無線網(wǎng)絡(luò)技術(shù)已經(jīng)讓企業(yè)可以大幅度的擴展PC利用度——特別是對那些流動性很高的雇員來說，比如保健行業(yè)，銷售人員以及制造業(yè)，等等。

部署無線網(wǎng)絡(luò)方面最主要的障礙是安全問題，特別對那些要處理大量敏感信息的企業(yè)，或者隸屬特定行業(yè)，特定種類數(shù)據(jù)的機密性受諸如HIPAA和GLB等法律管轄的企業(yè)來說，更是如此。

在部署一個WLAN之前就事先制定好一個安全策略是非常基本的一點，但是適合于小公司的安全措施卻未必適合于大企業(yè)。你需要切實留意自己公司的獨特需求，并以此來發(fā)展自己的安全規(guī)劃。

無線安全問題

因為無線傳輸是通過開放的無線電波進行，所以相對于有線網(wǎng)絡(luò)上的數(shù)據(jù)來說，更容易受到偵聽或破壞。并且，如果你的網(wǎng)絡(luò)沒有受到正確保護的話，未經(jīng)授權(quán)的“驅(qū)動”或者范圍內(nèi)的其他人則可以：

1、盜用你的互聯(lián)網(wǎng)帶寬，免費使用網(wǎng)絡(luò)的同時大幅拖慢你的合法用戶上網(wǎng)速度。

2、使用你的網(wǎng)絡(luò)作為實施攻擊的跳板，或進行一些非法行為，比如下載和分發(fā)盜版軟件，盜版音樂，色情圖片等。

3、察看，拷貝，修改或刪除無線網(wǎng)絡(luò)（以及有線網(wǎng)絡(luò)）中電腦上的文件。

4、使用病毒，木馬，蠕蟲，間諜程序，以及其他惡意軟件感染你的系統(tǒng)。

5、通過癱瘓網(wǎng)絡(luò)上的工作站（以及服務(wù)器），導(dǎo)致拒絕服務(wù)，或?qū)W(wǎng)絡(luò)造成過載，以致合法用戶根本無法正常使用網(wǎng)絡(luò)。

小企業(yè)（以及小預(yù)算）的無線安全

小公司的預(yù)算常常都很少，在很多情況下意味著沒有全職的IT雇員，也沒錢雇傭一個安全顧問來協(xié)助你正確建立無線局域網(wǎng)。好消息是，你無需花費大量金錢就可以讓你的無線局域網(wǎng)變得安全的多，而不僅僅是一個“裸網(wǎng)”。在這一點上，正確的網(wǎng)絡(luò)配置是關(guān)鍵。

任何一個安全計劃的目的都在于阻止?jié)撛诘娜肭终撸蛘咄下粽叩乃俣龋哟蠊舻碾y度，以及（或者）增加他們被捕獲的機會。豎起防護圍墻，鎖定大門，在院子中挖上陷阱，在窗戶上和門上安裝防盜鎖，并在家里和辦公室安裝警報系統(tǒng)，這些措施并不能就此保證盜賊不會進來——實際上一個專業(yè)人員肯定可以破解所有上述這些措施——但是你的確給他增加了很多麻煩。這意味著偶然起意的入侵者更大可能會放棄你家，而轉(zhuǎn)去下一家更容易的地方。

一般而言，互聯(lián)網(wǎng)黑客們更喜歡使用更簡單的方法，正像那些過時的老賊們一樣。所以你在入侵者道路上每多放一個障礙，就意味著他放棄你這里而轉(zhuǎn)向攻擊其他更容易目標(biāo)的可能就多增加一分。尤其是現(xiàn)在有如此之多無線網(wǎng)絡(luò)毫不設(shè)防的時候，這一點就特別明顯。

某些安全專家會告訴你，一些常常被提到的推薦措施，比如修改默認(rèn)的SSID，關(guān)閉SSID廣播功能，以及啟用MAC過濾等，都是不值當(dāng)?shù)模驗楣粽哂泻芏噢k法繞過去。這聽起來有點像告訴你說，如果你的門上僅僅安裝了一個很容易被撬的廉價鎖的話，那你就根本不用鎖門了。這些手段當(dāng)然絕不能成為你所依賴安全策略的全部，但是每多延緩入侵者一點，就為入侵者們多增加了一點入侵的難度，所以這些手段顯然應(yīng)當(dāng)成為你安全策略的一部分。

小公司能在一個廉價無線AP（WAP，Wireless Access Point）上所部署的其他廉價（或無需成本）安全措施有：

1、使用靜態(tài)IP地址，并關(guān)閉路由器或WAP上的DHCP服務(wù)，這樣一個未經(jīng)授權(quán)的人就無法輕易獲得一個有效的IP地址。

2、配置AP以最小化其范圍，這樣一個入侵者將不得不去尋找和使用一個高分辨率天線，才能獲取相應(yīng)信號，這會讓他很麻煩。

3、如果暫時不需要使用無線功能時就關(guān)閉無線AP。一些小企業(yè)可能只是偶爾需要使用無線網(wǎng)絡(luò)，比如合作伙伴或者旅行雇員帶著筆記本來了你的辦公室中。

4、當(dāng)然，加密是你最應(yīng)當(dāng)采取的無成本安全措施。確保使用WPA（Wi-fi Protected Access）加密，而不是WEP（Wired Equivalent Privacy）加密，因為后者的加密強度很弱，更容易被擊破。你可能需要升級你的無線AP以及無線網(wǎng)卡才能使用WPA，但是這個代價是值得的。如果你的操作系統(tǒng)不是最新的，可能還需要單獨安裝WPA客戶端軟件，但是安裝最新的Windows XP系統(tǒng)補丁包，或者切換到Windows Vista（兩者都提供了更多安全方面的好處），可以讓你獲得對WPA的支持。

大企業(yè)的無線安全

當(dāng)你的公司不斷擴張時，限制無線網(wǎng)的使用就越發(fā)重要。制定策略防止AP盜用是非常必要的，并且要定期的監(jiān)控它們。但僅僅有了好的策略還不夠；你同時還需要增加部分預(yù)算來執(zhí)行這些策略。

使用防火墻來隔離你的無線局域網(wǎng)；考慮將無線連接放入一個DMZ或者周邊網(wǎng)絡(luò)之中，一旦無線客戶端安全受到威脅，入侵者無法攻擊整個無線網(wǎng)絡(luò)；要求無線局域網(wǎng)的用戶使用VPN來連接無線網(wǎng)絡(luò)。

使用IDS和響應(yīng)傳感器來監(jiān)控?zé)o線網(wǎng)絡(luò)上的所有流量。使用網(wǎng)絡(luò)存取保護來管理無線客戶端，并確保它們在被允許上網(wǎng)之前已經(jīng)得到了正確的配置。

對你的無線網(wǎng)絡(luò)進行滲透測試，以發(fā)現(xiàn)安全漏洞，并解決這些漏洞。

總結(jié)

無線網(wǎng)絡(luò)可以讓你做起生意來更加容易，但是它也會讓那些入侵者更加容易的完成他們黑暗的勾當(dāng)。根據(jù)公司的需要制定一個無線安全策略是很重要的，當(dāng)公司和預(yù)算都在不斷增長時，可以在建立更加完善的安全機制上投入更多資金。(T004)