一、控制覆盖率。许多 AP (Access Points) 可以让你调整信号强度，有些甚至可以调整信号方向。安装 AP 时先将 AP 放在离外墙及窗户最远的地方，然后调整信号强度使之不穿透外墙。虽然这样做可以避免一些无线网路的窃听，但是有些敏感度很高的无线网卡仍能够在数十公尺外接受到讯号。而且就算能够选到一个放 AP 的好位置，依然无法确保让讯号不外流。请接看下去。
二、保护好每个 AP。除了将 AP 放在一个良好安全控管的地方外，也要将厂商的预设值做适当的更改。懒堕的系统管理者因为没有改预设的管理者密码(比如 Linksys 产品使用 admin 当做预设的密码)，因而造成整个网路成为被侵入的最好目标。关于如何选择一个好的密码，请参考 http://www.pcmag....swords，我建议密码长度最好超过十一位

三、禁止假冒的 AP。确定家里或办公室内的所有 AP 是你或系统管理者所安装的。一些免费的软体，像 NetStumbler (netstumbler.com...)，可以让你扫去假冒的 AP。

四、使用 128-bit WEP。WEP (Wired Equivalent Privacy) 在协定本身很简单，虽然借由使用像 Linux 上的免费软体 AirSnort (http://airsnort...o.com)，对有经验的破解者而言，被动的扫描及破解 WEP 只是一桩小事，但使用较长的 key，仍能增加网路被破解的时间。

五、聪明的使用 SSID。更改 AP 上预设的 SSID，而且不要使用像地址或公司名这样的容易猜测的 SSID。企业使用，最好买有支援可以取消 SSID 广播功能的 AP。虽然入侵者可以借由像 Kismet (kismetwireless.net...) 的软体来窃听 SSID，但任何的不便都对网路保护更有帮助。

六、限制无线网路存取的权限。在公司大楼内并不是每个人都必需使用无线网路。如果你侦测到未被授权的用户使用无线网卡发出讯号，马上制止他。设定 AP，让只有经过被授权的无线网卡硬体位址 (MAC address)，可以被允许存取无线网路。

七、限制可以使用的 IP 位址数目。如果你并没有太多的用户，请考虑设定 DHCP 所发放的 IP 位址数跟最大使用者数目相同，而且无线网路的讯号只含盖到用户所在的地方。一但本来被授权的用户无法连上网路，你就可以猜想到有非法入侵了。

八、验证使用者。安装支援 IPSec VPN 连接的防火墙，而且在远端使用者要用 VPN 连进网路时，要求他们做身份确认及登入。比如说 Linksys Instant Broadband EtherFast Cable/DSL Firewall Router (BEFSX41) 就是一个很好的选择。如果你用 VPN 连接到一台 AP，但是确没有要求你做身份确认及登入的画面，你就知道你又连接到一台恶意假冒的 AP。

九、使用 RADIUS。安装 RADIUS 伺服器可以提供另一类的认证。免费的 FreeRADIUS (freeradius.org...) 将会是一个很好的选择。

十、花钱买保险。如果你有几亿的财产要保护，不妨花点钱购买专门无线网路的防护设备。比如 AirDefense (airdefense.net...) 就是一种特定给无线网路保护及入侵防护的硬体设备。或者向设备及系统整合厂商购买顾问服务也是一种选择。