尽管应该使用Wi-Fi Protected Access II(WPA2)来保护无线网络安全，但是仍有许多小型甚至中型企业在使用WPA2标准中的默认模式，也就是个人或预共享密钥(PSK)模式，而非企业模式。后一种模式虽然叫企业模式，但它并非仅适用于大型网络，而是可以适用于所有的企业。很多人可能认为简单的个人模式更易于使用，但如果考虑到正确保护企业网络的要求，情况恰恰相反。

　　WPA2的企业模式采用802.1X验证机制，会给网络提供一套额外的安全层，与个人模式相比，它们在设计思路方面更适合公司网络。虽然在初期配置上，企业模式需要投入更多精力和资源，如需要为远程认证拨号用户服务(RADIUS)提供服务器或服务支持，但整个过程并不复杂，也不昂贵，无论是对于单一企业还是对于需要为多个机构管理网络的IT/托管服务供应商来说都是如此。

　　在笔者看来，企业级Wi-Fi安全方案才是各类企业网络的最佳选择，具体理由我们将在下文论述。需要强调的是，大家甚至根本没有必要使用托管RADIUS服务。本文将提供多种其他RADIUS服务器选项，而且其中一部分完全无需任何资金投入。接下来就让我们带领大家一同探讨这些选项，建立起更为安全的企业级Wi-Fi网络。

　　企业模式的优势在哪里:

　　当然，每种模式都拥有自己的优势。PSK模式的初始设置非常简单。大家只需要为接入点设置一个密码，用户在输入这个正确的全局密码后即可连接到Wi-Fi网络。看起来毫不费力，但这种方法却存在着几个问题。

　　在个人或者预共享密钥(即PSK)模式下，仅有一个全局Wi-Fi密码。

　　首先，由于网络当中的每位用户都使用同样的Wi-Fi登录密码，因此任何一位离职员工都能够继续使用这一无线接入点——除非我们修改密码内容。很明显，修改密码需要我们调整接入点的设置，并向其他用户告知新密码——而在下一次登录时，他们需要至少正确输入一次，才能将其保存为默认选项以备今后连接时使用。

　　而在企业模式下，每一位用户或者设备都拥有独立的登录凭证，我们可以在必要时对其进行变更或者调用——而其他用户或者设备完全不会受到影响。

　　在企业模式下，用户在尝试接入时需输入自己唯一的登录凭证。

　　在使用PSK模式时我们会遇到另一个问题：Wi-Fi密码通常会被保存在客户设备当中。如果该设备丢失或者被盗，密码也将同时遭到威胁，应当修改密码以防止任何得到该设备的人进行非授权访问。如果我们使用企业模式，那么只需要在设备丢失或者被盗时修改对应密码即可解决难题。

　　任何人都能轻松在Windows Vista或者后续Windows版本当中查看已保存的PSK Wi-Fi密码内容，如果设备丢失或者被盗将出现安全风险。

　　企业模式的其他优势

　　使用企业Wi-Fi安全机制还有其他多种优势：

　　更出色的加密性:由于企业模式所使用的加密密钥对每位用户都是唯一的，因此与PSK相比，黑客更难以暴力破解方式进行破解或是发动其它的Wi-Fi攻击。

　　防止用户对其他用户的嗅探: 由于每一位用户在个人模式下都会被分配以同样的加密密钥内容，因此任何拥有该密码的人都能够利用Wi-Fi发送原始数据包，其中密码内容很可能被包含在非安全站点及邮件服务当中。在企业模式下，用户无法解密彼此的无线流量。

　　动态虚拟局域网(VLAN):如果大家利用虚拟LAN来隔离网络流量但又未采用802.1X验证机制，如处于PSK模式下，那么我们必须以手动方式为静态VLAN分配以太网端口及无线SSID。在企业模式下，我们可以利用802.1X验证机制实现动态VLAN，自动通过RADIUS服务器或者用户数据库将用户自动划拨至此前分配的VLAN中。

　　额外的访问控制:在企业模式下提供802.1X验证机制的大部分RADIUS服务器也都支持其它访问政策，我们可有选择性的将其应用在用户身上。如大家可设定每次接入后的有效时限，限定哪些设备有权接入，甚至限定他们可通过哪些接入点连接至网络。

　　有线支持:如果交换机支持，企业Wi-Fi安全方案所使用的802.1X验证机制还能够被用于有线网络部分。在这项功能启用之后，用户在网络中接入以太网端口必须要输入自己的登录凭证后才能访问网络和互联网。

　　RADIUS服务器选项

　　正如上面所提到那样，我们必须有RADIUS服务器或者服务才能运用企业Wi-Fi安全机制。它们能够执行802.1X验证，并可作为或者连接至用户数据库，在这里我们可为每位用户定义登录凭证。目前市面上有许多可供选择的RADIUS选项：

　　Windows Server或OS X Server:如果已拥有一套Windows Server，那么可以考虑使用其RADIUS功能。在旧版本中，我们需要使用微软所谓的互联网验证服务(IAS)，在Server 2008及后续版本中，该功能被称为网络政策服务器(NPS)。同样地，苹果公司的OS X Server也内置有RADIUS功能。

　　其他服务器:检查网络现有服务器的说明文档或者在线说明，如目录服务器或者网络附加存储，了解其是否提供RADIUS服务器功能。

　　接入点:目前很多企业级接入点设备都拥有内置RADIUS服务器，通常可支持二十或者三十多位用户。强调一下，请查阅说明文档或者在线说明。

　　云服务:托管RADIUS服务非常适合那些不想设置或者运行自有服务器的用户，以及那些需要同时保护WAN内未绑定在一起的多个位置的用户。此类选项包括Cloudessa、IronWifi以及我公司推出的AuthenticateMyWiFi服务。

　　开放或免费软件:开源FreeRADIUS是目前最流行的服务器之一。它们能够运行在Mac OS X、Linux、FreeBSD、NetBSD以及Solaris系统平台之上，不过需要用户具备一定的Unix类平台使用经验。对于那些更希望使用GUI平台的用户，不妨考虑运行在Windows之上的TekRADIUS免费版。

　　商业软件:当然，还有大量基于硬件及软件的商业软件可供选择，如(针对Windows的)ClearBox或 (针对Windows、Linux和Solaris的) Aradial RADIUS服务器。

　　选择可扩展身份验证协议(EAP)

　　802.1X标准的验证机制被称为可扩展身份验证协议(EAP)。目前我们拥有多种EAP类型可供选择，最受欢迎的是受保护EAP(PEAP)和EAP传输层安全(TLS)。

　　大部分传统RADIUS服务器与无线客户端都支持PEAP与TLS，当然也可能包含其它类型。不过部分RADIUS服务器当中，如云服务或者内置在接入点中的方案，仅仅能够支持PEAP。

　　PEAP为一种较为简单的EAP类型：通过它，用户只需要输入自己的用户名及密码，即可接入Wi-Fi网络。这种连接过程对于大部分设备的用户而言最为简单。

　　TLS则更加复杂但也更为安全。相较于用户名加密码，数字化证书或者智能卡被作为用户的登录凭证。不利的方面是，需要管理员与用户做更多的工作。如使用智能卡，我需要购买读卡器与卡片，并其分发到每位用户手中。而数字化证书则必须被安装在每一台登录设备之上，这对用户来说很繁琐。不过我们可使用部署工具帮助简化此类证书的分发与安装。

　　管理数字化证书

　　每一套RADIUS服务器，无论其是否使用PEAP，都应当安装有数字化SSL证书。这将允许用户设备在初始化授权之前对RADIUS服务器进行验证。如果使用TLS，我们还需要为用户创建并安装客户端证书。在使用PEAP的情况下，如果没有安装，我们可能还必须为每台客户端设备分发该根证书认证凭证。

　　大家可以利用由RADIUS服务器提供的程序自行创建数字化证书，即自签名，或是从赛门铁克SSL(其前身名为VeriSign)或GoDaddy那里购买公共认证证书。

　　在TLS设置当中，我们最好是创建属于自己的公共密钥基础设施(PKI)与自签名证书。这种作法比较适合那些大部分Wi-Fi客户端都归属于单一网络域的情况，这样我们就能轻松完成证书的分发与安装工作。用户设备不在域内通常必须以手动方式安装该证书。

　　我们还可以使用一些第三方产品，简化非主域网络环境中的服务器根证书及客户端证书的分发流程，如针对Windows设备的SU1X工具(+本站微信networkworldweixin)，以及针对Windows、OS X、Ubuntu Linux、iOS和Android设备的XpressConnect。

　　在PEAP安装方面，如果大部分用户的Wi-Fi设备都未被加入到域内，我们可以直接从公共证书颁发机构处购买服务器端证书来简化大量工作。如果希望客户端设备能够实现服务器验证，那么这些设备还需要由服务器证书生成的根认证证书。Windows、Mac OS X以及Linux设备通常已预安装由主流证书颁发机构提供的根认证证书。

　　连接支持企业模式的设备

　　一旦安装了RADIUS服务器或服务，配置了可使用RADIUS进行认证的接入点，分发了设备所需的证书，那么我们就已经做好了将这些用户设备接入到企业安全Wi-Fi中的准备。

　　当通过Windows、Mac OS X或者iOS设备进行接入时，整个连接过程非常简单：从网络列表当中选定要接入的网络，输入用户名与密码(在使用PEAP的情况下。如安装了TLS，可通过数字化证书或智能卡将设备接入网络)。Android设备的连接过程存在稍许不同。

　　连接非企业设备

　　目前几乎所有采用主流操作系统的计算机、平板电脑和智能手机都可以支持企业模式的WPA2。不过还有部分Wi-Fi设备只支持个人PSK模式。这些产品通常属于老旧Wi-Fi设备或者主要针对家庭及消费级使用所设计，如游戏主机、无线网络摄像机或者智能温控装置等。我们可能也会发现少部分商用设备不支持企业模式，如无线信用卡终端。

　　惠普501无线桥接装置可与企业安全网络连接

　　除了直接更换设备之外，这可能并不算一种选项，我们还可以通过多种方式帮助非企业型设备进行连接。很多RADIUS服务器都支持MAC(媒体访问控制)认证回避机制，允许用户将特定设备的MAC地址排除在验证流程之外，并允许实现网络接入。不过由于伪造MAC地址非常容易，因此这并不是一种非常安全的解决办法。另一种选择是创建采取个人PSK安全机制的独立SSID，不过这会降低网络的安全性。

　　如果非企业设备有以太网端口，那么一种选项是将其接入有线网络。如果没有可供接入的LAN端口，那么另一种选项是使用企业级无线桥接装置。我们可以禁用该设备的内部Wi-Fi，并将无线桥接装置连入该设备的以太网端口。桥接装置将以无线方式接入主要的企业安全Wi-Fi网络。

　　抵御中间人攻击

　　尽管企业Wi-Fi安全机制能够提供出色的保护，但也存在漏洞，其中一个漏洞就是中间人攻击。在这种状况下，黑客通常会设置伪造的无线网络或流氓接入点，并且通常与目标网络拥有同样的名称，因此Wi-Fi设备会自动进行连接。伪造的网络也会拥有自己的RADIUS服务器。

　　黑客的目的是让设备接入伪造的网络，然后捕捉其验证请求，这很可能会导致黑客获取至登录凭证。伪造网络甚至也能让用户接入互联网，让用户根本意识不到自己的连接过程出了问题。

　　这也是在RADIUS服务器上安装数字SSL证书如此重要的原因。正如之前所提到的那样，大多数无线设备在连接Wi-Fi网络后会进行服务器验证，以确保它们在提交登录凭证之前是在与真正的服务器进行对话。

　　在Windows、Mac OS X和iOS设备上，服务器验证选项通常默认处于启用状态。当首次接入企业Wi-Fi网络时，系统会提示用户验证RADIUS服务器数字证书的详细信息。默认情况下，如果服务器端的数字证书或证书签发者产生变化，系统会进行再次提示。

　　当有新的或变化的RADIUS服务器证书时，Windows会有上述提示信息。

　　但如果是Android手机或者平板电脑，我们必须以手动方式启用服务器验证选项，安装该服务器的根认证证书。

　　用于配置服务器验证及启用自动拒绝功能的Windows系统设置选项。

　　服务器验证机制能够帮助识别可能存在的中间人攻击，不过多数用户往往会直接选择接受新证书。为了阻止用户接受新的或变化的服务器证书，我们可以使用设备或操作系统中所提供的自动拒绝证书变更功能。

　　如Windows提供了在计算机或其它设备中设置EAP属性的选项，用户能够手动在每台设备上启用或直接将设置结果推送到主域网络中的计算机上。