随着无线网络应用的普及化，很多中小企业也建起了无线网络。但笔者发现，无线网虽然架设起来了，但很多中小企业对无线网络的安全并不很重视，这与一方面是缺少必要的网络安全人员有关，也与一方面是缺乏防范的意识有关——很多中小企业的无线网络外来用户可以轻松的进入，可以进行各种非法操作，比如任意的察看／修改企业网络上的电脑文件；传播／种植病毒、木马、蠕虫以及其它的恶意软件程序，利用企业网络进行针对其它计算机的非法活动；免费使用企业无线网进行BT等大带宽网络访问造成合法使用者的访问变慢等等。这对于中小企业的网络安全来说，肯定需要警醒。而对于这些又该如何防范呢？

　　一、WAN端防范不可少

　　很多中小企业对于来自Internet端的安全威胁都比较重视。服务器或客户机上一般都安装有防火墙软件或杀毒软件，对于无线网络亦该如此。

　　其中防火墙的应用较为普遍，防火墙做为设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合，其工作原理主要是按照定义的访问规则对通过防火墙的通信进行过滤，主要的防火墙类型包括包过滤、代理服务、应用层网关以及这三种类型的结合体。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，可尽可能地对外部屏蔽网络内部的信息、结构和运行状况，可有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。

　　图1　防火墙和杀毒软件必不可少

　　防火墙有两种，硬件防火墙和软件防火墙，通常硬件防火墙的性能要强于软件防火墙，并且连接、使用比较方便，而软件防火墙在功能和可配置性上要更加强大，可以更容易的构建起比较复杂的防御策略。对于一般的中小企业来说，可首选软件防火墙，特别是一些企业级的软件防火墙已能很好的起到保护企业网络安全的作用。

　　但需要特别说明的是，一些用户常常会为了省事，认为很多无线路由器内部集成的“内建防火墙”已能满足需求，因为其在宣传资料中也称能实现“支持IP过滤、域名过滤和MAC地址过滤，可防止DoS攻击，具有病毒自动隔离功能，可有效对黑客、病毒、木马、无线数据拦截……”等防火墙功能。其实不然，多数无线路由器内部集成的“防火墙”其功能和性能都很薄弱，与企业级的软件防火墙差距巨大，起不了多少”防火“的作用，往往还会因为启用这类功能，造成无线路由器负荷加重，造成无线网络信号时断时续，造成无线路由器的无线性能下降。所以大家在选用时不可迷信此类附加功能，以优先选用企业级的软件防火墙为佳。

　　二、LAN端防范不忽视

　　有线网只要注意了WAN端的防范一般就可安然无事了，而无线网则不同，其除了同样要同样注意对来自WAN端的威胁进行防范外，来自无线局域网端的各种安全设置也必不可免。

　　首先，大家知道，有线网要接入局域网，必需通过网线才能接入。而无线网则不同，只要在无线网络覆盖范围内就可以接入无线网络。如果企业用户对此不做任何设置，只是一味的图省事采用无线路由器的默认出厂设置，那么其它无线用户就可很轻松的侵入该企业的无线网络。而要从源头上阻止非法用户侵入，可从以下几点入手：

　　①不广播SSID

　　SSID（Service Set Identifier）也可以写为ESSID，SSID就是一个局域网的名称，只有设置为名称相同SSID的值的电脑才能互相通信，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同网络，SSID通常由AP或无线路由器广播出来，通过无线网卡或XP自带的扫描（ANY或无线零配置／WIRELESS ZERO CONFIGURATION）功能可进入当前无线信号区域内的SSID工作组。

　　图2　注意您的SSID

　　出于安全考虑可以将多数无线AP或无线路由器在出厂时默认的“允许广播SSID”设为“不广播SSID”，此时用户就要手工设置SSID才能进入相应的网络。

　　此外，由于很多厂家默认的SSID名称都是一样的（如Linksys无线路由器的默认SSID是linksys；TP－LINK无线路由器的默认SSID是TP－LINK等等），稍有经验的用户就可很容易猜中无线路由器的SSID，所以在设置时最好将这个名称也改改。这样其他用户也就无法通过猜测这个默认厂商SSID号来连接无线网络，大大降低被非法侵入的机率。

　　②修改地址密码

　　不广播和定期修改SSID可大大降低非法用户侵入企业无线网络的机会，但企业无线网在使用过程中，难免不会通过员工将SSID透露出去。而且，如果一般员工也有机会接触到无线网的核心设置，肯定对重要部门的计算机安全造成威胁。比如很多无线路由器的配置地址和管理员密码都是出厂时厂商默认的，如果不对这些进行更改，稍懂网络知识的员工就可从局域网或互联网上查到该AP或无线路由器的管理地址及密码，从而控制整个无线网络，给企业无线网造成不必要的隐患。

　　在无线路由器的设置页面中，找到系统设置相关选项，便可修改系统管理员的用户名及口令。而LAN口设置中，可设置LAN口的基本网络参数，如登陆／DHCP服务器的IP地址（从常见的192.168.1.1、192.168.0.1等改为常家出厂不常默用的192.168.133.254等等）、子网掩码——当LAN口IP参数（包括IP地址、子网掩码）发生变更时，为确保DHCP服务器能够正常工作，就需保证DHCP服务器中设置的地址池（可按需设置地址池的大小和范围，不要统一设为1－254）、静态地址与新的LAN口IP是处于同一网段的，并重启路由器。所以可在DHCP服务设置中，不启用路由器内建DHCP服务器，不自动配置局域网中各计算机的IP，而选用手工设置。

　　此外，大多数路由器都有远程管理特性，允许用户从网络外部进入系统并实施管理，对于企业网络若无特别需要应避免使用远程管理。通过这些办法，可在一定程度上防止非法用户通过外部有线线路或无线网进入企业网络，未授权的非法用户在获取您的网络合法IP地址的时难度会大大增加。

　　三、其它必备招数

　　除了以上招式外，无线网还可进一步通过以下设置提高安全性。

　　①使用WPA加密

　　在无线加密技术中，WPA（Wi－Fi Protected Access）是WEP的增强产品，WPA是继承了WEP基本原理又解决了WEP缺点的一项新技术，与WEP不同，WPA（Wi－Fi Protected Access，Wi－Fi保护接入）利用瞬间密钥完整性协议（TKIP）加密和802.1x，以及可扩展认证协议（EAP）作为认证机制，所以其安全性比WEP要强得多。WPA采用了802.1x和TKIP来实现WLAN的访问控制、密钥管理与数据加密。TKIP由于在现有的WEP密码认证引擎中追加了“信息包单加密功能”、“信息检测（MIC）”、“具有序列功能的初始向量”和“密钥生成功能”等4种算法，因此提高了安全强度。TKIP能够使用加密的数据动态（比如每10000个数据包）改变密钥，仅这一个改变就使WPA比WEP更安全。

　　总之，相比WPA，WEP设置更脆弱，其更容易被破解，所以如果您的企业无线网络设备都支持WPA加密的话，最好优选WPA，其设置和使用都很简便。在Windows XP中可以在“无线网络属性”对话框中为特定的无线网络配置身份验证、加密和WEP密钥或者WPA－PSK密钥。

　　②采用MAC过滤

　　MAC就是介质访问控制（Media Access Control）地址，是厂商生产的网卡的地址，对于每一台设备是惟一的，该地址定义了计算机间的网络连接，记录在网卡上的硬件电路上。介质访问控制地址是由12位16进制数（O～F）共48位表示，前24位标识网卡的厂商，不同厂商生产的标识不同，后24位是由厂商指定的网卡序列号。MAC号称网卡的“身份证”，其是惟一的，所以只要通过无线路由器的MAC地址过滤功能就能禁止几乎所有非法用户的接入无线网络。

　　图3 MAC地址过滤

　　所以，对于电脑不是很多的中小企业无线网络，完全可以通过在AP和无线路由器的配置页面中手工录入各客户机的网卡MAC地址或无线网卡MAC地址的集中Radius认证，就能将MAC地址不在清单中的用户，拒之门外，大大提高企业无线网的安全性。

　　总之，通过以上几方面的注意，企业用户在使用无线网络时完全可获得超过一般有线网的安全之盾，让企业无线网能使用更舒心更省心，何乐不为。