保持網絡安全至關重要。網絡負責用戶、各部門、分支機構以及客戶之間的數據傳輸，可謂公司的命脈。若公司的網絡處于不安全，也就無法保證公司的安全，置公司于危險境地。值得注意的是，如今幾乎每個公司都有某種類型的無線網絡，部署和采用無線網絡已是一種趨勢，而且這種趨勢在全球范圍內日益突出。

因此，很有必要將Wi-Fi 納入公司的IT 戰略，在公司的IT 政策文件中作重點闡述。組織的IT 政策文件有助于確保組織用戶知曉任何潛在安全風險以及如何保護自身和網絡的安全。那么，如何保持無線網絡的安全性呢?本文圍繞這一重要問題介紹一些方法，幫助您時刻保持高度安全意識。

如何保持無線網絡的安全性?

若未合理配置，無線網絡可能會遭遇各種方式的入侵。為此，我們介紹一些常見威脅以及如何最大限度地緩解或預防這些威脅。要了解無線網絡會給基礎設施帶來多大風險，關鍵是明確無線網絡是如何融入網絡的其他部分的。

非法訪問對于任何網絡來說都是一個巨大威脅。若無線網絡未鎖定，則可能會成為懷有以下惡意企圖之人的切入點。

• 未知無線局域網：有時，用戶或第三方承包商會在您的網絡中安裝不安全的無線設備，然后將其接入您的有線網絡接入點。他們可能并無惡意，但在網絡中安裝此等設備無異于為出于好奇想要接入您網絡的各方提供免費通行證。在計算機或手機上安裝Wi-Fi 嗅探器經常進行網絡掃描是個不錯的辦法，因為這樣您可以檢測出那些在您不知情的情況下運行的無線網絡。
• 偽裝和IP 欺騙：一旦入侵者獲取了網絡訪問權限，可能會模擬網絡內部通信，讓客戶和用戶誤認為發起通信的來源是合法的。信息及敏感數據失竊發生的可能性非常大，因此定期網絡掃描以及細致的流量檢測應納入每日、每周及每月系統檢查。
• 帶寬盜鏈：帶寬盜鏈可能是公司在毫不知情的情況下面臨的最常見問題之一。若無線客戶端的互聯網接入權限不基于會話提供而且無線密碼從不更改，可能發生帶寬不當利用問題。若獲得您網站的訪問權限，無線客戶端可隨時重返您的站點重新連接。若未部署內容過濾或資源管理工具處理此類連接，您的網絡可能會在您不知情的情況下向非授權方提供互聯網接入權限。MAC 過濾和帶寬分配等措施簡單易實現，可防止此類非授權接入為網絡帶來安全威脅。

如何提升無線網絡防御?

您可實施以下級別的無線網絡防護，降低安全入侵風險：

• 防火墻
• VLAN 隔離
• WLAN 集中管理工具
• 訪客會話權限

1. 防火墻

網絡中部署的防火墻可提供很多交叉功能，是一款可方便使用的關鍵工具。防火墻可限制和過濾在線內容，基于IP 地址和MAC 地址限制特定設備和客戶端的訪問，或基于數據使用監控限制訪問權限等。利用防火墻，您可對通過無線網絡訪問互聯網和您網絡資源的用戶進行有效管理。

2. 基于SSID 的VLAN 隔離

現今，大多數無線產品允許基于無線網絡的服務集標識符(SSID)和管理型交換機為網絡的不同路徑分配不同的IP 地址范圍。也就是說，接入網絡的無線客戶端可在不同IP地址范圍內隔離(若有必要)。例如，訪客可能需訪問互聯網，但無需訪問文件共享或打印機等內部網絡資源，而員工卻同時需要這兩種訪問權限。在這種情況下，訪客接入訪客SSID，而員工接入公司SSID。這種基于SSID 的VLAN 隔離方法對于限制公司資源的未授權訪問來說非常有效。

3. WLAN 集中管理工具

組織往往并非總使用同一品牌的硬件。不過，我們通常建議組織采用同一廠商的無線接入點，以便利用一種專有軟件應用進行有效管理，讓網絡管理員對無線客戶端、信號強度以及其他大量信息一目了然，無需對實時監控情況進行推測。因此，WLAN 集中管理工具對系統管理員來說是一種不可或缺的工具。

(1) 訪客會話接入

為確保對無線網絡的完全控制，您可能希望向訪客分配動態Wi-Fi 權限。為此，您可提供每日更新的訪問密鑰或配置配額系統，限制設備的訪問時間或數據使用情況。這種模式尤其適用于機場或大學等對Wi-Fi 資源的訪問計費的場所。

(2) 評估無線網絡的安全

要保障無線網絡的安全，首先您要看一下當前部署了哪些安全措施，然后確定還需采取哪些措施，從而提供全方位防護。您可以從審核無線硬件入手，確定無線接入點的結構、模式和數量，這有助于您規劃網絡覆蓋范圍，查明建筑物、倉庫或辦公室的哪些區域正在傳輸無線信號。

接下來，確保您已制定了IT 政策，管理Wi-Fi 使用。該IT 政策應包含以下方面：

• 資產、感知風險和政策目標：明確需防護的網絡資源及防護原因。
• 最佳實踐和安全措施：解釋安全戰略制定的理論依據及最佳實現方法。
• 可接受的使用和執行：闡述何謂無線網絡的合理使用，說明哪些行為構成入侵，并明確違反政策的后果。

一旦形成文件，您需確保組織內的每位員工認可文件內容，將其納入公司入職學習資料，讓新員工一入職就了解IT 政策。

4. 保護網絡免遭威脅

目前，預防上述威脅的最佳方法是提供用戶培訓，增強威脅意識。提升用戶的威脅防御能力可使其在使用您的網絡資源時做出更明智的決策。

跟大多數教育過程一樣，您需通過提供復訓、在公司范圍內開展安全意識活動、通過郵件、通知和通告等發布安全提醒等形式持續推動安全意識提升。只有通過持續推動安全意識提升，幫助用戶保護好自己，才能保護您公司的網絡和用戶。

IT 政策文件應為IT 部門解決所有安全相關問題提供指導方針，而且組織與用戶通信時也應以該文件為指導準則。網絡培訓和安全保障對于組織培養健康的安全意識文化起關鍵作用，可使組織長期受益。

【本文是51CTO專欄作者“綠盟科技博客”的原創稿件，轉載請通過51CTO聯系原作者獲取授權】

戳這里，看該作者更多好文