Win7如何保護你的無線網絡

　　1、 轉向企業級加密

　　如果你創建了一個WPA或WPA2的加密密鑰，並且在連接到某個無線網絡時必須輸入這個密鑰，你所使用的就是WPA的預共享密鑰(PSK)模式。企業級網絡，不管是大是小，都應當用企業模式進行保護，因為這種保護模式向無線連接過程增加了802.1X/EAP認證。用戶們不是在所有的計算機上輸入加密密鑰，而是通過一個用戶名和口令登錄。加密密鑰是以隱藏方式安全地使用，並且對每一個用戶和會話都是唯一的。

　　這種方法提供了集中管理功能和更好的無線網絡安全。

　　簡言之，雇員們和其它用戶在使用企業模式時，都通過其自己的賬號登錄進入網絡。在需要時，管理員可以輕易地改變或廢止其訪問。在雇員離職或筆記本電腦被盜時，這種方式非常有用。如果你現在正使用個人模式，你就需要在所有的電腦和接入點AP上改變加密密鑰。

　　企業模式的一個特別因素是RADIUS/AAA服務器。它與網絡中的接入點AP通信，並查詢用戶的數據庫。在此，筆者建議你使用windows server 2003 的IAS或Windows Sever 2008 網絡策略服務器NPS。當然，你也可以考慮使用開源服務器，如最流行的FreeRADIUS。如果你覺得建立一個身份驗證的服務器需要花費太多的金錢，或者超過了你的預算，不妨考慮使用外購服務。

　　2、 驗證物理上的安全性

　　無線安全並不僅僅是技術問題。你可以擁有最強健的Wi-Fi 加密，但是你又能如何阻止某人將電纜線接入到暴露的以太網端口呢?或者有人經過某個接入點時按下了復位按鈕，將其恢復到了出廠設置，讓你的無線網絡四門大開，你又該如何是好?

　　所以，請一定要保證你的接入點AP遠離公眾可以接觸的地方，也不要讓雇員隨意去擺弄它。不要把你的接入點放到桌子上，最起碼應該將其掛到牆上或天花板上，最好將其放到高於天花板的位置。

　　還可以考慮將接入點AP安裝在不易於被看到的地方，並安裝外部天線，這樣還可以獲得最強的信號。如此一來，就可以在更大程度上限制接入點AP，同時，又可以獲得兩方面的好處，一是增加了覆蓋范圍，二是利用了較高的天線。

　　當然，你不能僅關注接入點。所有的網絡連接組件都應當保證其安全。這甚至包括以太網電纜的連接。雖然下面這種情況可能有點兒牽強，但是難道某個“不到黃河不死心”的家伙就沒有切斷電纜接入自己的設備的可能?。

　　在安裝過程中，應當對所有的接入點AP了如指掌。最好制作一張表格，記錄所有的接入點模塊，連同它們的MAC地址和IP地址。還要標明其所在的位置。通過這種方法就可以確切地知道，在進行設備清查或跟蹤有問題的接入點AP時，這些接入點到底在什麼地方。

　　3、 安裝入侵檢測和(或)入侵防御系統(即IDS和IPS)

　　這兩種系統通常靠一個軟件來工作，並且使用用戶的無線網卡來嗅探無線信號並查找問題。這種系統可以檢測欺詐性的接入點。無論是向網絡中接入一個新的接入點，還是一個現有的接入點將其設置改變為默認值，還是與用戶所定義的標准不匹配，IDS和IPS都可以檢測出來。

　　這種系統還可以分析網絡數據包，查看是否有人正在使用黑客技術或是正在實施干擾。

　　現在有很多種的入侵檢測和防御系統，這些系統所使用的技術也各不相同。在此，筆者向您推薦兩開源的或免費的系統，即大名鼎鼎的Kidmet和Snort。現在網上有關於這兩個系統的大量教程，您不妨試試。當然，如果你願意花錢，還可以考慮AirMagnet、AirDefence、AirTight等國外公司的產品。

　　4、 構建無線使用策略

　　正如需要其它網絡設備的使用指南一樣，你也應當有一套針對無線訪問的使用策略，其中至少包括以下幾條：

　　① 列示可獲得授權訪問無線網絡的設備：最好先禁用所有的設備，在路由器上使用MAC地址的過濾功能來明確地指明准許哪些設備訪問網絡。雖然MAC地址可以被欺騙，但是這樣做顯然會控制雇員們正在網絡上使用哪些設備。所有被核准設備的硬拷貝及其細節都應當加以保留，以便於在監視網絡時以及為入侵檢測系統提供數據時進行比較。

　　② 列示可通過無線連接訪問網絡的人員：在使用802.1X認證時，在RADIUS服務器中僅為那些需要無線訪問的人創建賬戶就可以實施這種控制。如果在有線網絡上也使用802.1X認證，你必須指明用戶是否要接收有線或無線訪問，可以通過修改活動目錄或在RADIUS服務器上使用認證策略達到這個目的。

　　③ 無線路由器或接入點AP的建立規則：例如，僅准許IT部門建立更多的接入點AP，因而不准許雇員隨意插入接入點Ap來增強和延伸信號。對IT部門的內部而言，其規則最好包括定義可接受的設備模式和配置等。

　　④ 使用Wi-Fi熱點或借助公司設備連接到家庭網絡的規則：因為某個設備或筆記本電腦上的數據可以被破壞，而且在不安全的無線網絡上需要監視互聯網活動，所以你可能會想到限制Wi-Fi連接僅給公司網絡使用。可以借助於Windows中的netsh實用程序，並通過運用網絡過濾器來加以控制。還有另外一個選擇，即你可以要求一個到達公司網絡的VPN連接，這樣至少可以保護互聯網活動，並可以遠程訪問文件。

　　5、使用SSL或Ipsec加密

　　雖然你可能正使用最新的、最強健的Wi-Fi加密(位於OSI模型的第二層上)，也不妨考慮實施另外一種加密機制，如IPSec(位於OSI模型的第三層上)。這樣做，不但可以在無線網絡上提供雙重加密，還可以保證有線通信的安全。這會防止雇員或外部人員隨意插入到設備的以太網端口進行竊聽。

　　雖然在這裡談到的這五種技術大多在有線網絡上已經很成熟，但在許多單位的無線網絡上卻並沒有得以實施。為了讓你的無線網絡訪問更安全，不妨一試。