問(wèn)：對(duì)于我們中小企業(yè)的無(wú)線網(wǎng)絡(luò)來(lái)說(shuō)，最佳的無(wú)線網(wǎng)絡(luò)安全策略是什么呢?

答：在“中小企業(yè)最佳WiFi安全”這篇文章中Mike Chappel介紹了中小企業(yè)使用的WPA2-Personal (PSK)和WPA2-Enterprise (802.1X)。WPA2-Personal一般采用共享口令的方法來(lái)驗(yàn)證連接到同一WLAN的每一個(gè)用戶，而WPA2-Enterprise通常是采用基于證書(shū)的驗(yàn)證方法，包括機(jī)器證書(shū)、Windows用戶名/密碼、SecurID令牌等。

正如Mike所介紹的那樣，WPA2-Enterprise對(duì)中小企業(yè)來(lái)說(shuō)有點(diǎn)困難，因?yàn)樗枰粋€(gè)RADIUS服務(wù)器鏈接到一個(gè)包含了用戶證書(shū)的賬戶數(shù)據(jù)庫(kù)，每個(gè)Wi-Fi客戶端都必須配置用戶證書(shū)。為了使WPA2-Enterprise更加適用于中小企業(yè)，可以有兩種實(shí)施方法，一種是AP或WLAN控制器與一個(gè)嵌入式RADIUS服務(wù)器，另一種是托管RADIUS服務(wù)(或基于云的RADIUS服務(wù))。這兩種方法對(duì)許多中小企業(yè)都非常適合，并且值得付出一些相關(guān)的努力或費(fèi)用來(lái)得到一個(gè)強(qiáng)健的、粒狀的WLAN安全。

然而，這兩種方法都仍然需要配置Wi-Fi客戶端(802.1X客戶端)來(lái)識(shí)別并接受服務(wù)器的證書(shū)，以及響應(yīng)那個(gè)RADIUS服務(wù)器所期望的可擴(kuò)展的認(rèn)證協(xié)議(EAP)類(lèi)型。雖然這個(gè)配置并不是很復(fù)雜的事，但也不像口令那樣簡(jiǎn)單。因?yàn)?02.1X至少需要一個(gè)服務(wù)器認(rèn)證，在那些GUI有限的設(shè)備(如智能手機(jī)或無(wú)線打印機(jī))上進(jìn)行配置會(huì)更難。最后我想說(shuō)，802.1X問(wèn)題對(duì)故障修復(fù)來(lái)說(shuō)都是小問(wèn)題。

那些認(rèn)真考慮過(guò)但認(rèn)為他們并不需要WPA2-Enterprise (802.1X)的中小企業(yè)應(yīng)該知道使用WPA2-Personal(PSK)也有許多方法能使企業(yè)網(wǎng)絡(luò)更好更安全的。對(duì)初學(xué)者來(lái)說(shuō)，PSK安全主要依賴于你所選擇的口令長(zhǎng)度和強(qiáng)度。建議使用一個(gè)混合型的口令，至少有20個(gè)字符長(zhǎng)，避免使用一些字典中能夠找到的單詞，并且用一個(gè)不太一樣的SSID。為了測(cè)試你WPA2-Personal口令的強(qiáng)度，你可以通過(guò)運(yùn)行一個(gè)在線WPA Cracker來(lái)試試。

盡管如此，即使是一個(gè)強(qiáng)壯的口令也仍然會(huì)很容易遭受共享密碼風(fēng)險(xiǎn)，例如，那些不應(yīng)該得到口令的人得到了口令，或者如果一個(gè)員工被解雇了，或筆記本電腦丟了，而不得不去修改口令。為了避免這些問(wèn)題，可以考慮使用支持動(dòng)態(tài)per-user口令的AP。802.11標(biāo)準(zhǔn)的不需要每個(gè)客戶端都使用相同的PSK;一些供應(yīng)商們已經(jīng)對(duì)這一特點(diǎn)加以利用了，他們?yōu)槊總€(gè)用戶分配了唯一的口令。Per-user口令可以阻止內(nèi)部攻擊(如解密其他用戶的流量)。動(dòng)態(tài)per-user口令是有時(shí)限的，所以來(lái)賓只是在一個(gè)限定的時(shí)間段內(nèi)可以進(jìn)行訪問(wèn)。也有一些措施可以幫助訪問(wèn)者或幫助臺(tái)來(lái)進(jìn)行注冊(cè)以獲取動(dòng)態(tài)口令，這樣就簡(jiǎn)化了口令的生成和分配。