6.一定要应用NAP或者NAC

　　除了802.11i和WIPS之外，你应该考虑应用一个NAP(网络接入保护)或者NAC(网络接入控制)解决方案。这些解决方案能够根据客户身份和执行定义的政策的情况对网络接入提供额外的控制。这些解决方案还包括隔离有问题的客户的能力以及提出补救措施让客户重新遵守法规的能力。

　　有些NAC解决方案可能包括网络入侵防御和检测功能。但是，你要保证这个解决方案还专门提供无线保护功能。

　　如果你的客户机在运行Windows Server 2008或以上版本以及Windows Vista或以上版本的操作系统，你可以使用微软的NAP功能。此外，你可以考虑第三方的解决方案，如开源软件的PacketFence。

　　7.不要信任隐藏的SSID

　　无线安全的一个不实的说法是关闭接入点的SSID播出将隐藏你的网络，或者至少可以隐藏你的SSID，让黑客很难找到你的网络。然而，这种做法只是从接入点信标中取消了SSID。它仍然包含在802.11相关的请求之中，在某些情况下还包含在探索请求和回应数据包中。因此，窃听者能够使用合法的无线分析器在繁忙的网络中迅速发现“隐藏的”SSID。

　　一些人可能争辩说，关闭SSID播出仍然会提供另一层安全保护。但是，要记住，它能够对网络设置和性能产生负面影响。你必须手工向客户机输入SSID，这使客户机的配置更加复杂。这还会引起探索请求和回应数据包的增加，从而减少可用带宽。

　　8.不要信任MAC地址过滤

　　无线安全的另一个不实的说法是启用MAC(媒体接入控制)地址过滤将增加另一层安全，控制哪一个客户机能够连接到这个网络。这有一些真实性。但是，要记住，窃听者很容易监视网络中授权的MAC地址并且随后改变自己的计算机的MAC地址。

　　因此，你不要以为MAC过滤能够为安全做许多事情而采用MAC地址过滤。不过，你可以把这种做法作为松散地控制用户可以使用哪一台客户机和设备进入网络的方法。但是，你还要考虑保持MAC列表处于最新状态所面临的管理难题。

　　9.一定要限制SSID用户能够连接的网络

　　许多网络管理员忽略了一个简单而具有潜在危险的安全风险：用户故意地或者非故意地连接到临近的或者非授权的无线网络，使自己的计算机向可能的入侵敞开大门。然而，过滤SSID是防止发生这种情况的一个途径。例如，在Windows Vista和以上版本中，你可以使用netsh wlan指令向用户能够看到和连接的那些SSID增加过滤器。对于台式电脑来说，你可以拒绝你的无线网络的那些SSID以外的所有的SSID。对于笔记本电脑来说，你可以仅仅拒绝临近网络的SSID，让它们仍然连接到热点和它们自己的网络。

　　10.一定要物理地保护网络组件的安全

　　要记住，计算机安全并不仅仅是最新的技术和加密。物理地保证你的网络组件的安全同样重要。要保证接入点放置在接触不到的地方，如假吊顶上面或者考虑把接入点放置在一个保密的地方，然后在一个最佳地方使用一个天线。如果不安全，有人会轻松来到接入点并且把接入点重新设置到厂商默认值以开放这个接入点。

　　11.不要忘记保护移动客户

　　你的WiFi安全的担心不应该仅限于你的网络。使用智能手机、笔记本电脑和平板电脑的用户也许也要得到保护。但是，在他们连接到WiFi热点或者自己家里的路由器的时候会怎样呢?你要保证他们其它的WiFi连接也是安全的以防止入侵和窃听。

　　遗憾的是保证WiFi连接外部的安全并不是一件容易的事情。这需要采取综合性的方法，如提供和推荐解决方案以及教育用户有关WiFi安全风险和防御措施等。

　　首先，所有的笔记本电脑和上网本都应该有一个个人防火墙以防止入侵。如果你运行Windows Serve操作系统，你可以通过组策略强制执行这个功能，你还可以使用Windows Intune等解决方案管理非范围内的名计算机。

　　其次，你需要保证用户的互联网通讯是加密的以防止本地窃听，同时在其它网络上提供访问你的网络的VPN(虚拟专用网)接入。如果你不为这种应用使用内部的VPN，可以考虑使用Hotspot Shield或者Witopia等外包服务。对于iOS(iPhone、iPad和iPod Touch)和Android设备来说，你可以使用这些设备本地的VPN客户端软件。然而，对于黑莓和Windows Phone 7设备来说，你必须设置一个消息服务器并且设置这个设备使用自己的VPN客户端软件。

　　你还应该保证你的面向互联网的服务是安全的，一旦用户在公共网络或者不可信任的网络上不能使用VPN的时候可以使用这个服务。例如，如果你提供你的局域网、广域网或者VPN以外的电子邮件地址，你要保证使用SSL加密以防止本地窃听者。在不可信任的网络中的窃听者能够捕获用户的登录证书或者信息。