使用無線受保護訪問II(WPA2)安全技術保護無線網絡已儼然成了慣例，但許多小公司、甚至中型企業在默認情況下卻使用WPA2的個人或預共享密鑰(PSK)模式，而不是使用企業模式。

不過盡管名稱是企業模式，但它并不僅僅適用于大網絡，它在所有公司中都有一席之地。雖然你可能認為，簡單的個人模式用起來更容易，但是如果考慮到合理保護企業網絡安全所需要的日常工作，會發現實際上恰恰相反：企業模式更省力。

WPA2的企業模式使用802.1X驗證，這為網絡提供了另外一層安全;相比個人模式，企業模式更是為企業網絡精心設計的。雖然它起初確實需要花更多的精力和資源來設置，比如說需要遠程驗證撥入用戶服務(RADIUS)服務器軟件或服務，但是它不一定很復雜或很費錢，對每家企業來說如此，對為多家企業管理網絡的IT/托管服務提供商來說同樣如此。

順便透露一下，本人所開的一家公司提供基于云的RADIUS服務。不過，作為一名經驗豐富的網絡專業人員，我坦率地認為，建議所有企業網絡都使用企業級無線安全，下面概述了幾個原因。另外請注意：根本不需要使用主機托管的RADIUS服務;本文介紹了另外許多的RADIUS服務器軟件選項，其中幾個選項根本不用你花錢。我會逐一介紹這些選擇以及幫助構建更安全無線網絡的步驟。

企業模式為何更好?

當然了，每種模式有其優點。PSK模式的初始安裝很簡單。你只要在接入點上設置一個密碼，然后用戶在連接到無線網絡時，輸入這個全局密碼即可。看起來不費吹灰之力，但是這個方法存在著幾個問題。

登錄到個人WPA2網絡：使用個人或預共享密鑰(PSK)模式，系統只有一個全局無線密碼。

首先，由于網絡上的每個人都使用同一個無線密碼，離開企業的任何用戶都繼續有權接入無線網絡，除非你更改了密碼。更改密碼需要改動接入點設置，并向其他所有用戶通知新密碼――他們下一次連接時，必須正確輸入新密碼，密碼保存后可用于之后的連接。

如果是企業模式，每個用戶或設備都有單獨的登錄信息(login credential)，需要的話你可以更改或吊銷這些登錄信息――其他用戶或設備并不受到影響。

登錄到企業WPA網絡：如果是企業模式，用戶輸入各自獨特的登錄信息。

如果使用PSK模式，還存在另一個問題：無線網絡密碼通常存儲在客戶機設備上。因而，如果某設備丟失或被偷，密碼就岌岌可危，所以應該更改，防止有機會接觸到設備的任何人未經授權擅自訪問。再一次，如果使用企業模式，如果設備丟失或被偷，你只要更改那個人的密碼即可。

Windows中保存的網絡密碼：誰都很容易在Windows Vista或以后版本的Windows中看到所保存的PSK無線密碼，如果設備丟失或被偷，這就帶來了安全風險。

企業模式的其他優點

使用企業無線安全模式還有諸多的優點：

更好的加密：由于企業模式的加密密鑰對每個用戶來說都很獨特，相比PSK模式，黑客更難執行蠻力密碼破解或其他無線攻擊。

防止用戶相互窺探：由于在個人模式下每個用戶被分配同樣的加密密鑰，它讓擁有無線密碼的任何人都可以解密來自電波的原始數據包，這可能包括不安全的網站和電子郵件服務的密碼。如果是企業模式，用戶無法解密對方的無線流量。

動態虛擬局域網：如果你不用802.1X驗證，使用虛擬局域網來隔離網絡流量，就像PSK模式那樣，可能不得不將以太網端口和無線SSID手動分配給靜態的虛擬局域網。然而，如果是企業模式，你可以使用802.1X驗證，用于動態的虛擬局域網，這可以自動讓用戶連接到通過RADIUS服務器軟件或用戶數據庫分配給他們的虛擬局域網。

額外的訪問控制：為企業模式提供802.1X驗證的RADIUS服務器軟件大多數還支持額外的訪問策略，你可以視情況將這些策略運用到用戶。比如說，你也許能夠設置時間限制規定何時可以連接，限制用戶可以從哪些設備連接，甚至限制他們通過哪些接入點來連接。

支持有線網絡：如果交換機支持的話，企業無線安全使用的802.1X驗證還可以用于網絡的有線部分。啟用后，插入到網絡上以太網端口的用戶必須先輸入登錄信息，之后才能夠訪問網絡和互聯網。

RADIUS服務器軟件方面的選擇

如上所述，你必須得有某種RADIUS服務器軟件或服務，才能使用企業無線安全。它執行802.1X驗證任務，并充當用戶數據庫或連接到用戶數據庫，你可以在此為用戶們定義登錄信息。現在RADIUS方面有許多不同的選擇：

Windows Server或OS X Server：如果你有Windows Server，應當考慮使用其RADIUS功能。在較舊的版本中，你可以使用微軟所說的互聯網驗證服務(IAS)，或者使用Server 2008及更新版本中的網絡策略服務器(NPS)。同樣，蘋果的OS X Server也內置了RADIUS功能。

其他服務器軟件：查看網絡上其他任何現有服務器的說明文檔或在線規格，比如目錄服務器或網絡附加存儲，看看有無任何RADIUS服務器軟件功能。

接入點：如今的許多企業級接入點包括內置的RADIUS服務器軟件，其功能通常很強大，足以滿足二三十個用戶的需要。再次查看說明文檔或在線規格。

云服務：主機托管的RADIUS服務很適合不想自行安裝或不想自行運行服務器的那些人，或者是需要為廣域網上沒有連接起來的多個位置確保安全的那些人。這方面的選擇包括Cloudessa、IronWifi和本人的服務AuthenticateMyWiFi。

開源或自由軟件：開源FreeRADIUS是最受歡迎的服務器軟件之一。它可以在Mac OS X、Linux、FreeBSD、NetBSD和Solaris上運行，但是需要在Unix類平臺方面有一定的經驗。對比較擅長使用圖形用戶界面(GUI)的那些人來說，可以考慮使用TekRADIUS的免費版，它可以在Windows上運行。

商用軟件：當然了，市面上還有許多基于硬件和軟件的商用方案，比如ClearBox(面向Windows)或Aradial(面向Windows、Linux和Solaris)RADIUS服務器軟件。

選擇EAP類型

802.1X標準的驗證標準名為可擴展驗證協議(EAP)。有多種類型的EAP可供選擇;最流行的是受保護EAP(PEAP)和EAP傳輸層安全(或簡稱TLS)。

大多數傳統的RADIUS服務器和無線客戶端同時支持PEAP和TLS，可能還支持另外許多類型的EAP。不過，一些RADIUS服務器軟件(比如云服務或內置到接入點的服務器軟件)可能只支持PEAP。

PEAP是較簡單的EAP類型：有了它，用戶在連接到無線網絡時只要輸入用戶名和密碼。對使用大多數設備的用戶而言，這個連接過程簡單直觀。

TLS較為復雜，但也更安全：數字證書或智能卡(而不是用戶名和密碼)充當用戶的登錄信息。至于缺點方面，它需要管理員和用戶花更多的精力。如果是智能卡，你還得購買閱讀裝置和卡，然后處理分發工作。而數字證書必須安裝到設備上，這個過程對用戶來說可能有點繁瑣。不過我們很快會看到，你可以使用部署工具幫助簡化證書的分發和安裝。

處理數字證書

即便使用PEAP，每個RADIUS服務器軟件都應該安裝有數字SSL證書。這讓用戶設備可以先核實RADIUS服務器軟件，然后再進行驗證。如果你使用TLS，還得為用戶制作并安裝客戶端證書。就算你使用PEAP，可能也得向每個客戶機設備分發根認證中心(CA)證書，要是該證書之前還沒有安裝的話(稍后會有詳細介紹)。

你可以使用RADIUS服務器軟件提供的實用工具，自行生成數字證書，通常名為自簽名證書;也可以向公共認證中心購買，比如賽門鐵克SSL(之前的VeriSign)或GoDaddy。

如果是TLS方案，通常最好構建自己的公鑰基礎設施(PKI)和自簽名證書。這對大多數無線客戶機屬于單一網絡域的網絡來說更加可行，那樣你可以輕松地分發和安裝證書了。如果用戶使用的設備不在域上，通常必須手動安裝證書。

你可以使用一些第三方產品，簡化在非域網絡中分發服務器軟件根認證中心和客戶端證書的過程，比如面向Windows設備的SU1X工具，以及面向Windows、OS X、Ubuntu Linux、iOS和安卓設備的XpressConnect。

如果是PEAP方案，要是你用戶的無線設備絕大多數并沒有加入到域，向公共認證中心購買服務器端證書可以節省好多力氣。這是由于生成服務器證書所用的根認證中心證書必須放在客戶機設備上，如果你希望它們能夠核實服務器。裝有Windows、Mac OS X和Linux的設備通常預先安裝了來自知名認證中心的根認證中心證書。

連接支持企業模式的設備

一旦你安裝好了RADIUS服務器軟件或服務，配置好接入點來使用RADIUS用于驗證，并且將任何所需的證書分發給了需要這些證書的那些設備，你就可以隨時將用戶的設備連接到安全的企業無線網絡。

從Windows、Mac OS X或iOS設備連接時，連接過程簡單直觀：按平常那樣從網絡列表中選擇網絡;如果使用EAP，系統會提示輸入用戶名和密碼。(如果是TLS方案，數字證書或智能卡負責讓設備登錄上去)。連接過程在安卓上有點不一樣。

連接非企業設備

如今用于面向計算機、平板電腦和智能手機的幾乎所有流行的操作系統都支持企業模式WPA2。然而，有一些無線設備只支持個人PSK模式。這些通常不是較舊的無線設備，就是主要為家庭或消費者使用設計的設備，比如游戲機、無線網絡攝像頭或智能恒溫器。你可能還會發現幾種商務設備缺少企業模式支持功能，比如無線信用卡終端。

惠普501無線網橋：這款惠普501無線網橋可連接到安全的企業網絡。

除了索性更換設備(這可能不是個辦法)外，你還有幾個辦法可以讓非企業設備連接上去。許多RADIUS服務器支持MAC(介質訪問控制)驗證旁路，這讓你可以指定你不希望參與驗證過程，但又允許訪問網絡的特定設備的MAC地址。然而，考慮到很容易欺騙MAC地址，這并不是一種非常安全的方法。另一個辦法就是制作使用個人PSK安全模式的單獨的SSID，但這也會降低網絡的安全性。

如果非企業設備有以太網端口，一個辦法就是將它插入到有線網絡。要是沒有可用的以太網端口可插入，還有一個辦法就是使用企業級無線網橋。你可以禁用該設備的內部無線(要是有的話)，將無線網橋連接到設備的以太網端口，然后網橋就會無線連接到主要的企業級安全無線網絡。

防范中間人攻擊

雖然企業無線安全提供了出色的保護，但是它也有安全漏洞，其中一個漏洞就是中間人攻擊。如果黑客構建一個虛假的無線網絡或破壞性接入點，其名稱通常與目標網絡一模一樣，那樣無線設備就會自動連接到它，就會出現中間人攻擊。虛假網絡同樣有自己的RADIUS服務器。

黑客的目的是讓連接到虛假網絡的設備捕獲驗證嘗試，這可能會導致黑客捕獲登錄信息。甚至可能搭建虛假網絡，那樣用戶完全連接到互聯網，讓他們根本察覺不出哪里出了岔子。

這就是為什么將數字SSL證書安裝到你的RADIUS服務器上如此重要。正如前面所述，大多數無線設備可以在連接到無線網絡之后核實服務器。這有助于確保它們是在與真實的服務器聯系，然后再傳輸登錄信息。

如果是Windows、Mac OS X和iOS設備，服務器核實功能通常默認情況下已啟用。你頭一次連接到企業無線網絡時，系統會提示你核實RADIUS服務器的數字證書的有關細節。然后，如果服務器的數字證書或證書發行機構出現了變動，默認情況下你通常會再次看到提示。

Windows中的服務器核實提示：如果有新的或變動的RADIUS服務器證書，該圖表明了Windows顯示的信息。

在安卓手機或平板電腦上，你必須手動啟用服務器核實功能，可能還要安裝服務器的根認證中心證書。

Windows中的服務器核實設置：Windows中用于配置服務器核實和啟用自動拒絕功能的設置。

服務器核實可以幫助你識別可能存在的中間人攻擊，但是許多用戶盲目地接受新證書。為了防止用戶接受新的或變動的服務器證書，你可以使用設備或操作系統為了自動拒絕證書變動而提供的任何功能。

比如說，Windows在計算機或其他設備上的EAP屬性中為此提供了一項設置，可以在每個設備上手動啟用，也可以推送到域網絡上的計算機。