biāo)準(zhǔn)更具安全優(yōu)勢(shì)。在此，WAPI并不是我們此文的重點(diǎn)，但是無(wú)線網(wǎng)絡(luò)安全是我們討論的中心。安全第一，其他的才都是第二。希望本文能對(duì)企業(yè)里面的網(wǎng)絡(luò)安全問(wèn)題有所啟示。

無(wú)線網(wǎng)絡(luò)安全問(wèn)題

由于無(wú)線傳輸通過(guò)開放的空中電波來(lái)傳輸，因此無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)就更容易被竊聽或干擾。如果你的無(wú)線網(wǎng)絡(luò)沒有作好適合的保護(hù)，未經(jīng)認(rèn)證的無(wú)線竊聽者（war driver）或其它在你無(wú)線網(wǎng)絡(luò)范圍內(nèi)的人就有辦法作出下列事情：

盜用公司的互聯(lián)網(wǎng)頻寬，免費(fèi)訪問(wèn)網(wǎng)絡(luò)，制造流量，讓合法使用者的訪問(wèn)變慢。

把你的網(wǎng)絡(luò)當(dāng)作跳板來(lái)攻擊其它計(jì)算機(jī)，或是進(jìn)行非法行為，比方下載或散布盜版軟件、盜版音樂(lè)或兒童色情等數(shù)據(jù)。

觀看，拷貝，修改或刪除公司無(wú)線有線網(wǎng)絡(luò)上計(jì)算機(jī)的檔案。

讓公司的計(jì)算機(jī)感染病毒，特洛依木馬，蠕蟲以及其它的惡意軟件程序。

借由把公司網(wǎng)絡(luò)上的工作站弄當(dāng)機(jī)或把網(wǎng)絡(luò)超載，來(lái)引發(fā)服務(wù)阻斷，讓他無(wú)法對(duì)合法使用者提供服務(wù)。

小規(guī)模（以及小預(yù)算）公司的無(wú)線網(wǎng)絡(luò)安全

小型公司一般只有有限的預(yù)算，這往往代表沒有全天候的網(wǎng)管人員，也請(qǐng)不起能夠適切地設(shè)定無(wú)線網(wǎng)絡(luò)安全管理專家。然而好消息是要把因特網(wǎng)弄得比「出廠默認(rèn)值」更安全，不需要花大量金錢。關(guān)鍵是正確的設(shè)定。

每一個(gè)安全管理計(jì)劃的目標(biāo)，都是借由讓入侵的手續(xù)變復(fù)雜，需要的時(shí)間變多，被抓到的機(jī)率變高，來(lái)防范潛在的入侵者或攻擊者。就算你在你家院子裝設(shè)圍籬、鎖上大門，在院子里養(yǎng)只惡犬，在窗戶與門上插上閂子，裝設(shè)防盜器，你也沒辦法保證小偷進(jìn)不來(lái)--事實(shí)上，一個(gè)專業(yè)的小偷可以幾乎都可以避開這些東西--─然而你可以增加他們的難度。這代表突發(fā)的入侵者比較可能避開你家，去找一個(gè)更容易進(jìn)入的房子來(lái)行竊。

一般來(lái)說(shuō)，網(wǎng)絡(luò)上的黑客就像傳統(tǒng)的小偷一樣，傾向去找簡(jiǎn)單的目標(biāo)來(lái)入侵。因此你放愈多障礙，愈有可能讓他們放棄，去找另一個(gè)更為簡(jiǎn)單入侵的網(wǎng)絡(luò)。尤其現(xiàn)在有許多無(wú)線網(wǎng)絡(luò)甚至沒有一點(diǎn)安全保護(hù)。

有些無(wú)線網(wǎng)絡(luò)安全專家可能會(huì)告訴你，像是更改預(yù)設(shè)SSID，關(guān)閉SSID廣播，啟動(dòng)MAC過(guò)濾等等的防護(hù)措施是完全沒有用的，因?yàn)榭偸怯修k法可以破解這些保護(hù)。這就有點(diǎn)像說(shuō)，如果你的門鎖很便宜，容易撬開，你根本就不需要鎖它。雖然你整體的企業(yè)無(wú)線網(wǎng)絡(luò)安全不能只依賴這些簡(jiǎn)單的方法，但其中的任何一個(gè)辦法都可以減慢入侵者一些速度，增加他們一些困難，因此這些措施還是應(yīng)該被放入你的無(wú)線網(wǎng)絡(luò)安全規(guī)劃中。

小型企業(yè)同時(shí)也可以在一個(gè)便宜的無(wú)線網(wǎng)絡(luò)接取點(diǎn)（WAP）使用以下這些其它便宜，或免費(fèi)的安全措施：

使用固定IP位置，在路由器端或WAP端關(guān)閉DHCP，讓未經(jīng)取可的使用者無(wú)法輕易得到一個(gè)可以使用的IP位置。

將無(wú)線接取點(diǎn)的涵蓋范圍盡可能縮小，遠(yuǎn)處入侵者必須使用高增益天線才能收取到信號(hào)。

在你暫時(shí)不需要使用無(wú)線網(wǎng)絡(luò)時(shí)，將WAP關(guān)閉。有些小型公司可能只是在偶爾一些時(shí)候，比方合作伙伴來(lái)到公司，或是四處移動(dòng)的員工在辦公室需要使用手提電腦時(shí)，才需要無(wú)線網(wǎng)絡(luò)。

當(dāng)然，加密是你可以免費(fèi)安裝的最好安全措施之一。請(qǐng)確定使用無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)（WPA）而不是無(wú)線對(duì)等安全（WEP）來(lái)進(jìn)行加密動(dòng)作，因?yàn)楹笳哌h(yuǎn)比前者脆弱容易被破解。要使用WPA，你可以需要更新你的WAP及／或你的無(wú)線NIC，但這是值得的花費(fèi)。如果你沒有持續(xù)更新你的操作系統(tǒng)，也可能需要在計(jì)算機(jī)上安裝WPA客戶端，但如果安全最新的Windows XP service pack，或是換到Windows Vista都可以讓你能支持WPA（這兩者同時(shí)也提供了其它的安全保護(hù)）。

大型組織的無(wú)線網(wǎng)絡(luò)安全

隨著公司的成長(zhǎng)，限制無(wú)線網(wǎng)絡(luò)的使用就變得更加重要。重要的是必須建立一個(gè)政策來(lái)防止未經(jīng)設(shè)定的無(wú)線接取點(diǎn)的出現(xiàn)，同時(shí)要定期監(jiān)測(cè)追蹤。然而好的政策并不夠，你同時(shí)還需要花費(fèi)一些成本來(lái)實(shí)行這個(gè)政策。

使用防火墻分隔把公司一或多個(gè)無(wú)線網(wǎng)絡(luò)分開，或考慮在DMZ或周邊網(wǎng)絡(luò)內(nèi)布建無(wú)線存取網(wǎng)絡(luò)，這樣就算無(wú)線客戶端被破解，入侵者還是無(wú)法攻擊有線網(wǎng)絡(luò)。同時(shí)要求無(wú)線網(wǎng)絡(luò)上的使用者在連接有線網(wǎng)絡(luò)的時(shí)候使用VPN。

使用IDS或響應(yīng)傳感器來(lái)監(jiān)控?zé)o線網(wǎng)絡(luò)上的所有聯(lián)機(jī)。使用網(wǎng)絡(luò)訪問(wèn)保護(hù)來(lái)管理無(wú)線客戶端，這樣可以在計(jì)算機(jī)使用網(wǎng)絡(luò)前，確認(rèn)他們有正確設(shè)定。

進(jìn)行無(wú)線網(wǎng)絡(luò)的穿透測(cè)試，來(lái)評(píng)估無(wú)線網(wǎng)絡(luò)安全威脅，進(jìn)而加以解決。

結(jié)論

無(wú)線網(wǎng)絡(luò)可以讓你在處理業(yè)務(wù)時(shí)更為方便，然而它同時(shí)也可以讓入侵者更方便來(lái)進(jìn)行他們的非法行為。建立一個(gè)無(wú)線網(wǎng)絡(luò)規(guī)劃，來(lái)符合公司的需求是很重要的。隨著公司與無(wú)線網(wǎng)絡(luò)安全預(yù)算的成長(zhǎng)，你可以加入更多更復(fù)雜的安全機(jī)制。