無線網(wǎng)絡(luò)安全防范措施精品(七篇)

序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇無線網(wǎng)絡(luò)安全防范措施范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

關(guān)鍵詞：無線網(wǎng)絡(luò)安全防范措施

隨著信息化技術(shù)的飛速發(fā)展,很多網(wǎng)絡(luò)都開始實(shí)現(xiàn)無線網(wǎng)絡(luò)的覆蓋以此來實(shí)現(xiàn)信息電子化交換和資源共享。無線網(wǎng)絡(luò)和無線局域網(wǎng)的出現(xiàn)大大提升了信息交換的速度和質(zhì)量,為很多的用戶提供了便捷和子偶的網(wǎng)絡(luò)服務(wù),但同時(shí)也由于無線網(wǎng)絡(luò)本身的特點(diǎn)造成了安全上的隱患。具體的說來,就是無線介質(zhì)信號(hào)由于其傳播的開放性設(shè)計(jì),使得其在傳輸?shù)倪^程中很難對(duì)傳輸介質(zhì)實(shí)施有效的保護(hù)從而造成傳輸信號(hào)有可能被他人截獲,被不法之徒利用其漏洞來攻擊網(wǎng)絡(luò)。因此,如何在組網(wǎng)和網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候?yàn)闊o線網(wǎng)絡(luò)信號(hào)和無線局域網(wǎng)實(shí)施有效的安全保護(hù)機(jī)制就成為了當(dāng)前無線網(wǎng)絡(luò)面臨的重大課題。

一、無線網(wǎng)絡(luò)的安全隱患分析

無線局域網(wǎng)的基本原理就是在企業(yè)或者組織內(nèi)部通過無線通訊技術(shù)來連接單個(gè)的計(jì)算機(jī)終端,以此來組成可以相互連接和通訊的資源共享系統(tǒng)。無線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點(diǎn)就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實(shí)施信息傳輸和聯(lián)系。對(duì)比傳統(tǒng)的有線局域網(wǎng),無線網(wǎng)絡(luò)的構(gòu)建增強(qiáng)了電腦終端的移動(dòng)能力,同時(shí)它安裝簡(jiǎn)單,不受地理位置和空間的限制大大提高了信息傳輸?shù)男?但同時(shí),也正是由于無線局域網(wǎng)的特性,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡(luò)安全機(jī)制來保護(hù)信息傳輸?shù)陌踩?換句話無線網(wǎng)絡(luò)的安全保護(hù)措施難度原因大于有線網(wǎng)絡(luò)。

IT技術(shù)人員在規(guī)劃和建設(shè)無線網(wǎng)絡(luò)中面臨兩大問題:首先,市面上的標(biāo)準(zhǔn)與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?在有線網(wǎng)絡(luò)階段,技術(shù)人員可以通過部署防火墻硬件安全設(shè)備來構(gòu)建一個(gè)防范外部攻擊的防線,但是,“兼顧的防線往往從內(nèi)部被攻破”。由于無線網(wǎng)絡(luò)具有接入方便的特點(diǎn),使得我們?cè)群馁Y部署的有線網(wǎng)絡(luò)防范設(shè)備輕易地就被繞過,成為形同虛設(shè)的“馬奇諾防線”。

針對(duì)無線網(wǎng)絡(luò)的主要安全威脅有如下一些:

1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡(luò)傳輸可導(dǎo)致機(jī)密敏感數(shù)據(jù)泄漏、未加保護(hù)的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗(yàn)的入侵者手機(jī)有關(guān)用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進(jìn)行社會(huì)工程學(xué)攻擊的一系列商信息。

2.截取和篡改傳輸數(shù)據(jù)。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò),則他可以使用惡意計(jì)算機(jī)通過偽造網(wǎng)關(guān)等途徑來截獲甚至修改兩個(gè)合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。

二、常見的無線網(wǎng)絡(luò)安全措施

綜合上述針對(duì)無線網(wǎng)絡(luò)的各種安全威脅,我們不難發(fā)現(xiàn),把好“接入關(guān)”是我們保障企業(yè)無線網(wǎng)絡(luò)安全性的最直接的舉措。目前的無線網(wǎng)絡(luò)安全措施基本都是在接入關(guān)對(duì)入侵者設(shè)防,常見的安全措施有以下各種。

1.MAC地址過濾

MAC地址過濾在有線網(wǎng)絡(luò)安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機(jī)的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個(gè)AP中,或者直接存儲(chǔ)在無線控制器中,或者在AP交換機(jī)端進(jìn)行設(shè)置。

2.隱藏SSID

SSID(ServiceSetIdentifier,服務(wù)標(biāo)識(shí)符)是用來區(qū)分不同的網(wǎng)絡(luò),其作用類似于有線網(wǎng)絡(luò)中的VLAN,計(jì)算機(jī)接入某一個(gè)SSID的網(wǎng)絡(luò)后就不能直接與另一個(gè)SSID的網(wǎng)絡(luò)進(jìn)行通信了,SSID經(jīng)常被用來作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)識(shí)。一個(gè)SSID最多有32個(gè)字符構(gòu)成,無線終端接入無線網(wǎng)路時(shí)必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會(huì)廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò),例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡(luò)的SSID羅列出來。因此,出于安全考慮,可以設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個(gè)不容易猜解的長(zhǎng)字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個(gè)實(shí)際存在的無線網(wǎng)絡(luò),即便他知道有一個(gè)無線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無法接入到這個(gè)網(wǎng)絡(luò)中去的。

三、無線網(wǎng)絡(luò)安全措施的選擇

應(yīng)用的方便性與安全性之間永遠(yuǎn)是一對(duì)矛盾。安全性越高,則一定是以喪失方便性為代價(jià)的。但是在實(shí)際的無線網(wǎng)絡(luò)的應(yīng)用中,我們不能不考慮應(yīng)用的方便性。因此,我們?cè)趯?duì)無線網(wǎng)路安全措施的選擇中應(yīng)該均衡考慮方便性和安全性。

在接入無線AP時(shí)采用WAP加密模式,又因?yàn)椴徽揝SID是否隱藏攻擊者都能通過專用軟件探測(cè)到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時(shí)只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。

使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決無線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實(shí)意義。來訪用戶所關(guān)心的是方便和快捷,對(duì)安全性的要求不高。強(qiáng)制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式,對(duì)來訪用戶來說簡(jiǎn)單、方便、快速,但安全性比較差。

此外,如果在資金可以保證的前提下,在無線網(wǎng)絡(luò)中使用無線網(wǎng)絡(luò)入侵檢測(cè)設(shè)備進(jìn)行主動(dòng)防御,也是進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)安全性的有效手段。

最后,任何的網(wǎng)絡(luò)安全技術(shù)都是在人的使用下發(fā)揮作用的,因此,最后一道防線就是使用者,只有每一個(gè)使用者加強(qiáng)無線網(wǎng)絡(luò)安全意識(shí),才能真正實(shí)現(xiàn)無線網(wǎng)絡(luò)的安全。否則,黑客或攻擊者的一次簡(jiǎn)單的社會(huì)工程學(xué)攻擊就可以在2分鐘內(nèi)使網(wǎng)絡(luò)管理人員配置的各種安全措施變得形同虛設(shè)。

現(xiàn)在,不少企業(yè)和組織都已經(jīng)實(shí)現(xiàn)了整個(gè)的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時(shí),因?yàn)閷?duì)無線網(wǎng)絡(luò)的安全不夠重視,對(duì)局域網(wǎng)無線網(wǎng)絡(luò)的安全考慮不及時(shí),也造成了一定的影響和破壞。做好無線網(wǎng)絡(luò)的安全管理工作,并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗(yàn)證,是當(dāng)前組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對(duì)接,確保無線網(wǎng)絡(luò)的高安全性,提高企業(yè)的信息化的水平。

參考文獻(xiàn):

[1]譚潤(rùn)芳.無線網(wǎng)絡(luò)安全性探討[J].信息科技,2008,37(6):24-26.

篇(2)

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò);無線網(wǎng)絡(luò);網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-8937（2016）03-0064-02

眾所周知，自從因特網(wǎng)的出現(xiàn)，使社會(huì)全面的步入信息化時(shí)代，并在一定程度提高了社會(huì)的發(fā)展。因特網(wǎng)是計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)技術(shù)共同的產(chǎn)物，在現(xiàn)階段，已經(jīng)很大程度的使人們生活發(fā)生了巨大變化，然而無線網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)與無線通信技術(shù)的產(chǎn)物。與此同時(shí)，無線網(wǎng)絡(luò)的使用是利用無線電波代替雙絞線、同軸電纜等的設(shè)備以此來對(duì)數(shù)據(jù)進(jìn)行傳輸，這在一定程度上就省去了很多不必要的麻煩，使其在組網(wǎng)的過程中更加靈活，真正意義上的實(shí)現(xiàn)了網(wǎng)絡(luò)互聯(lián)的移動(dòng)性，同時(shí)大大的提高了用戶在使用中因受線纜限制而引起的不便性。由此可知，無線網(wǎng)絡(luò)發(fā)展至今，其發(fā)展非常迅速，并且在不斷的改變著人們對(duì)于社會(huì)的各種看法以及觀念，時(shí)時(shí)刻刻對(duì)人們的傳統(tǒng)工作、學(xué)習(xí)和生活方式進(jìn)行著改變，使其越來越多的人們生活在無線網(wǎng)絡(luò)中。但是，在社會(huì)發(fā)展的今天，無線網(wǎng)絡(luò)由于具有很大的開放性，使其的數(shù)據(jù)傳播范圍難以控制，因此無線網(wǎng)絡(luò)也存在著很大的安全問題。

1 高校無線網(wǎng)絡(luò)使用現(xiàn)狀概述

近年來，由于國(guó)內(nèi)網(wǎng)絡(luò)的不斷發(fā)展與普及，尤其是高校校園網(wǎng)的普及，如今，大多數(shù)的高校都在有線網(wǎng)的基礎(chǔ)上建設(shè)了無線網(wǎng)絡(luò)。以高校圖書館的無線網(wǎng)為例，當(dāng)下，各大高校的圖書館也都紛紛普及了無線網(wǎng)的使用，同時(shí)高校圖書館內(nèi)部也開始建設(shè)了網(wǎng)絡(luò)化、數(shù)字化，如建立自己獨(dú)特的門戶網(wǎng)站、電子資源等。與此同時(shí)， 于高校的教師和學(xué)生們對(duì)上網(wǎng)的需求量也越來越大，因此，高校圖書館已經(jīng)將電子閱覽室等可以上網(wǎng)的機(jī)房，統(tǒng)統(tǒng)讓學(xué)生和教師使用。但人數(shù)的龐大，根據(jù)現(xiàn)在已有的機(jī)房數(shù)量，遠(yuǎn)遠(yuǎn)不能滿足教師和學(xué)生的需求，同時(shí)，要想再建設(shè)新機(jī)房，往往因資金的投放量大，使其高校無法很好的完成這項(xiàng)任務(wù)。這樣館內(nèi)所能提供的網(wǎng)絡(luò)資源就無法被教師和學(xué)生充分利用，因此使高校的資源大量的浪費(fèi)[1]。

2 高校無線網(wǎng)絡(luò)安全問題

隨著用戶需求的增長(zhǎng)，使無線網(wǎng)絡(luò)的開放性也逐漸增大，因此出現(xiàn)了一些安全隱患[2]。

2.1 用戶非法訪問

縱觀當(dāng)下，無線網(wǎng)絡(luò)的開放性是嚴(yán)重阻礙無線網(wǎng)絡(luò)安全使用的重要原因之一。一般情況下，無限網(wǎng)絡(luò)開放式的訪問很容易導(dǎo)致網(wǎng)絡(luò)在傳輸數(shù)據(jù)的過程中，信息易被第三方攔截或者獲取，與此同時(shí)，無線網(wǎng)絡(luò)的三方用戶在對(duì)網(wǎng)絡(luò)進(jìn)行訪問時(shí)，無線信道中的資源也被網(wǎng)絡(luò)資源進(jìn)行了非法占用，這在一定程度上，使其他的用戶在進(jìn)行網(wǎng)絡(luò)訪問時(shí)被受到阻礙作用，以至于網(wǎng)絡(luò)服務(wù)的質(zhì)量同時(shí)也遭到一定的損害。

2.2 保密協(xié)議易破解

無線網(wǎng)絡(luò)中的WEP是屬于網(wǎng)絡(luò)的一種基本的保密協(xié)議，一定程度上，雖然能夠阻擋非法訪問，但是由于網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，一些較低級(jí)的保密協(xié)議依然無法使用戶的數(shù)據(jù)得到更好的保障，而在一般情況下，WEP保密鑰的回復(fù)通常較為簡(jiǎn)單，因此，WEP的保密鑰很容易就被破解[3]。

3 提高高校無線網(wǎng)絡(luò)安全的防范措施

3.1 建立、健全網(wǎng)絡(luò)安全防范措施

安全的方法措施也就是要結(jié)合實(shí)際，建立出有效的安全策略，而安全策略是指在一個(gè)具體特定的環(huán)境里，有效的制定出能夠保護(hù)安全的一種做法。而今，因特網(wǎng)，主要是以為人們提供信息資源的共享為目的，因此其在安全上具有很大的漏洞，例如，數(shù)據(jù)的流失、數(shù)據(jù)的保密協(xié)議破解等問題。由于無線網(wǎng)是建立在有線網(wǎng)的基礎(chǔ)上，并且被高校多數(shù)的教師與學(xué)生所使用，因此對(duì)其做好安全防范措施是非常必要的，與此同時(shí)，還要建立健全的網(wǎng)絡(luò)安全防范措施，例如，高?？梢砸环矫婵梢蕴岣呦到y(tǒng)的安全性，并且對(duì)網(wǎng)絡(luò)的管理進(jìn)行長(zhǎng)期的監(jiān)管，建立完善的終端管理制度，對(duì)網(wǎng)絡(luò)進(jìn)行定期的評(píng)估與維護(hù)。

3.2 禁止SSID廣播

SSID廣播是無線網(wǎng)絡(luò)用于定位服務(wù)的，通常情況下，無線路由器都會(huì)提供“允許SSID廣播”的功能，如果高校的無線網(wǎng)絡(luò)使用了這項(xiàng)功能，其在一定程度上就暴露了無線路由器的位置，這樣將會(huì)給無線網(wǎng)絡(luò)帶來安全問題。而想要提高高校無線網(wǎng)的安全性，最好的辦法使通過手動(dòng)來修改SSID，并對(duì)其選擇禁用。其修改的具體方法是：首先打開 “我的電腦”，在地址欄中輸入自己設(shè)定的IP地址，通常情況下，IP地址為192.168.0.1，隨后再輸入用戶名和密碼，并在此基礎(chǔ)上，打開“TP- LINK”窗口，在單擊窗口左邊的“無線設(shè)置”，再點(diǎn)擊“無線網(wǎng)絡(luò)基本設(shè)置”的窗口，這樣就會(huì)出現(xiàn)“開啟SSID廣播”的復(fù)選框，然后對(duì)其選擇取消復(fù)選框中的 “√”，最后單擊 “保存 ”按鈕，重新啟動(dòng)后，SSID廣播就會(huì)被禁用[4]。

3.3 使用無線MAC地址過濾

目前，由于無線MAC地址有過濾的功能，因此可以通過MAC地址在一定程度上，允許或拒絕無線客戶端對(duì)無線網(wǎng)絡(luò)進(jìn)行訪問，以此使客戶在訪問時(shí)受到一定的阻礙作用，從而讓無線網(wǎng)絡(luò)獲得較高的安全性。舉個(gè)例子，只允許MAC地址為“01-23-24-B5-7A-20”的主機(jī)訪問本無線，這樣其他的機(jī)主均不可以訪問本無線，其主要的設(shè)置方法為：用3.2中的方法打開"TP- LINK"窗口，然后再單擊左邊欄中 “無線設(shè)置-無線MAC地址過濾”， 等窗口出現(xiàn)網(wǎng)絡(luò)MAC地址過濾設(shè)置，然后再打開 “無線網(wǎng)絡(luò)MAC地址過濾設(shè)置”窗口，并單擊過濾中的“允許生效的MAC地址訪問本無線網(wǎng)絡(luò)”的單選鈕，再單擊“添加新條目”，在MAC地址欄中輸入允許訪問本無線網(wǎng)絡(luò)的主機(jī)MAC地址 “01-23-24-B5-7A-20”，然后再欄中輸入“上述地址為某某的電腦”，最后單擊“保存”，這樣就可以達(dá)到MAC地址過濾的目的。

3.4 對(duì)數(shù)據(jù)進(jìn)行加密

數(shù)據(jù)庫(kù)加密，毫無疑問就是為數(shù)據(jù)庫(kù)SQLServer，又安裝了一把鑰匙，使其更加安全，就算用戶成功驗(yàn)證身份并進(jìn)入數(shù)據(jù)庫(kù)中，但也只是進(jìn)入數(shù)據(jù)庫(kù)中，并不能查看所有的數(shù)據(jù)，這就是數(shù)據(jù)庫(kù)加密的作用。這就要求，在對(duì)待極為保密的檔案數(shù)據(jù)時(shí)應(yīng)及時(shí)的與普通數(shù)據(jù)區(qū)分加密，并運(yùn)用密碼的形式進(jìn)行儲(chǔ)存或傳輸。舉個(gè)例，數(shù)據(jù)庫(kù)SQLServer在加密的機(jī)制上，主要具體表現(xiàn)的是加密方法與加密的卓越成效，其主要通過數(shù)據(jù)庫(kù)加密來實(shí)現(xiàn)數(shù)據(jù)庫(kù)的分布與安全管理，同時(shí)用SQLServer語句對(duì)數(shù)據(jù)進(jìn)行加密，一方面可以實(shí)現(xiàn)賬號(hào)在數(shù)據(jù)中更加隱藏，一方面，可以在系統(tǒng)表中進(jìn)行儲(chǔ)存。

4 結(jié) 語

總而言之，無線網(wǎng)絡(luò)，在目前存在很多的安全問題，但是由于近幾年來，我國(guó)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，一定程度上改變了人們的生活環(huán)境與學(xué)習(xí)環(huán)境，因此，無線網(wǎng)絡(luò)被越來越多的人使用。而在今天，由于高校無線網(wǎng)絡(luò)的建設(shè)，一方面給人們帶來了更多的方便，但它也存在著一些安全隱患。如，無線網(wǎng)絡(luò)技術(shù)的發(fā)展為高校提供了可靠的網(wǎng)絡(luò)環(huán)境。但同時(shí)伴隨著安全隱患的出現(xiàn)，如一些截取或修改傳輸數(shù)據(jù)的黑客用戶，時(shí)時(shí)刻刻的偷窺著高校的資料。這就需要高校，必須采取多種防范措施手段，才能有效的阻止非法用戶的侵入，無線網(wǎng)絡(luò)安全防范措施還有很多，但它必須緊跟時(shí)代的發(fā)展與科技的發(fā)展，從而不斷的完善。

參考文獻(xiàn)：

[1] 陳亨坦.淺談無線網(wǎng)絡(luò)安全防范措施在高校網(wǎng)絡(luò)中的應(yīng)用[J].中國(guó)科 技信息，2008，（17）.

[2] 楊川.高校無線網(wǎng)絡(luò)安全問題及防范措施[J].計(jì)算機(jī)光盤軟件與應(yīng)用，

2014，（15）.

[3] 趙劍峰.高校無線校園網(wǎng)方案設(shè)計(jì)及工程實(shí)踐[D].北京：北京郵電大

篇(3)

關(guān)鍵詞：無線網(wǎng)絡(luò) 安全隱患 解決方案

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2014）09（a）-0018-01

1 引言

1.1 無線網(wǎng)絡(luò)簡(jiǎn)介

無線網(wǎng)絡(luò)是以電磁波為信息交換介質(zhì)進(jìn)行網(wǎng)絡(luò)信息的傳遞與共享，根據(jù)網(wǎng)絡(luò)覆蓋范圍、速率以及用途可大概分為以下幾類。

無線廣域網(wǎng)（WWAN，Wireless Wide Area Network）是通過衛(wèi)星進(jìn)行數(shù)據(jù)通信，覆蓋范圍廣，典型技術(shù)有3G、4G傳輸速率較快。

無線城域網(wǎng)（WMAN，Wireless Metropolitan Area Network）主要是移動(dòng)電話或車載裝置移動(dòng)通信，覆蓋城市大部分地區(qū)，代表技術(shù)有IEEE802.20標(biāo)準(zhǔn)、IEEE802.16標(biāo)準(zhǔn)體系。

無線局域網(wǎng)（WLAN，Wireless Local Area Networks）覆蓋范圍較小，連接距離50～100m，代表技術(shù)有IEEE802.11系列和HomeRF技術(shù)。

無線個(gè)域網(wǎng)（WPAN，Wireless Personal Area Network）一般指?jìng)€(gè)人計(jì)算中無線設(shè)備間的網(wǎng)絡(luò)，傳輸距離一般為10 m，代表技術(shù)有IEEE802.15、ZigBee和Bluetooth技術(shù)。

無線體域網(wǎng)（BAN，Body Area Network）主要是指體表或體內(nèi)傳感器間的無線通信，多應(yīng)用于醫(yī)療、軍事方面，傳輸距離約為2m。

1.2 無線網(wǎng)絡(luò)安全現(xiàn)狀

無線網(wǎng)絡(luò)傳輸媒體的開放性，、網(wǎng)絡(luò)中應(yīng)用終端的移動(dòng)性、網(wǎng)絡(luò)拓?fù)涞膭?dòng)態(tài)性等都增加了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。只要在特定無線電波范圍內(nèi)，通過適當(dāng)?shù)脑O(shè)備即可捕獲網(wǎng)絡(luò)信號(hào)，從而輕易傳播病毒或間諜軟件，且由于無線終端的計(jì)算和存儲(chǔ)有限，故不能直接應(yīng)用有線網(wǎng)絡(luò)中的成熟的安全方案和相關(guān)技術(shù)。一般而言，由電信等ISP部署的較大無線網(wǎng)絡(luò)，其安全機(jī)制較為完善，而中小規(guī)模的無線網(wǎng)絡(luò)則可能由于技術(shù)水平、安全意識(shí)、硬件設(shè)備投入等因素造成安全性較低，總之，無線網(wǎng)絡(luò)安全性能差，安全管理難度大，且管理措施實(shí)施困難。

2 無線網(wǎng)絡(luò)安全問題

2.1 網(wǎng)絡(luò)隱蔽性差

無線網(wǎng)絡(luò)是運(yùn)用射頻技術(shù)連接網(wǎng)絡(luò)，通過一定頻率范圍的無線電波傳輸數(shù)據(jù)，在信號(hào)范圍內(nèi)黑客可以憑借一臺(tái)接受設(shè)備，例如，配有無線網(wǎng)卡的計(jì)算機(jī)便可輕易登陸該無線網(wǎng)。

2.2 防范意識(shí)差

很多無線網(wǎng)絡(luò)用戶都未設(shè)置安全機(jī)制或設(shè)置較為簡(jiǎn)易密碼，這一現(xiàn)象多見家庭用戶。這就為他人非法侵入提供了條件，埋下重大安全隱患。

2.3 竊聽、截取和監(jiān)聽

所謂竊聽是指偷聽流經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)通信的電子形式；監(jiān)聽是對(duì)未使用加密認(rèn)證的通信內(nèi)容進(jìn)行監(jiān)聽，并通過終端獲得內(nèi)容，或通過工具軟件監(jiān)聽、截取并分析通信信息，來破解密鑰得到明文信息，來輔助進(jìn)一步攻擊。

2.4 拒絕服務(wù)

這類攻擊中攻擊者惡意占用主機(jī)或網(wǎng)絡(luò)幾乎所有資源，或是攻擊無線網(wǎng)絡(luò)中的設(shè)備使其拒絕服務(wù)，再或是利用同頻信號(hào)干擾無線信道工作，從而造成用戶無法正常使用網(wǎng)絡(luò)。

2.5 非授權(quán)訪問

無線網(wǎng)絡(luò)的開放身份驗(yàn)證只需提供SSID或正確WEP密鑰即可，容易受黑客攻擊。而共享機(jī)密身份驗(yàn)證的“口令-響應(yīng)”過程則是通過明文傳送的，故極易被破解用于加密的密鑰。此外，由于802.1x身份驗(yàn)證只是服務(wù)器對(duì)用戶進(jìn)行驗(yàn)證，故容易遭到“中間人”竊取驗(yàn)證信息從而非法訪問網(wǎng)絡(luò)。

3 無線網(wǎng)絡(luò)安全解決方案

3.1 接入控制

合理控制所有接入無線網(wǎng)絡(luò)的所有的物理終端，例如，針對(duì)設(shè)備信號(hào)覆蓋范圍問題，須選擇合理的位置，限制可達(dá)無線基站范圍以內(nèi)的控制訪問量。

要求所有無線網(wǎng)絡(luò)用戶設(shè)置一個(gè)嚴(yán)格的身份驗(yàn)證安全機(jī)制，建立用戶認(rèn)證，對(duì)網(wǎng)絡(luò)中的設(shè)備定期進(jìn)行密碼變換。也可利用直接序列擴(kuò)頻技術(shù)（DSSS）加強(qiáng)硬件的抗干擾性，利用WEP和WPA加密技術(shù)，避免入侵。面對(duì)授權(quán)用戶設(shè)置授權(quán)區(qū)域和可訪問的資源，對(duì)于非法入侵者一律拒絕訪問。

3.2 隔離策略

在構(gòu)建企業(yè)、校園無線網(wǎng)絡(luò)時(shí)，要注意與內(nèi)部網(wǎng)絡(luò)的隔離，在AP和內(nèi)網(wǎng)之間設(shè)置防火墻、篩選器等設(shè)備避免無線網(wǎng)絡(luò)被攻擊后的進(jìn)一步的侵害。且由于無線網(wǎng)絡(luò)用戶的不確定性和移動(dòng)性，需要對(duì)用戶之間的互訪進(jìn)行隔離，使客戶端只能訪問AP接入的網(wǎng)絡(luò)，保證各方之間的安全接入。

3.3 數(shù)據(jù)安全

對(duì)于無線網(wǎng)絡(luò)中的數(shù)據(jù)安全，首先鼓勵(lì)相關(guān)用戶積極使用無線加密協(xié)議對(duì)無線網(wǎng)絡(luò)中的信息進(jìn)行加密，防止非法用戶對(duì)無線網(wǎng)中的信息進(jìn)行篡改、截取等操作。再者，無線網(wǎng)絡(luò)數(shù)據(jù)安全防范主要措施在于網(wǎng)絡(luò)動(dòng)態(tài)主機(jī)配置協(xié)議的禁用，同時(shí)還要設(shè)置無線設(shè)備的MAC地址過濾功能，有效控制無線客戶端的接入。此外合理管理IP分配方式也至關(guān)重要，或通過動(dòng)態(tài)分配減輕繁瑣的管理工作，或通過靜態(tài)地址控制IP，防止入侵者自動(dòng)獲取。最后，無線網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸中要禁止SSID廣播并改變服務(wù)集標(biāo)識(shí)符，以保證用戶終端接入點(diǎn)和網(wǎng)絡(luò)設(shè)備之間的相對(duì)獨(dú)立，從而確保無線網(wǎng)絡(luò)數(shù)據(jù)的安全。

4 結(jié)語

無線網(wǎng)絡(luò)進(jìn)一步加強(qiáng)了人們?nèi)粘Ｉ钆c網(wǎng)絡(luò)之間的聯(lián)系，極大地便捷和豐富了人們的生活，尤其在電商經(jīng)濟(jì)高速發(fā)展的大背景下，它具有極大的經(jīng)濟(jì)前景，當(dāng)然也要對(duì)其技術(shù)背后的安全性問題有足夠認(rèn)識(shí)，只有同時(shí)注意到它的優(yōu)勢(shì)與風(fēng)險(xiǎn)，才能更好發(fā)揮其潛力。

總之沒有絕對(duì)安全的網(wǎng)絡(luò)，只有足夠的安全防范意識(shí)，合適的防范措施，不斷改進(jìn)的技術(shù)與管理才能真正保證無線網(wǎng)絡(luò)環(huán)境的安全。

參考文獻(xiàn)

[1] 朱建民.無線網(wǎng)絡(luò)安全方法與技術(shù)研究[D].西安電子科技大學(xué)博士論文.

[2] 張麗.無線網(wǎng)絡(luò)安全的思考[J].科技創(chuàng)新論壇?硅谷，2012（6）.

[3] 楊天化.淺談無線網(wǎng)絡(luò)安全及防范策略[J].浙江工貿(mào)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2006（2）.

篇(4)

關(guān)鍵詞：內(nèi)部網(wǎng)絡(luò);技術(shù);措施

現(xiàn)在，人們雖然都對(duì)網(wǎng)絡(luò)安全問題有一定的了解，但是卻只有部分人群真正認(rèn)識(shí)網(wǎng)絡(luò)安全威脅從何而來。許多人認(rèn)為，企業(yè)的內(nèi)部網(wǎng)絡(luò)威脅主要是外界的網(wǎng)絡(luò)攻擊，但是實(shí)際上企業(yè)的內(nèi)部網(wǎng)絡(luò)安全威脅往往更大。

由于許多企業(yè)都對(duì)局域網(wǎng)和互聯(lián)網(wǎng)實(shí)行各種信息共享，使得企業(yè)的內(nèi)部網(wǎng)絡(luò)往往在“眾目睽睽之下”，雖然大多數(shù)企業(yè)都有采取各類防火墻來作為護(hù)盾，但是黑客的手段也隨之提高，不時(shí)的出現(xiàn)各類網(wǎng)絡(luò)入侵進(jìn)和攻擊。許多發(fā)達(dá)國(guó)家的企業(yè)在內(nèi)部網(wǎng)絡(luò)安全方面，投資相當(dāng)之多，可見內(nèi)部網(wǎng)絡(luò)安全威脅，對(duì)于公司防范措施的選擇上有著必要的關(guān)系。

一、內(nèi)部網(wǎng)絡(luò)存在的安全威脅

（一）交換機(jī)的安全隱患。交換機(jī)是每個(gè)企業(yè)網(wǎng)絡(luò)中必然存在的設(shè)備，也正因?yàn)榇嗽O(shè)備的廣泛使用，使得其在網(wǎng)絡(luò)中，被攻擊的次數(shù)最多。

（二） windows更新不及時(shí)。由于各個(gè)企業(yè)公司的網(wǎng)絡(luò)電腦眾多，所以很難保證將每臺(tái)電腦都能及時(shí)對(duì)windows軟件進(jìn)行更新安裝，這也就無形中增多了安全的漏洞，使得整個(gè)內(nèi)部網(wǎng)絡(luò)安全處于威脅當(dāng)中。

（三）防病毒軟件的更新。黑客的攻擊手段，每天都在因?yàn)榉啦《拒浖娜找嫱晟疲粩嗵岣?，所以就需要企業(yè)的內(nèi)部網(wǎng)絡(luò)及時(shí)對(duì)防病毒軟件進(jìn)行更新，以便應(yīng)對(duì)最新的網(wǎng)絡(luò)病毒。

（四）USB的使用問題。USB設(shè)備的使用頻繁度是驚人的，據(jù)相關(guān)統(tǒng)計(jì)，每個(gè)企業(yè)每天使用USB的頻率是所有設(shè)備最多的，但是USB設(shè)備的特殊性，使得對(duì)它的安全防范過低。Win

dows系統(tǒng)的USB保護(hù)措施很少，大部分系統(tǒng)只能使用簡(jiǎn)單的啟用和禁用USB來作為防范措施，這顯然是不夠的，所以很多黑客都把USB存儲(chǔ)設(shè)備當(dāng)成攻擊和入侵的主要著手點(diǎn)。

（五）企業(yè)內(nèi)部網(wǎng)絡(luò)賬號(hào)密碼設(shè)置過于簡(jiǎn)單。許多企業(yè)的內(nèi)部操作者，對(duì)于賬號(hào)和密碼設(shè)置的都非常簡(jiǎn)單，這樣給入侵者帶來極大的方便，可以說，使用這樣的屏障如履薄冰。

（六）無線網(wǎng)絡(luò)的使用?，F(xiàn)在多數(shù)電腦都有無線訪問功能，但是無線連接的同時(shí)，會(huì)對(duì)有線網(wǎng)絡(luò)安全構(gòu)成極大的威脅。

二、內(nèi)部網(wǎng)絡(luò)安全常見的防范技術(shù)

（一）安裝防病毒軟件和防火墻。安裝防病毒軟件和防火墻，能有效保護(hù)網(wǎng)絡(luò)安全，但是并不能完全使得網(wǎng)絡(luò)處于絕對(duì)安全之中。

（二）認(rèn)證技術(shù)。認(rèn)證可以對(duì)各種消息系統(tǒng)的安全起到重要作用，它是防止各類網(wǎng)絡(luò)黑客入侵和攻擊的有效技術(shù)。

（三）訪問控制。訪問控制的主要功能是，使得網(wǎng)絡(luò)資源不會(huì)被非法訪問，更不會(huì)被非法使用，對(duì)于訪問控制的設(shè)置，可以根據(jù)網(wǎng)絡(luò)環(huán)境自由選擇。

（四）計(jì)算機(jī)取證技術(shù)。許多電腦本身有對(duì)黑客的入侵和攻擊行為，會(huì)有計(jì)算機(jī)取證技術(shù)對(duì)其進(jìn)行重建，以便于使用法律武器打擊犯罪分子。但是現(xiàn)在相關(guān)法律還在不斷完善當(dāng)中。

三、內(nèi)部網(wǎng)絡(luò)安全防范的重要措施

（一）加強(qiáng)網(wǎng)絡(luò)交換機(jī)的安全防范。首先要將VLAN ID在每個(gè)端口上都有設(shè)置，對(duì)不常使用的端口禁止使用。其次要通過合理設(shè)置，關(guān)閉每個(gè)終端端口的DTP。另外對(duì)限制用戶的網(wǎng)訪問設(shè)置為非授權(quán)用戶。

（二）完善USB設(shè)備的安全管理。由于USB設(shè)備是最大的網(wǎng)絡(luò)隱患之一，因此，要作出相應(yīng)應(yīng)對(duì)措施。

可以將每臺(tái)電腦的USB接口封死。也可以利用相關(guān)軟件，對(duì)每個(gè)終端電腦進(jìn)行管理。另外內(nèi)部網(wǎng)絡(luò)安全系統(tǒng)軟件，大多擁有控制接口的功能，可以加以利用，以便控制USB設(shè)備安全威脅。

（三）進(jìn)行內(nèi)部網(wǎng)絡(luò)操作培訓(xùn)。可以定期對(duì)內(nèi)部員工計(jì)算機(jī)的操作進(jìn)行相關(guān)培訓(xùn)，減少失誤帶來的安全隱患。

（四）建立可靠的無線訪問。對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行審查，將對(duì)工作沒有任何用處的無線網(wǎng)絡(luò)排除，使其處于防火墻之外。

（五）及時(shí)升級(jí)windows軟件。Windows不時(shí)就會(huì)對(duì)漏洞進(jìn)行維護(hù)，并對(duì)軟件進(jìn)行更新，所以，要讓內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)及時(shí)升級(jí)更新微軟相關(guān)軟件，保障網(wǎng)絡(luò)安全。

（六）使用正版殺毒軟件。各類殺毒軟件，都有破解版本出現(xiàn)，但是離正版軟件有很大差距，所以要求企業(yè)購(gòu)買比較知名的殺毒軟件。并對(duì)軟件的更新作出及時(shí)升級(jí)。

結(jié)語：網(wǎng)絡(luò)安全防范措施，是從不斷的日常工作經(jīng)驗(yàn)中，積累總結(jié)而得出的，因此要根據(jù)企業(yè)的內(nèi)部實(shí)際，采用適當(dāng)?shù)南嚓P(guān)技術(shù)，來完善補(bǔ)充，才能真正起到保護(hù)內(nèi)部網(wǎng)絡(luò)安全的目的。

參考文獻(xiàn)：

篇(5)

關(guān)鍵詞：無線網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；無線協(xié)議；防范措施

1安全概述

狹義的“無線網(wǎng)絡(luò)”，即基于802.11/b/g/n標(biāo)準(zhǔn)的無線網(wǎng)絡(luò)，由于其具有可移動(dòng)性、安裝簡(jiǎn)單、高靈活性和高擴(kuò)展性，作為傳統(tǒng)有限網(wǎng)絡(luò)的延伸，在許多領(lǐng)域得到了廣泛應(yīng)用。由于無線局域網(wǎng)以電磁波作為主要傳輸介質(zhì)，設(shè)備之間可以相互接收數(shù)據(jù)，如果無線局域網(wǎng)不采用適當(dāng)?shù)逆溄诱J(rèn)證、數(shù)據(jù)加密機(jī)制，數(shù)據(jù)傳輸?shù)娘L(fēng)險(xiǎn)就會(huì)加大。當(dāng)然，無線網(wǎng)絡(luò)發(fā)展起初，安全便是無線局域網(wǎng)系統(tǒng)的重要組成部分，客戶端接入無線網(wǎng)絡(luò)的過程為掃描、認(rèn)證、關(guān)聯(lián)、連接成功。無線網(wǎng)絡(luò)安全性保證，需要從認(rèn)證和加密2個(gè)安全機(jī)制來分析。認(rèn)證機(jī)制用來對(duì)客戶端無線接入身份進(jìn)行驗(yàn)證，授權(quán)以后才可以使用網(wǎng)絡(luò)資源；加密機(jī)制用來對(duì)無線局域網(wǎng)的數(shù)據(jù)傳輸進(jìn)行加密，以保證無線網(wǎng)絡(luò)數(shù)據(jù)的通信安全。

2鏈路認(rèn)證機(jī)制分析

客戶端（STA）獲得足夠的權(quán)限并擁有正確的密鑰以后才能進(jìn)行安全的、完整的、受保護(hù)的通信。鏈路認(rèn)證即身份驗(yàn)證機(jī)制，認(rèn)證通過即授權(quán)以后才能訪問網(wǎng)絡(luò)資源。無線局域網(wǎng)中，客戶端同無線接入端進(jìn)行802.11關(guān)聯(lián)，首先必須進(jìn)行接入認(rèn)證。身份驗(yàn)證是客戶端連接到無線網(wǎng)絡(luò)的起點(diǎn)，任何一個(gè)STA試圖連接網(wǎng)絡(luò)之前，都必須進(jìn)行802.11的身份驗(yàn)證進(jìn)行身份確認(rèn)。802.11標(biāo)準(zhǔn)定義了2種鏈路層的認(rèn)證，即開放系統(tǒng)身份認(rèn)證和共享密鑰身份認(rèn)證。開放系統(tǒng)身份認(rèn)證不需要確認(rèn)客戶端任何信息，和AP沒有交互身份信息，可以認(rèn)為是空加密，目的是使雙方都認(rèn)為應(yīng)該在后面使用更安全的加密方式。也可以認(rèn)為，先關(guān)聯(lián)后核對(duì)身份信息。如果認(rèn)證類型設(shè)置為開放系統(tǒng)認(rèn)證，則STA發(fā)送的第一個(gè)Authentication報(bào)文只要是開放系統(tǒng)就通過認(rèn)證，接著就順利完成關(guān)聯(lián)。共享密鑰身份認(rèn)證是一種增強(qiáng)無線網(wǎng)絡(luò)安全性的認(rèn)證機(jī)制，其在WEP機(jī)制中得到應(yīng)用。這種認(rèn)證的前提是STA和AP都有配置靜態(tài)的WEP密鑰，認(rèn)證的目的就是確認(rèn)兩者使用的密鑰是否一致。共享密鑰認(rèn)證是通過4個(gè)認(rèn)證幀的交互來完成的，STA首先發(fā)送一個(gè)認(rèn)證報(bào)文（Authentication報(bào)文）給AP，然后AP會(huì)給STA回復(fù)一個(gè)挑戰(zhàn)明文（Challenge包），接著STA使用密鑰對(duì)這個(gè)明文進(jìn)行加密并發(fā)送給AP，最后AP對(duì)其解密。如果解密成功且明文與最初給STA的字符串一致，則表示認(rèn)證成功并回復(fù)，接著為STA打開邏輯端口，便可以使用無線接入點(diǎn)服務(wù)，否則不允許用戶連接網(wǎng)絡(luò)。目前常用的鏈路認(rèn)證有PSK接入認(rèn)證、EAP拓展認(rèn)證。預(yù)共享密鑰PSK是802.11i中定義的一種身份驗(yàn)證方式，以預(yù)共享密鑰的方式對(duì)無線用戶接入進(jìn)行控制，并能動(dòng)態(tài)產(chǎn)生密鑰，以保證無線局域網(wǎng)用戶的數(shù)據(jù)安全。該認(rèn)證方式要求無線客戶端和接入端配置相同的預(yù)共享密鑰。如果密鑰相同，則PSK接入認(rèn)證成功，否則認(rèn)證失敗，一般應(yīng)用于家庭或小型網(wǎng)絡(luò)公司。EAP拓展認(rèn)證協(xié)議主要運(yùn)行于數(shù)據(jù)鏈路層，比如PPP、有線局域網(wǎng)，同樣支持無線局域網(wǎng)，在IEEE802.11i進(jìn)行了描述。該架構(gòu)支持多路認(rèn)證方法，具有靈活性，EAP允許使用后臺(tái)認(rèn)證服務(wù)器（BAS，BackendAuthenticationServer）。某些情況認(rèn)證實(shí)體并不是真正處理身份認(rèn)證，它僅僅將驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)給后臺(tái)認(rèn)證服務(wù)器來處理。這種架構(gòu)拓展了EAP的適用范圍。AAA（認(rèn)證、授權(quán)、計(jì)費(fèi)）認(rèn)證是基于EAP協(xié)議，屬于BAS的一種具體形式，包括常用的RADIUS服務(wù)器等。如果沒有后臺(tái)驗(yàn)證服務(wù)器，EAP服務(wù)器功能就在驗(yàn)證請(qǐng)求實(shí)體中，無線網(wǎng)絡(luò)一般是AP。

3無線加密方式對(duì)比

無線網(wǎng)絡(luò)加密主要是對(duì)數(shù)據(jù)鏈路層（包含媒介訪問控制、邏輯鏈路控制部分）進(jìn)行加密，目前無線局域網(wǎng)涉及到的加密算法有有線等效加密（WEP）、暫時(shí)密鑰集成協(xié)議（TKIP）和高級(jí)加密標(biāo)準(zhǔn)AES-CCMP。

3.1有線等效加密

有線等效加密是目前802.11無線加密的基礎(chǔ)，是無線網(wǎng)絡(luò)基礎(chǔ)安全加密機(jī)制。其通過共享密鑰來實(shí)現(xiàn)認(rèn)證，認(rèn)證機(jī)制簡(jiǎn)單，并且是單向認(rèn)證，沒有密鑰管理、更新及分發(fā)機(jī)制。完全手工配置并不方便，所以用戶往往不更改。802.11定義了2個(gè)WEP版本，WEP-40和WEP-104，分別支持64，128位加密，含24位初始化向量IV，因此無線設(shè)備上配置的共享密鑰為40或104位，其還包括一個(gè)數(shù)據(jù)校驗(yàn)機(jī)制ICV，用來保護(hù)信息傳輸不被篡改。隨著技術(shù)的不斷發(fā)展，發(fā)現(xiàn)WEP存在許多密碼學(xué)缺陷，基礎(chǔ)缺陷是RC4加密算法以及短IV向量。另外，還發(fā)現(xiàn)其容易受到重傳攻擊。ICV也有弱點(diǎn)。雖然WEP協(xié)議通過高位WEP和動(dòng)態(tài)WEP方式改進(jìn)，但是有實(shí)驗(yàn)證明高位WEP雖然密碼復(fù)雜程度高，但核心算法RC4已經(jīng)公開，破解花費(fèi)時(shí)間不是很長(zhǎng)，根本無法保證數(shù)據(jù)的機(jī)密性、完整性和用戶身份認(rèn)證。動(dòng)態(tài)WEP，指定期動(dòng)態(tài)更新密鑰，但由于是私有方案而非標(biāo)準(zhǔn)，無法從根本上解決WEP存在的問題。

3.2暫時(shí)密鑰集成協(xié)議

暫時(shí)密鑰集成協(xié)議是針對(duì)WEP加密算法漏洞而制定的一種臨時(shí)解決方案，其核心是對(duì)WEP加密算法的改進(jìn)。與WEP不同的是，TKIP針對(duì)不同客戶端周期性動(dòng)態(tài)產(chǎn)生新的密鑰，避免密鑰被盜用。并且TKIP密鑰長(zhǎng)度為128位，初始化向量IV增加為48位，降低了密鑰沖突，提高了加密安全性。同時(shí)數(shù)據(jù)包增加信息完整碼MIC（MessageIntegrityCode）校驗(yàn)，可防止偽裝、分片、重放攻擊功能等黑客攻擊行為，為無線安全提供了強(qiáng)有力的保證。另外，如果使用TKIP加密，只要支持WEP加密就不需要進(jìn)行硬件升級(jí)。

3.3高級(jí)加密標(biāo)準(zhǔn)AES-CCMP

基于計(jì)數(shù)器模式CBC-MAC協(xié)議的AES安全加密技術(shù)（AES-CCMP），是目前為止最高級(jí)的無線安全協(xié)議，加密使用128位AES算法（一種對(duì)稱迭代數(shù)據(jù)加密技術(shù)）實(shí)現(xiàn)數(shù)據(jù)保密，使用CBC-MAC來保證數(shù)據(jù)的完整性和安全性。另外，通過數(shù)據(jù)包增加PN（PacketNumber）字段，使其具有防止回放、注入攻擊的功能。這樣就可提供全部4種安全服務(wù)，即認(rèn)證、數(shù)據(jù)保密性、完整性和重發(fā)保護(hù)。AES加密算法是密碼學(xué)中的高級(jí)加密標(biāo)準(zhǔn)，采用對(duì)稱的區(qū)塊加密技術(shù)，比WEP與TKIP加密核心算法RC4具有更高的加密性能，不僅安全性能更高，而且其采用最新技術(shù)，在無線網(wǎng)絡(luò)傳輸速率上也要比TKIP快，快于TKIP及WEP的54Mbps的最大網(wǎng)絡(luò)傳輸速度。

4WPA/WPA2安全分析

Wi-Fi網(wǎng)絡(luò)安全存取技術(shù)（WPA）是在802.11i草案基礎(chǔ)上制定的無線局域網(wǎng)安全技術(shù)系統(tǒng)，因WEP有嚴(yán)重的缺陷，WPA的目的就是替代傳統(tǒng)的WEP加密認(rèn)證。WPA主要使用TKIP加密算法，其核心加密算法還是RC4，不過其密鑰與網(wǎng)絡(luò)上設(shè)備MAC地址、初始化向量合并。這樣每個(gè)節(jié)點(diǎn)都使用不同的密鑰加密。WPA使用Michael算法取代WEP加密的CRC均支持。這樣，WPA既可以通過外部Radius服務(wù)進(jìn)行認(rèn)證，也可以在網(wǎng)絡(luò)中使用Radius協(xié)議自動(dòng)更改分配密鑰。WPA的核心內(nèi)容是IEEE802.1x認(rèn)證和TKIP加密。WPA含2個(gè)版本，即針對(duì)家庭及個(gè)人的WPA-PSK和針對(duì)企業(yè)的WPA-Enterprise。WPA2（無線保護(hù)接入V2）是經(jīng)由Wi-Fi聯(lián)盟驗(yàn)證過的IEEE802.11i標(biāo)準(zhǔn)的認(rèn)證形式，即強(qiáng)健安全網(wǎng)絡(luò)，它的出現(xiàn)并不是為了解決WPA的局限性。它支持AES高級(jí)加密算法，使用CCM（Counter-Mode/CBC-MAC）認(rèn)證方式。這比TKIP更加強(qiáng)大和健壯，更進(jìn)一步加強(qiáng)了無線局域網(wǎng)的安全和對(duì)用戶信息的保護(hù)。最初，其與WPA的核心區(qū)別是定義了具有更高安全性的加密標(biāo)準(zhǔn)，不過現(xiàn)在兩者都已經(jīng)支持AES加密。同樣，WPA2允許使用基于具有IEEE802.X功能的RADIUS服務(wù)器和預(yù)共享密鑰（PSK）的驗(yàn)證模式。一般RADIUS服務(wù)器驗(yàn)證模式適用于企業(yè)，預(yù)共享密鑰適用于個(gè)人驗(yàn)證。不過專業(yè)技術(shù)人員WPA/WPA2的4次握手過程仍然存在字典攻擊的可能。近來，隨著對(duì)無線安全的深入了解，黑客通過字典及PIN碼破解就能攻破WPA2加密。

5無線網(wǎng)絡(luò)安全防范措施

目前，大多數(shù)企事業(yè)單位及個(gè)人家庭Wi-Fi產(chǎn)品都支持WPA2，WPA2已經(jīng)成為一種無線設(shè)備強(qiáng)制性標(biāo)準(zhǔn)。WPA2基本上可以滿足部分企業(yè)和政府機(jī)構(gòu)等需要導(dǎo)入AES的用戶需求。具體來說，用戶可以采取以下一些措施來降低無線網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)：①定期維護(hù)加密密碼，不要使用默認(rèn)用戶名，組合使用字母、數(shù)字、特殊字符來設(shè)置密碼，并要定期變更密碼。②定期修改SSID或隱蔽SSID。選取AP的SSID時(shí)，不要使用公司或部門名稱、接入點(diǎn)默認(rèn)名稱及測(cè)試用SSID，并定期更改無線路由器的SSID號(hào)。另建議用戶關(guān)閉無線路由器的SSID廣播功能。③必要時(shí)，關(guān)閉無線路由器的DHCP服務(wù)。DHCP服務(wù)會(huì)暴露用戶網(wǎng)絡(luò)的一些信息，無線客戶端可以獲得IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)等信息。這樣，入侵者很輕易就可以使用無線路由器的資源，成為一個(gè)有隱患的漏洞。④充分利用路由器的安全功能，通過路由器提供安全設(shè)置功能對(duì)IP地址進(jìn)行過濾、MAC地址綁定等，限制非法用戶接入。⑤選擇最新加密設(shè)置。目前大多數(shù)無線客戶端、路由器及AP都已經(jīng)全面支持WPA協(xié)議，WEP在當(dāng)今基本失去安全意義，可以選擇WPA/WPA2和WPA-PSK/WPA2-PSK這幾種模式，同時(shí)建議采用AES加密算法。⑥采用802.1x身份驗(yàn)證。該認(rèn)證用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制?；赑PP協(xié)議定義的EAP擴(kuò)展認(rèn)證協(xié)議，可以采用MD5、公共密鑰等更多認(rèn)證機(jī)制，從而提供更高級(jí)別的安全。802.1x的客戶端認(rèn)證請(qǐng)求可以獨(dú)立搭建Radius服務(wù)器進(jìn)行認(rèn)證，目前已經(jīng)成為大中型企業(yè)、高校等無線網(wǎng)絡(luò)強(qiáng)化的首選。

6結(jié)束語

無線局域網(wǎng)使用簡(jiǎn)單、操作安裝方便，移動(dòng)靈活性強(qiáng)，但同時(shí)面臨著復(fù)雜的無線安全問題。網(wǎng)絡(luò)技術(shù)管理人員應(yīng)關(guān)注網(wǎng)絡(luò)安全技術(shù)，提高安全防范意識(shí)，切不可對(duì)無線網(wǎng)絡(luò)安全掉以輕心，同時(shí)采取合理的網(wǎng)絡(luò)安全措施規(guī)避無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

參考文獻(xiàn)

［1］JoshuaWright.黑客大曝光：無線網(wǎng)絡(luò)安全［M］.李瑞民，馮全紅，沈鑫，譯.北京：機(jī)械工業(yè)出版社，2011.

［2］楊哲，ZerOne無線安全團(tuán)隊(duì).無線網(wǎng)絡(luò)黑客攻防［M］.北京：中國(guó)鐵道出版社，2011.

［3］安淑林，白鳳娥.降低無線網(wǎng)絡(luò)風(fēng)險(xiǎn)的策略探析［J］.山西科技，2010，25（2）.

篇(6)

1 引言

隨著各種電子設(shè)備的不斷興起，傳統(tǒng)的有線網(wǎng)絡(luò)顯然已經(jīng)不能滿足人們的用網(wǎng)需求。與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)的安裝快捷、使用方便、可移動(dòng)性等特點(diǎn)，使得你在可在校園內(nèi)任何時(shí)間、任何地點(diǎn)都能輕松上網(wǎng)，作為對(duì)有線網(wǎng)絡(luò)的補(bǔ)充，校園網(wǎng)肩負(fù)著學(xué)校的教學(xué)、科研等重要任務(wù)，一旦遭遇網(wǎng)絡(luò)安全問題，后果不堪設(shè)想。所以了解無線網(wǎng)絡(luò)的安全隱患，確保高校網(wǎng)絡(luò)安全問題顯得尤為重要。

2 高校無線網(wǎng)絡(luò)的安全問題

由于無線網(wǎng)絡(luò)的信號(hào)難以控制，因?yàn)闊o線網(wǎng)絡(luò)依靠的是邏輯鏈路而不是物理鏈路，只要是無線AP能廣播出信號(hào)的地方都有可能遭到入侵，通過非法手段獲取網(wǎng)絡(luò)訪問權(quán)限[1]。大學(xué)校園是人員相對(duì)密集的一個(gè)場(chǎng)所，和其他區(qū)域的無線網(wǎng)絡(luò)一樣，高校無線網(wǎng)絡(luò)存在以下幾點(diǎn)隱患。

2.1 非法用戶的接入

我們電腦現(xiàn)在所使用的操作系統(tǒng)，基本支持無線wifi的查找，一旦非法用戶或者黑客通過一般的攻擊接入無線網(wǎng)絡(luò)，勢(shì)必將占用合法用戶的網(wǎng)絡(luò)帶寬，從而降低了合法用戶的網(wǎng)絡(luò)體驗(yàn)。

2.2 非法竊聽

校園無線網(wǎng)絡(luò)通信主要使用網(wǎng)絡(luò)通道完成數(shù)據(jù)的接收和發(fā)送，由于無線網(wǎng)絡(luò)的通信設(shè)備的信號(hào)發(fā)射頻率較低，而且信號(hào)傳輸?shù)木嚯x有限，非法入侵者借助一些高增益的無線設(shè)備就很容易竊聽到無線網(wǎng)絡(luò)通信設(shè)備中傳輸?shù)臄?shù)據(jù)信息，并在進(jìn)行數(shù)據(jù)的惡意修改和轉(zhuǎn)發(fā)，從而影響無線網(wǎng)絡(luò)安全的穩(wěn)定運(yùn)行。

2.3 Arp欺騙

非法用戶通過網(wǎng)絡(luò)竊聽等手段獲取網(wǎng)絡(luò)中合法站點(diǎn)的MAC地址，然后通過ARP欺騙，通過偽造MAC地址進(jìn)行ARP欺騙，持續(xù)不斷地發(fā)送偽造的ARP信息，從而使網(wǎng)絡(luò)中產(chǎn)生大量的信息量，占用網(wǎng)絡(luò)帶寬，從而引起網(wǎng)絡(luò)堵塞[2]。

2.4 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)，如導(dǎo)致某些服務(wù)被暫停甚至死機(jī)都屬于拒絕服務(wù)攻擊。我們常用無線網(wǎng)絡(luò)的協(xié)議是IEEE802.11，但由于其本身的漏洞，非法入侵者可能利用這些漏洞對(duì)設(shè)備進(jìn)行拒絕服務(wù)攻擊。易受攻擊的設(shè)備包括支持802.11、802.11b等無線標(biāo)準(zhǔn)的設(shè)備。

2.5 網(wǎng)絡(luò)管理者安全意識(shí)不強(qiáng)

目前各個(gè)高校大都在興建無線網(wǎng)絡(luò)，但校園無線網(wǎng)絡(luò)建設(shè)的水平缺參差不齊、提前規(guī)劃設(shè)計(jì)考慮不充分、在加之網(wǎng)絡(luò)管理人員安全意識(shí)不強(qiáng)，導(dǎo)致無線網(wǎng)絡(luò)安全性并不高。比如：很多無線站點(diǎn)都沒有考慮無線接入的安全問題；無線網(wǎng)絡(luò)接入認(rèn)證存在缺陷；無線密鑰的認(rèn)證等基本方法沒有完全普及等等各種問題，所以高校網(wǎng)絡(luò)管理者有必要更進(jìn)一步完善無線的安全體系。

3 高校無線網(wǎng)絡(luò)安全應(yīng)對(duì)措施

3.1 用戶劃分

高校無線用戶數(shù)量較多，我們可以根據(jù)不同網(wǎng)絡(luò)環(huán)境劃分用戶群。如教學(xué)區(qū)、實(shí)驗(yàn)室、行政辦公人員這部分相對(duì)固定的劃分為固定用戶群[3]?？梢圆捎秒娔XMAC地址綁定的形式或者分配固定的IP地址，從而保證無線網(wǎng)絡(luò)安全；此外對(duì)于位置不固定的用戶，如使用手機(jī)、筆記本電腦等手持設(shè)備的用戶，將其劃分為活動(dòng)用戶。對(duì)于這類用戶，采用較為嚴(yán)格的登陸認(rèn)證機(jī)制，從根本杜絕非法用戶的入侵。

3.2 提高無線網(wǎng)絡(luò)的認(rèn)證機(jī)制

在使用校園無線網(wǎng)絡(luò)的用戶中，基本可以分為內(nèi)網(wǎng)用戶和外網(wǎng)用戶。對(duì)于內(nèi)網(wǎng)用戶如老師、學(xué)生，由于工作和學(xué)習(xí)需要可能需要隨時(shí)的接入無線網(wǎng)絡(luò)，對(duì)于這類用戶我們可以使用802.1x+Radius認(rèn)證，在認(rèn)證的過程中由隧道加密進(jìn)行防護(hù)，這需要無線網(wǎng)絡(luò)的接入設(shè)備安裝有支持802.1x的客戶端。對(duì)于網(wǎng)絡(luò)用戶，只需要訪問internet而不需要訪問內(nèi)網(wǎng)資源，我們可以采用web portal認(rèn)證，當(dāng)用戶接入無線網(wǎng)絡(luò)時(shí)會(huì)通過DHCP服務(wù)器分配合法地址，用戶打開網(wǎng)頁時(shí)，認(rèn)證系統(tǒng)會(huì)自動(dòng)推送認(rèn)證界面。

3.3 采用VPN技術(shù)增強(qiáng)安全性能

VPN即虛擬專用網(wǎng)絡(luò)，是在公用網(wǎng)絡(luò)上利用隧道技術(shù)和加密技術(shù)建立起專用網(wǎng)絡(luò)，VPN網(wǎng)關(guān)通過對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問[4]。我們可以將高校無線網(wǎng)絡(luò)劃分成單獨(dú)的局域網(wǎng)，所有無線用戶在訪問校園網(wǎng)絡(luò)之前必須使用VPN網(wǎng)關(guān)進(jìn)行鑒定，客戶機(jī)到VPN的數(shù)據(jù)包采用安全協(xié)議加密，這樣非法入侵者將無法破解專用網(wǎng)絡(luò)，從而保證我們的無線網(wǎng)絡(luò)更加安全。

3.4 使用入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（intrusion detection system，簡(jiǎn)稱“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它通常設(shè)置在內(nèi)部網(wǎng)絡(luò)的邊界上，通過監(jiān)視、分析用戶的上網(wǎng)行為，判斷入侵時(shí)間的類型此外對(duì)于網(wǎng)絡(luò)使用過程流量異常報(bào)警，通過IDS可以有效地檢測(cè)網(wǎng)絡(luò)非法的接入和入侵，找出偽裝WAP的無線上網(wǎng)用戶

篇(7)

關(guān)鍵詞：無線；局域網(wǎng)；校園網(wǎng)；安全技術(shù)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2012) 05-0000-02

一、引言

無線局域網(wǎng)（WLAN）相對(duì)有線網(wǎng)絡(luò)具有其獨(dú)特的優(yōu)勢(shì)，避免了有線網(wǎng)絡(luò)比較繁瑣的布線施工過程，節(jié)約了施工費(fèi)用，安裝比較便捷，同時(shí)可以根據(jù)實(shí)際使用情況進(jìn)行擴(kuò)展。無線網(wǎng)絡(luò)已逐步在校園網(wǎng)絡(luò)普及，逐漸成為校園網(wǎng)絡(luò)建設(shè)的重點(diǎn)。無線網(wǎng)絡(luò)給我們帶來便捷的同時(shí)，也帶來了網(wǎng)絡(luò)安全隱患，無線網(wǎng)絡(luò)的信道開放的特點(diǎn)，使得網(wǎng)絡(luò)數(shù)據(jù)容易被攻擊者竊聽、修改或轉(zhuǎn)發(fā)。無線網(wǎng)絡(luò)的安全隱患阻礙了其發(fā)展。校園用戶大多喜歡嘗試新的事物，雖然一方面對(duì)無線校園網(wǎng)的需求不斷增長(zhǎng)，但同時(shí)也讓許多潛在的用戶對(duì)不能夠得到可靠的安全保護(hù)而對(duì)最終是否使用無線局域網(wǎng)猶豫不決。

二、無線局域網(wǎng)的安全威脅

利用WLAN進(jìn)行通信，要求其必須具有較高的通信保密能力?，F(xiàn)有的WLAN產(chǎn)品的安全問題主要表現(xiàn)在以下方面：

（一）未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)

由于WLAN的開放式訪問方式特點(diǎn)，未經(jīng)授權(quán)也可以使用網(wǎng)絡(luò)資源。占用無線通道，增加了帶寬費(fèi)用，合法用戶的服務(wù)質(zhì)量遭到影響，而且非法用戶濫用無線網(wǎng)絡(luò)資源，使得合法的無線校園網(wǎng)的用戶無法正常使用。

同時(shí)，非法用戶私自架設(shè)無線AP，誘使用戶接入不安全的無線AP上。接入非法AP輕則會(huì)導(dǎo)致客戶無法訪問網(wǎng)絡(luò)資源，重則會(huì)導(dǎo)致用戶的重要數(shù)據(jù)被竊取。

（二）地址欺騙和會(huì)話攔截

現(xiàn)在許多網(wǎng)卡都支持MAC地址重新配置，非法用戶可以通過將自己所用網(wǎng)絡(luò)設(shè)備的MAC地址改為合法用戶MAC地址的方法，使用MAC地址“欺騙”，成功通過交換機(jī)的檢查，進(jìn)而非法訪問網(wǎng)絡(luò)資源。非法用戶利用無線網(wǎng)路的特點(diǎn)監(jiān)聽合法站點(diǎn)的MAC地址，并對(duì)合法的MAC地址進(jìn)行惡意攻擊。

另外，由于IEEE802.11沒有對(duì)AP身份進(jìn)行認(rèn)證，攻擊者很容易裝扮成合法AP進(jìn)入網(wǎng)絡(luò)，并進(jìn)一步獲取合法用戶的鑒別身份信息，通過會(huì)話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。

（三）高級(jí)入侵

一旦攻擊者侵入無線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。多數(shù)學(xué)校部署的WLAN都在防火墻之后，這樣WLAN的安全隱患就會(huì)成為整個(gè)安全系統(tǒng)的漏洞，只要攻破無線網(wǎng)絡(luò)，整個(gè)網(wǎng)絡(luò)就將暴露在非法用戶面前。

三、無線局域網(wǎng)安全技術(shù)

目前有很多種無線局域網(wǎng)的安全技術(shù)，有物理地址（MAC）過濾、服務(wù)集標(biāo)識(shí)符（SSID）匹配、有線對(duì)等保密（WEP）、端口訪問控制技術(shù)（IEEE802.1x）、IEEE 802.11i等。下面對(duì)在無線局域網(wǎng)中常用的安全技術(shù)進(jìn)行簡(jiǎn)介。

（一）物理地址（MAC）過濾

每個(gè)無線客戶端的無線網(wǎng)卡都有一個(gè)唯一的物理地址（MAC），可以在無線接入點(diǎn)（AP）中規(guī)定一組允許訪問的MAC地址，以實(shí)現(xiàn)物理地址過濾，防止非法用戶的侵入無線網(wǎng)絡(luò)。這便要求AP中的MAC地址列表必需隨時(shí)更新，但物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證，而且MAC過濾技術(shù)的可擴(kuò)展性比較差，MAC地址在理論上還可以偽造，因此這也是較低級(jí)別的授權(quán)認(rèn)證，也只適合于小型網(wǎng)絡(luò)規(guī)模。

（二）服務(wù)集標(biāo)識(shí)符（SSID）匹配

服務(wù)集標(biāo)識(shí)符（SSID）是賦予一個(gè)獨(dú)特名稱給WLAN的一組32位字符。在WLAN中的所有的無線設(shè)備為了彼此通信必須使用相同的SSID，這樣才能訪問AP。通過SSID設(shè)置，可以對(duì)用戶進(jìn)行有效分組，保證網(wǎng)路的安全和性能。對(duì)AP設(shè)置不同的SSID，無線工作站必須出示正確的SSID才能訪問AP，這樣就可以允許不同的用戶群組接入，并且通過設(shè)置隱藏接入點(diǎn)及SSID的權(quán)限控制來達(dá)到保密的目的。

（三）有線對(duì)等保密（WEP）

有線對(duì)等保密（Wired Equivalent Privacy，WEP）是一種數(shù)據(jù)加密算法，用于提供等同于有線局域網(wǎng)的保護(hù)能力。使用了該技術(shù)的無線局域網(wǎng)，所有客戶端與無線接入點(diǎn)的數(shù)據(jù)都會(huì)以一個(gè)共享的密鑰進(jìn)行加密，密鑰的長(zhǎng)度有40位至256位兩種，密鑰越長(zhǎng)，黑客就需要更多的時(shí)間去進(jìn)行破解，因此能夠提供更好的安全保護(hù)。

（四）端口訪問控制技術(shù)（IEEE802.1x）和可擴(kuò)展認(rèn)證協(xié)議（EAP）

IEEE802.1x是基于端口的網(wǎng)絡(luò)訪問控制標(biāo)準(zhǔn)，它能提供一種對(duì)連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段，達(dá)到接受合法用戶接入，保護(hù)網(wǎng)絡(luò)安全的目的?；贗EEE802.1x的認(rèn)證，又稱EAPOE認(rèn)證，因?yàn)檫@個(gè)協(xié)議依賴于可擴(kuò)展認(rèn)證協(xié)議（EAP）實(shí)現(xiàn)。IEEE802.1x認(rèn)證包括三個(gè)部分：請(qǐng)求方、認(rèn)證方、認(rèn)證服務(wù)器。請(qǐng)求方就是希望接入局域網(wǎng)/無線局域網(wǎng)來上網(wǎng)的設(shè)備，譬如一臺(tái)筆記本，有時(shí)候也指設(shè)備上運(yùn)行的客戶端軟件；認(rèn)證方則是管理接入設(shè)備、譬如以太網(wǎng)交換機(jī)或者無線接入點(diǎn)；認(rèn)證服務(wù)器就是一個(gè)運(yùn)行有支持RADIUS和EAP的軟件的主機(jī)。在認(rèn)證過程中認(rèn)證方起到關(guān)鍵作用。它將網(wǎng)絡(luò)接入段扣分成兩個(gè)邏輯端口：受控端口和非受控端口。非受控端口始終對(duì)用戶開發(fā)，只允許用于傳送認(rèn)證信息，認(rèn)證通過后，受控端口才會(huì)打開，用戶才能正常訪問網(wǎng)絡(luò)服務(wù)。

（五）IEEE 802.11i

IEEE 802.11i的目標(biāo)是以針對(duì)無線網(wǎng)路原本所具備的弱點(diǎn)加以補(bǔ)強(qiáng)，但由于IEEE 802.11i的標(biāo)準(zhǔn)尚未制訂完成，在WIFI的推動(dòng)下，制訂了“WIFI Protected Access”標(biāo)準(zhǔn)，以IEEE 802.11i Draft為藍(lán)圖，去建構(gòu)出一個(gè)符合現(xiàn)今需求，具備更進(jìn)一步安全性的無線網(wǎng)路環(huán)境。目前802.11i主要定義的加密機(jī)制可以分為TKIP（Temporal Key Integrity Protocol）與AES，其中TKIP就是目前WPA 1.x（WPA/SSN）主要采用的加密機(jī)制。

四、無線校園網(wǎng)的多安全防御策略

在有線以太網(wǎng)技術(shù)的發(fā)展歷程中，越來越多的面向訪問端和服務(wù)端的安全技術(shù)被開發(fā)出來并得到了成熟運(yùn)用。由于無線網(wǎng)絡(luò)利用空中載波信道作為傳輸媒介，物理層和數(shù)據(jù)鏈路層的工作原理與有線網(wǎng)絡(luò)不同，遵循的安全策略也不同。在校園無線網(wǎng)絡(luò)的設(shè)計(jì)中，如何保證合法用戶的使用權(quán)限，避免非法用戶的侵入已成為無線網(wǎng)絡(luò)規(guī)劃者的設(shè)計(jì)重點(diǎn)

現(xiàn)有的WLAN產(chǎn)品的安全技術(shù)中，SSID禁止廣播、WEP機(jī)密、WPA認(rèn)證、802.1X認(rèn)證、EAP-TLS擴(kuò)展認(rèn)證、VLAN劃分等一系列技術(shù)的得到廣泛運(yùn)用，有效的提升無線網(wǎng)絡(luò)的安全防御性能。我們可以把室內(nèi)型和室外型網(wǎng)絡(luò)設(shè)備均支持SSID禁止廣播、WEP機(jī)密、WPA認(rèn)證、802.1X認(rèn)證、EAP-TLS擴(kuò)展認(rèn)證、VLAN劃分技術(shù)，可提供完備的安全防御功能。啟用了目前先進(jìn)的SSID廣播禁止功能之后，由于空中不再?gòu)V播明文的SSID號(hào)碼，使得那些擁有截獲SSID密碼的無線終端非法訪問網(wǎng)絡(luò)。

另外，WEP（有線等效密鑰）和WPA/WPA2（接入保護(hù)）技術(shù)的出現(xiàn)，可以通過大量的密文加密位和動(dòng)態(tài)的密鑰協(xié)議（TKIP/AES），為非法訪問者制造難以攻破的障礙，從而避免網(wǎng)絡(luò)安全事件的發(fā)生。我們?cè)谛@無線網(wǎng)絡(luò)規(guī)劃中，由于目前各高校校園有線網(wǎng)絡(luò)已具備一定規(guī)模，因此，在無線網(wǎng)絡(luò)融合進(jìn)有線網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換之前，通過WEP和WPA加密技術(shù)可以增加一層保護(hù)手段，可以極大的提升安全防御的能力。

另外，對(duì)于室內(nèi)/室外型AP產(chǎn)品，由于其分別開放于室內(nèi)高密度訪問和室外環(huán)境，面對(duì)的是所有用戶群體，對(duì)不同的用戶群體的權(quán)限和身份識(shí)別則成為必須的功能。因此，AP產(chǎn)品應(yīng)選擇具備多BSS的劃分和802.1Q VLAN功能的無線產(chǎn)品，協(xié)助接入層無線用戶與接入層交換機(jī)用戶同樣接受全網(wǎng)統(tǒng)一管理和VLAN的劃分，這樣可以徹底解決無線用戶無法管、不方便管的疑難問題。

對(duì)于覆蓋室內(nèi)/室外環(huán)境的無線接入點(diǎn)設(shè)備而言，由于接入用戶比較復(fù)雜，網(wǎng)絡(luò)應(yīng)用不盡相同，因此針對(duì)不同用戶、不同應(yīng)用的QoS保證必須具備。我們可以采用支持標(biāo)準(zhǔn)的802.11i協(xié)議的網(wǎng)絡(luò)無線接入點(diǎn)產(chǎn)品，可針對(duì)不同的BSS或802.1Q VLAN設(shè)置優(yōu)先級(jí)保證，有利于充分、合理的利用信道帶寬。

五、結(jié)束語

信息化的普及使得校園網(wǎng)絡(luò)已經(jīng)與教職工、學(xué)生的工作和生活息息相關(guān)，是教職工和學(xué)生獲取信息和資源的主要途徑。校園網(wǎng)絡(luò)為用戶帶來了很大便捷的同時(shí)，網(wǎng)絡(luò)安全問題的存在時(shí)刻威脅著用戶信息的安全。只有運(yùn)用有效的安全技術(shù)和策略，才能阻止非法用戶利用校園網(wǎng)絡(luò)進(jìn)行非法操作，保證校園網(wǎng)絡(luò)的正常、穩(wěn)定運(yùn)行。

參考文獻(xiàn)：

[1]吳振強(qiáng).Study on Security Architecture and Key Techno―logies for Wireless Local Area Network[D].西安電子科技大學(xué),2007

[2]伍永鋒.無線局域網(wǎng)在高校信息化建設(shè)中的應(yīng)用探討[J].福建電腦,2004