許多單位組織面臨著控制通過無線接入點連接到他們的企業網絡中的人和物的挑戰，急需加強企業無線網絡的安全強化措施及其必要性 。許多企業無線供應商已經增強了自身的接入點和無線控制器產品自然包括防火墻、 RADIUS、網絡訪問控制、以及無線IPS。這種繼承提供了對連接到無線基礎設施的無線用戶更好的控制以及控制這些用戶在企業網絡上可以去的地方。這是一個急需的深度防護方法，因為有線側防火墻和IPS不能提供必要的對抗無線攻擊的保護。大多數無線攻擊發生在第二層以及無線介質之間。傳統的有線防火墻不 能檢測到這些攻擊，并且有線IP沒有檢查這些類型的數據包的能力。這導致了專業無線IPS產品的出現。

　　無線IPS

　　無線IPS使用無線傳感器識別無線攻擊。這些無線傳感器通常使用與在接入點發現的相同Wi-Fi波段，這就是很多公司允許接入點的雙重用途的原因， 既可用于訪問又可用于檢測攻擊。這些根據供應商的不同而不同。有許多混合方法。最常見的方法是，在沒有人訪問時暫停無線電臺，并執行惡意接入點和攻擊的無 線空域快照。但是這種部分時間的無線入侵檢測方法意味著你只能在無線電臺處于檢測模式時檢測到攻擊。對于一天中剩下的時間，無線攻擊無法被檢測到。

　　Wi-Fi協議允許為信道分配不同的頻率，使得一個信道可以分配給每個頻率。在嚴重擁擠的無線環境中，使用不同的信道(或頻率)允許管理員減少干 擾，這也被成為共信道干擾。因此，對無線攻擊的適當檢測需要定期檢查每個通道的攻擊。基本上有兩組頻率：在2.4-GHz頻譜運行的802.11b和 802.11g;在5GHz頻譜運行的802.11a;802.11n工作在兩個頻譜，2.4 GHz和5 GHz;802.11ac僅工作在5-GHz譜。

　　由于無線傳感器從一個信道跳躍到另一個信道收集無線數據包以供分析，它將不會收集有些數據包，因此，那些包將被錯過因為傳感器在同一時間只能監控一 個通道。因此，一些廠商現在允許傳感器選擇“鎖定頻道”以只允許一個信道(或頻率)被監視。對于只有一個信道被使用的高度敏感環境，這個功能可以幫助管理 員減少數據包丟失。現實情況是，由于無線網絡是一個物理介質，總會發生數據包的丟失。這是由于許多因素，包括移動無線設備、設備的距離的傳感器、傳感器的 天線強度等等。

　　無線入侵檢測系統只涉及到接收數據包。因此，它的范圍在物理上比一個發送和接收的接入點更廣泛。在一個典型的接入點和傳感器的部署中，經驗法則是每三個接入點一個傳感器。無線網絡勘測將有助于確定最佳的傳感器覆蓋和安置。

　　大多數人部署無線入侵檢測系統來檢測惡意接入點，三角測量也是一個好的想法。雖然一個流氓AP可以被一個單一的傳感器檢測，但其物理位置無法被檢測 到。需要用到三角測量來確定流氓AP的近似物理位置。三角測量至少涉及到三個傳感器，它們中的所有都是被與三個傳感器的信息相關的同一個管理系統管理，并 且基于復雜的算法確定流氓AP的物理位置。通常AP顯示在IDS管理軟件的樓層平面圖中。

　　無線網絡定位和安全網關

　　無線網絡加強的最后一點與無線網絡在整個網絡拓撲設計中的位置相關。由于無線網絡的特點，無線網絡不應該直接連接到有線局域網。相反，它們必須被視 為不安全的公共網絡連接，或在最寬松的安全方法中作為DMZ。將一個無線接入點直接插入局域網交換機是自找麻煩(雖然802.1x認證可以緩解這個問 題)。一個具有良好狀態和代理的防火墻能力的安全無線網關必須將無線網絡與有線局域網分開。

　　現今最常見的方法是擁有可以在局域網上任何地方連接的AP，但創建一個返回到控制器的加密隧道，并在接觸局域網之前通過它傳送所有流量。這個控制器 將運行防火墻和入侵檢測/防御系統(IDS/IPS)的能力在它接觸到到內部網絡之前檢查該流量。如果無線網絡在該區域包括多個接入點和漫游用戶訪問，則 “有線側”的接入點必須被放在同一VLAN中，從剩下的有線網絡中安全隔離。高端的專業無線網關集合了接入點、防火墻、VPN集中器、以及用戶漫游支持能 力。網關的安全對你的無線網絡——甚至是接入點自己——的保護能力不應忽視。無線網關、接入點、以及網橋的大多數安全問題來源于不安全的設備管理實施，包 括使用Telnet、TFTP、默認的SNMP團體字符串和默認的密碼，以及允許從網絡無線側進行網關和接入點的遠程管理。確保每個設備的安全被適當的審 計，并且與更傳統的在數據鏈路層以上工作的入侵檢測系統相呼應使用無線專用入侵檢測系統。