三、选择合适的访问控制方案

    ● SSID是必备

    SSID（Service Set Identifier）也可以写为ESSID，用来区分不同的网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同网络，SSID通常由AP广播出来，通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID，此时用户就要手工设置SSID才能进入相应的网络。简单说，SSID就是一个局域网的名称，只有设置为名称相同SSID的值的电脑才能互相通信。

    而SSID广播控制可以理解为两方面，一是可以通过更改SSID名称来达到无线用户控制，一是可以禁用SSID广播功能起到对无线用户控制。这是一为主流的无线网卡都支持“自动搜索（ANY）”SSID方式，只要无线客户端处在AP范围内，它都会自动连接到AP，这将绕过SSID的安全功能。所以在无线局域网接入点AP或无线路由上对此项技术的支持就是可不让AP或无线路由器广播其SSID号，这样无线工作站就必须提供正确的SSID才能与AP或无线路由器连接（将多数无线AP或无线路由器在出厂时默认的“允许广播SSID”设为“不广播SSID”）。

    而更改厂家默认的SSID名称，也就是可降低非法用花猜中SSID号的机率。如思科接入点的默认SSID是tsunami；Linksys接入点的默认SSID是linksys；而英特尔和Symbol接入点的默认SSID是101；TP-LINK的默认SSID是TP-LINK。这些默认的SSID无异于把易受攻击的WLAN汇报给了非法用户。

    ● MAC过滤很实用

    MAC地址就是在媒体接入层上使用的地址，也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。MAC地址与网络无关，也即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，都有相同的MAC地址，它由厂商写在网卡的BIOS里。MAC地址可采用6字节（48比特）或2字节（16比特）这两种中的任意一种。但随着局域网规模越来越大，一般都采用6字节的MAC地址。这个48比特都有其规定的意义，前24位是由生产网卡的厂商向IEEE申请的厂商地址，1000美元左右买一个地址块，后24位由厂商自行分配，这样的分配使得世界上任意一个拥有48位MAC地址的网卡都有唯一的标识。

    而MAC地址的访问控制就是通常所说的路由器或无线AP的物理地址（MAC）过滤功能。由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤（只需进入路由器的MAC过滤功能选中只允许下列MAC的网卡地址连入外网把MAC填入即可）。

    大多数企业级接入点可以让你根据对授权用户站的媒体访问控制（MAC）地址进行过滤，以此限制哪些用户站可以连接到接入点。尽管MAC地址过滤并非万无一失，但这种方法对哪些用户站可以连接到网络提供了基本的控制功能。有些规模较大的企业所组建的比较复杂的WLAN允许上百个用户站在接入点之间进行漫游，这时它们可能需要远程验证拨入用户服务（RADIUS）服务器提供更复杂的过滤功能。

    但做为无线的安全功能，MAC过滤更多的应用在私人小型WLAN网络中更好，因为这个方案要求AP中的MAC地址列表必需随时更新，可扩展性差，无法实现机器在不同AP之间的漫游；而且MAC地址在理论上可以伪造，如非法用户可以通过修改注册表，下载专用修改MAC小工具等方法，轻松更改了本机的MAC地址和IP地址，因此MAC过滤在使用中最好能合WPA等安全功能一起使用，以加强WLAN安全性。