二、部署多层防御措施
    保障WLAN的安全只是整个企业安全框架的一个组成部分。部署WLAN在一定程度上会增加网络的安全风险。所以我们要在网络中部署多层防御措施，以减轻黑客攻击的威胁。其他的安全组件包括防火墙、入侵检测系统和分段网络等。
    1. 部署入侵检测系统（IDS）
    添加入侵检测系统（IDS）可发现无线局域网中即将发生的攻击活动。如果攻击者获得了访问权限，并试图扫描其他用户或者防火墙，通过入侵检测系统，管理员会得到有人滥用网络的警告。一旦这种行为发生，就意味着WEP密钥已经被破解，此时应立即修改WEP。同时，管理员要正确维护IDS，还必须经常阅读警告日志，除了IDS的日志，还需要经常查看防火墙日志和系统日志，以及其他一些应用程序的日志。
    2. 使用访问控制列表 (ACL)
    为进一步保护无线网络，我们可以使用访问控制列表（ACL）。通过使用访问控制列表（ACL），可具体地指定允许哪些机器连接到接入点。支持这项特性的接入点有时会使用普通文件传输协议（TFTP），定期下载更新的列表。
    3. 合理配置SNMP
    简单网络管理协议（SNMP）是目前TCP/IP网络中应用最为广泛的网络管理协议，它提供了一种监控和管理计算机网络和系统的方法，在各行各业已经得到广泛的应用，并成为网络管理事实上的标准。但由于SNMP缺少身份验证和加密机制，使其在WLAN中易成为泄密的突破口。因此，如果接入点支持SNMP，建议禁用或者改变公开的共用字符串，以避免黑客利用SNMP获得相关重要信息。
    4. 启用RADIUS认证服务
    一个能支持上千名用户，具有最先进加密和认证技术的大型系统通常需要一套能够进行集中化管理的安全性解决方案。这些系统通过RADIUS（拨号用户远程认证服务）进行管理。RADIUS能够对授权访问网络资源的网络用户进行集中化管理。不论是对有线的以太网络还是无线的802.11网络，RADIUS都是标准化的网络登录技术。支持802.1x 协议的RADIUS技术，提高了企业级无线局域网用户的认证能力，为用户带来一系列卓越、灵活的无线网络安全性。
    5. 分段网络隔离
    对于安全网络来说，应该把VPN服务器放在非军事区（DMZ）中，接入点应置于防火墙外部。DMZ是一个添加在受保护网络和外部网络之间的网络，可将敏感信息和公用信息隔离，以便提供另外一层安全。DMZ通过将VPN服务器隔离到一个网络段中，两个网络间数据共享的几率几乎为0，对已经获得DMZ中某个服务器访问权限的攻击者而言，这种隔离能阻止他在网络中进一步渗透。因此，设立DMZ将达到隔离并限制攻击者造成破坏的目的。
    随着无线技术的不断发展，无线网络的成本将逐渐低于传统有线局域网的成本。由于具有传统网络无法比拟的优势，使无线局域网市场的增长成为无庸置疑的。相信今后，会有更多的企业用户使用无线局域网。
 

(责任编辑：adminadmin2008)