保护访客无线networking

推荐的方法是使用DMZconfiguration。 您可以保持开放的无线连接，以便客人轻松连接。 但是，有几件事情你会想要控制。

1. 将您的wifi连接放在dmz区域，并将其连接视为潜在的敌意。 这意味着configuration您的防火墙阻止到本地networking的传入连接，并允许只有特定的连接通过互联网（例如HTTP / HTTPS）。

2. 将wifi设备放置在与本地networking不同的子网和networking范围内。 这将迫使计算机通过防火墙设备路由数据包。 确保无线networking物理上与本地networking断开连接。

3. （可选）实现某种types的radiusauthentication，也许使用chilispot或类似的东西。 这将允许您进行某种authentication。 你可以使用这个来更好的控制你的wifi的使用。 客人可以在入住期间获得用户名/密码login。

希望这给你一些想法。

通常，您可以设置一个AP并将其连接到您的Internet连接。

需要考虑的事项：

• 确保AP不会以任何方式连接到你的内部networking（除非你真的知道你在做什么）。 你不想把你的局域网暴露给任何路人。
• 如果你使用encryption技术，你可以减less你的攻击面，因为它使随机的人使用你的AP的可能性更小。 这不是一个真正的安全措施（你使用的任何密钥都是公开的），但是可以防止像陌生人带走的带宽的烦恼。
• 你应该对法律问题做一个基本的检查：你的ISP是否允许这种共享（有些禁止在合同中）？ 您是否对通过AP提交的计算机犯罪承担法律责任（不是在大多数司法pipe辖区，但可能会有所不同）。

我宁愿保持一个开放的接入点，所以我不必支持不知道如何正确input密码的用户。 但是，如果我不这样做，我应该使用WPA还是WPA2？ 如果我使用WPA2，会不会有兼容性问题？

正如所指出的那样，encryption避免了一些烦恼，但是我并不认为这是非常重要的。 如果你使用它，WPA2可能会好起来的。 自2003年以来，WPA一直需要Wi-Fi联盟的authentication，而自2006年以来，WPA2一直需要WPA2，所以最近的设备应该做WPA2。

将用户与networking隔离的最佳方式是什么？ 我想最简单的方法就是将接入点放在自己的DSL连接上。 我的其他select是什么？

不需要单独的DSL连接，真的。 您应该在您的DSL连接和您的LAN之间有任何一种路由器/防火墙。 只需将AP直接挂接到DSL，即可绕过防火墙。 或者把它放进你的非军事区（如果有的话），甚至更好，进入它自己的非军事区。

sybreon有个很好的答案，碰到了…

我最初设置我们的办公室无线使用chillispot auth'ing反对freeradius使用旧的方法 ，允许您创build令牌超时。 它工作得相当好，并没有太多的麻烦pipe理。 OP没有给出预算或能力的良好指示，但是我们目前使用Cisco WLC和ACS的解决scheme可以实现一些非常酷的function：

1. auth对我们的AD
2. 基于用户和机器组的NAC类VLAN分配
3. 单独的大厅pipe理员帐户，您可以切换到帮助台，以便他们可以创build具有设置生存期的临时帐户

您可以设置MAC地址过滤，并在访问MAC时添加访问者MAC，并删除当天结束，这是如果您不想encryption。 您也可以设置一个屏幕，用户必须先说明他的电子邮件地址，然后才能继续。

如果你必须设置wpa，那么使用wpa2 + aes，因为wpa + tkip是脆弱的。 http://www.wi-fiplanet.com/news/article.php/3784251

请参阅本主题中有趣的文章： http : //www.schneier.com/blog/archives/2008/01/my_open_wireles.html