RADIUS 如何提高 WiFi 无线网络安全性

关于 RADIUS 如何提高 WiFi 无线网络安全这个问题，可能很多 IT 管理员都想了解。这就要先从WiFi 网络的密码传播开始谈起。

纵观很多企业在无线网络方面的日常做法，经常能发现 WiFi 密码写在会议室白板上；员工之间通过邮件共享密码；有访客来公司的时候，也会在便签纸上写下密码。

这么做的确很方便，但也因此产生了安全风险，导致企业的无线网络遭遇入侵，最终将整个企业的信息数据暴露在危险中。那么，企业应该如何保护无线网络呢？答案就是 RADIUS 协议——管控 WiFi 无线网络访问安全的行业标准。

01什么是RADIUS 协议？

RADIUS 是远程认证拨入用户服务（Remote Authentication Dial In User Service）的简称。其中，“拨入”一词也反映了 RADIUS 诞生的时代背景。这项协议从1991年就开始投入使用。经过三十多年的发展，今天的 RADIUS 主要用于对远程无线网络、VPN、网络基础设施设备等进行用户认证和授权，具体是通过无线接入点（WAP）上的 WPA2 协议实现，也就是上文提到的 SSID 和密码的共享过程。但除此之外，企业更希望能将 RADIUS 应用到本地的无线网络，从而提升企业内网安全。

企业有很多方案可供选择，包括 FreeRADIUS、微软网络策略服务器（NPS）、Cisco ISA、RADIUS 即服务等。

02RADIUS 如何增强 WiFi 安全性

将 RADIUS 集成到微软 Active Directory（AD）或 OpenLDAP 等目录服务就可以实现加强 WiFi 无线网络安全。那么，具体应该怎么实施呢？首先，为了访问受 RADIUS 保护的无线网络，用户必须提供唯一的核心身份凭证。
  
本质上来说，用户拥有的业务系统身份凭证就可以用来登录企业网络。这些凭证从用户的PC或移动设备上的客户端发送到 WAP，再到 RADIUS 认证服务器。服务器会将接收的凭证和存储在目录服务中的凭证进行匹配。需要注意的是，终端用户凭证一般存储在企业核心身份源（IdP）中，虽然也可以存储在本地 RADIUS 服务器，但不会只存储在服务器。
 
部署了 RADIUS 认证服务器后，企业再也不用担心不法分子从会议室白板或其他途径窃取内网的 SSID 和密码。即便有了密码，如果没有能用于目录服务认证的唯一用户凭证，依然无法访问网络，安全性自然大幅提升。
 
而要进一步增强网络安全，企业还可以使用 RADIUS 来给每个用户进行 VLAN 标记。具体来说就是将无线内网分割成所需的任意数量的虚拟网络，再将单个用户或组（部门）分配到一个或多个特定 VLAN。这样一来，即便个别用户或 VLAN 出现问题，也不会影响企业整体的网络架构。

03 RADIUS 实施难点

搭建 RADIUS 服务器的难点在于集成。RADIUS 服务器首先需要获得用户的访问权限信息，这就要通过和目录服务集成来实现，可能会遇到很多问题。然后，如果企业自行承担服务器的安装、配置、管理，那么 RADIUS 的整体实施会很耗时。

​