神话3：启用了802.1X端口控制，我就是安全的。

IEEE的802.1X端口控制可提供一种认证机制，会对每一部希望通过端口进行通信的设备进行安全认证。只有通过认证之后，该设备才会被允许进行通信。如果认证失败，通过此端口的通信就会被禁止。然而，802.1X 设计者的目的并不是为了保护网络免遭无线安全威胁。正如我们所预料的，802.1X在防范Wi-Fi客户端的威胁方面是完全无能为力的。即便802.1X 端口控制可以防止欺骗AP的通信，但是它依然很容易被“隐藏的欺骗AP”所绕过。举个例子，假设某员工已获得了802.1X的认证证书，他便可利用一个静态IP，以“沉静”模式配置他需要连接的2层桥接AP(这样一来，该AP就绝不会在网路上被识别出)。然后他便可以给Wi-Fi客户端一个伪装的身份(即 MAC地址)，从而蒙骗过802.1X端口控制。

实际情况：这里的基本问题是，802.1X提供的是一过性控制(也就是入口控制)，而企业真正需要的是连续的监控。

神话4：我的NAC解决方案会保护我免遭Wi-Fi威胁。

NAC的目的就在于基于策略控制对网络的接入，它包括预准入端点安全策略检查(以确定谁可以接入网络)和后准入控制(确定接入者访问了什么内容)。因为NAC解决方案还包括某些主机检查 (如在主机上运行的操作系统和服务等)，所以可防范欺骗AP作为路由器或NAT的功能。NAC在防范“沉默欺骗AP”威胁方面也是无能为力的。

实际情况：和802.1X相同，NAC也只是一种入门控制，所以关于802.1X的论断同样适用于NAC。

神话5：802.11w可消除Wi-Fi DoS攻击。

究其性质而言，Wi-Fi极易遭受DoS攻击(例如射频干扰、解除认证/解除连接洪水、虚拟干扰等)。利用未经授权的无线频谱加上“简单化”的MAC协议，就能在Wi-Fi上发起DoS攻击。IEEE最近通过了802.11w标准，该标准拟解决对某些802.11管理框架子集(如解除认证框架、解除连接诶框架)的密码保护问题。该标准确实可以缓和基于此类保护框架的攻击。

实际情况：基于各种框架的攻击其实是在802.11w保护界限之外的，而攻击所利用的射频频谱始终是可能的。

神话6：AP兼职安全功能足够了。

WLAN基础架构或许可以支持这样一种模式，一个AP可通过编程成为一个无线入侵检测感应器。然而，如果你需要更高级别的保护，例如想要遵从行业或政府的监管规则，那你需要的就是无线入侵防护(而不只是入侵检测)，因为当把一个AP从接入功能切换为提供保护的功能时，它充其量也只能提供部分保护。具备AP 功能的设备不可能在安全上花费大量的时间周期，如果它这么做了，就有可能会影响到其作为数据/语音承载设备的性能。因此在使用上述模式时，此类设备在扫描病毒和减轻威胁方面都只会花费较少的时间。如此一来，便会产生威胁检测的延时，甚至可能严重影响到禁止/防范能力。

实际情况：“兼职”感应器在可靠地限制威胁方面是非常不可靠的(比如说此类感应器不能执行持续而频繁的遏制分组的传送)。

很显然，来自非管理无线安全设备的威胁需要予以重点关注。解决这一问题的第一步是要为你的企业制定无线安全策略??确定哪些通信是授权的，哪些未经授权。

其次是要评估对于企业的具体安全风险，并追加专门的工具，比如无线入侵检测/防御系统等。最后，但并非最不重要的是，无线安全还是人和用户教育的问题，这一问题在减轻安全风险方面是一个需要坚持不懈加以解决的问题。