隨著無線網絡的普及，人們的安全防護需求也在不斷提升，無線網絡的全面覆蓋可以給企業提供巨大的業務優勢，可以確保員工跨多個設備甚至是建筑物進行連接，并可提高員工的工作效率。但無線網絡安全防護操作太簡單也可能給企業隱私帶來很多隱形風險。下面列出了9個常見無線網絡安全隱患，希望企業可以多加注意。

　　隨著無線網絡的普及，人們的安全防護需求也在不斷提升，安全防護操作太復雜，不好設置。通過這些簡單的設置，防止黑客入侵不敢說，

　　隨著BYOD在工作場所的不斷發展，風險也隨之增加。在管理企業的Wi-Fi無線網絡時，管理員不僅需要關注無線覆蓋范圍問題和連接中斷問題，還需要關注安全和隱私性。這些風險似乎非常明顯，但其實這往往被企業忽視。無線局域網的小漏洞都可能讓攻擊者乘虛而入。

　　現在有很多安全技術可供企業選擇，在選擇安全技術時，主要關注的問題是選擇靈活快速地工作還是嚴格的安全保護。如果WiFi平臺支持正確的設備，并根據企業要求進行自定義配置，就可以實現靈活性與安全性。然而，企業還需要記住的是，攻擊者在不斷變強，單靠技術可能無法提供最高的安全性。只有正確結合技術和配套政策才可以確保安全和健康的WiFi無線網絡環境。下面是部署和運行WLAN時企業應該避免的常見安全錯誤：

　　▲　過分依賴防火墻和防病毒軟件

　　很多企業過分依靠網絡防火墻和殺毒軟件，而避免對網絡安全額外投資的討論，企業通常都是“我們不需要更多的安全技術”的態度，這樣很容易讓企業受到攻擊。防火墻和防病毒軟件并不能解決企業WiFi無線網絡中的常見漏洞，企業需要意識到他們的安全投資可能不會有直接作用，但這相當于保險。根據企業數字信息和IT基礎設施的重要程度，企業必須進行額外的安全投資以確保安全性。

　　▲不考慮WLAN安全特性

　　在購買WLAN設備時，企業通常會根據無線覆蓋范圍、上傳/下載速度、設備數量或類型或者甚至墻壁和地板的類型來選擇設備。然而，WiFi無線網絡設備有很多額外的安全功能集，包括QoS控制選項、對WPA/WPA2的支持、WPS、端口過濾、IP包過濾、URL關鍵字過濾、MAC地址過濾和集成防火墻支持。新一代設備中的很多安全功能可以讓你不必投資于多個產品，并確保你從WiFI設備中獲得最大的效益。

　　▲不合格的設備配置

　　在設置WLAN節點(路由器、接入點、網橋或客戶端適配器)時，你必須評估設備加密。加密通信機制可以確保客戶端系統的有效性，但這可能對網絡性能產生負面影響。有線等效保密(WEP)機制于2003年被廢棄，自那時起，WiFi保護訪問(WPA)和WPA2開始成為新標準。在不同配置中還有這些加密機制，包括預共享密鑰(PSK)、臨時密鑰完整性協議(TKIP)或高級加密標準(AES)，它們都支持不同的密鑰長度(64位、128位或者256位)。大型企業也可能會選擇WPA或WPA2的企業模式，這可以防止WLAN用戶竊聽對方的通信。

　　最先進的配置無疑會提供更好的安全性，但這往往是以犧牲性能為代價。當加密密鑰很冗長，設備需要更多時間和資源來執行加密和解密，這會影響網絡性能。加密配置還需要足夠嚴格以確保安全性，同時也要允許網絡可接受的性能水平。

　　提示：在配置/升級你的設備時，請記錄和/或備份舊路由器的設置，例如端口轉發、QoS優先級設置或者其他設置及密碼。如果沒有這么做，稍后你可能需要花很多時間來配置設備。

　　▲訪客無需密碼就能訪問

　　最糟糕的情況是，允許訪客在沒有任何密碼的情況下就可以連接到WiFi網絡。所有企業(包括商場、機場或連鎖餐廳)應該使用某種基于PIN、時間限制或數據限制的訪問機制來跟蹤訪客用戶。對于企業級WiFi網絡，針對訪客的密碼或PIN身份驗證系統通常是最重要的安全部署。

　　▲無密碼無線網絡

　　現在有很多攻擊者在不斷嘗試竊聽企業網絡以及盜取數據，通過現代化的小工具和應用程序，他們可以輕松地入侵到大部分WiFi網絡。即使是采用WPA或WPA2加密標準的無線局域網都可能受到攻擊者的暴力破解，攻擊者可以用來竊取密碼或者劫持網站或服務賬戶。對關鍵應用程序使用安全套接字層(SSL)和傳輸層安全(TSL)等加密可以保護你阻止這種竊聽企圖，并限制訪問到共享文件夾和其他關鍵網絡資源。

　　▲缺乏身份驗證的額外措施

　　企業可以通過額外的身份驗證來降低WLAN安全風險。在使用企業模式的WPA或WPA2時，為了進行802.1x身份驗證，通常需要安裝獨立的遠程身份驗證撥入用戶服務(RADIUS)服務器。對于這一點，現在有很多選擇。Windows服務器版本2008和更高版本提供網絡政策服務器(NPS)，這可以用來配置RADIUS服務器。而對于其他操作系統，則需要第三方RADIUS服務器。有些WLAN接入點還包括一個內置的RADIUS服務器。

　　還有AnthenticateMyWiFi等托管服務可用于提供額外的身份驗證安全性。企業在做出任何投資之前應該考慮所有選項。

　　▲完全依靠MAC地址過濾

　　MAC地址過濾是很多WLAN設備中的集成安全機制，它讓管理員可以根據獨特的MAC地址，定制允許或不允許連接的計算機和客戶端設備清單。這種機制提供基本的安全性，但不能作為獨當一面的安全機制，因為MAC地址很容易被模擬。很多設備提供更改MAC地址的功能。如果攻擊者知道你企業授權MAC地址的清單或者采購你網絡授權的設備，他們就可以進入你的網絡竊取帶寬或執行惡意活動。

　　為了避免這種情況，使用加密與MAC過濾。加密可防止攻擊者竊聽企業網絡，提供比只使用MAC過濾更強大的安全性。

　　▲不正確的SSID設置

　　正確設置服務集標識符(SSID)可幫助減少風險因素。例如，很多WLAN設備允許管理員關閉SSID名稱的廣播，這可以將SSID從可見可用網絡連接清單中移除。這可幫助保護網絡免受未經授權用戶的訪問。然而，精明的攻擊者可能會找出隱藏的網絡;需要采用上面討論的組合方法。

　　另一個重要的SSID設置與SSID客戶端數量有關。在Windows 7和更高版本的Windows操作系統中，你可以限制可連接的SSID客戶端設備數量。這可以幫助防止客戶端連接到不安全的公共WiFi網絡，從而避免暴露設備和登錄憑證到外部網絡。

　　▲缺少密碼政策

　　除了安全部署和管理設備外，企業還需要確保部署適當的政策來運行WIFi無線網絡環境。例如，當創建WiFi無線網絡用戶賬戶時，很多管理員喜歡為所有WiFi計算機和設備使用相同的密碼，這種方法往往會導致訪問問題。為了限制特定用戶或特定組訪問網絡，管理員可能需要更改所有接入點和設備的密碼。為此，企業可利用用戶的個人賬戶或數字證書來允許他們連接到WiFi無線網絡。同時，管理單個賬戶的權限通常可讓企業更好地追蹤用戶。

　　企業在制定強大的安全政策時，應該考慮讓用戶使用高強度密碼，包括字母、數字和特殊字符的組合，并在指定時間期限內密碼或過期。