快速的設置無線網絡并不是我們所追求的，要進行安全有效的網絡設置才是重中之重，這里就給讀者介紹一下最佳的設置建議。在此，我們將依照重要性列示這三個建議：

無線網絡設置常見誤區一、SSID過多

運行多個SSID有哪些壞處呢?因為每個無線射頻設備對每個SSID每秒鐘就要發送大約十次信號。因而，如果用戶的環境中擁有五個SSID，那么每秒鐘用戶將進行50次無線發送。所有的這些無線信號發送都占用可用的無線媒體，因而會減少可用的帶寬數量。有人也許會說自己的單位需要幾個不同的SSID用于不同的用戶組，目的是為了從邏輯上將用戶的通信發送到不同的VLAN，或者是利用不同的身份驗證或加密機制(例如，內部的雇員可能使用支持WPA2/AES的802.1X，臨時客戶的數據可能被發送到沒有加密的強制網絡入口。

但是，筆者經常看到多個用戶組使用相同的身份驗證和加密方法，但卻是關于不同的SSID的(不妨考慮一下一所大學的情形，大學學生和教職員工對無線網絡的身份驗證是以同樣的的方式進行的，但卻是關于不同的SSID的)。在這種情形中，整合SSID是可能的，還可以充分利用“用戶組” 的概念。例如，學生和教工可位于活動目錄中的不同的組織單元中。學生和教工以同樣的SSID登錄進入無線網絡。但是，在RADIUS服務器對無線網作出響應時，它會將組織單元作為一種RADIUS屬性而傳送。無線網絡會查看這種信息，并將終端用戶放置到恰當的用戶組(學生或教工)中。無線網絡可以為每一個用戶組創建特定的策略，根據多種選項(包括端口、服務、時間、IP地址、IP范圍等)來準許或拒絕訪問。例如，僅準許教工可以訪問包含學生等級信息的服務器的IP地址。

利用用戶組可以減少無關緊要的SSID的數量，并減少無線媒體的使用。如此一來，無線信號的發送便會減少，因而會降低網絡的管理成本并增加可用的網絡帶寬。

無線網絡設置常見誤區二、“隱藏”SSID廣播

SSID代表著服務集標志，即用戶掃描無線網絡時在計算機上看到的網絡名稱。在多數接入點上都有一個選項讓用戶“隱藏”SSID，因而網絡名稱在無線傳輸的數據幀上不再出現。在Windows操作系統中內置的無線檢測軟件中，這些網絡并不作為可用的網絡連接選項而出現。但現在有太多的文章和專業人士認為應當禁用SSID的廣播，目的是可以保護無線網絡免受攻擊，因為這樣做會增加一層保護。這些人認為，攻擊者會不斷地監視自己的網絡、攻克網絡加密和身份驗證之前，必須花費時間知道SSID，隱藏SSID會增加其攻擊的難度。

但是，不知這些人士是否知道，如今有不少商業及免費的軟件可以快速地破解所謂的“隱藏”的SSID，如Kismet。還有Netstumbler，它也許無法完全解析SSID，但是它會顯示一個空SSID的接入點的存在。Netstumbler會發送活動的探測請求，即使SSID被隱藏了，根據IEEE的標準，仍要求接入點響應這種請求。雖然這種響應并不包含真實的SSID，但它會包含其它的有用信息，如MAC地址、信道號、信號強度等。攻擊者可以使用這種信息作為攻擊的跳板，這正如在攻擊者發現了真實的SSID之后所做的一樣。

還有一個問題，合法用戶為了連接到無線網絡，也需要知道SSID。隱藏SSID的廣播常常導致合法的用戶搞不清楚要連接到的網絡，這會造成不少麻煩。

總之，由于SSID可以很容易就被檢測到，所以隱藏SSID幾乎無法提供安全機會。可以說，與其說它會成為攻擊者的阻礙，倒不如說它成了自己單位的合法用戶的麻煩。

無線網絡設置常見誤區三、時間分片的無線入侵檢測

執行無線網絡的入侵檢測有兩種主要的方法，其種之一是通過一個專用的檢測器，另外一種方法是通過時間分片。在不為工作站(筆記本電腦等)服務時，使用時間分片的接入點會花費一段時間，掃描信道，以提供入侵檢測功能。很多無線產品會每15秒掃描網絡50毫秒。這個數字聽起來比較合理。但是，如果細細算來，其結果就是，每24個小時僅有大約不到五分鐘的掃描時間，也就是說有太多的空閑時間。

該怎么辦呢?筆者以為，可以使用專用的檢測設備。這種檢測設備可以全天候掃描網絡。共有兩種類型的專用檢測設備，嵌入式與覆蓋式。嵌入式檢測器利用接入點或設備內的額外的射頻，它會向同樣的WLAN控制器和管理平臺報告，這些控制器和管理平臺控制著負責為客戶端的訪問服務的AP射頻。而覆蓋式檢測器是獨立的設備，它的制造商通常與AP接入點不同，并向它自己的獨立服務器報告。

筆者個人更喜歡嵌入式檢測器，因為這種設備減少了線纜數量、交換機端口的數量、安裝時間等。使用來自同一制造商的AP和檢測器還有其它好處，特別是涉及到單點支持、降低維護成本時更是這個樣。但是最重要的是，可以使用任何專用的檢測器，卻不要用依賴于時間分片的無線入侵檢測系統。