摘要：大家在使用无线路由器的无线网络过程中，如何使用正确的Wi-Fi安全措施是最为关键，因为Wi-Fi很容易受到黑客攻击和窃听。本文我们就来告诉大家什么是Wi-Fi安全中应该做的和不应该做的事情。

　　正确使用WI-FI无线网络设置确保安全的几大建议：

　　一、不要信任MAC地址过滤
　　
　　不要认为MAC过滤能够为安全做许多事情，而采用MAC地址过滤，因为窃听者很容易监视网络中授权的MAC地址并且随后改变自己的计算机的MAC地址。启用MAC媒体接入控制地址过滤将增加另一层安全，控制哪一个客户机能够连接到这个网络是片面的。要考虑保持MAC列表处于最新状态所面临的管理难题。
　　
　　二、不要忘记保护移动客户
　　
　　WiFi安全不仅是网络，而且智能手机、笔记本电脑和平板电脑的用户也要得到保护，要保证他们其它的WiFi连接也是安全的以防止入侵和窃听。
　　
　　(1)所有的笔记本电脑和上网本都应该有一个个人防火墙以防止入侵。如果你运行WindowsServe操作系统，你可以通过组策略强制执行这个功能，你还可以使用WindowsIntune等解决方案管理非范围内的名计算机。
　　
　　(2)你需要保证用户的互联网通讯是加密的以防止本地窃听，同时在其它网络上提供访问你的网络的VPN(虚拟专用网)接入。如果你不为这种应用使用内部的VPN，可以考虑使用HotspotShield或者Witopia等外包服务。对于iOS(iPhone、iPad和iPodTouch)和Android设备来说，你可以使用这些设备本地的VPN客户端软件。然而，对于黑莓和WindowsPhone7设备来说，你必须设置一个消息服务器并且设置这个设备使用自己的VPN客户端软件。
　　
　　(3)保证你的面向互联网的服务是安全的，一旦用户在公共网络或者不可信任的网络上不能使用VPN的时候可以使用这个服务。例如，如果你提供你的局域网、广域网或者VPN以外的电子邮件地址，你要保证使用SSL加密以防止本地窃听者。在不可信任的网络中的窃听者能够捕获用户的登录证书或者信息。
　　
　　三、不要信任隐藏的SSID
　　
　　关闭接入点的SSID播出可以隐藏你的SSID，让黑客很难找到你的网络。这种做法只是窃听者能够使用合法的无线分析器在繁忙的网络中迅速发现隐藏的SSID，还能够对网络设置和性能产生负面影响。
　　
　　必须手工向客户机输入SSID，这使客户机的配置更加复杂，这还会引起探索请求和回应数据包的增加，从而减少可用带宽。
　　
　　四、不要使用WPA/WPA2-PSK
　　
　　WPA/WPA2安全的预共享密钥(PSK)模式对于商务或者企业环境是不安全的当使用这个模式的时候，同一个预共享密钥必须输入到每一个客户。
　　
　　每当员工离职和一个客户丢失或失窃密钥时，PSK都要进行修改，这在大多数环境中是不现实的。
　　
　　五、不要使用WEP
　　
　　大多数没有经验的黑客能够迅速地和轻松地突破WEP(有线等效加密协议)的加密，若使用WEP，请立即升级到具有802.1X身份识别功能的802.11i的WPA2(WiFi保护接入)协议，有不支持WPA2的老式设备和接入点，你要设法进行固件升级或者干脆更换设备。
　　
　　六、一定要应用NAP或者NAC
　　
　　NAP(网络接入保护)或者NAC(网络接入控制)解决方案能够根据客户身份和执行定义的政策的情况对网络接入提供额外的控制，这些解决方案还包括隔离有问题的客户的能力以及提出补救措施让客户重新遵守法规的能力。
　　
　　客户机在运行WindowsServer2008或以上版本以及WindowsVista或以上版本的操作系统，你可以使用微软的NAP功能。有些NAC解决方案可能包括网络入侵防御和检测功能，要保证这个解决方案还专门提供无线保护功能。
　　
　　七、一定要限制SSID用户能够连接的网络
　　
　　用户故意地或者非故意地连接到临近的或者非授权的无线网络，使自己的计算机向可能的入侵敞开大门，过滤SSID能防止发生这种情况。
　　
　　在Windows Vista和以上版本中，你可以使用netshwlan指令向用户能够看到和连接的那些SSID增加过滤器。对于台式电脑来说，你可以拒绝你的无线网络的那些SSID以外的所有的SSID。对于笔记本电脑来说，你可以仅仅拒绝临近网络的SSID，让它们仍然连接到热点和它们自己的网络。
　　
　　八、一定要保证802.1X客户机设置的安全
　　
　　WPA/WPA2的EAP模式容易受到中间人攻击，可以通过保证客户机EAP设置的安全来阻止这些攻击。例如，在Windows的EAP设置中，你可以通过选择CA证书、指定服务器地址和禁止它提示用户信任新的服务器或者CA证书等方法实现服务器证书验证，还可以通过组策略把802.1X设置推向区域连接在一起的客户机或者使用Avenda公司的Quick1X等第三方解决方案。
　　
　　九、一定要使用一个无线入侵防御系统
　　
　　保证WiFi网络安全比抗击那些直设法获取网络访问权限的企图要做更多的事情。例如，黑客可以建立一个虚假的接入点或者实施拒绝服务攻击。要帮助检测和对抗这些攻击，你应该应用一个无线入侵防御系统(WIPS)。厂商直接的WIPS系统的设计和方法是不同的，但是，这些系统一般都监视虚假的接入点或者恶意行动，向你报警和可能阻止这些恶意行为。
　　
　　有许多商业厂商提供WIPS解决方案，如AirMagnet和AirTightNeworks。还有Snort等开源软件的选择。
　　
　　十、一定要应用802.11i
　　
　　WPA和WPA2安全的EAP(可扩展身份识别协议)模式使用802.1X身份识别，而不是PSK，向每一个用户和客户提供自己的登录证书的能力，如用户名和口令以及一个数字证书。
　　
　　为了达到尽可能最佳的安全，应该使用带802.1X的WPA2。这个协议也称作802.1i。要实现802.1X身份识别，你需要拥有一台RADIUS/AAA服务器。如果你在运行WindowsServer2008和以上版本的操作系统，你要考虑使用网络政策服务器(NPS)或者早期服务器版本的互联网身份识别服务(IAS)。如果你没有运行Windows服务器软件，你可以考虑使用开源FreeRADIUS服务器软件。
　　
　　如果你运行WindowsServer2008R2或以上版本，你可以通过组策略把802.1X设置到区域连接在一起的客户机。否则，你可以考虑采用第三方解决方案帮助配置这些客户机。
　　
　　十一、一定要物理地保护网络组件的安全
　　
　　计算机安全并不仅仅是最新的技术和加密。物理地保证你的网络组件的安全同样重要。要保证接入点放置在接触不到的地方，如假吊顶上面或者考虑把接入点放置在一个保密的地方，然后在一个最佳地方使用一个天线。如果不安全，有人会轻松来到接入点并且把接入点重新设置到厂商默认值以开放这个接入点。
　　
　　在日常生活和工作中，Wi-Fi无线网络安全设置尤为重要，大家一定要全面设置保护网络安全。
　　
　　责任编辑：Randy