教你五大绝招 轻松搞定企业的WLAN安全

　　通过使用非默认的SSID配置访问节点，就可以减少那些非正常的Wi-Fi连接。不只如此，还需要部署Wi-Fi的访问控制以明确地拒绝未授权的客户端连接。

　　●由于存在着地址欺骗，千万不要依靠MAC地址过滤器实现Wi-Fi安全。

　　●如果你提供来宾(guest)访问，务必使用一个受控入口以跟踪使用，并且增强时间、带宽的限制。

　　●在小型的无线局域网中，使用支持预共用密钥模式(pre-shared key，PSK， 又称为个人模式)的WPA或WPA2，只准许经过授权的并且提交随机长口令的客户端访问网络资源。这特别适用家用WLAN使用。

　　●在企业级WLAN中，由于需要对个人用户实施更强的口令控制，务必对被允许到达公司网络的Wi-Fi连接部署802.1x以便实施授权和审核。在与服务器授权证书一起使用时，802.1X可以帮助客户端避免连接到虚假的访问节点。

　　最后一点，增强Wi-Fi数据保护和访问控制是至关重要的。一个集中化的WLAN管理程序能够帮助减少访问节点的错误配置，并且在遭受故障或攻击之后加速恢复的过程。

　　第四招：审核无线网络活动

　　不管你如何仔细部署你的网络、客户端和无线安全措施，一些意想不到的及未授权的无线访问活动仍然可能会发生。为了满足大多数企业面临的内、外审核的需要，你需要监视公司网络内所有Wi-Fi设备所执行的操作，并做出相应的报告。

　　关于无线通信，传统的审核资源(如防火墙日志和有线网络入侵检测系统)是不够的。这些系统只能监视有线网络内部的数据通信。对于超出策略范围的Wi-Fi连接，它们是“看”不到的。它们无法察觉针对WLAN自身的攻击，如802.11/802.1X 拒绝服务攻击(Denial of Service (DoS))以及口令破解。这些系统不能支持与已定义的Wi-Fi安全规则的一致性，也不能用于评估由无线网络的滥用或误用引起的公司网络资源暴露的程度。

　　每一家公司-包括那些没有授权的WLAN-都应能够发现并证明无线设备及其位置、活动、规则冲突和攻击。这可以通过部署一个无线入侵防御系统(Wireless Intrusion Prevention System (WIPS))以监视所有Wi-Fi活动来实现-这些活动对你的企业产生潜在的影响。WIPS使用分布式网络传感器扫描Wi-Fi使用的无线通道，分析数据通信并检测未授权的连接、错误配置和恶意活动。一个WIPS系统能够对潜在性的威胁发出警告并帮助用户形象地实时地展示Wi-Fi活动。WIPS系统所维护的数据库会允许用户轻易地生成调整性的和连续性的报告。

　　第五招：增强无线规则

　　当然，只进行被动监视是远远不够的。在用户对WIPS警告响应的时候，巨大的破坏可能已经完成，入侵者可能早已消失得无影无踪。因此，需要依靠公司及行业的规章制度和规范加强数据和网络安全性的主动防御。

　　部署一个无线入侵防御系统有其必要性，特别是它可给与用户快速增强已定义的规则的能力，并可断开未授权的、欺诈性的无线访问点，终止客户端的错误行为，阻止规则无法控制的通信，还可用于对付DoS攻击。为了完成这些目标，必须谨慎选择并配置WIPS系统，例如：

　　●认真规划传感器的位置，避免“盲点”-然后需要验证所期望的覆盖范围

　　●需要采用一种可自动地、精确地对新发现的设备进行分类的设备，从而使得“包含”这些设备的行动总是适当的，并不会入侵相邻的WLAN系统。

　　●测试你的WIPS的有效性以快速准确地确认欺诈性访问点、非正常连接和客户端以及其它重要的Wi-Fi威胁。

　　●警惕那些生成错误警告和错误单元估计的系统，这些系统通过给你发送消息让你进行徒劳的搜索。

　　●为了遵循数据保密性的要求(这些要求需要严格的策略强化)，选择一种能对付多种安全威胁的无线入侵防御系统，此系统应该能够工作在实时的升级模式。

　　●最后，检查WIPS警告和报告以了解WIPS如何加强你的策略。WIPS给你一种能力使你可以控制无线空间，但是明智地使用这种能力却完全信赖于你。

　　虽然每一家公司都是不同的，但大多数公司最终会发现一个综合性的防御体系需要上述的所有措施，它们协同工作以减轻常见的Wi-Fi威胁。然而，任何一项安全措施只有在风险管理的背景下才能产生最大的效益。

　　如果你的公司将要使用Wi-Fi，请从评估企业面临的威胁及其潜在的影响开始，定义你的Wi-Fi需要：Wi-Fi用于支持企业活动的何人、何事、何地、何时。检查所有暴露的Wi-Fi设备以及它们怎样被偶然误用或遭受故意的攻击。

　　然后考虑每一种安全事件的可能性和相关的成本。你不可能减轻每一种可能的威胁。如果你没有良好的企业风险管理，也不可能真正的知道有多少时间和金钱花费在威胁的处理上。完成Wi-Fi漏洞评估和企业风险分析可以帮助你关注产生最大影响的措施所引起的安全预算。

　　一旦你已经定义了一种用于减轻企业最关键的Wi-Fi威胁的安全策略，那就使用本文所介绍的这五招去实施你的策略并管理企业风险。虽然Wi-Fi安全并非自动化的或简单的事情，但依靠那些可用的工具并通过策略定义和强化完全可以实现。总之，运用本文所述的最佳方法可帮助你实现公司网络的安全性和完整性。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!