WAPI是我國制定的無線安全協議標準，它比其他標準更具安全優勢。在此，WAPI并不是我們此文的重點，但是無線網絡安全是我們討論的中心。安全第一，其他的才都是第二。希望本文能對企業里面的網絡安全問題有所啟示。

無線網絡安全問題

由于無線傳輸通過開放的空中電波來傳輸，因此無線網絡的數據就更容易被竊聽或干擾。如果你的無線網絡沒有作好適合的保護，未經認證的無線竊聽者（war driver）或其它在你無線網絡范圍內的人就有辦法作出下列事情：

盜用公司的互聯網頻寬，免費訪問網絡，制造流量，讓合法使用者的訪問變慢。

把你的網絡當作跳板來攻擊其它計算機，或是進行非法行為，比方下載或散布盜版軟件、盜版音樂或兒童色情等數據。

觀看，拷貝，修改或刪除公司無線有線網絡上計算機的檔案。

讓公司的計算機感染病毒，特洛依木馬，蠕蟲以及其它的惡意軟件程序。

借由把公司網絡上的工作站弄當機或把網絡超載，來引發服務阻斷，讓他無法對合法使用者提供服務。

小規模（以及小預算）公司的無線網絡安全

小型公司一般只有有限的預算，這往往代表沒有全天候的網管人員，也請不起能夠適切地設定無線網絡安全管理專家。然而好消息是要把因特網弄得比「出廠默認值」更安全，不需要花大量金錢。關鍵是正確的設定。

每一個安全管理計劃的目標，都是借由讓入侵的手續變復雜，需要的時間變多，被抓到的機率變高，來防范潛在的入侵者或攻擊者。就算你在你家院子裝設圍籬、鎖上大門，在院子里養只惡犬，在窗戶與門上插上閂子，裝設防盜器，你也沒辦法保證小偷進不來--事實上，一個專業的小偷可以幾乎都可以避開這些東西--─然而你可以增加他們的難度。這代表突發的入侵者比較可能避開你家，去找一個更容易進入的房子來行竊。

一般來說，網絡上的黑客就像傳統的小偷一樣，傾向去找簡單的目標來入侵。因此你放愈多障礙，愈有可能讓他們放棄，去找另一個更為簡單入侵的網絡。尤其現在有許多無線網絡甚至沒有一點安全保護。

有些無線網絡安全專家可能會告訴你，像是更改預設SSID，關閉SSID廣播，啟動MAC過濾等等的防護措施是完全沒有用的，因為總是有辦法可以破解這些保護。這就有點像說，如果你的門鎖很便宜，容易撬開，你根本就不需要鎖它。雖然你整體的企業無線網絡安全不能只依賴這些簡單的方法，但其中的任何一個辦法都可以減慢入侵者一些速度，增加他們一些困難，因此這些措施還是應該被放入你的無線網絡安全規劃中。

小型企業同時也可以在一個便宜的無線網絡接取點（WAP）使用以下這些其它便宜，或免費的安全措施：

使用固定IP位置，在路由器端或WAP端關閉DHCP，讓未經取可的使用者無法輕易得到一個可以使用的IP位置。

將無線接取點的涵蓋范圍盡可能縮小，遠處入侵者必須使用高增益天線才能收取到信號。

在你暫時不需要使用無線網絡時，將WAP關閉。有些小型公司可能只是在偶爾一些時候，比方合作伙伴來到公司，或是四處移動的員工在辦公室需要使用手提電腦時，才需要無線網絡。

當然，加密是你可以免費安裝的最好安全措施之一。請確定使用無線網絡保護訪問（WPA）而不是無線對等安全（WEP）來進行加密動作，因為后者遠比前者脆弱容易被破解。要使用WPA，你可以需要更新你的WAP及／或你的無線NIC，但這是值得的花費。如果你沒有持續更新你的操作系統，也可能需要在計算機上安裝WPA客戶端，但如果安全最新的Windows XP service pack，或是換到Windows Vista都可以讓你能支持WPA（這兩者同時也提供了其它的安全保護）。

大型組織的無線網絡安全

隨著公司的成長，限制無線網絡的使用就變得更加重要。重要的是必須建立一個政策來防止未經設定的無線接取點的出現，同時要定期監測追蹤。然而好的政策并不夠，你同時還需要花費一些成本來實行這個政策。

使用防火墻分隔把公司一或多個無線網絡分開，或考慮在DMZ或周邊網絡內布建無線存取網絡，這樣就算無線客戶端被破解，入侵者還是無法攻擊有線網絡。同時要求無線網絡上的使用者在連接有線網絡的時候使用VPN。

使用IDS或響應傳感器來監控無線網絡上的所有聯機。使用網絡訪問保護來管理無線客戶端，這樣可以在計算機使用網絡前，確認他們有正確設定。

進行無線網絡的穿透測試，來評估無線網絡安全威脅，進而加以解決。

結論

無線網絡可以讓你在處理業務時更為方便，然而它同時也可以讓入侵者更方便來進行他們的非法行為。建立一個無線網絡規劃，來符合公司的需求是很重要的。隨著公司與無線網絡安全預算的成長，你可以加入更多更復雜的安全機制。