問：對于我們中小企業(yè)的無線網(wǎng)絡來說,，最佳的無線網(wǎng)絡安全策略是什么呢?

答：在“中小企業(yè)最佳WiFi安全”這篇文章中Mike Chappel介紹了中小企業(yè)使用的WPA2-Personal (PSK)和WPA2-Enterprise (802.1X),。WPA2-Personal一般采用共享口令的方法來驗證連接到同一WLAN的每一個用戶，而WPA2-Enterprise通常是采用基于證書的驗證方法,，包括機器證書,、Windows用戶名/密碼、SecurID令牌等。

正如Mike所介紹的那樣,，WPA2-Enterprise對中小企業(yè)來說有點困難,，因為它需要一個RADIUS服務器鏈接到一個包含了用戶證書的賬戶數(shù)據(jù)庫，每個Wi-Fi客戶端都必須配置用戶證書,。為了使WPA2-Enterprise更加適用于中小企業(yè),，可以有兩種實施方法，一種是AP或WLAN控制器與一個嵌入式RADIUS服務器,，另一種是托管RADIUS服務(或基于云的RADIUS服務),。這兩種方法對許多中小企業(yè)都非常適合，并且值得付出一些相關的努力或費用來得到一個強健的,、粒狀的WLAN安全,。

然而，這兩種方法都仍然需要配置Wi-Fi客戶端(802.1X客戶端)來識別并接受服務器的證書,，以及響應那個RADIUS服務器所期望的可擴展的認證協(xié)議(EAP)類型,。雖然這個配置并不是很復雜的事，但也不像口令那樣簡單,。因為802.1X至少需要一個服務器認證,，在那些GUI有限的設備(如智能手機或無線打印機)上進行配置會更難。最后我想說,，802.1X問題對故障修復來說都是小問題,。

那些認真考慮過但認為他們并不需要WPA2-Enterprise (802.1X)的中小企業(yè)應該知道使用WPA2-Personal(PSK)也有許多方法能使企業(yè)網(wǎng)絡更好更安全的。對初學者來說,，PSK安全主要依賴于你所選擇的口令長度和強度,。建議使用一個混合型的口令，至少有20個字符長,，避免使用一些字典中能夠找到的單詞,，并且用一個不太一樣的SSID。為了測試你WPA2-Personal口令的強度,，你可以通過運行一個在線WPA Cracker來試試,。

盡管如此，即使是一個強壯的口令也仍然會很容易遭受共享密碼風險,，例如,，那些不應該得到口令的人得到了口令，或者如果一個員工被解雇了,，或筆記本電腦丟了,，而不得不去修改口令。為了避免這些問題,，可以考慮使用支持動態(tài)per-user口令的AP,。802.11標準的不需要每個客戶端都使用相同的PSK;一些供應商們已經(jīng)對這一特點加以利用了,，他們?yōu)槊總€用戶分配了唯一的口令。Per-user口令可以阻止內(nèi)部攻擊(如解密其他用戶的流量),。動態(tài)per-user口令是有時限的,，所以來賓只是在一個限定的時間段內(nèi)可以進行訪問。也有一些措施可以幫助訪問者或幫助臺來進行注冊以獲取動態(tài)口令,，這樣就簡化了口令的生成和分配,。