有话没说，为什么用户想要 WiFi？只要用户认为他们有合法的需求，他们就会继续寻找解决方法来解决您阻止它的任何尝试。

与用户讨论他们想要完成的工作。也许创建一个官方 wifi 网络（使用您希望的所有安全方法 - 它将是“你的”）。或者，更好的是两个 - 访客和公司 WAP。

WiFi 不是“仅仅因为”就需要被禁止的东西，但它确实需要特别注意，就像安全的所有其他方面一样。

防火墙无法根据物理网络判断您的流量来自何处——它们只能看到协议提供的数据，例如 MAC / IP，在这种情况下用处不大。

我认为你陷入了寻找管理问题的技术解决方案的陷阱。记住不可变的安全法则#10：技术不是万能药。虽然技术可以做一些令人惊奇的事情，但它不能强制用户行为。

您的用户给组织带来了不适当的风险，需要处理该风险。解决问题的方法是政策，而不是技术。设置一个详细说明明确禁止的行为的安全策略，并让您的用户对其进行签名。如果他们违反了该政策，您可以向您的上级提供违规证据，并且可以执行处罚。

没有防火墙规则可以帮助您：通过构造，流氓 AP 提供了绕过防火墙的网络路径。只要用户可以物理访问他们使用的机器和他们的 USB 端口（这很难避免，除非你在所有的 USB 端口上倒胶水......）并且安装的操作系统允许它（再一次，很难避免如果用户是他们系统上的“管理员”，特别是在BYOD上下文中），那么用户可以设置自定义访问点，至少可以访问他们的机器。

您可以使用笔记本电脑、智能手机或平板电脑列出现有 AP，并使用信号强度作为 AP 物理位置的线索来追踪它们。然而，归根结底，这是一个政策问题：让您的用户了解设置自定义接入点的危险；警告他们，这是当地安全政策所禁止的，他们将对此类不当行为可能导致的后果负责（法律和经济）。

除了有关政策方面的答案之外，还有一些技术方法可以在这里为您提供帮助，具体取决于您的 IT 环境控制的严格程度。

1. USB 端口锁定 - 在您的特定情况下，用户使用 USB Wi-Fi 棒创建 AP。如果您的软件可以锁定允许使用的 USB 设备类别（并且您的用户没有本地管理员权限来禁用它们），那么这将是限制此类活动的一种选择。
2. 网络访问控制 - 另一种查看网络上恶意访问点的方法是让用户将标准无线 AP 插入网络中的以太网端口。为了帮助阻止此 NAC，可以使用该 NAC 来限制经批准的设备访问网络。
3. 正如@thomas-pornin 提到的，AP 的检测可以使用手持扫描仪完成，如果您有现有的公司无线网络，那么许多供应商（例如 Cisco）将提供一个恶意接入点检测机制，该机制利用合法的接入点来检测流氓。

我会提到，所有这些措施都可以被坚定/精明的攻击者绕过，但它们可能对普通用户有效。