無線局域網安全的問題是每個企業網絡管理員所重視的問題之一，對于選擇無線局域網安全方案時就覺得難以定論。對于各種無線局域網安全策略和它們采取的加密設置都是有所不同的。下面就跟大家探討一下分層式無線局域網安全方案的一些問題。

面對形形色色的無線局域網安全方案，用戶需要保持清醒：即使最新的802.11i也存在缺陷，沒有一種方案就能解決所有安全問題。例如，許多Wi-Fi解決方案當前所提供的128位加密技術，不可能阻止黑客蓄意發起的攻擊活動。許多用戶也常常會犯一些簡單錯誤，如忘記啟動WEP功能，從而使無線連接成為不設防的連接，用戶沒有在企業防火墻的外部設置AP，結果使攻擊者利用無線連接避開防火墻，入侵局域網。對于用戶來說，與其依賴一種安全技術，不如選擇適合實際情況的無線局域網安全方案，建立多層的安全保護機制，這樣才能有助于避免無線技術帶來的安全風險。

企業用戶通常把無線連接視為一個系統的組成部分，這種系統必須能適應其網絡基礎架構的需要，提供更高水平的保護功能，以確保企業信息、用戶身份和其他網絡資源的安全性。企業用戶需要對無線局域網受到的威脅以及無線局域網所需求的安全等級進行評估，尤其需要保護含有敏感數據的對外開放的網絡服務器，它們需要的安全保護往往要超過網絡中的其他服務器。同時，企業用戶需要在AP和客戶機之間建立多層次保護的無線連接，以加強安全性。

40位的WEP和128位共享密鑰加密技術能夠提供基本的無線局域網安全需求，并能抵御最低水平的危險。IT管理員也可以在AP內部創建和維護無線客戶機設備的MAC地址表，并在替換或增加無線設備時，以人工方式改變MAC地址表。由于WEP是一種共享密鑰，如果用戶密鑰受到破壞，黑客就有可能獲取專用信息和網絡資源。隨著網絡規模的不斷擴展，IT管理員需要加強無線局域網的管理工作。

為了增加無線局域網安全機制，企業可以使用“基于用戶”，而不是“基于設備MAC地址”的驗證機制。這樣，即使用戶的筆記本電腦被盜，盜賊如果沒有筆記本電腦用戶的用戶名和口令，也無法訪問網絡。這種方法簡單易行，同時還會減輕管理負擔，因為不需要以人工方式管理MAC地址表，但企業需要評估和部署AP，以支持基于用戶的驗證數據庫。該驗證數據庫可以通過本地方式，在AP內部進行維護。

企業可以啟動由AP執行的動態密鑰管理功能。有些無線供應商提供這種管理功能，以此作為一個附加安全層。

這種多層次策略，使每個用戶均擁有一個獨特的密鑰，該密鑰可以經常改變。即使黑客破壞了加密機制，并獲得網絡訪問權，但黑客獲取的密鑰的有效期很短暫，從而限制了可能造成的破壞。這種方法因為具有在AP內部設計動態密鑰管理的功能，從而簡化了日益擴展的IT資源的管理負擔。與128位共享密鑰加密技術相比，動態密鑰管理的功能更強勁，因為經常改變密鑰進一步增加了黑客侵入系統的難度。

具體來來說，用戶只需采取以下措施，就可以將無線局域網安全風險大大降低。

一是控制無線客戶機，實現WLAN網卡的標準化，防止WLAN網卡被任意改動；

二是像對待Internet那樣，對待WLAN，在WLAN和有線網絡之間安裝防火墻，阻止非授權的WLAN用戶向有線網絡發送二層數據包；

三是保護接入點，將接入點隱藏在不容易被發現的地方，防止被非法篡改；

四是防止無線電波“泄漏”到站點之外，用戶可以利用各用措施“改變”無線電波的形態，在站點邊緣尤其需要用戶這么做；

五是不要僅依靠WPA，這是因為WPA仍然使用流密碼加密無線數據流，而沒有使用更安全的分組密碼；

六是使用VPN，IPSec VPN或SSL VPN仍被視為是最佳的保護技術；

七是利用第三方無線局域網安全控制器完善VPN；

八是選擇合適的EAP方式；

九是監測網絡，利用分析器和監測器分析WLAN無線數據流，發現未經授權的接入點，并且根據需要阻止或斷開客戶機，以及檢測入侵者。

總之，只要結合企業實際，合理組合安全機制，用戶就可以回避無線局域網的風險而享受到無線接入的便捷。