移动设备正成为企业黑客攻击的主要渠道，而安全漏洞不断的WiFi网络无疑是企业移动安全的最大隐患。更糟糕的是，很多中小企业，甚至一些规模更大的企业的部分WiFi网络都使用WiFi个人安全模式。

随着WiFi网络安全问题的日益严峻，中小企业应当尽快切换到WiFi企业级安全模式，也就是启用WPA2（802.11i），虽然这意味着需要启用专门的RADIUS服务器进行802.1X认证，设置起来比较麻烦，但是能大大提升企业WiFi网络的安全性，相比WiFi网络安全事故给企业带来的巨大损失，这种付出绝对物超所值（安全牛建议拥有WiFi网络的酒店网吧和酒吧也将WiFi网络升级到企业级安全模式）。

以下是安全牛总结的部署企业级WiFi网络安全模式的七大理由：

一、彻底消灭共享密码带来的安全隐患。

WiFi个人安全模式下，所有用户共享一个WiFi网络接入密码，也就是所谓的与共享秘钥PSK，任何一个用户的设备丢失或者离职都有可能导致WiFi密码的泄露，从而威胁到企业WiFi网络内的数据，管理员能做的只能是要求所有用户都统一更换新密码，非常麻烦。

虽然很多企业在安全策略中要求员工严格保护WiFi密码，但是只有升级到企业级WiFi安全模式才能彻底杜绝这种安全隐患。

企业级的WPA或WPA2安全模式下，管理员可以为每个用户分配不同的密码和用户名（PEAP），如果有员工丢失设备或者离职，管理员只需要注销对应的账户和密码就行，不会影响到其他用户。

二、防范WiFi网络监听。

在WiFi个人安全模式下，任何接入网络的用户都可以扫描网络内的流量，使用firesheep之类的插件或者黑客工具查看其他人的网络浏览记录、邮件、社交账户甚至截获网银账号。

在企业级WiFi安全模式下，秘钥的分配和交换在后台完成，用户之间无法互相解密流量，而且这不会影响文件和打印共享等网络服务。

三、支持部署其他高级网络安全功能。

除了通过802.1X的PEAP管理一对一的账户密码外，企业级WiFi安全还支持通过EAP-TLS模式部署客户端的SSL（X.509）安全证书。虽然安全证书的分发和安装会比密码麻烦，但显然是个更加安全的方式。如果还觉得不够安全，你还可以通过智能卡中储存的私钥来部署用户证书，这就要求用户需要有物理U盘插入客户端才能完成802.1X认证。

四、认证模式可以无缝扩展到有线网络。

WiFi企业级安全模式使用的802.1X认证配备RADIUS服务器，同时也可以提供有线网络的访问认证服务。

五、可以动态划分VLAN

使用802.1X认证也意味着你将可以为客户端动态分配VLAN。例如你可以将多个用户分配到不同的SSID上的同一个VLAN上。

六、可以有更多的网络控制选项

在WiFi个人安全模式下，所有人都使用相同的密码登入网络，而管理员无法管理具体的接入客户端。在企业级模式下，RADIUS服务器可以对特定的用户或者群组进行管理，例如登录时间限制，为特定用户划定所能访问的AP，以及指定终端接入设备。

七、支持网络访问保护NAP

除了RADIUS服务器支持的各种基本访问控制服务外，你还可以与802.1X认证配合使用NAP；例如Windows Server2008或者更新的版本可以配置网络策略服务器（NPS）同时支持NAP功能和802.1X认证。

NAP是微软开发的网络访问控制协议，可以根据客户端的安全健康状况（例如操作系统补丁和杀毒软件更新情况、个人防火墙和安全设置情况）来决定是否允许其访问网络。

补充建议：

虽然商用RADIUS服务器价格不菲，但是对于中小企业来说有很多低成本的解决方案，例如Windows Server 2003之后的版本中的IAS（互联网认证服务)模块，或者Windows2008之后版本中的NPS（网络策略服务器）模块都可以用来部署RADIUS服务器。

如果你不愿部署上述的RADIUS服务器，你还可以考虑一些云端或免费的802.1X认证服务，例如Elektron（750美元/月）、ClearBox（）或FreeRADIUS（基于Linux的开源软件）。