無線網(wǎng)絡(luò)技術(shù)已經(jīng)讓企業(yè)可以大幅度的擴(kuò)展PC利用度——特別是對(duì)那些流動(dòng)性很高的雇員來說，比如保健行業(yè)，銷售人員以及制造業(yè)，等等。

部署無線網(wǎng)絡(luò)方面最主要的障礙是安全問題，特別對(duì)那些要處理大量敏感信息的企業(yè)，或者隸屬特定行業(yè)，特定種類數(shù)據(jù)的機(jī)密性受諸如HIPAA和GLB等法律管轄的企業(yè)來說，更是如此。

在部署一個(gè)WLAN之前就事先制定好一個(gè)安全策略是非常基本的一點(diǎn)，但是適合于小公司的安全措施卻未必適合于大企業(yè)。你需要切實(shí)留意自己公司的獨(dú)特需求，并以此來發(fā)展自己的安全規(guī)劃。

無線安全問題

因?yàn)闊o線傳輸是通過開放的無線電波進(jìn)行，所以相對(duì)于有線網(wǎng)絡(luò)上的數(shù)據(jù)來說，更容易受到偵聽或破壞。并且，如果你的網(wǎng)絡(luò)沒有受到正確保護(hù)的話，未經(jīng)授權(quán)的“驅(qū)動(dòng)”或者范圍內(nèi)的其他人則可以：

1、盜用你的互聯(lián)網(wǎng)帶寬，免費(fèi)使用網(wǎng)絡(luò)的同時(shí)大幅拖慢你的合法用戶上網(wǎng)速度。

2、使用你的網(wǎng)絡(luò)作為實(shí)施攻擊的跳板，或進(jìn)行一些非法行為，比如下載和分發(fā)盜版軟件，盜版音樂，色情圖片等。

3、察看，拷貝，修改或刪除無線網(wǎng)絡(luò)（以及有線網(wǎng)絡(luò)）中電腦上的文件。

4、使用病毒，木馬，蠕蟲，間諜程序，以及其他惡意軟件感染你的系統(tǒng)。

5、通過癱瘓網(wǎng)絡(luò)上的工作站（以及服務(wù)器），導(dǎo)致拒絕服務(wù)，或?qū)W(wǎng)絡(luò)造成過載，以致合法用戶根本無法正常使用網(wǎng)絡(luò)。

小企業(yè)（以及小預(yù)算）的無線安全

小公司的預(yù)算常常都很少，在很多情況下意味著沒有全職的IT雇員，也沒錢雇傭一個(gè)安全顧問來協(xié)助你正確建立無線局域網(wǎng)。好消息是，你無需花費(fèi)大量金錢就可以讓你的無線局域網(wǎng)變得安全的多，而不僅僅是一個(gè)“裸網(wǎng)”。在這一點(diǎn)上，正確的網(wǎng)絡(luò)配置是關(guān)鍵。

任何一個(gè)安全計(jì)劃的目的都在于阻止?jié)撛诘娜肭终撸蛘咄下粽叩乃俣龋哟蠊舻碾y度，以及（或者）增加他們被捕獲的機(jī)會(huì)。豎起防護(hù)圍墻，鎖定大門，在院子中挖上陷阱，在窗戶上和門上安裝防盜鎖，并在家里和辦公室安裝警報(bào)系統(tǒng)，這些措施并不能就此保證盜賊不會(huì)進(jìn)來——實(shí)際上一個(gè)專業(yè)人員肯定可以破解所有上述這些措施——但是你的確給他增加了很多麻煩。這意味著偶然起意的入侵者更大可能會(huì)放棄你家，而轉(zhuǎn)去下一家更容易的地方。

一般而言，互聯(lián)網(wǎng)黑客們更喜歡使用更簡單的方法，正像那些過時(shí)的老賊們一樣。所以你在入侵者道路上每多放一個(gè)障礙，就意味著他放棄你這里而轉(zhuǎn)向攻擊其他更容易目標(biāo)的可能就多增加一分。尤其是現(xiàn)在有如此之多無線網(wǎng)絡(luò)毫不設(shè)防的時(shí)候，這一點(diǎn)就特別明顯。

某些安全專家會(huì)告訴你，一些常常被提到的推薦措施，比如修改默認(rèn)的SSID，關(guān)閉SSID廣播功能，以及啟用MAC過濾等，都是不值當(dāng)?shù)模驗(yàn)楣粽哂泻芏噢k法繞過去。這聽起來有點(diǎn)像告訴你說，如果你的門上僅僅安裝了一個(gè)很容易被撬的廉價(jià)鎖的話，那你就根本不用鎖門了。這些手段當(dāng)然絕不能成為你所依賴安全策略的全部，但是每多延緩入侵者一點(diǎn)，就為入侵者們多增加了一點(diǎn)入侵的難度，所以這些手段顯然應(yīng)當(dāng)成為你安全策略的一部分。

小公司能在一個(gè)廉價(jià)無線AP（WAP，Wireless Access Point）上所部署的其他廉價(jià)（或無需成本）安全措施有：

1、使用靜態(tài)IP地址，并關(guān)閉路由器或WAP上的DHCP服務(wù)，這樣一個(gè)未經(jīng)授權(quán)的人就無法輕易獲得一個(gè)有效的IP地址。

2、配置AP以最小化其范圍，這樣一個(gè)入侵者將不得不去尋找和使用一個(gè)高分辨率天線，才能獲取相應(yīng)信號(hào)，這會(huì)讓他很麻煩。

3、如果暫時(shí)不需要使用無線功能時(shí)就關(guān)閉無線AP。一些小企業(yè)可能只是偶爾需要使用無線網(wǎng)絡(luò)，比如合作伙伴或者旅行雇員帶著筆記本來了你的辦公室中。

4、當(dāng)然，加密是你最應(yīng)當(dāng)采取的無成本安全措施。確保使用WPA（Wi-fi Protected Access）加密，而不是WEP（Wired Equivalent Privacy）加密，因?yàn)楹笳叩募用軓?qiáng)度很弱，更容易被擊破。你可能需要升級(jí)你的無線AP以及無線網(wǎng)卡才能使用WPA，但是這個(gè)代價(jià)是值得的。如果你的操作系統(tǒng)不是最新的，可能還需要單獨(dú)安裝WPA客戶端軟件，但是安裝最新的Windows XP系統(tǒng)補(bǔ)丁包，或者切換到Windows Vista（兩者都提供了更多安全方面的好處），可以讓你獲得對(duì)WPA的支持。

大企業(yè)的無線安全

當(dāng)你的公司不斷擴(kuò)張時(shí)，限制無線網(wǎng)的使用就越發(fā)重要。制定策略防止AP盜用是非常必要的，并且要定期的監(jiān)控它們。但僅僅有了好的策略還不夠；你同時(shí)還需要增加部分預(yù)算來執(zhí)行這些策略。

使用防火墻來隔離你的無線局域網(wǎng)；考慮將無線連接放入一個(gè)DMZ或者周邊網(wǎng)絡(luò)之中，一旦無線客戶端安全受到威脅，入侵者無法攻擊整個(gè)無線網(wǎng)絡(luò)；要求無線局域網(wǎng)的用戶使用VPN來連接無線網(wǎng)絡(luò)。

使用IDS和響應(yīng)傳感器來監(jiān)控?zé)o線網(wǎng)絡(luò)上的所有流量。使用網(wǎng)絡(luò)存取保護(hù)來管理無線客戶端，并確保它們?cè)诒辉试S上網(wǎng)之前已經(jīng)得到了正確的配置。

對(duì)你的無線網(wǎng)絡(luò)進(jìn)行滲透測(cè)試，以發(fā)現(xiàn)安全漏洞，并解決這些漏洞。

總結(jié)

無線網(wǎng)絡(luò)可以讓你做起生意來更加容易，但是它也會(huì)讓那些入侵者更加容易的完成他們黑暗的勾當(dāng)。根據(jù)公司的需要制定一個(gè)無線安全策略是很重要的，當(dāng)公司和預(yù)算都在不斷增長時(shí)，可以在建立更加完善的安全機(jī)制上投入更多資金。(T004)