企業(yè)當(dāng)中，保障無線網(wǎng)絡(luò)安全是必不可少的。整個公司的業(yè)務(wù)，機(jī)密，都是一個企業(yè)的命脈。如果網(wǎng)絡(luò)安全工作草草了之，又怎么能讓企業(yè)得到全面的發(fā)展呢？本文就將以企業(yè)的無線網(wǎng)絡(luò)安全為重點(diǎn)，介紹關(guān)于幾種保障無線網(wǎng)絡(luò)安全的方法。

保障無線網(wǎng)絡(luò)安全 用加密保障企業(yè)無線網(wǎng)絡(luò)安全

對無線網(wǎng)絡(luò)的加密，可以通過對無線網(wǎng)絡(luò)設(shè)備進(jìn)行配置來實(shí)現(xiàn)的。對企業(yè)無線網(wǎng)絡(luò)加密時，不僅要考慮到實(shí)用性，更要考慮到安全性，這也是企業(yè)無線網(wǎng)絡(luò)加密的基本原則。下面，筆者以無線路由器為例，向大家介紹一下無線網(wǎng)絡(luò)的加密方式。
其實(shí)，無線路由器的多項(xiàng)設(shè)置都可以達(dá)到對無線網(wǎng)絡(luò)加密的目的。下面，筆者把一些常用的加密模式優(yōu)缺介紹給大家，大家可以根據(jù)自己的實(shí)際情況，選擇一種適合自己的網(wǎng)絡(luò)加密模式。

保障無線網(wǎng)絡(luò)安全 合理配置SSID廣播

每個無線網(wǎng)絡(luò)都會有一個SSID號碼，這也是用戶進(jìn)入無線網(wǎng)絡(luò)的一張通行證。打個比方講，SSID號碼相當(dāng)于Windows XP中的帳號，如果沒有SSID號碼，計算機(jī)是無法進(jìn)入無線網(wǎng)絡(luò)的。

通常情況下，無線路由器會將該無線網(wǎng)絡(luò)的SSID號碼進(jìn)行廣播，既便是不知道無線網(wǎng)絡(luò)SSID號碼的用戶也可以登錄無線網(wǎng)絡(luò)。對于企業(yè)用戶而言，啟用無線路由器的SSID廣播是非常危險的，為此，企業(yè)無疑網(wǎng)絡(luò)必須將SSID廣播禁用。將無線路由器的SSID廣播禁用之后，未獲得授權(quán)計算機(jī)將無法登錄企業(yè)無線網(wǎng)絡(luò)，這可以保障企業(yè)無線網(wǎng)絡(luò)的安全。不過，禁用了SSID廣播之后，用戶的無線網(wǎng)絡(luò)仍然可以使用，只是不會出現(xiàn)在其他人所搜索到的可用網(wǎng)絡(luò)列表中，為了安全，企業(yè)網(wǎng)管還要更改無線路由器的默認(rèn)SSID號碼。

細(xì)心的網(wǎng)管都會發(fā)現(xiàn)，一些品牌無線路由器的默認(rèn)SSID號碼非常有規(guī)律，如TP-Link無線路由器的默認(rèn)SSID號碼是“TP-Link”。如果不更改無線路由器默認(rèn)的SSID號碼，入侵者可以非常容易的猜測到SSID號碼并登錄企業(yè)無線網(wǎng)絡(luò)。為此，企業(yè)網(wǎng)管必須為自己無線網(wǎng)絡(luò)取一個不易被外人猜到的SSID號碼。
禁用SSID廣播方法很簡單，直接進(jìn)入無線路由器的配置界面，把“允許SSID廣播”禁用即可。不過，禁用了SSID廣播后會降低無線路由器的工作效率。

保障無線網(wǎng)絡(luò)安全 禁用DHCP服務(wù)

從表面看，DHCP服務(wù)與無線網(wǎng)絡(luò)安全是風(fēng)馬牛不相及的事情，事實(shí)上，DHCP的啟用對企業(yè)無線網(wǎng)絡(luò)也是一種威脅。眾所周知，計算機(jī)要想登錄無線網(wǎng)絡(luò)，除了需要SSID號碼這個通行證外，還需要得到一個授權(quán)的IP地址。
在DHCP服務(wù)開啟狀態(tài)下，無線路由器會自動為進(jìn)入無線網(wǎng)絡(luò)的計算機(jī)分配IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)及DNS服務(wù)器地址等信息，入侵者不費(fèi)吹灰之力就可以進(jìn)入無線網(wǎng)絡(luò)。企業(yè)的計算機(jī)終端數(shù)量有限，企業(yè)無線網(wǎng)絡(luò)完全可以手工分配IP地址，這樣不僅可以提高無線網(wǎng)絡(luò)的安全，也方便企業(yè)網(wǎng)絡(luò)的管理。

保障無線網(wǎng)絡(luò)安全 禁用DHCP服務(wù)

進(jìn)入無線路由器的配置界面，選擇“DHCP服務(wù)器”中的“DHCP服務(wù)”，將“不啟用”打勾即可禁用DHCP服務(wù)。禁用了DHCP服務(wù)之后，必須重新啟動路由器才有效。禁用DHCP服務(wù)后，企業(yè)網(wǎng)管還需要在計算機(jī)客戶端為其配置IP地址才可以登錄無線網(wǎng)絡(luò)。
啟用DHCP服務(wù)會加重?zé)o線路由器的負(fù)擔(dān)，隨著用戶的增多，無線路由器的負(fù)擔(dān)也越重。更重要的是，啟用DHPC服務(wù)還會為企業(yè)無線網(wǎng)絡(luò)產(chǎn)生不安全因素。禁用DHCP服務(wù)器可以減少無線路由器的開銷，提高無線路由器的工作效率，讓企業(yè)無線網(wǎng)絡(luò)更安全。#p#

保障無線網(wǎng)絡(luò)安全 開啟無線網(wǎng)絡(luò)加密

禁用SSID廣播，關(guān)閉DHCP服務(wù)一定程度上可以防止非授權(quán)訪問，但這兩種方法仍有一定的局限性，對于資深黑客而言，上述兩種方法形同虛設(shè)。企業(yè)無線網(wǎng)絡(luò)必須開啟無線網(wǎng)絡(luò)加密，這樣可以最大限度的保障企業(yè)無線網(wǎng)絡(luò)的安全。
目前，一般無線路由器會提供WEP、WPA/WPA2和WPA-PSK/WPA2-PSK三種加密方式，這三種加密方式的區(qū)別在于安全系數(shù)不同。在這三種加密方式中，WPA-PSK/WPA2-PSK是最安全的一種加密方式，遺憾的是一些無線路由器中并沒有提供該種加密方式。

WEP加密技術(shù)也叫有線等效加密技術(shù)，該技術(shù)非正規(guī)加密標(biāo)準(zhǔn)，而且存在不少安全漏洞，使用該技術(shù)加密的無線數(shù)據(jù)很容易被攻擊。WPA-PSK/WPA2-PSK是企業(yè)無線網(wǎng)絡(luò)最常用的一種加密方式，也是一種比較安全的加密方式。相比之下，WPA/WPA2加密方式最安全，但需要認(rèn)證服務(wù)器，不適合中小企業(yè)無線網(wǎng)絡(luò)使用。

在無線路由器的“基本設(shè)置”頁面中，將“開啟安全設(shè)置激活”。選擇“WPA-PSK/WPA2-PSK”加密模式，選擇合適的“安全選項(xiàng)”和“加密方法”后輸入PSK密碼，再設(shè)定組密鑰更新周期就可以了。

加密之后，企業(yè)網(wǎng)管還需要在計算機(jī)端進(jìn)行相應(yīng)的配置，把密鑰填寫進(jìn)去，否則，計算機(jī)是無法登錄無線網(wǎng)絡(luò)的。用戶使用的加密模式越復(fù)雜，無線路由器的負(fù)擔(dān)也就越重。為此，用戶也沒有必要選擇安全級別太高的加密模式，適用即可。
               
保障無線網(wǎng)絡(luò)安全 啟用IP地址和MAC地址過濾

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，防火墻組件已經(jīng)成為無線路由器的一個標(biāo)準(zhǔn)配置。在防火墻功能中，提供了基于IP地址和MAC地址過濾的安全選項(xiàng)，這也是加固企業(yè)無線網(wǎng)絡(luò)安全的一個功能組件。

IP地址過濾選項(xiàng)，主要是為了防范未經(jīng)授權(quán)進(jìn)入無線網(wǎng)絡(luò)的入侵者。無論是有線網(wǎng)絡(luò)還是無線網(wǎng)絡(luò)，要想成為其合法用戶，必須擁有一個IP地址，如果把非法的IP地址過濾掉，用戶將很難入侵企業(yè)無線網(wǎng)絡(luò)。MAC地址過濾的實(shí)現(xiàn)方法與IP地址過濾相同，因?yàn)槊恳粔K網(wǎng)卡在全球擁有唯一的一個地址，即MAC地址，如果將這個MAC地址禁用了，入侵者是無法進(jìn)入該無線網(wǎng)絡(luò)的。相比之下，MAC地址過濾功能更安全，只是需要將企業(yè)網(wǎng)絡(luò)內(nèi)所有計算機(jī)的MAC地址填寫到MAC地址過濾規(guī)則中去。

保障無線網(wǎng)絡(luò)安全 更改MAC地址過濾缺省規(guī)則

要想激活MAC地址過濾和IP地址過濾兩項(xiàng)功能，必須先啟用無線路由器的防火墻功能組件。如果欲使用MAC地址過濾功能，激活該功能后，還要根據(jù)企業(yè)無線網(wǎng)絡(luò)的需要調(diào)整一下缺少的過濾規(guī)則。啟用MAC地址過濾功能，我們是想讓企業(yè)網(wǎng)絡(luò)內(nèi)的所有機(jī)器都能夠訪問互聯(lián)網(wǎng)，為此，MAC地址的缺省過濾規(guī)則應(yīng)該為“僅允許已設(shè)MAC地址列表中已啟用的MAC地址訪問Internet”。設(shè)置好MAC地址缺省過濾規(guī)則之后，把企業(yè)網(wǎng)絡(luò)內(nèi)所有計算機(jī)的MAC地址填寫到MAC地址過濾列表中就可以了。我們把總經(jīng)理電腦的MAC地址填寫到MAC地址過濾列表中，凡是不在該表的計算機(jī)均無法訪問企業(yè)的無線網(wǎng)絡(luò)。要想獲取整個網(wǎng)絡(luò)的MAC地址，可以借助超級網(wǎng)上鄰居等軟件。

保障無線網(wǎng)絡(luò)安全 MAC地址過濾列表設(shè)置

IP地址過濾功能的設(shè)置與MAC地址過濾設(shè)置基本相同，唯一改變的是把MAC地址換成IP地址。啟用MAC地址和IP地址過濾功能之后會加重?zé)o線路由器的負(fù)擔(dān)，因?yàn)闊o線路由器要對每一個接入無線路由器的信息一一進(jìn)行辨別。由于IP地址用戶可以更改，為此，最有效的加密方式是MAC地址過濾，因?yàn)橛脩艟W(wǎng)卡的MAC地址不能輕易改變。