WLAN（无线局域网）的安全管理指南

更改你AP或无线路由器的默认SSID，当你操作的环境附近有其他邻近的AP时，更改默认的SSID就尤其需要了，在同一区域内有相同制造商的多台AP时，它们可能拥有相同的SSID，这样客户端就会有一个相当大的偶然机会去连接到不属于它们的AP上。在SSID中尤其不要使用个人的敏感信息。

更改默认的频道数可以帮助你避免与邻近的无线LAN发生冲突，但作为一个安全防范方法的作用很小，因为无线客户端通常会为可能的连接自动地扫描所有的可用频道。

对策2:更新AP的Firmware

有时，通过刷新最新版本的Firmware能够提高AP的安全性，新版本的Firmware常常修复了已知的安全漏洞，并在功能方面可能添加了一些新的安全措施，随着现在更新型的消费类AP的出现，通过几下简单的点击就可检验和升级新版本的Firmware了，与以前的AP相比较，老产品需要用户要从界面并不是很友好的厂商技术支持站点手工去寻找、下载、更新最终版本的Firmware。

许多用了几年的AP都已经过了它们的保修期了，这就意味着很难找到新的Firmware版本了，如果你发现最后版本的Firmware并不支持提升了安全性能的WPA(Wi-Fi Protected Access)，其实更好的版本是WPA2，那就最好请认真地考虑一下是否更换你的设备了。

实际上，当前的802.11g设备至少应支持WPA，并在技术上有更新到WPA2的能力，但制造厂商并不会一直致力于支持他们的老产品，因此假如你想检查一下AP是否可支持WPA2，要不就在Wi-Fi Alliance is certification database(链接为:wi-fi.org/OpenSection/certified_products.asp?TID=2)中检查一下，要不就到google中搜索一下看。

对策3:屏蔽SSID广播

许多AP允许用户屏蔽SSID广播，这样可防范netstumbler的扫描，不过这也将禁止Windows XP的用户使用其内建的无线Zero配置应用程序和其他的客户端应用程序。在下图一中如果选中显示的“Hide ESSID”，则正是在一个ParkerVision的AP上屏蔽了SSID广播。(实际上，SSID和ESSID是指的同一回事)。

 图一:在ParkerVision的AP上屏蔽SSID广播。

注意:在一个无线网络中屏蔽SSID广播并不能够阻止使用Kismet或其他的无线检测工具(如AirMagnet)的攻击者，这些工具检测一个存在的网络并不依靠SSID来进行。

对策4:关闭机器或无线发射

关闭无线AP，这可能是一般用户来保护他们的无线网络所采用的最简单的方法了，在无需工作的整个晚上的时间内，可以使用一个简单的定时器来关闭我们的AP。不过，如果你拥有的是无线路由器的话，那因特网连接也被切断了，这倒也不失为一个好的办法。

在不能够或你不想周期性地关闭因特网连接的情况下，就不得不采用手动的方式来禁止无线路由器的无线发射了(当然，也要你的无线路由器支持这一功能)。如下图二中所示。

图二:关闭无线发射

对策5:MAC地址过滤

MAC地址过滤是通过预先在AP在写入合法的MAC地址列表，只有当客户机的MAC地址和合法MAC地址表中的地址匹配，AP才允许客户机与之通信，实现物理地址过滤。这样可防止一些不太熟练的入侵初学者连接到我们的WLAN上，不过对老练的攻击者来说，是很容易被从开放的无线电波中截获数据帧，分析出合法用户的MAC地址的，然后通过本机的MAC地址来伪装成合法的用户，非法接入你的WLAN中。如下图三所示

图三:在USR 8011 AP中的MAC地址过滤

对策6:降低发射功率

虽然只有少数几种AP拥有这种功能，但降低发射功率仍可有助于限制有意或偶然的未经许可的连接。但现在无线网卡的灵敏度在不断提高，甚至这样的网卡随便哪个初级用户都可购买得到，特别是如果你在一幢大楼或宿舍中尝试阻止一些不必要的连接时，这可能没什么太大的价值了。