无线网络的安全性管理

　　大多数企业级WLAN产品和许多SMB产品都提供内置来宾管理功能。从简单的强制网络门户和防火墙过滤到流量整形和唯一的来宾登录，这类产品都可以不用IT协助自动生成。

　　举例说明，我们看下Meraki的企业级WLAN云控制器提供的来宾管理功能。为了创建一个Meraki来宾无线局域网，我们需要开始指令配置一个SSID，比如一次点击或者登入开始页面。如果选择了开始页面，用户会被重定向到一个定制的入口，通过输入用户名和密码登录。

　　来宾开始创建有三种选择。第一，管理员配置来宾账号。第二，来宾代表可以增加和删除来宾账号但是不能做其他改动，第三，允许来宾在入口提示页使用他们自己的账户，以管理员批准为准。

　　控制用户活动实现来宾无线局域网的安全性

　　下一步便是控制登录用户的活动。考虑强制网络门户是否要求用户运行防毒软件。然后设置允许的目的地，端口和URL，选择性的添加带宽限制和有线/无线属性。最后，考虑在允许或不允许本地局域网访问时，来宾流量是否需要桥接到一个VLAN或路由到Internet。云控制器可以分析流量来查看无线来宾网络的使用情况。

　　这些功能通常适用于未加密的来宾无线网络，但是也可以结合WPA2-PSK实现加密。设置PSK可以降低拒绝服务攻击和防止外部探测。然而传统的PSK是共享给每个用户的，他们没法跟踪或对单独的来宾取消跟踪。不过一些产品提供动态PSK给每个用户，如Ruckus DPSK和Aerohive PPSK可以解决这类问题。

　　例如，Ruckus无线局域网可以设置给每个来宾一个唯一的DPSK。任何有企业网络访问权的用户都可以通过一个Web表格来申请Ruckus来宾权限，每个发布的来宾权限都提供了他们可打印的说明，包括来宾姓名，来宾SSID，来宾唯一的DPSK和有效期限。这些设置甚至可以自动安装到Windows系统、OS X和iPhone客户端上，有效避免手工设置和可能出现的错误。一旦生效，DPSK会自动过期或被废除，不用中断其他的使用。

　　来宾无线网络上的设备完整性检查

　　这些来宾管理策略可以在无线局域网上提供很好的可视性和可控制行，包括来宾可以访问什么以及他们可以使用什么资源。然而，要预防被感染病毒的来宾所带来的破坏还需要更多的措施。据Gartner所述，网络准入控制部署中有四分之三就是为了应对这类威胁的。

　　虽然阻止被感染的无线客户端不是来宾无线局域网所需要做的事，但是来宾设备会造成更大的危险，因为他们不被IT部门所管理，一般不能强行安装IT部门要求的软件或者配置，甚至不能进行临时地完整性检查。例如，一个强制网络入门可能会使用ActiveX控制来快速查看来宾是否运行着授权的杀毒软件。然而，ActiveX控制不能查看非Windows的来宾设备或者被锁的浏览器。

　　对一些企业，针对使用windows的来宾进行完整性检查已经足够了，毕竟，病毒在Windows下比较普通。但是其他企业可能倾向于阻止那些不能检查的来宾或者对他们进行限制(如，只能HTTP，不能访问内网)。第三种可能是使用NAC或者IDS产品，比如ForeScout，CounterACT或Bradford Network Sentry，他们可以运行基于网络的检查。NAC设备可以整合到现有的无线网络设施中给来宾管理者提供访问控制策略，如果检测到客户端有病毒威胁或者策略违反就立即切断。