涉及到無線網(wǎng)絡(luò)安全性設(shè)計時，通常應(yīng)該從以下幾個安全因素考慮并制定相關(guān)措施。

　?。?）身份認(rèn)證：對于無線網(wǎng)絡(luò)的認(rèn)證可以是基于設(shè)備的，通過共享的WEP密鑰來實現(xiàn)。

　　它也可以是基于用戶的，使用EAP來實現(xiàn)。無線EAP認(rèn)證可以通過多種方式來實現(xiàn)，比如EAP－TLS、EAP－TTLS、LEAP和PEAP。在無線網(wǎng)絡(luò)中，設(shè)備認(rèn)證和用戶認(rèn)證都應(yīng)該實施，以確保最有效的無線網(wǎng)絡(luò)安全性。用戶認(rèn)證信息應(yīng)該通過安全隧道傳輸，從而保證用戶認(rèn)證信息交換是加密的。因此，對于所有的網(wǎng)絡(luò)環(huán)境，如果設(shè)備支持，最好使用EAP－TTLS或PEAP。

　?。?）訪問控制：對于連接到無線。

　　網(wǎng)絡(luò)用戶的訪問控制主要通過AAA服務(wù)器來實現(xiàn)。這種方式可以提供更好的可擴展性，有些訪問控制服務(wù)器在802．1x的各安全端口上提供了機器認(rèn)證，在這種環(huán)境下，只有當(dāng)用戶成功通過802．1x規(guī)定端口的識別后才能進行端口訪問。此外還可以利用SSID和MAC地址過濾。服務(wù)集標(biāo)志符（SSID）是目前無線訪問點采用的識別字符串，該標(biāo)志符一般由設(shè)備制造商設(shè)定，每種標(biāo)識符都使用默認(rèn)短語，如101即指3COM設(shè)備的標(biāo)志符。倘若黑客得知了這種口令短語，即使沒經(jīng)授權(quán)，也很容易使用這個無線服務(wù)。對于設(shè)置的各無線訪問點來說，應(yīng)該選個獨一無二且很難讓人猜中的SSID并且禁止通過天線向外界廣播這個標(biāo)志符。由于每個無線工作站的網(wǎng)卡都有唯一的物理地址，所以用戶可以設(shè)置訪問點，維護一組允許的MAC地址列表，實現(xiàn)物理地址過濾。這要求AP中的MAC地址列表必須隨時更新，可擴展性差，無法實現(xiàn)機器在不同AP之間的漫游；而且MAC地址在理論上可以偽造，因此，這也是較低級的授權(quán)認(rèn)證。但它是阻止非法訪問無線網(wǎng)絡(luò)的一種理想方式，能有效保護無線網(wǎng)絡(luò)安全。

　　（3）完整性：通過使用WEP或TKIP，無線網(wǎng)絡(luò)提供數(shù)據(jù)包原始完整性。

　　有線等效保密協(xié)議是由802．11標(biāo)準(zhǔn)定義的，用于在無線局域網(wǎng)中保護鏈路層數(shù)據(jù)。WEP使用40位鑰匙，采用RSA開發(fā)的RC4對稱加密算法，在鏈路層加密數(shù)據(jù)。WEP加密采用靜態(tài)的保密密鑰，各無線工作站使用相同的密鑰訪問無線網(wǎng)絡(luò)。WEP也提供認(rèn)證功能，當(dāng)加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發(fā)出一個Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點以進行認(rèn)證比對，如果正確無誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源?，F(xiàn)在的WEP也一般支持128位的鑰匙，能夠提供更高等級的無線網(wǎng)絡(luò)安全加密。在IEEE 802．11i規(guī)范中，TKIP：Temporal Key Integrity Protocol（暫時密鑰集成協(xié)議）負(fù)責(zé)處理無線網(wǎng)絡(luò)安全問題的加密部分。TKIP在設(shè)計時考慮了當(dāng)時非?？量痰南拗埔蛩兀罕仨氃诂F(xiàn)有硬件上運行，因此不能使用計算先進的加密算法。TKIP是包裹在已有WEP密碼外圍的一層“外殼”，它由WEP使用的同樣的加密引擎和RC4算法組成。TKIP中密碼使用的密鑰長度為128位，這解決了WEP的密鑰長度過短的問題。

　　（4）機密性：保證數(shù)據(jù)的機密性可以通過WEP、TKIP或VPN來實現(xiàn)。

　　前面已經(jīng)提及，WEP提供了機密性，但是這種算法很容易被破解。而TKIP使用了更強的加密規(guī)則，可以提供更好的機密性。另外，在一些實際應(yīng)用中可能會考慮使用IPSec ESP來提供一個安全的VPN隧道。VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）是在現(xiàn)有網(wǎng)絡(luò)上組建的虛擬的、加密的網(wǎng)絡(luò)。VPN主要采用4項安全保障技術(shù)來保證無線網(wǎng)絡(luò)安全，這4項技術(shù)分別是隧道技術(shù)、密鑰管理技術(shù)、訪問控制技術(shù)、身份認(rèn)證技術(shù)。實現(xiàn)WLAN安全存取的層面和途徑有多種。而VPN的IPSec（Internet Protocol Security）協(xié)議是目前In－ternet通信中最完整的一種無線網(wǎng)絡(luò)安全技術(shù)，利用它建立起來的隧道具有更好的安全性和可靠性。無線客戶端需要啟用IPSec，并在客戶端和一個VPN集中器之間建立IPSec傳輸模式的隧道。

　?。?）可用性：無線網(wǎng)絡(luò)有著與其它網(wǎng)絡(luò)相同的需要，這就是要求最少的停機時間。

　　不管是由于DOS攻擊還是設(shè)備故障，無線基礎(chǔ)設(shè)施中的關(guān)鍵部分仍然要能夠提供無線客戶端的訪問。保證這項功能所花費資源的多少主要取決于保證無線網(wǎng)絡(luò)訪問正常運行的重要性。在機場或者咖啡廳等場合，不能給用戶提供無線訪問只會給用戶帶來不便而已。而一些公司越來越依賴于無線訪問進行商業(yè)運作，這就需要通過多個AP來實現(xiàn)漫游、負(fù)載均衡和熱備份。

　　當(dāng)一個客戶端試圖與某個特定的AP通訊，而認(rèn)證服務(wù)器不能提供服務(wù)時也會產(chǎn)生可用性問題。這可能是由于擁塞的連接阻礙了認(rèn)證交換的數(shù)據(jù)包，建議賦予該數(shù)據(jù)包更高的優(yōu)先級以提供更好的QoS。另外應(yīng)該設(shè)置本地認(rèn)證作為備用，可以在AAA服務(wù)器不能提供服務(wù)時對無線客戶端進行認(rèn)證。

　?。?）審計：審計工作是確定無線網(wǎng)絡(luò)配置是否適當(dāng)?shù)谋匾襟E。

　　如果對通信數(shù)據(jù)進行了加密，則不要只依賴設(shè)備計數(shù)器來顯示通信數(shù)據(jù)正在被加密。就像在VPN網(wǎng)絡(luò)中一樣，應(yīng)該在網(wǎng)絡(luò)中使用通信分析器來檢查通信的機密性，并保證任何有意無意嗅探網(wǎng)絡(luò)的用戶不能看到通信的內(nèi)容。為了實現(xiàn)對網(wǎng)絡(luò)的審計，需要一整套方法來配置、收集、存儲和檢索網(wǎng)絡(luò)中所有AP及網(wǎng)橋的信息，有效保護無線網(wǎng)絡(luò)安全。