二、无线安全对策

    1、分析威胁

    分析威胁是保护网络的第一步。应当确定潜在人侵者，并纳人规划网络的计划。

    2、设计和部署安全网络

    改变缺省设置。把基站看作RAS(Remote Access Server，远程访问服务器)。指定专用于WLAN的IP协议。在AP上使用速度最快的、能够支持的安全功能。考虑天线对授权用户和入侵者的影响。在网络上，针对全部用户使用一致的授权规则。在不会被轻易损坏的位置部署硬件。

    3、实现WEP

    WEP单独使用，并不能提供足够的 WLAN安全性。但通过在每帧中混入一个校验和的做法。WEP能够防止一些初步的攻击手段，即向流中插入已知文本来破解密钥流。必须在每个客户端和每个 AP上实现WEP才能起作用。不必一定使用预先定义的WEP密钥，可以由用户来定义密钥，而且能够经常修改。要使用最坚固的WEP版本，并与标准的最新更新版本保持同步。

    4、过滤MAC

    把MAC过滤器作为第一层保护措施。应该记录WLAN上使用的每个MAC地址，并配置在AP上，只允许这些地址访问网络。使用日志记录产生的错误，并定期检查， 断是否某些人企图突破安全措施。

    5、过滤协议

    过滤协议是个相当有效的方法，能够限制那些企图通过SNMP(Simple Network Management Pintocol，简单网络管理协议)访问无线设备来修改配置的WLAN用户，还可以防止使用较大的ICMP(Intemet Control Message Protocol，网际控制报文协议)包和其他会用作DoS的协议。过滤全部适当的协议和地址。维持对穿越自己网络的数据的控制。

    6、使用封闭系统和网络

    尽管可以很轻易地捕获RF(Radio Frequency，无线频率)通信，但是通过防止SSID从AP向外界广播，就可以克服这个缺点。封闭整个网络，避免随时可能发生的无效连接。把必要的客户端配置信息安全地分发给WLAN用户。

    7、分配IP

    判断使用哪一个分配IP的方法最适合自己的机构：静态还是动态指定地址。静态地址可以避免黑客自动获得IP地址，而动态地址可以简化WLAN的使用，可以降低那些繁重的管理工作。静态IP范围使黑客不得不猜测WLAN中的子网。

    8、使用VPN

    在合适的位置使用VPN(Virtual Private Network，虚拟专用网)服务。这是唯一一个最安全的远程访问 方法。一些AP(例如Colubris和Nokia)为了执行的方便，已经内置了VPN。

    在信息领域，没有绝对安全的措施。可以肯定的是，无线信息产品的大规模普及，有赖于安全标准的进一步完善。