中小企业如何部署企业级Wi-Fi安全方案

　　无论您所在的企业规模如何，运用WPA2安全机制都将成为保护Wi-Fi网络安全的良好第一步。同时，千万不要使用该标准中安全性较低的PSK模式——这会带来严重的潜在风险。

　　时至今日，利用Wi-Fi Protected Access II(简称WPA2)保护无线网络安全已经成为一种主流趋势，但许多小型甚至中型企业仍然在默认使用WPA2标准中的个人或预共享密钥(即PSK)模式，而非其提供的企业模式。虽然看名字有点唬人，但企业模式并非仅仅适用于大型网络体系; 它同时也能够融入各类不同规模的业务环境当中。大家可能认为纯粹的个人模式更易于管理，不过考虑到企业网络保障所提出的诸多要求，贪图一时省事却往往给未来的安全故事种下了祸根。

　　WPA2的企业模式采用802.1X验证机制，其会给网络提供一套额外的安全层，且在设计思路方面更适合业务网络而非个人使用模式。虽然在初期配置方面，企业模式要求使用者投入更多资源与精力——举例来说，大家需要为远程认证拨号用户服务(简称RADIUS)提供服务器或服务支持——但整个过程不一定像各位预想的那样复杂或者昂贵，无论是对单一企业还是需要面向多个组织的IT/托管服务供应商而言皆是如此。

　　首先来谈谈我自己的情况：我所管理的企业负责提供基于云的RADIUS服务。不过平心而论，作为一名拥有一定经验的网络专业人士，企业级Wi-Fi安全方案才是各类业务网络的最佳选择，具体理由我们将在下文中一同探讨。而且需要强调的是，大家甚至根本没有必要使用托管RADIUS服务。本文将提供多种其它RADIUS服务器选项，而且其中一部分完全无需任何资金投入。接下来就让我们一同展开这场关于Wi-Fi安全网络的探索与求证之旅。

　　企业模式的优势体现在哪些方面

　　诚然，每种模式都拥有自己独特的优势。PSK模式的初始设置非常简单。大家只需要为接入点上设置一条密码，而用户在输入这条正确的全局密码后即可连接到Wi-Fi网络当中。看起来毫不费力，但这种方法却也存在着几个问题。

　　▲在个人或者预共享密钥(即PSK)模式下，我们只需要设置一条全局Wi-Fi密码。

　　首先，由于网络当中的每位用户都使用同样的Wi-Fi登录密码，因此任何一位离职员工都能够继续使用这一无线接入点——除非我们修改密码内容。很明显，修改密码内容意味着我们需要调整接入点设备的设置，并把新密码内容向全部用户公开——而在下一次登录时，他们需要至少正确输入一次，才能将其保存为默认选项以备今后连接时使用。

　　而在企业模式下，每一位用户或者设备都拥有独立的登录凭证，大家可以在必要时对其进行变更或者调用——而其他用户或者设备完全不会受到影响。

　　▲在企业模式下，用户在尝试接入时需输入自己独一无二的登录凭证。

　　接下来是使用PSK模式的另一个问题：Wi-Fi密码通常会被保存在客户设备当中。因此，一旦该设备丢失或者被盗，密码也将同时遭到破解。这意味着企业必须及时修改密码内容以避免恶意人士以未授权方式接入业务环境。相比之下，如果我们使用企业模式，那么只需要在设备丢失或者被盗时修改对应密码即可解决难题。

　　▲任何人都能轻松在Windows Vista或者后续Windows版本当中查看已保存的PSK Wi-Fi密码内容，这样一旦设备丢失或者被盗，后果将不堪设想。

　　企业模式的其它优势

　　使用企业Wi-Fi安全机制还拥有其它多种优势：

　　更出色的加密效果:由于企业模式所使用的加密密钥针对每位用户而有所不同，因此恶意人士很难以PSK最害怕的暴力破坏方式猜出Wi-Fi密钥内容。

　　防止用户间窥探: 由于每一位用户在个人模式下都会被分配以同样的加密密钥内容，因此任何拥有该密码的人都能够利用Wi-Fi发送原始数据包，其中密码内容很可能被包含在非安全站点及邮件服务当中。而在企业模式方面，用户无法解密对方的无线接入方式。

　　动态VLAN:如果大家利用虚拟LAN来隔离网络流量但又未采用802.1X验证机制，正如处于PSK模式下的情况，那么我们可能需要以手动方式为静态VLAN分配以太网端口及无线SSID。不过在企业模式方面，大家可以利用802.1X验证机制实现动态VLAN，其能够自动通过RADIUS服务器或者用户数据库将用户自动划拨至此前分配的VLAN当中。

……