现在，在看过论坛的大量文章之后，相信您已经对无线LAN（无线局域网，WLAN）采取了敬而远之的态度。至少，您已经对WLAN产生了怀疑——这并不是一件坏事情。Rik描述了WEP的缺陷，Corey描述了如何将无线访问点转移到DMZ中，而Dave指出应该将它们彻底地放到外面。不过，还没有人说应该完全舍弃WLAN，这是出于两个非常有说服力的理由。首先，WLAN在某些场合非常有用；其次，您完全可以不必听我们的。

     您已经知道WLAN在办公室的用处。但是，它在家里有什么用呢？正如许多人所指出的，“无线”的价格很便宜，而且确实行之有效（我在撰写本文时，就是通过无线方式连接家庭网络，再通过我的ISP连接到Internet）。那么，如何保护您的用户——以及在他们的计算机上存储的公司数据呢？首先，您（以及您的用户）需要理解WLAN所存在的安全风险。

理解风险

     首先，我们要知道脆弱性、威胁等级以及当某人窃取了敏感信息（或者至少拦截了您的Internet连接）之后会为公司造成多大的损失。正如其他专业人士告诉我们的那样，WLAN确实存在脆弱性。而且这个脆弱性完全是因为WLAN技术本身的原因而造成的。

     那么，具体如何估算因为一次家庭网络入侵而对公司（或个人）造成的损失？这要视情况而定。家庭网络中究竟容纳了什么秘密？上面存有公司的敏感信息吗？有多少军事机密或者个人、财务或者医疗信息？安装了一台家用WAP之后，就相当于从房子里的一台交换机拉了一条5类网线到车道尽头，再在那里装上一个RJ45网线插座。别有用心的人可以跑到房子外面，插好网线，然后访问您的家庭网络。通过连接WAP，他们可以做类似的事情。另外，他们可以嗅探在WAP和每一个无线客户端之间传送的所有无线数据包。

制定策略和操作规程
     您现在或许已经得出结论，对于家庭用户，或许最好的WLAN使用策略就是禁止使用。在这一点上，您或许是正确的。但我们知道，即使知道可能存在的安全风险，但用户们仍有可能选择忽略这条禁令（前面说过，我自己也是这样做的），所以您需要制定一些切实可行的操作准则，便于用户遵守。作为安全专家，我们的工作并不是提供安全性，而是满足企业的任务需求。

     假定我们现在谈论的是一般级别的风险。因此，我们主要关心的不是其他国家的特工所发动的定向攻击（在那种情况下，我们只需说一声：“千万别这样做。”确定让发动攻击的人知道他们的行为将触犯美国联邦法律）。

     首先，还是应该使用WEP来进行身份验证和保证完整性。支持128位或者更高位数加密的PC卡要贵一些，所以许多家庭用户不会考虑购买它们。但是，假如您的用户想把他们的工作用电脑连接到家庭WLAN上，就应该在策略中规定必须购买此类高位加密产品。

     接着，要求用户使用一个随机密钥。许多WAP会根据一个密码来生成一个密钥。正如Rik几周前指出的，因为实现上存在的缺陷，使这个密钥生成机制成为一个摆设。如果您的用户采用这个方法，他们应该为密码使用随机字母和数字，并允许WAP生成密钥。然后，它们可以将生成的加密密钥人工输入无线客户端中。另外，他们必须每周改变一次密钥。当然，他们也许不会这么自觉。但是，假如您要求每周改变一次，那么他们可能会每个月改变一次。记着提醒他们就好。