【編者按】Lisa Phifer是Core Competence公司的副總裁，該公司是一家專注于領先網絡技術的咨詢公司。她從事網絡和安全產品的設計、實施和評估工作長達25年之久。在Core Competence工作期間，她在客戶需求、產品評估、新技術的使用和最佳方案等方面，為眾多大中小公司提出了合理建議。在加盟Core Competence之前，Phifer在貝爾通信研究所工作，并在ATM網絡管理方面獲總統獎。她在許多行業會議和在線研討會上做過學術報告，內容涉及無線局域網、移動安全、NAC和VPN等領域的問題。同時，她為多家專業媒體撰寫有關網絡架構和安全技術方面的文章，這些媒體包括SearchSecurity.com、《安全信息》、Wi-Fi Planet、ISP-Planet、《商業通信回顧》和《網絡世界》等。

我們在車間底樓部署802.11n無線網絡，重新規劃工作臺和工作間，精簡過程。你建議用什么無線訪問控制方法，既允許一些主要員工訪問，同時防止工人利用個人設備訪問公司網絡？

像這類無線訪問控制，我會建議在所有支持802.11n（包括個人和企業版WPA2）的Wi-Fi設備上都內置訪問控制功能。WPA2個人版需要每個設備提供一串來自密碼的預共享密鑰。例如，在你車間底樓的設備可能需要提供一個相同的20個字符的隨機字符串，而這是在部署期間配置并且只有你的IT部門知道。這類方法通常與MAC地址過濾相結合，因此只有有正確預共享密鑰的已知設備才能被授權訪問。然而，MAC地址過濾機制很容易繞過 ，同樣預共享密鑰太短很容易被猜到。

WPA2企業版需要每個設備完成一個802.1X登錄機制，它可以支持多種認證方式。例如，在你車間底樓的每個設備可能需要通過一個唯一的數字證書來認證其身份。或是每個設備可能需要提供一個唯一的用戶和密碼，這在一開始部署時就已配置并且只有你的IT部門知道。通過這種Wi-Fi訪問控制方式，你可以知道哪臺個人設備登錄了。當和證書結合使用，WPA2-企業版很少受到密碼共享和重利用的攻擊，而這是很普遍的問題——員工知道一個有效的用戶名和密碼或預共享密鑰，然后個人設備進行配置。

但是你還是想讓一些主要員工通過個人設備訪問公司網絡。一個常見的做法是創建單獨命名的網絡（SSID））和在你的有線網絡里建立相應的VLAN。IT管理的設備會在安裝時使用證書并且配置成訪問“MachineNet”，而個人設備則通過其他認證訪問“SpecialNet”。這樣，主要員工不會得到“MachineNet”的預共享密鑰，除非他們把設備提交給IT。

如果你既想要網絡訪問保護，又想有一個安全簡單的方式讓主要員工注冊他們個人的設備到“SpecialNet.”實現安全訪問。詢問你的WLAN或NAC廠家看他們是否出售來賓管理功能或是注冊通道來支持移動的個人設備通過授權和Wi-Fi。另一個網絡訪問保護和無線訪問控制方法是使用移動設備管理軟件來管理這些任務。