無論您所在的企業規模如何，運用WPA2安全機制都將成為保護Wi-Fi網絡安全的良好第一步。同時，千萬不要使用該標準中安全性較低的PSK模式——這會帶來嚴重的潛在風險。

　　時至今日，利用Wi-Fi Protected Access II(簡稱WPA2)保護無線網絡安全已經成為一種主流趨勢，但許多小型甚至中型企業仍然在默認使用WPA2標準中的個人或預共享密鑰(即PSK)模式，而非其提供的企業模式。雖然看名字有點唬人，但企業模式并非僅僅適用于大型網絡體系; 它同時也能夠融入各類不同規模的業務環境當中。大家可能認為純粹的個人模式更易于管理，不過考慮到企業網絡保障所提出的諸多要求，貪圖一時省事卻往往給未來的安全故事種下了禍根。

　　WPA2的企業模式采用802.1X驗證機制，其會給網絡提供一套額外的安全層，且在設計思路方面更適合業務網絡而非個人使用模式。雖然在初期配置方面，企業模式要求使用者投入更多資源與精力——舉例來說，大家需要為遠程認證撥號用戶服務(簡稱RADIUS)提供服務器或服務支持——但整個過程不一定像各位預想的那樣復雜或者昂貴，無論是對單一企業還是需要面向多個組織的IT/托管服務供應商而言皆是如此。

　　首先來談談我自己的情況：我所管理的企業負責提供基于云的RADIUS服務。不過平心而論，作為一名擁有一定經驗的網絡專業人士，企業級Wi-Fi安全方案才是各類業務網絡的最佳選擇，具體理由我們將在下文中一同探討。而且需要強調的是，大家甚至根本沒有必要使用托管RADIUS服務。本文將提供多種其它RADIUS服務器選項，而且其中一部分完全無需任何資金投入。接下來就讓我們一同展開這場關于Wi-Fi安全網絡的探索與求證之旅。

　　企業模式的優勢體現在哪些方面

　　誠然，每種模式都擁有自己獨特的優勢。PSK模式的初始設置非常簡單。大家只需要為接入點上設置一條密碼，而用戶在輸入這條正確的全局密碼后即可連接到Wi-Fi網絡當中�？雌饋砗敛毁M力，但這種方法卻也存在著幾個問題。

　　▲在個人或者預共享密鑰(即PSK)模式下，我們只需要設置一條全局Wi-Fi密碼。

　　首先，由于網絡當中的每位用戶都使用同樣的Wi-Fi登錄密碼，因此任何一位離職員工都能夠繼續使用這一無線接入點——除非我們修改密碼內容。很明顯，修改密碼內容意味著我們需要調整接入點設備的設置，并把新密碼內容向全部用戶公開——而在下一次登錄時，他們需要至少正確輸入一次，才能將其保存為默認選項以備今后連接時使用。

　　而在企業模式下，每一位用戶或者設備都擁有獨立的登錄憑證，大家可以在必要時對其進行變更或者調用——而其他用戶或者設備完全不會受到影響。

　　▲在企業模式下，用戶在嘗試接入時需輸入自己獨一無二的登錄憑證。

　　接下來是使用PSK模式的另一個問題：Wi-Fi密碼通常會被保存在客戶設備當中。因此，一旦該設備丟失或者被盜，密碼也將同時遭到破解。這意味著企業必須及時修改密碼內容以避免惡意人士以未授權方式接入業務環境。相比之下，如果我們使用企業模式，那么只需要在設備丟失或者被盜時修改對應密碼即可解決難題。

　　▲任何人都能輕松在Windows Vista或者后續Windows版本當中查看已保存的PSK Wi-Fi密碼內容，這樣一旦設備丟失或者被盜，后果將不堪設想。

　　企業模式的其它優勢

　　使用企業Wi-Fi安全機制還擁有其它多種優勢：

　　更出色的加密效果:由于企業模式所使用的加密密鑰針對每位用戶而有所不同，因此惡意人士很難以PSK最害怕的暴力破壞方式猜出Wi-Fi密鑰內容。

　　防止用戶間窺探: 由于每一位用戶在個人模式下都會被分配以同樣的加密密鑰內容，因此任何擁有該密碼的人都能夠利用Wi-Fi發送原始數據包，其中密碼內容很可能被包含在非安全站點及郵件服務當中。而在企業模式方面，用戶無法解密對方的無線接入方式。

　　動態VLAN:如果大家利用虛擬LAN來隔離網絡流量但又未采用802.1X驗證機制，正如處于PSK模式下的情況，那么我們可能需要以手動方式為靜態VLAN分配以太網端口及無線SSID。不過在企業模式方面，大家可以利用802.1X驗證機制實現動態VLAN，其能夠自動通過RADIUS服務器或者用戶數據庫將用戶自動劃撥至此前分配的VLAN當中。