企业无线网络 切莫成为泄密之门 2

3 、开启无线网络加密

禁用 SSID 广播，关闭 DHCP 服务一定程度上可以防止非授权访问，但这两种方法仍有一定的局限性，对于资深黑客而言，上述两种方法形同虚设。企业无线网络必须开启无线网络加密，这样可以最大限度的保障企业无线网络的安全。

目前，一般无线路由器会提供 WEP 、 WPA/WPA2 和 WPA-PSK/WPA2-PSK 三种加密方式，这三种加密方式的区别在于安全系数不同。在这三种加密方式中， WPA-PSK/WPA2-PSK 是最安全的一种加密方式，遗憾的是一些无线路由器中并没有提供该种加密方式。

图五 无线加密选项

WEP 加密技术也叫有线等效加密技术，该技术非正规加密标准，而且存在不少安全漏洞，使用该技术加密的无线数据很容易被攻击。 WPA-PSK/WPA2-PSK 是企业无线网络最常用的一种加密方式，也是一种比较安全的加密方式。相比之下， WPA/WPA2 加密方式最安全，但需要认证服务器，不适合中小企业无线网络使用。

在无线路由器的“基本设置”页面中，将“开启安全设置激活”。选择“ WPA-PSK/WPA2-PSK ”加密模式，选择合适的“安全选项”和“加密方法”后输入 PSK 密码，再设定组密钥更新周期就可以了。

图六 WPA-PSK/WPA2-PSK 加密设置

加密之后，企业网管还需要在计算机端进行相应的配置，把密钥填写进去，否则，计算机是无法登录无线网络的。用户使用的加密模式越复杂，无线路由器的负担也就越重。为此，用户也没有必要选择安全级别太高的加密模式，适用即可。

               

4 、启用 IP 地址和 MAC 地址过滤

随着网络技术的发展，防火墙组件已经成为无线路由器的一个标准配置。在防火墙功能中，提供了基于 IP 地址和 MAC 地址过滤的安全选项，这也是加固企业无线网络安全的一个功能组件。

IP 地址过滤选项，主要是为了防范未经授权进入无线网络的入侵者。无论是有线网络还是无线网络，要想成为其合法用户，必须拥有一个 IP 地址，如果把非法的 IP 地址过滤掉，用户将很难入侵企业无线网络。 MAC 地址过滤的实现方法与 IP 地址过滤相同，因为每一块网卡在全球拥有唯一的一个地址，即 MAC 地址，如果将这个 MAC 地址禁用了，入侵者是无法进入该无线网络的。相比之下， MAC 地址过滤功能更安全，只是需要将企业网络内所有计算机的 MAC 地址填写到 MAC 地址过滤规则中去。

图七 更改 MAC 地址过滤缺省规则

要想激活 MAC 地址过滤和 IP 地址过滤两项功能，必须先启用无线路由器的防火墙功能组件。如果欲使用 MAC 地址过滤功能，激活该功能后，还要根据企业无线网络的需要调整一下缺少的过滤规则。启用 MAC 地址过滤功能，我们是想让企业网络内的所有机器都能够访问互联网，为此， MAC 地址的缺省过滤规则应该为“仅允许已设 MAC 地址列表中已启用的 MAC 地址访问 Internet ”。设置好 MAC 地址缺省过滤规则之后，把企业网络内所有计算机的 MAC 地址填写到 MAC 地址过滤列表中就可以了。如图八，我们把总经理电脑的 MAC 地址填写到 MAC 地址过滤列表中，凡是不在该表的计算机均无法访问企业的无线网络。要想获取整个网络的 MAC 地址，可以借助超级网上邻居等软件。

图八 MAC 地址过滤列表设置

IP 地址过滤功能的设置与 MAC 地址过滤设置基本相同，唯一改变的是把 MAC 地址换成 IP 地址。启用 MAC 地址和 IP 地址过滤功能之后会加重无线路由器的负担，因为无线路由器要对每一个接入无线路由器的信息一一进行辨别。由于 IP 地址用户可以更改，为此，最有效的加密方式是 MAC 地址过滤，因为用户网卡的 MAC 地址不能轻易改变。

哪种加密模式最安全

企业的互联网应用无非是浏览网页查阅资料，收发电子邮件，对网络带宽的要求并不是很高，但对安全性能的要求却非常苛刻。在上述叙述的四种加密方式中，哪种可以保障企业无线网络的安全？由于一些加密方式会消耗路由器的性能，影响网络传输质量，但企业网络最大的要求是安全，其次才是传输质量。

上述四种加密模式的安全性能，可以做成如下的表格

说明：在安全系数中，★越多，破解越难；在降低无线路由器性能中，★越多，降低无线路由器性能最越厉害；★实用性中，★越多，该种加密模式越实用。

通过上表可以得知，“开启无线加密”和“ MAC 地址过滤”两个功能可以大大提高企业无线网络的安全性。网管可以根据企业的实际需要，选择一种适合企业的加密模式。

结束语：企业无线网络的安全已经成为一个不可忽视的话题。对于企业而言，网络安全高于一切，企业网管也应在无线网络安全方面多下功夫，切莫让无线网络成为企业的泄密之门！