>無線網(wǎng)絡的普及讓企業(yè)辦公變得更加智能、便捷，但隨之而來的無線網(wǎng)絡安全問題，讓所有的企業(yè)都非常頭疼!近年來，因無線網(wǎng)絡導致的安全事件已經(jīng)逐漸占領(lǐng)了新聞的頭條，因WiFi相關(guān)安全問題導致內(nèi)網(wǎng)被入侵的事件，對企業(yè)造成了十分惡劣的影響。

無線網(wǎng)絡已經(jīng)成為了企業(yè)移動化辦公的重要基礎(chǔ)設施，由于普遍缺乏有效的管理，無線網(wǎng)絡也越來越多的成為黑客入侵企業(yè)內(nèi)網(wǎng)的突破口。那么，企業(yè)要如何加強無線網(wǎng)絡安全管理呢?

[[251459]]

如何保持無線網(wǎng)絡的安全性?

若未合理配置，無線網(wǎng)絡可能會遭遇各種方式的入侵。為此，我們介紹一些常見威脅以及如何最大限度地緩解或預防這些威脅。要了解無線網(wǎng)絡會給基礎(chǔ)設施帶來多大風險，關(guān)鍵是明確無線網(wǎng)絡是如何融入網(wǎng)絡的其他部分的。

非法訪問對于任何網(wǎng)絡來說都是一個巨大威脅。若無線網(wǎng)絡未鎖定，則可能會成為懷有以下惡意企圖之人的切入點。

• 未知無線局域網(wǎng)：有時，用戶或第三方承包商會在您的網(wǎng)絡中安裝不安全的無線設備，然后將其接入您的有線網(wǎng)絡接入點。他們可能并無惡意，但在網(wǎng)絡中安裝此等設備無異于為出于好奇想要接入您網(wǎng)絡的各方提供免費通行證。在計算機或手機上安裝Wi-Fi 嗅探器經(jīng)常進行網(wǎng)絡掃描是個不錯的辦法，因為這樣您可以檢測出那些在您不知情的情況下運行的無線網(wǎng)絡。
• 偽裝和IP 欺騙：一旦入侵者獲取了網(wǎng)絡訪問權(quán)限，可能會模擬網(wǎng)絡內(nèi)部通信，讓客戶和用戶誤認為發(fā)起通信的來源是合法的。信息及敏感數(shù)據(jù)失竊發(fā)生的可能性非常大，因此定期網(wǎng)絡掃描以及細致的流量檢測應納入每日、每周及每月系統(tǒng)檢查。
• 帶寬盜鏈：帶寬盜鏈可能是公司在毫不知情的情況下面臨的最常見問題之一。若無線客戶端的互聯(lián)網(wǎng)接入權(quán)限不基于會話提供而且無線密碼從不更改，可能發(fā)生帶寬不當利用問題。若獲得您網(wǎng)站的訪問權(quán)限，無線客戶端可隨時重返您的站點重新連接。若未部署內(nèi)容過濾或資源管理工具處理此類連接，您的網(wǎng)絡可能會在您不知情的情況下向非授權(quán)方提供互聯(lián)網(wǎng)接入權(quán)限。MAC 過濾和帶寬分配等措施簡單易實現(xiàn)，可防止此類非授權(quán)接入為網(wǎng)絡帶來安全威脅。

如何提升無線網(wǎng)絡防御?

您可實施以下級別的無線網(wǎng)絡防護，降低安全入侵風險：

• 防火墻
• VLAN 隔離
• WLAN 集中管理工具
• 訪客會話權(quán)限

1. 防火墻

網(wǎng)絡中部署的防火墻可提供很多交叉功能，是一款可方便使用的關(guān)鍵工具。防火墻可限制和過濾在線內(nèi)容，基于IP 地址和MAC 地址限制特定設備和客戶端的訪問，或基于數(shù)據(jù)使用監(jiān)控限制訪問權(quán)限等。利用防火墻，您可對通過無線網(wǎng)絡訪問互聯(lián)網(wǎng)和您網(wǎng)絡資源的用戶進行有效管理。

2. 基于SSID 的VLAN 隔離

現(xiàn)今，大多數(shù)無線產(chǎn)品允許基于無線網(wǎng)絡的服務集標識符(SSID)和管理型交換機為網(wǎng)絡的不同路徑分配不同的IP 地址范圍。也就是說，接入網(wǎng)絡的無線客戶端可在不同IP地址范圍內(nèi)隔離(若有必要)。例如，訪客可能需訪問互聯(lián)網(wǎng)，但無需訪問文件共享或打印機等內(nèi)部網(wǎng)絡資源，而員工卻同時需要這兩種訪問權(quán)限。在這種情況下，訪客接入訪客SSID，而員工接入公司SSID。這種基于SSID 的VLAN 隔離方法對于限制公司資源的未授權(quán)訪問來說非常有效。

3. WLAN 集中管理工具

組織往往并非總使用同一品牌的硬件。不過，我們通常建議組織采用同一廠商的無線接入點，以便利用一種專有軟件應用進行有效管理，讓網(wǎng)絡管理員對無線客戶端、信號強度以及其他大量信息一目了然，無需對實時監(jiān)控情況進行推測。因此，WLAN 集中管理工具對系統(tǒng)管理員來說是一種不可或缺的工具。

(1) 訪客會話接入

為確保對無線網(wǎng)絡的完全控制，您可能希望向訪客分配動態(tài)Wi-Fi 權(quán)限。為此，您可提供每日更新的訪問密鑰或配置配額系統(tǒng)，限制設備的訪問時間或數(shù)據(jù)使用情況。這種模式尤其適用于機場或大學等對Wi-Fi 資源的訪問計費的場所。

(2) 評估無線網(wǎng)絡的安全

要保障無線網(wǎng)絡的安全，首先您要看一下當前部署了哪些安全措施，然后確定還需采取哪些措施，從而提供全方位防護。您可以從審核無線硬件入手，確定無線接入點的結(jié)構(gòu)、模式和數(shù)量，這有助于您規(guī)劃網(wǎng)絡覆蓋范圍，查明建筑物、倉庫或辦公室的哪些區(qū)域正在傳輸無線信號。

接下來，確保您已制定了IT 政策，管理Wi-Fi 使用。該IT 政策應包含以下方面：

• 資產(chǎn)、感知風險和政策目標：明確需防護的網(wǎng)絡資源及防護原因。
• 最佳實踐和安全措施：解釋安全戰(zhàn)略制定的理論依據(jù)及最佳實現(xiàn)方法。
• 可接受的使用和執(zhí)行：闡述何謂無線網(wǎng)絡的合理使用，說明哪些行為構(gòu)成入侵，并明確違反政策的后果。

一旦形成文件，您需確保組織內(nèi)的每位員工認可文件內(nèi)容，將其納入公司入職學習資料，讓新員工一入職就了解IT 政策。

4. 保護網(wǎng)絡免遭威脅

目前，預防上述威脅的最佳方法是提供用戶培訓，增強威脅意識。提升用戶的威脅防御能力可使其在使用您的網(wǎng)絡資源時做出更明智的決策。

跟大多數(shù)教育過程一樣，您需通過提供復訓、在公司范圍內(nèi)開展安全意識活動、通過郵件、通知和通告等發(fā)布安全提醒等形式持續(xù)推動安全意識提升。只有通過持續(xù)推動安全意識提升，幫助用戶保護好自己，才能保護您公司的網(wǎng)絡和用戶。

IT 政策文件應為IT 部門解決所有安全相關(guān)問題提供指導方針，而且組織與用戶通信時也應以該文件為指導準則。網(wǎng)絡培訓和安全保障對于組織培養(yǎng)健康的安全意識文化起關(guān)鍵作用，可使組織長期受益。