一名銀行職員通過非法接入無線網絡盜竊在線銀行賬目內的資金;一名咨詢員非法進入了某公司的無線網絡，盜取該公司與市政當局口水戰有關的敏感文件;每天都在發生無線網絡泄密事件。更有統計，早在2003年，針對無線局域網的攻擊已經占全球互聯網攻擊事件總數的23%，而04年6月就達到了03年綜合。近年來，針對無線網絡的攻擊更為嚴重。發生這些事件的原因是由于無線安全技術還不周全，之前僅限于MAC地址過濾、AP隔離等技術，防范能力較弱。

現在，不僅對個人用戶來說，無線上網成了流行趨勢，對企業用戶來說，無線局域網也大有取代有線網絡的趨勢，因為無線網絡相比于有線網絡來說有無可替代的優勢。一是無線網絡所提供的帶寬越來越高，一個AP足以供應60位以上員工的辦公需求，在帶寬方面，無線網絡有優勢;二是無線接入方面，成本更為低廉;三是無線網絡在部署方面更為簡潔，有線網絡需要考慮布線等問題，而無線網絡不受辦公條件的限制，更加適合在企業中應用。另外，隨著統一通信的流行，無線局域網可以把員工的無線終端納入統一通信的管理之中，方便企業之間的通信，為企業帶來極大方便。

但是，無線網絡的安全問題不得不引起我們的重視。對無線網絡來說，部署網絡安全最大的困難不是在網絡規劃部署方面，而是如何去說服用戶去進行客戶端的配置。傳統的認證加密方式是在網頁上輸入用戶名和密碼，對用戶來說，操作簡單易行。而對于801.11i來說，認證方式在配置方面較為復雜。如果說一個企業里有100個接入設備，那么用戶想要使用這種認證方式，就必須在這100個設備上分別進行配置。另外，安全認證的級別越高，意味著用戶所需要配置的信息就越多，這對用戶來說極為不便，這也是是導致用戶還傾向于用傳統認證方式的原因。如今，無線網絡發展越來越快，但是黑客的技術也在不斷發展。下面將分別介紹針對每種安全漏洞的技術解決辦法。

消除無線通信中的干擾

由于無線網絡利用的是空中的無線資源，不可避免會產生干擾。干擾包括影響正常的無線通訊工作的不需要的干擾信號。在企業用戶的無線網絡中，同一個AP的用戶之間可能會產生干擾，同一個信道中的用戶也可能產生干擾。通常，解決無線射頻干擾的方法有降低物理數據率、降低受影響AP的發射功率以及改變AP信道分配三種方式。

目前市場上充斥著大量采用全向雙極天線的AP，這些天線從各個方向發送和接收信號。由于這些天線總是不分環境，不分場合地發送和接收信號，一旦出現干擾，這些系統除了與干擾做斗爭以外沒有其它辦法。它們不得不降低物理數據傳輸速率，直至達到可接受的丟包水平為止。而且隨之而來的是，共享該AP的所有用戶將會感受到無法忍受的性能下降。

另一種是降低AP的發射功率，從而更好地利用有限的信道數量。這樣做可以減少共享一臺AP的設備數量，以提高AP的性能。但是降低發射功率的同時也會降低客戶端接收信號的強度，這就轉變成了更低的數據率和更小范圍的Wi-Fi覆蓋，進而導致覆蓋空洞的形成。而這些空洞必須通過增加更多的AP來填補。而增加更多AP，可以想象，它會制造更多的干擾。

大多數WLAN廠商希望用戶相信，解決Wi-Fi干擾的最佳方案是“改變信道”。就是當射頻干擾增加時，AP會自動選擇另一個“干凈”的信道來使用。雖然改變信道是一種在特定頻率上解決持續干擾的有效方法，但干擾更傾向于不斷變化且時有時無。通過在有限的信道中跳轉，引發的問題甚至比它解決的問題還要多。

這三種抗干擾方式都無法從根本上解決無線網絡中的干擾問題。針對這些情況，新型Wi-Fi技術結合了動態波束形成技術和小型智能天線陣列(即所謂的“智能Wi-Fi”)，成為一種理想的解決方案。動態波束形成技術專注于Wi-Fi信號，只有在他們需要時，即干擾出現時才自動“引導”他們繞過周圍的干擾。比如在出現干擾時，智能天線可以選擇一種在干擾方向衰減的信號模式，從而提升SINR并避免采用降低物理數據率的方法。

Ruckus公司中國區技術總監宣文威認為，智能天線陣列會主動拒絕干擾。由于Wi-Fi只允許同一時刻服務一個用戶，因此，這些天線并非用于給某一個指定的客戶端傳輸數據之用，而是用于所有客戶端，這樣才能忽略或拒絕那些通常會抑制Wi-Fi傳輸的干擾信號。去年，伯明翰的兩所學校就使用了Ruckus的智能無線局域網產品和技術，新的智能無線網絡系統將為學校的所有工作人員和學校提供可靠的Wi-Fi信號覆蓋，并支持各種移動應用。尤其重要的一點是，Ruckus ZoneFlex系列產品易于配置和管理，在安全方面，為技術人員和用戶都減輕了很多負擔。經過這兩所學校的使用證明，這種新的動態波束形成技術可以很有效地防止干擾問題。

Aruba公司亞太地區技術顧問Eric Wu在談及干擾問題時介紹了一種將AP轉換為AM(Air Monitor)的方式。比如說一個網絡能夠容納80個AP，但是實際規劃時，卻有100個AP。由于AP太密集，AP之間或者同信道之間都會產生干擾。這時，一部分AP將轉換為AM，AM會檢測該信道的資源使用情況。在AM模式下，AP作為網絡監測器工作，AM負責檢測無線環境和有線環境。而AP和AM之間的轉換，也不需要額外的其他設備參加，只需在無線控制器中進行。

身份認證和授權

無線網絡黑客一個經典的攻擊方式就是欺騙和非授權訪問。黑客試圖連接到網絡上時，簡單的通過讓另外一個節點重新向AP提交身份驗證請求就可以很容易的欺騙無線身份驗證。還有一種威脅就是當訪客身份的用戶接入到網絡中時，理應被授予訪客的權限。但是由于傳統的身份認證和授權功能是分別在兩個設備上進行，兩個設備缺乏有效地一次性的溝通，訪客就有可能獲得更高的權限而侵犯到該公司的機密信息。這是由于用戶和用戶權限不統一帶來的安全威脅。

傳統上，針對用戶非法接入的無線局域網安全技術有：無線網卡MAC地址過濾技術，服務區標識符(SSID)匹配，有線等效保密(WEP)等。但是這些技術都證明在無線網絡中不能有效解決問題。

通過Ruckus開發的一種叫做動態預共享密鑰(PSK)的新技術，可以消除安全訪問無線網絡時所需的加密密鑰、口令或用戶證書的繁瑣、耗時的手動安裝程序。動態PSK只需很少或者無需人工操作，就可以通過為每個認證用戶動態生成強有力且唯一的安全密鑰，并將這些加密密鑰自動安裝到終端客戶端設備上。

再以TRAPEZE公司為東莞假日酒店設計的無線解決方案為例，酒店中心存在兩種類型的用戶，一種是網絡移動設備，二是酒店中的接入客戶。TRAPEZE無線網絡解決方案支持內置和外置的MAC地址數據庫用于網路的設備認證，同時內置的靜態WEP算法采用了防止“弱”初始化向量措施，使得對于此類網絡的破解大為困難。

針對用戶和用戶權限不統一的情況，Eric Wu表示，由于傳統的認證和授權功能是分別設在兩個設備上，這樣授權用戶就有可能在兩個設備缺乏溝通的情況下獲得更高的權限，威脅到局域網的安全。針對這種問題，目前的認證和授權功能都是設在同一個設備上。用戶身份一經認證，通過一個存取記號通知授權功能模塊，用戶的權限就被設定，不會出現用戶身份和用戶權限不統一的情況，有效保證了無線網絡的安全。

無線入侵檢測和保護

目前可以在互聯網上下載到很多無線入侵和攻擊的工具，這些工具對無線網絡造成了很大的威脅，可以使AP無法征程工作，甚至可以突破無線網絡的安全措施，非法盜取網絡資源。另外一個問題就是因為用戶購買的AP，在接入有線網絡鐘后，可能會自動創建一些“軟”AP。這些不安全的AP在缺乏安全機制的情況下自動在企業的局域網中出現。若是外部入侵者利用這些軟AP實現惡意目的，企業將遭受巨大的損失。而且這種事情發生時，員工可能并不知道已經遭受攻擊，無意之中促成了攻擊。

針對這種情況，出現了一些嘗試入侵軟件。就是人為的將這些入侵軟件帶入企業局域網內部。但是這些入侵軟件具有一些特定的功能，包括跟測、防御和定位功能。也就是說，這些入侵軟件在接入局域網之后，可以跟蹤入侵者的動態，并且進行防御，同時還可以定位入侵者的動作和位置。

另外，針對病毒入侵的情況，無線終端病毒防護的第一步是準入檢查，當無線終端連接試圖訪問網絡時，無線系統要求用戶在認證之前下載一個小程序，這個程序將對終端的安全配置進行檢查，不能通過檢查的終端將被策略禁止訪問網絡，也可設置成將無線用戶重定向到一臺升級服務器，經過一系列程序之滿足安全機制后，該無線終端才可以進入認證環節進行用戶的認證。

宣文威認為，當無線終端通過了準入檢查，但是如何對無線終端發出數據進行有效的檢查和監控是更加進一步的病毒防護手段。 ZoneFlex系列產品簡化了安全需要的配置，就可在整個系統范圍支持非法接入點入侵檢測，并能通過網絡將這些接入點客戶端設備列入黑名單。當多個接入點的位置十分接近時，Ruckus產品則可以自動控制每個接入點的功率和信道設置，從而確保最佳的覆蓋范圍和連貫性。

防止盜竊引起的安全威脅

無線網絡中的AP不像有線網絡中的路由器和交換機一樣，是放在比較隱秘的機柜或者專門的機房里面。無線AP可能是在天花板上或者屋內的任何位置，方便用戶接入。這也就帶來了一定的安全威脅。例如，有惡意的人將AP拿走。傳統的無線網絡，采用的是胖AP，瘦客戶端形式。胖AP指的是集成了全部功能的AP，這些功能包括了加密解密、過濾防護等等，而瘦AP與之對應，就是只有無線功能的設備。在胖AP結構下，一旦有人將AP拿走，就可以通過解密，得到AP中的金鑰。獲得了這個金鑰之后，就可以登陸公司網絡，竊取公司機密信息。而在瘦AP環境下，加密解密以及防火墻等安全措施可以通過一個單獨的安全設備來實現，除了顯而易見的成本降低之外，提升了AP的性能，還提升了安全性能與安全管理的方便性。在瘦AP環境下，用戶訪問網絡的需求通過AP傳遞到AP之后的防火墻上，由防火墻進行統一的身份驗證，并且賦予用戶不同的權限，這種良好的身份認證以及其他的統一安全管理將有效的規避大量的安全問題。

Eric Wu在談及此問題時表示：“傳統的無線網絡，接入網絡的金鑰是放在了AP中，一旦AP被人拿走，就可以破解得到這個金鑰。這樣他就可以接入該公司網絡，竊取信息。而Aruba的產品中，AP的功能得到了簡化，只是起到了一個接入的作用。所有與安全和其他控制信息有關的功能都放在了無線控制器(Controller)中。” 這樣，即使AP丟失或遭盜竊，也不會擔心會丟失信息。

良好的成本控制、便捷的網絡管理以及可控可管理的安全特性，都讓無線網絡的發展前景無限寬廣。而隨著全球筆記本出貨量超越臺式機以及802.11n的全面普及，無線網絡正在越來越廣泛的存在于我們的身邊。相比于家庭網絡，企業網絡擁有更多的終端，更復雜的網絡管理，也對無線這種便捷廉價的網絡接入方式有著更強烈的需求。未來的無線網絡發展方向就是瘦AP方式，無線網絡的控制措施將不在AP中實施，都放在無線控制器中進行，簡化的AP更易于部署和管理。不管對個人用戶還是企業用戶，他們最擔心的無線網絡的安全問題也隨著安全技術的不斷發展而得到解決。目前，無線廠商都在無線網絡的安全方面下了大成本，也推出了比較有效地無線安全措施。例如上述的幾種技術，通過幾種技術的結合，可以有效地解決無線網絡的安全問題。未來，無線網絡的目標不是為了取代有線網絡，而是和有線網絡結合為用戶帶來最好的體驗。