在安全防护方面：   
    自黑客诞生之日起，互联网就进入了一个永无宁日的时代，无线网络的安全问题让人倍感忧心，更成为无线局域网的软肋，合理保护无线网络系统就是为了将无线网络与非法使用者隔离，要最大限度地堵住这些安全漏洞，企业无线网络用户可以采用以下几项措施来防护。

    天线的放置需讲究。使用环境的非封闭性是许多无线网络安全问题的罪魁祸首，因此部署一个封闭的无线访问点是保护企业无线局域网安全的首要步骤，而要实现封闭无线访问点的部署，第一步就是合理放置访问点的天线，以便能够限制信号在覆盖区以外的传输距离。

    天线最好的就是放在局域网信号覆盖的区域中心，这样可以尽量减少信号外泄，但是千万不要把天线放在窗户附近，因为玻璃的信号阻挡能力极差。当然，完全控制信号外泄是不可能的，所以还需要有其它措施的补救。

    防火墙把第一道关。防火墙作为网络防护的第一道防线，就好像是企业网络的门神一样，把“黑客”、“病毒”这些牛鬼蛇神通通拒之门外，防火墙于企业来说，无论是有线网络还是无线网络都一样发挥着至关重要的作用，也是企业网络安全防护的功能较多药。

    因为无线网络的各个端点就像暴露在远程宽带连接般面对着各种威胁，所以端点至少要有一个个人防火墙作保护，对于服从安全政策的可信用户，可以把他们放置在可访问内部网络的虚拟局域网中，而对于一般的浏览者或者不符合安全政策的用户，则只容许他们访问互联网。

    另外，因为WAP所提供的基本访问控制并不能满足当今网络环境的需要，所以企业最好使用一个功能强大的边界防火墙实行企业网络分区（把无线局域网与固线网络分隔开来），这样一来还可以让无线局域网和边界的安全政策一致。

    巧用专用工具。企业无线网络的最大潜在风险是来自含有凶猛破坏程序（rogue）的无线访问点（wireless access point），比如说有些公司放松对非许可无线接入点的管理，而公司内部工作人员为了让自己的工作更方便，就可能会自行购买一些无线访问设备，而这些安全性不是很强的访问设备就很容易成为入侵者的头号目标。这种情况，防火墙力不从心的，而且也不在WAP管理范围内，这时候就需要选择一些专用的工具来保障网络不受非法接入点的影响，这方面可选择的专用工具也比较多，比如像特制的WLAN传感器、数据包监察器等就可以有效地对付这些非法访问者了。

    技术上防护。技术上的防护是无线局域网的基本安全防护手段，方式比较多，因为各种技术有自身的利弊，因而所适用的范围也有所不同，企业用户可以根据自身的使用需要来选择。以下所介绍的就是目前主流的专攻网络安全隐患的八大主流技术，可以把企业无线局域网络的风险降到最低程度，大家不妨参考一下，取其所需。

    MAC地址过滤。此种方式是通过对AP的设定，将指定的无线网卡的物理地址（MAC地址）输入到AP中，而AP对收到的每个数据包都会做出判断，只有符合设定标准的才能被转发，否则将会被丢弃。因为使用这种方法需要对每个AP进行MAC配置；而且每个AP接收MAC的数量是有限的，如果MAC太多，会降低速率；还有的就是一旦用户有所增删，则每个AP都需要刷新一次，这样的话不仅在管理上非常麻烦而且黑客可能也会利用MAC欺骗技术骗取AP的信任而硬闯企业网络，所以这种方法对于中小企业来说不失为一个比较有效的方法，但是在对于比较大型的企业用户来说，显得不实用。 　

    变更SSID（Service Set Identifier）及禁止SSID广播。SSID，即服务集标识符，是让无线客户端对不同无线网络的识别字符串，原理跟手机识别不同的移动运营商的机制一样，该标识符由设备制造商设定，每种标识符使用默认短语，如3Com设备的标识符是101。

    参数在设备缺省设定中是被AP无线接入点广播出去的，无线客户端只有出示正确的SSID，才能访问AP，通过提供口令认证机制，实现一定的无线安全。对于部署的每个无线访问点而言，用户应该选择少有并且很难猜中的SSID上，可以的话，最好还是禁止通过天线向外广播标识符，我们如果把这个广播禁止，一般的漫游用户在无法找到 SSID的情况下是无法连接到网络的。
　　
    不过，如果黑客盗取了合法的MAC地址信息，仍可以通过各种方法适用假冒的MAC地址接入目标网络，而且这种方法比较麻烦，不能支持大量的移动客户端，所以还是比较适用于一般SOHO环境或者是小型办公室当作简单口令安全方式。
　　
    WEP（Wired Equivalent Privacy）加密。WEP具有很好的互操作性，所有经过WIFI认证的设备都支持WEP安全协定，它使用RC4加密算法，一方面用于防止没有正确的WEP密钥的非法用户接入网络，另一方面只允许具有正确的WEP密钥的用户对数据进行加密和解密，包括软件手段和硬件手段。

    这种加密方法是是对无线网络上的流量进行加密的一种标准方法，需要在每套移动设备和AP上配置密码，部署比较麻烦；使用静态非交换式密钥，安全性也受到了业界的质疑，但是它仍然可以抵挡一般的黑客入侵，一般用于SOHO用户、中小型企业网络的安全加密。

    需要注意的是，许多无线访问点厂商为了方便安装产品，交付设备时选择关闭了WEP功能，但如果这样做的话，黑客就能立即访问无线网络上的流量，因为利用无线嗅探器就可以直接读取数据，所以这个功能千万不能摒弃。

    AP隔离。类似于有线网络的VLAN，将所有的无线客户端设备完全隔离，使之只能访问AP连接的固定网络，这样做的话可以让接入的无线客户端保持隔离，提供安全的Internet接入，这种方式比较适合酒店或者机场等公共热点网络的架设。
　　
    802.1x协议。802.1x协议由IEEE定义，基于端口的网络访问控制，可以提供经过身份验证的网络访问，该协议引入了PPP协议定义的扩展认证协议EAP。EAP不专属于某一厂商，它能够弥补WEP的不足，并且同时能够解决在接入点之间的移动性问题，EAP还解决了VPN瓶颈问题，使用户能够以有线网络的速度进行工作。不过，配置EAP不是一件容易的事情，需要专业知识部署和Radius服务器支持，费用方面也比较高，一般用于大中型企业无线网络布局。

    相对于EAP来说，由微软、思科和RSA Security共同开发，致力于简化客户端、服务器端以及目录的端到端整合的PEAP则更受欢迎。

    WPA（Wi-Fi protected access）：Wi-Fi保护接入是作为通向802.11i道路的重要衔接的一环，并成为在IEEE 802.11i 标准确定之前代替WEP的无线安全标准协议。WPA采用新的加密算法以及用户认证机制，可以很好地满足WLAN的安全需求，WPA沿用了WEP的基本原理同时又克服了WEP缺点，由于加强了生成加密密钥的算法，即使黑客收集到分组信息并对其进行解析，也几乎无法计算出通用密钥，弥补了WEP倍受指责的缺陷。不过，很多客户端和AP并不支持WPA协议，而且TKIP加密仍不能满足高端企业和政府等网络的加密需求，该方法多用于一般企业无线网络的部署。

    WPA2：是Wi-Fi联盟发布的第二代WPA标准，与WPA后向兼容，支持更高级的AES加密，能够更好地解决无线网络的安全问题，是一种比较理想的技术。

    802.11i：2004年6月，802.11工作组正式发布了IEEE 802.11i，以加强无线网络的安全性和保证不同无线安全技术之间的兼容性，802.11i标准包括WPA和RSN两部分。802.11i的认证方案是基于802.1x 和EAP，加密算法是AES，动态协商认证和加密算法使RSN可以与最新的安全水平保持同步，不断提供保护无线局域网传输信息所需要的安全性。与WEP和WPA相比，RSN更可靠，但是RSN不能很好地在遗留设备上运行。

    此协议理论上可以彻底解决无线网络安全问题，适用于所有企业网络的无线部署。

    禁用DHCP。通过禁用DHCP，就为黑客入侵设下了一到屏障，黑客只有先破译IP地址、子网掩码及其它所需的TCP/IP参数才能闯入企业网络，也就是说无论黑客怎样利用你的访问点，他仍需要弄清楚IP地址，这对于无线网络来说，显得很有意义。

    禁用或改动SNMP设置。SNMP对于黑客来说，是一个很好的蛀点，因为利用SNMP可以获得有关用户网络的重要信息，所以如果你的访问点支持SNMP的话，那就建议要么把这个功能禁用了，要么就改变公开及专用的共用字符串。

    使用访问列表。如果可以的话，最好就是使用访问列表，这样可以进一步保护无线网络。由于不是所有的无线访问点都支持这项特性，但如果你的网络支持，你就可以具体地指定允许哪些机器连接到访问点，支持这项特性的访问点有时会使用普通文件传输协议(TFTP)，定期下载更新的列表，以避免管理员必须在每台设备上使这些列表保持同步的棘手问题。

    总结：自无线网络自问世以来，各界对其评论始终是褒贬不一，但无论怎样，无线网络的出现始终是网络发展史上的一大进步，随着无线网络技术的不断成熟，相信无线网络会为各大用户造更多的福，而且反对者最为担心的安全问题也逐步得等到更完善的解决。综上所述，保护企业无线局域网络的方法还是比较多的，因为独立的每种方法都各有利弊，所以进行多重防护措施是必需的。总之，只要结合企业的实际应用需要，合理地选择安全机制组合，抢占网络安全的主动权，做到有备无患的话，让企业无线局域网过上相对安全稳定的日子绝对不是虚谈。