无线网络并不是就如此不堪一击，布署严密的保护措施，应用最新的加密技术，能够充分保护我们的网络免于来自内部与外部的攻击。

在介绍WEP加密破解的文章中，你会发现WEP的破解比你想像的容易得多，谁都可以用这些工具破译这种加密方法，只要观察网络上足够数量的流量，就能弄明白加密密钥。不过无线网络并不是就如此不堪一击，布署严密的保护措施，应用最新的加密技术，能够充分保护我们的网络免于来自内部与外部的攻击。本文就是对怎样保护无线网络的方法作一些比较基础的介绍。

对某些人来说，他们可能认为无线网络的安全性问题显得很复杂，设置一个安全的无线网络可能需要十分专业的基础知识和进行复杂的设置，也有人会讲:“我只是用电脑上上网而已，并没有干其他什么重要的事情，为什么我还要为安全问题费心呢?”，所以他们会放弃在安全方面的打算，这样就导致自己的网络“门户大开”。对于这个问题的回答，各位看了下面的内容后可能就不会产生这样的想法了。

一、无安全措施的WLAN所面临的三大风险:

1、网络资源暴露无遗

一旦某些别有用心的人通过无线网络连接到你的WLAN，这样他们就与那些直接连接到你LAN交换机上的用户一样，都对整个网络有一定的访问权限。在这种情况下，除非你事先已采取了一些措施，限制不明用户访问网络中的资源和共享文档，否则入侵者能够做授权用户所能做的任何事情。在你的网络上，文件、目录、或者整个的硬盘驱动器能够被复制或删除，或者其他更坏的情况是那些诸如键盘记录、特洛伊木马、间谍程序或其他的恶意程序，它们能够被安装到你的系统中，并且通过网络被那些入侵者所操纵工作，这样的后果就可想而知了。　　　　

二、保护我们的WLAN

在明白了一个毫无防护的WLAN所面临的种种问题后，我们就应该在问题发生之前作一些相应的应对措施，而不要等到发生严重的后果后才意识到安全的网络维护是多么重要。以下的内容就是介绍针对各种不同层次的入侵方式时采取的各种应对措施。

1、拥有无线网卡的普通用户

在一个无任何防护的无线WLAN前，要想攻击它的话，并不需要采取什么特别的手段，只要任何一台配置有无线网卡的机器就行了，能够在计算机上把无线网卡开启的人就是一个潜在的入侵者。在许多情况下，人们无心地打开了他们装备有无线设备的计算机，并且恰好位于你的WLAN覆盖范围之内，这样他们的机器不是自动地连接到了你的AP，就是在“可用的”AP列表中看到了它。不小心，他们就闯进了你未设防的“领域”了。其实，在平常的统计中，有相当一部分的未授权连接就是来自这样的情况，并不是别人要有意侵犯你的网络，而是有时无意中在好奇心的驱使下的行为而已。

如下的对策可以保护你的网络避免不经意的访问，不过这都是一些相当初级的内容，并不能提供避免那些更熟练些入侵者的实时保护。虽说这些内容都很“菜鸟”，它们大部分是如此简单，不过如果你的无线设备能够支持的话，我还是建议你作一下相关设置。

对策1:更改默认设置

最起码，要更改默认的管理员密码，而且如果设备支持的话，最好把管理员的用户名也一同更改。对大多数无线网络设备来说，管理员的密码可能是通用的，因此，假如你没有更改这个密码，而另外的人就可轻而易举地用默认的用户名和密码登录到了你的无线网络设备上，获得整个网络的管理权限，最后，你可能会发现自己都不能够够登录到你的WLAN了，当然，通过恢复工厂设置还是可重新获得控制权的。

更改你AP或无线路由器的默认SSID，当你操作的环境附近有其他邻近的AP时，更改默认的SSID就尤其需要了，在同一区域内有相同制造商的多台AP时，它们可能拥有相同的SSID，这样客户端就会有一个相当大的偶然机会去连接到不属于它们的AP上。在SSID中尤其不要使用个人的敏感信息。

更改默认的频道数可以帮助你避免与邻近的无线LAN发生冲突，但作为一个安全防范方法的作用很小，因为无线客户端通常会为可能的连接自动地扫描所有的可用频道。

对策2:更新AP的Firmware

有时，通过刷新最新版本的Firmware能够提高AP的安全性，新版本的Firmware常常修复了已知的安全漏洞，并在功能方面可能添加了一些新的安全措施，随着现在更新型的消费类AP的出现，通过几下简单的点击就可检验和升级新版本的Firmware了，与以前的AP相比较，老产品需要用户要从界面并不是很友好的厂商技术支持站点手工去寻找、下载、更新最终版本的Firmware。

许多用了几年的AP都已经过了它们的保修期了，这就意味着很难找到新的Firmware版本了，如果你发现最后版本的Firmware并不支持提升了安全性能的WPA(Wi-Fi Protected Access)，其实更好的版本是WPA2，那就最好请认真地考虑一下是否更换你的设备了。

实际上，当前的802.11g设备至少应支持WPA，并在技术上有更新到WPA2的能力，但制造厂商并不会一直致力于支持他们的老产品，因此假如你想检查一下AP是否可支持WPA2，要不就在Wi-Fi Alliance's certification database(链接为:http://wi-fi.org/OpenSection/certified_products.asp?TID=2)中检查一下，要不就到google中搜索一下看。

对策3:屏蔽SSID广播

许多AP允许用户屏蔽SSID广播，这样可防范netstumbler的扫描，不过这也将禁止Windows XP的用户使用其内建的无线Zero配置应用程序和其他的客户端应用程序。在下图一中如果选中显示的“Hide ESSID”，则正是在一个ParkerVision的AP上屏蔽了SSID广播。(实际上，SSID和ESSID是指的同一回事)。

2、可熟练使用工具软件的中级用户

以上的措施只能对那些菜鸟有效，现在我们来提高提高防范技能，来防止那些更熟练的操作者，他们可是经常积极地在四处搜索无线网络的，在这些人中间，部分人并没有恶意，他们只是喜欢看看到底能够检测到有多少无线网络在周围，并且他们从来都没有尝试过使用所检测到的网络弱点;但其他的一些人可就不是这样了，他们一开始就是想连接到你的无线网络上并还有一些其他的不良企图。

在本段的内容中，我先假设在前面的介绍中所建议的所有防范措施都没有被使用，并且那些可能的潜在入侵者是可以寻找到你的无线网络。在这方面，最好有效的防范措施就是使用加密和身份验证，下面就这两方面特别是集中在加密方面来进行介绍。

对策7:加密

WLAN的管理员应该在网络上运行可用的最高强度的加密技术，现在比较成熟可用的技术有WEP、WPA和WPA2三种可供选择。

在这三种加密技术中，WEP(Wireless Equivalent Privacy)是加密能力最弱的一种无线安全技术，不过，当前它的应用是最为广泛的，这应归功于它实用于几乎所有802.11的无线产品。针对802.11b的产品，由于许多消费类的无线网络产品生产厂商已不提供从WEP升级到WPA的更新了，所以你就别无选择只能使用它了，并且其他现在还正在生产的新产品如VoIP无线电话等就仅支持WEP，强制一些WLAN用户降低他们的安全要求以适应最低的公共安全等级。

其他的WPA(Wi-Fi Protected Access)或WPA2则可提供足够的无线安全，由于它们使用了更强壮的加密技术和经过改良的密钥管理技术。这两者之间的主要不同之处是WPA2支持更强壮的AES(Advanced Encryption Standard)加密，但更使用用户糊涂的是，相比较于标准的WPA的TKIP加密技术，现在有许多允许选择AES加密的但标记为WPA的产品。

大部分的802.11g产品都支持WPA，但把老的产品升级为WPA2还有一个过程，甚至基于WPA2的802.11i标准在2004年6月才被批准。

本人推荐使用WPA，因为它和WPA2一样有效，并且有更广泛的支持，至少我是这样认为的。然而，要使用WPA的话，可能需要你购买一些新的设备了，特别是正在使用802.11b的WLAN中，不过标准的802.11g设备也不是很贵的，并能得到最佳的安全投资回报。

许多消费级的AP仅仅支持“Personal”版本，也叫做WPA-PSK(Pre-Shared Key)，如下图四显示的内容。也有一些消费级的无线产品支持WPA2或WPA“Enterprise”(也就是通常所说的WPA“RADIUS”)，不过如果没有实现它所必需的附加RADIUS服务支持的话，这项功能也没什么大的用处的。

图四:AP支持的加密选项

对许多个人的WLAN来说，使用WPA-PSK就可提供足够的安全保护了，不过所使用的密码必需足够长并且是没有什么具体含义的，不要使用数字，或者来自字典中的单词，因为如同cowpatty之类的程序已经可完成对WPA-PSK的基于字典的攻击。许多安全方面的专家推荐使用128bit的PSK，现在的许多WPA设备都支持字母与数字的PSK，也就是说，只需要16个字符就可达到专家的要求。

在因特网上有许多的密码产生器，我们可以通过Google来快速搜索到。例如在http://www.elfqrin.com/pwgen.html这个页面中，有诸如小写字母、大写字母、数字、空格与定制这些的组合来产生密码，甚至还可估计出要破解产生的这些密码大致需要多长的时间。

对策8:增加身份验证

面对各种新兴的网络攻击，管理员应该在网络中使用身份验证。身份验证通过要求一台客户端计算机“注册”到网络中来增加另外一层次上的安全措施。