问：对于我们中小企业的无线网络来说，最佳的无线网络安全策略是什么呢?

　　答：在“中小企业最佳WiFi安全”这篇文章中Mike Chappel介绍了中小企业使用的WPA2-Personal (PSK)和WPA2-Enterprise (802.1X)。WPA2-Personal一般采用共享口令的方法来验证连接到同一WLAN的每一个用户，而WPA2-Enterprise通常是采用基于证书的验证方法，包括机器证书、Windows用户名/密码、SecurID令牌等。

　　正如Mike所介绍的那样，WPA2-Enterprise对中小企业来说有点困难，因为它需要一个RADIUS服务器链接到一个包含了用户证书的账户数据库，每个Wi-Fi客户端都必须配置用户证书。为了使WPA2-Enterprise更加适用于中小企业，可以有两种实施方法，一种是AP或WLAN控制器与一个嵌入式RADIUS服务器，另一种是托管RADIUS服务(或基于云的RADIUS服务)。这两种方法对许多中小企业都非常适合，并且值得付出一些相关的努力或费用来得到一个强健的、粒状的WLAN安全。

　　然而，这两种方法都仍然需要配置Wi-Fi客户端(802.1X客户端)来识别并接受服务器的证书，以及响应那个RADIUS服务器所期望的可扩展的认证协议(EAP)类型。虽然这个配置并不是很复杂的事，但也不像口令那样简单。因为802.1X至少需要一个服务器认证，在那些GUI有限的设备(如智能手机或无线打印机)上进行配置会更难。最后我想说，802.1X问题对故障修复来说都是小问题。

　　那些认真考虑过但认为他们并不需要WPA2-Enterprise (802.1X)的中小企业应该知道使用WPA2-Personal(PSK)也有许多方法能使企业网络更好更安全的。对初学者来说，PSK安全主要依赖于你所选择的口令长度和强度。建议使用一个混合型的口令，至少有20个字符长，避免使用一些字典中能够找到的单词，并且用一个不太一样的SSID。为了测试你WPA2-Personal口令的强度，你可以通过运行一个在线WPA Cracker来试试。

　　尽管如此，即使是一个强壮的口令也仍然会很容易遭受共享密码风险，例如，那些不应该得到口令的人得到了口令，或者如果一个员工被解雇了，或笔记本电脑丢了，而不得不去修改口令。为了避免这些问题，可以考虑使用支持动态per-user口令的AP。802.11标准的不需要每个客户端都使用相同的PSK;一些供应商们已经对这一特点加以利用了，他们为每个用户分配了唯一的口令。Per-user口令可以阻止内部攻击(如解密其他用户的流量)。动态per-user口令是有时限的，所以来宾只是在一个限定的时间段内可以进行访问。也有一些措施可以帮助访问者或帮助台来进行注册以获取动态口令，这样就简化了口令的生成和分配。