無線網(wǎng)絡安全防范措施精品(七篇)

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇無線網(wǎng)絡安全防范措施范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

關鍵詞：無線網(wǎng)絡安全防范措施

隨著信息化技術的飛速發(fā)展,很多網(wǎng)絡都開始實現(xiàn)無線網(wǎng)絡的覆蓋以此來實現(xiàn)信息電子化交換和資源共享。無線網(wǎng)絡和無線局域網(wǎng)的出現(xiàn)大大提升了信息交換的速度和質量,為很多的用戶提供了便捷和子偶的網(wǎng)絡服務,但同時也由于無線網(wǎng)絡本身的特點造成了安全上的隱患。具體的說來,就是無線介質信號由于其傳播的開放性設計,使得其在傳輸?shù)倪^程中很難對傳輸介質實施有效的保護從而造成傳輸信號有可能被他人截獲,被不法之徒利用其漏洞來攻擊網(wǎng)絡。因此,如何在組網(wǎng)和網(wǎng)絡設計的時候為無線網(wǎng)絡信號和無線局域網(wǎng)實施有效的安全保護機制就成為了當前無線網(wǎng)絡面臨的重大課題。

一、無線網(wǎng)絡的安全隱患分析

無線局域網(wǎng)的基本原理就是在企業(yè)或者組織內部通過無線通訊技術來連接單個的計算機終端,以此來組成可以相互連接和通訊的資源共享系統(tǒng)。無線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實施信息傳輸和聯(lián)系。對比傳統(tǒng)的有線局域網(wǎng),無線網(wǎng)絡的構建增強了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸?shù)男?但同時,也正是由于無線局域網(wǎng)的特性,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡安全機制來保護信息傳輸?shù)陌踩?換句話無線網(wǎng)絡的安全保護措施難度原因大于有線網(wǎng)絡。

IT技術人員在規(guī)劃和建設無線網(wǎng)絡中面臨兩大問題:首先,市面上的標準與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網(wǎng)絡遭到入侵或攻擊?在有線網(wǎng)絡階段,技術人員可以通過部署防火墻硬件安全設備來構建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內部被攻破”。由于無線網(wǎng)絡具有接入方便的特點,使得我們原先耗資部署的有線網(wǎng)絡防范設備輕易地就被繞過,成為形同虛設的“馬奇諾防線”。

針對無線網(wǎng)絡的主要安全威脅有如下一些:

1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡傳輸可導致機密敏感數(shù)據(jù)泄漏、未加保護的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗的入侵者手機有關用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進行社會工程學攻擊的一系列商信息。

2.截取和篡改傳輸數(shù)據(jù)。如果攻擊者能夠連接到內部網(wǎng)絡,則他可以使用惡意計算機通過偽造網(wǎng)關等途徑來截獲甚至修改兩個合法方之劍正常傳輸?shù)木W(wǎng)絡數(shù)據(jù)。

二、常見的無線網(wǎng)絡安全措施

綜合上述針對無線網(wǎng)絡的各種安全威脅,我們不難發(fā)現(xiàn),把好“接入關”是我們保障企業(yè)無線網(wǎng)絡安全性的最直接的舉措。目前的無線網(wǎng)絡安全措施基本都是在接入關對入侵者設防,常見的安全措施有以下各種。

1.MAC地址過濾

MAC地址過濾在有線網(wǎng)絡安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡中操作交換機的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設置。

2.隱藏SSID

SSID(ServiceSetIdentifier,服務標識符)是用來區(qū)分不同的網(wǎng)絡,其作用類似于有線網(wǎng)絡中的VLAN,計算機接入某一個SSID的網(wǎng)絡后就不能直接與另一個SSID的網(wǎng)絡進行通信了,SSID經(jīng)常被用來作為不同網(wǎng)絡服務的標識。一個SSID最多有32個字符構成,無線終端接入無線網(wǎng)路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡,例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡的SSID羅列出來。因此,出于安全考慮,可以設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個實際存在的無線網(wǎng)絡,即便他知道有一個無線網(wǎng)絡存在,但猜不出SSID全名也是無法接入到這個網(wǎng)絡中去的。

三、無線網(wǎng)絡安全措施的選擇

應用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網(wǎng)絡的應用中,我們不能不考慮應用的方便性。因此,我們在對無線網(wǎng)路安全措施的選擇中應該均衡考慮方便性和安全性。

在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。

使用強制Portal+802.1x這兩種認證方式相結合的方法能有效地解決無線網(wǎng)絡的安全,具有一定的現(xiàn)實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網(wǎng)。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。

此外,如果在資金可以保證的前提下,在無線網(wǎng)絡中使用無線網(wǎng)絡入侵檢測設備進行主動防御,也是進一步加強無線網(wǎng)絡安全性的有效手段。

最后,任何的網(wǎng)絡安全技術都是在人的使用下發(fā)揮作用的,因此,最后一道防線就是使用者,只有每一個使用者加強無線網(wǎng)絡安全意識,才能真正實現(xiàn)無線網(wǎng)絡的安全。否則,黑客或攻擊者的一次簡單的社會工程學攻擊就可以在2分鐘內使網(wǎng)絡管理人員配置的各種安全措施變得形同虛設。

現(xiàn)在,不少企業(yè)和組織都已經(jīng)實現(xiàn)了整個的無線覆蓋。但在建設無線網(wǎng)絡的同時,因為對無線網(wǎng)絡的安全不夠重視,對局域網(wǎng)無線網(wǎng)絡的安全考慮不及時,也造成了一定的影響和破壞。做好無線網(wǎng)絡的安全管理工作,并完成全校無線網(wǎng)絡的統(tǒng)一身份驗證,是當前組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡與現(xiàn)有有線網(wǎng)絡的無縫對接,確保無線網(wǎng)絡的高安全性,提高企業(yè)的信息化的水平。

參考文獻:

[1]譚潤芳.無線網(wǎng)絡安全性探討[J].信息科技,2008,37(6):24-26.

篇(2)

關鍵詞：計算機網(wǎng)絡;無線網(wǎng)絡;網(wǎng)絡安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1006-8937（2016）03-0064-02

眾所周知，自從因特網(wǎng)的出現(xiàn)，使社會全面的步入信息化時代，并在一定程度提高了社會的發(fā)展。因特網(wǎng)是計算機技術與網(wǎng)絡技術共同的產(chǎn)物，在現(xiàn)階段，已經(jīng)很大程度的使人們生活發(fā)生了巨大變化，然而無線網(wǎng)絡是計算機技術與無線通信技術的產(chǎn)物。與此同時，無線網(wǎng)絡的使用是利用無線電波代替雙絞線、同軸電纜等的設備以此來對數(shù)據(jù)進行傳輸，這在一定程度上就省去了很多不必要的麻煩，使其在組網(wǎng)的過程中更加靈活，真正意義上的實現(xiàn)了網(wǎng)絡互聯(lián)的移動性，同時大大的提高了用戶在使用中因受線纜限制而引起的不便性。由此可知，無線網(wǎng)絡發(fā)展至今，其發(fā)展非常迅速，并且在不斷的改變著人們對于社會的各種看法以及觀念，時時刻刻對人們的傳統(tǒng)工作、學習和生活方式進行著改變，使其越來越多的人們生活在無線網(wǎng)絡中。但是，在社會發(fā)展的今天，無線網(wǎng)絡由于具有很大的開放性，使其的數(shù)據(jù)傳播范圍難以控制，因此無線網(wǎng)絡也存在著很大的安全問題。

1 高校無線網(wǎng)絡使用現(xiàn)狀概述

近年來，由于國內網(wǎng)絡的不斷發(fā)展與普及，尤其是高校校園網(wǎng)的普及，如今，大多數(shù)的高校都在有線網(wǎng)的基礎上建設了無線網(wǎng)絡。以高校圖書館的無線網(wǎng)為例，當下，各大高校的圖書館也都紛紛普及了無線網(wǎng)的使用，同時高校圖書館內部也開始建設了網(wǎng)絡化、數(shù)字化，如建立自己獨特的門戶網(wǎng)站、電子資源等。與此同時， 于高校的教師和學生們對上網(wǎng)的需求量也越來越大，因此，高校圖書館已經(jīng)將電子閱覽室等可以上網(wǎng)的機房，統(tǒng)統(tǒng)讓學生和教師使用。但人數(shù)的龐大，根據(jù)現(xiàn)在已有的機房數(shù)量，遠遠不能滿足教師和學生的需求，同時，要想再建設新機房，往往因資金的投放量大，使其高校無法很好的完成這項任務。這樣館內所能提供的網(wǎng)絡資源就無法被教師和學生充分利用，因此使高校的資源大量的浪費[1]。

2 高校無線網(wǎng)絡安全問題

隨著用戶需求的增長，使無線網(wǎng)絡的開放性也逐漸增大，因此出現(xiàn)了一些安全隱患[2]。

2.1 用戶非法訪問

縱觀當下，無線網(wǎng)絡的開放性是嚴重阻礙無線網(wǎng)絡安全使用的重要原因之一。一般情況下，無限網(wǎng)絡開放式的訪問很容易導致網(wǎng)絡在傳輸數(shù)據(jù)的過程中，信息易被第三方攔截或者獲取，與此同時，無線網(wǎng)絡的三方用戶在對網(wǎng)絡進行訪問時，無線信道中的資源也被網(wǎng)絡資源進行了非法占用，這在一定程度上，使其他的用戶在進行網(wǎng)絡訪問時被受到阻礙作用，以至于網(wǎng)絡服務的質量同時也遭到一定的損害。

2.2 保密協(xié)議易破解

無線網(wǎng)絡中的WEP是屬于網(wǎng)絡的一種基本的保密協(xié)議，一定程度上，雖然能夠阻擋非法訪問，但是由于網(wǎng)絡技術的不斷發(fā)展，一些較低級的保密協(xié)議依然無法使用戶的數(shù)據(jù)得到更好的保障，而在一般情況下，WEP保密鑰的回復通常較為簡單，因此，WEP的保密鑰很容易就被破解[3]。

3 提高高校無線網(wǎng)絡安全的防范措施

3.1 建立、健全網(wǎng)絡安全防范措施

安全的方法措施也就是要結合實際，建立出有效的安全策略，而安全策略是指在一個具體特定的環(huán)境里，有效的制定出能夠保護安全的一種做法。而今，因特網(wǎng)，主要是以為人們提供信息資源的共享為目的，因此其在安全上具有很大的漏洞，例如，數(shù)據(jù)的流失、數(shù)據(jù)的保密協(xié)議破解等問題。由于無線網(wǎng)是建立在有線網(wǎng)的基礎上，并且被高校多數(shù)的教師與學生所使用，因此對其做好安全防范措施是非常必要的，與此同時，還要建立健全的網(wǎng)絡安全防范措施，例如，高?？梢砸环矫婵梢蕴岣呦到y(tǒng)的安全性，并且對網(wǎng)絡的管理進行長期的監(jiān)管，建立完善的終端管理制度，對網(wǎng)絡進行定期的評估與維護。

3.2 禁止SSID廣播

SSID廣播是無線網(wǎng)絡用于定位服務的，通常情況下，無線路由器都會提供“允許SSID廣播”的功能，如果高校的無線網(wǎng)絡使用了這項功能，其在一定程度上就暴露了無線路由器的位置，這樣將會給無線網(wǎng)絡帶來安全問題。而想要提高高校無線網(wǎng)的安全性，最好的辦法使通過手動來修改SSID，并對其選擇禁用。其修改的具體方法是：首先打開 “我的電腦”，在地址欄中輸入自己設定的IP地址，通常情況下，IP地址為192.168.0.1，隨后再輸入用戶名和密碼，并在此基礎上，打開“TP- LINK”窗口，在單擊窗口左邊的“無線設置”，再點擊“無線網(wǎng)絡基本設置”的窗口，這樣就會出現(xiàn)“開啟SSID廣播”的復選框，然后對其選擇取消復選框中的 “√”，最后單擊 “保存 ”按鈕，重新啟動后，SSID廣播就會被禁用[4]。

3.3 使用無線MAC地址過濾

目前，由于無線MAC地址有過濾的功能，因此可以通過MAC地址在一定程度上，允許或拒絕無線客戶端對無線網(wǎng)絡進行訪問，以此使客戶在訪問時受到一定的阻礙作用，從而讓無線網(wǎng)絡獲得較高的安全性。舉個例子，只允許MAC地址為“01-23-24-B5-7A-20”的主機訪問本無線，這樣其他的機主均不可以訪問本無線，其主要的設置方法為：用3.2中的方法打開"TP- LINK"窗口，然后再單擊左邊欄中 “無線設置-無線MAC地址過濾”， 等窗口出現(xiàn)網(wǎng)絡MAC地址過濾設置，然后再打開 “無線網(wǎng)絡MAC地址過濾設置”窗口，并單擊過濾中的“允許生效的MAC地址訪問本無線網(wǎng)絡”的單選鈕，再單擊“添加新條目”，在MAC地址欄中輸入允許訪問本無線網(wǎng)絡的主機MAC地址 “01-23-24-B5-7A-20”，然后再欄中輸入“上述地址為某某的電腦”，最后單擊“保存”，這樣就可以達到MAC地址過濾的目的。

3.4 對數(shù)據(jù)進行加密

數(shù)據(jù)庫加密，毫無疑問就是為數(shù)據(jù)庫SQLServer，又安裝了一把鑰匙，使其更加安全，就算用戶成功驗證身份并進入數(shù)據(jù)庫中，但也只是進入數(shù)據(jù)庫中，并不能查看所有的數(shù)據(jù)，這就是數(shù)據(jù)庫加密的作用。這就要求，在對待極為保密的檔案數(shù)據(jù)時應及時的與普通數(shù)據(jù)區(qū)分加密，并運用密碼的形式進行儲存或傳輸。舉個例，數(shù)據(jù)庫SQLServer在加密的機制上，主要具體表現(xiàn)的是加密方法與加密的卓越成效，其主要通過數(shù)據(jù)庫加密來實現(xiàn)數(shù)據(jù)庫的分布與安全管理，同時用SQLServer語句對數(shù)據(jù)進行加密，一方面可以實現(xiàn)賬號在數(shù)據(jù)中更加隱藏，一方面，可以在系統(tǒng)表中進行儲存。

4 結 語

總而言之，無線網(wǎng)絡，在目前存在很多的安全問題，但是由于近幾年來，我國網(wǎng)絡技術的不斷發(fā)展，一定程度上改變了人們的生活環(huán)境與學習環(huán)境，因此，無線網(wǎng)絡被越來越多的人使用。而在今天，由于高校無線網(wǎng)絡的建設，一方面給人們帶來了更多的方便，但它也存在著一些安全隱患。如，無線網(wǎng)絡技術的發(fā)展為高校提供了可靠的網(wǎng)絡環(huán)境。但同時伴隨著安全隱患的出現(xiàn)，如一些截取或修改傳輸數(shù)據(jù)的黑客用戶，時時刻刻的偷窺著高校的資料。這就需要高校，必須采取多種防范措施手段，才能有效的阻止非法用戶的侵入，無線網(wǎng)絡安全防范措施還有很多，但它必須緊跟時代的發(fā)展與科技的發(fā)展，從而不斷的完善。

參考文獻：

[1] 陳亨坦.淺談無線網(wǎng)絡安全防范措施在高校網(wǎng)絡中的應用[J].中國科 技信息，2008，（17）.

[2] 楊川.高校無線網(wǎng)絡安全問題及防范措施[J].計算機光盤軟件與應用，

2014，（15）.

[3] 趙劍峰.高校無線校園網(wǎng)方案設計及工程實踐[D].北京：北京郵電大

篇(3)

關鍵詞：無線網(wǎng)絡 安全隱患 解決方案

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2014）09（a）-0018-01

1 引言

1.1 無線網(wǎng)絡簡介

無線網(wǎng)絡是以電磁波為信息交換介質進行網(wǎng)絡信息的傳遞與共享，根據(jù)網(wǎng)絡覆蓋范圍、速率以及用途可大概分為以下幾類。

無線廣域網(wǎng)（WWAN，Wireless Wide Area Network）是通過衛(wèi)星進行數(shù)據(jù)通信，覆蓋范圍廣，典型技術有3G、4G傳輸速率較快。

無線城域網(wǎng)（WMAN，Wireless Metropolitan Area Network）主要是移動電話或車載裝置移動通信，覆蓋城市大部分地區(qū)，代表技術有IEEE802.20標準、IEEE802.16標準體系。

無線局域網(wǎng)（WLAN，Wireless Local Area Networks）覆蓋范圍較小，連接距離50～100m，代表技術有IEEE802.11系列和HomeRF技術。

無線個域網(wǎng)（WPAN，Wireless Personal Area Network）一般指個人計算中無線設備間的網(wǎng)絡，傳輸距離一般為10 m，代表技術有IEEE802.15、ZigBee和Bluetooth技術。

無線體域網(wǎng)（BAN，Body Area Network）主要是指體表或體內傳感器間的無線通信，多應用于醫(yī)療、軍事方面，傳輸距離約為2m。

1.2 無線網(wǎng)絡安全現(xiàn)狀

無線網(wǎng)絡傳輸媒體的開放性，、網(wǎng)絡中應用終端的移動性、網(wǎng)絡拓撲的動態(tài)性等都增加了網(wǎng)絡安全風險。只要在特定無線電波范圍內，通過適當?shù)脑O備即可捕獲網(wǎng)絡信號，從而輕易傳播病毒或間諜軟件，且由于無線終端的計算和存儲有限，故不能直接應用有線網(wǎng)絡中的成熟的安全方案和相關技術。一般而言，由電信等ISP部署的較大無線網(wǎng)絡，其安全機制較為完善，而中小規(guī)模的無線網(wǎng)絡則可能由于技術水平、安全意識、硬件設備投入等因素造成安全性較低，總之，無線網(wǎng)絡安全性能差，安全管理難度大，且管理措施實施困難。

2 無線網(wǎng)絡安全問題

2.1 網(wǎng)絡隱蔽性差

無線網(wǎng)絡是運用射頻技術連接網(wǎng)絡，通過一定頻率范圍的無線電波傳輸數(shù)據(jù)，在信號范圍內黑客可以憑借一臺接受設備，例如，配有無線網(wǎng)卡的計算機便可輕易登陸該無線網(wǎng)。

2.2 防范意識差

很多無線網(wǎng)絡用戶都未設置安全機制或設置較為簡易密碼，這一現(xiàn)象多見家庭用戶。這就為他人非法侵入提供了條件，埋下重大安全隱患。

2.3 竊聽、截取和監(jiān)聽

所謂竊聽是指偷聽流經(jīng)網(wǎng)絡的計算機通信的電子形式；監(jiān)聽是對未使用加密認證的通信內容進行監(jiān)聽，并通過終端獲得內容，或通過工具軟件監(jiān)聽、截取并分析通信信息，來破解密鑰得到明文信息，來輔助進一步攻擊。

2.4 拒絕服務

這類攻擊中攻擊者惡意占用主機或網(wǎng)絡幾乎所有資源，或是攻擊無線網(wǎng)絡中的設備使其拒絕服務，再或是利用同頻信號干擾無線信道工作，從而造成用戶無法正常使用網(wǎng)絡。

2.5 非授權訪問

無線網(wǎng)絡的開放身份驗證只需提供SSID或正確WEP密鑰即可，容易受黑客攻擊。而共享機密身份驗證的“口令-響應”過程則是通過明文傳送的，故極易被破解用于加密的密鑰。此外，由于802.1x身份驗證只是服務器對用戶進行驗證，故容易遭到“中間人”竊取驗證信息從而非法訪問網(wǎng)絡。

3 無線網(wǎng)絡安全解決方案

3.1 接入控制

合理控制所有接入無線網(wǎng)絡的所有的物理終端，例如，針對設備信號覆蓋范圍問題，須選擇合理的位置，限制可達無線基站范圍以內的控制訪問量。

要求所有無線網(wǎng)絡用戶設置一個嚴格的身份驗證安全機制，建立用戶認證，對網(wǎng)絡中的設備定期進行密碼變換。也可利用直接序列擴頻技術（DSSS）加強硬件的抗干擾性，利用WEP和WPA加密技術，避免入侵。面對授權用戶設置授權區(qū)域和可訪問的資源，對于非法入侵者一律拒絕訪問。

3.2 隔離策略

在構建企業(yè)、校園無線網(wǎng)絡時，要注意與內部網(wǎng)絡的隔離，在AP和內網(wǎng)之間設置防火墻、篩選器等設備避免無線網(wǎng)絡被攻擊后的進一步的侵害。且由于無線網(wǎng)絡用戶的不確定性和移動性，需要對用戶之間的互訪進行隔離，使客戶端只能訪問AP接入的網(wǎng)絡，保證各方之間的安全接入。

3.3 數(shù)據(jù)安全

對于無線網(wǎng)絡中的數(shù)據(jù)安全，首先鼓勵相關用戶積極使用無線加密協(xié)議對無線網(wǎng)絡中的信息進行加密，防止非法用戶對無線網(wǎng)中的信息進行篡改、截取等操作。再者，無線網(wǎng)絡數(shù)據(jù)安全防范主要措施在于網(wǎng)絡動態(tài)主機配置協(xié)議的禁用，同時還要設置無線設備的MAC地址過濾功能，有效控制無線客戶端的接入。此外合理管理IP分配方式也至關重要，或通過動態(tài)分配減輕繁瑣的管理工作，或通過靜態(tài)地址控制IP，防止入侵者自動獲取。最后，無線網(wǎng)絡之間的數(shù)據(jù)傳輸中要禁止SSID廣播并改變服務集標識符，以保證用戶終端接入點和網(wǎng)絡設備之間的相對獨立，從而確保無線網(wǎng)絡數(shù)據(jù)的安全。

4 結語

無線網(wǎng)絡進一步加強了人們日常生活與網(wǎng)絡之間的聯(lián)系，極大地便捷和豐富了人們的生活，尤其在電商經(jīng)濟高速發(fā)展的大背景下，它具有極大的經(jīng)濟前景，當然也要對其技術背后的安全性問題有足夠認識，只有同時注意到它的優(yōu)勢與風險，才能更好發(fā)揮其潛力。

總之沒有絕對安全的網(wǎng)絡，只有足夠的安全防范意識，合適的防范措施，不斷改進的技術與管理才能真正保證無線網(wǎng)絡環(huán)境的安全。

參考文獻

[1] 朱建民.無線網(wǎng)絡安全方法與技術研究[D].西安電子科技大學博士論文.

[2] 張麗.無線網(wǎng)絡安全的思考[J].科技創(chuàng)新論壇?硅谷，2012（6）.

[3] 楊天化.淺談無線網(wǎng)絡安全及防范策略[J].浙江工貿(mào)職業(yè)技術學院學報，2006（2）.

篇(4)

關鍵詞：內部網(wǎng)絡;技術;措施

現(xiàn)在，人們雖然都對網(wǎng)絡安全問題有一定的了解，但是卻只有部分人群真正認識網(wǎng)絡安全威脅從何而來。許多人認為，企業(yè)的內部網(wǎng)絡威脅主要是外界的網(wǎng)絡攻擊，但是實際上企業(yè)的內部網(wǎng)絡安全威脅往往更大。

由于許多企業(yè)都對局域網(wǎng)和互聯(lián)網(wǎng)實行各種信息共享，使得企業(yè)的內部網(wǎng)絡往往在“眾目睽睽之下”，雖然大多數(shù)企業(yè)都有采取各類防火墻來作為護盾，但是黑客的手段也隨之提高，不時的出現(xiàn)各類網(wǎng)絡入侵進和攻擊。許多發(fā)達國家的企業(yè)在內部網(wǎng)絡安全方面，投資相當之多，可見內部網(wǎng)絡安全威脅，對于公司防范措施的選擇上有著必要的關系。

一、內部網(wǎng)絡存在的安全威脅

（一）交換機的安全隱患。交換機是每個企業(yè)網(wǎng)絡中必然存在的設備，也正因為此設備的廣泛使用，使得其在網(wǎng)絡中，被攻擊的次數(shù)最多。

（二） windows更新不及時。由于各個企業(yè)公司的網(wǎng)絡電腦眾多，所以很難保證將每臺電腦都能及時對windows軟件進行更新安裝，這也就無形中增多了安全的漏洞，使得整個內部網(wǎng)絡安全處于威脅當中。

（三）防病毒軟件的更新。黑客的攻擊手段，每天都在因為防病毒軟件的日益完善，而不斷提高，所以就需要企業(yè)的內部網(wǎng)絡及時對防病毒軟件進行更新，以便應對最新的網(wǎng)絡病毒。

（四）USB的使用問題。USB設備的使用頻繁度是驚人的，據(jù)相關統(tǒng)計，每個企業(yè)每天使用USB的頻率是所有設備最多的，但是USB設備的特殊性，使得對它的安全防范過低。Win

dows系統(tǒng)的USB保護措施很少，大部分系統(tǒng)只能使用簡單的啟用和禁用USB來作為防范措施，這顯然是不夠的，所以很多黑客都把USB存儲設備當成攻擊和入侵的主要著手點。

（五）企業(yè)內部網(wǎng)絡賬號密碼設置過于簡單。許多企業(yè)的內部操作者，對于賬號和密碼設置的都非常簡單，這樣給入侵者帶來極大的方便，可以說，使用這樣的屏障如履薄冰。

（六）無線網(wǎng)絡的使用?，F(xiàn)在多數(shù)電腦都有無線訪問功能，但是無線連接的同時，會對有線網(wǎng)絡安全構成極大的威脅。

二、內部網(wǎng)絡安全常見的防范技術

（一）安裝防病毒軟件和防火墻。安裝防病毒軟件和防火墻，能有效保護網(wǎng)絡安全，但是并不能完全使得網(wǎng)絡處于絕對安全之中。

（二）認證技術。認證可以對各種消息系統(tǒng)的安全起到重要作用，它是防止各類網(wǎng)絡黑客入侵和攻擊的有效技術。

（三）訪問控制。訪問控制的主要功能是，使得網(wǎng)絡資源不會被非法訪問，更不會被非法使用，對于訪問控制的設置，可以根據(jù)網(wǎng)絡環(huán)境自由選擇。

（四）計算機取證技術。許多電腦本身有對黑客的入侵和攻擊行為，會有計算機取證技術對其進行重建，以便于使用法律武器打擊犯罪分子。但是現(xiàn)在相關法律還在不斷完善當中。

三、內部網(wǎng)絡安全防范的重要措施

（一）加強網(wǎng)絡交換機的安全防范。首先要將VLAN ID在每個端口上都有設置，對不常使用的端口禁止使用。其次要通過合理設置，關閉每個終端端口的DTP。另外對限制用戶的網(wǎng)訪問設置為非授權用戶。

（二）完善USB設備的安全管理。由于USB設備是最大的網(wǎng)絡隱患之一，因此，要作出相應應對措施。

可以將每臺電腦的USB接口封死。也可以利用相關軟件，對每個終端電腦進行管理。另外內部網(wǎng)絡安全系統(tǒng)軟件，大多擁有控制接口的功能，可以加以利用，以便控制USB設備安全威脅。

（三）進行內部網(wǎng)絡操作培訓?？梢远ㄆ趯炔繂T工計算機的操作進行相關培訓，減少失誤帶來的安全隱患。

（四）建立可靠的無線訪問。對整個網(wǎng)絡進行審查，將對工作沒有任何用處的無線網(wǎng)絡排除，使其處于防火墻之外。

（五）及時升級windows軟件。Windows不時就會對漏洞進行維護，并對軟件進行更新，所以，要讓內部網(wǎng)絡計算機及時升級更新微軟相關軟件，保障網(wǎng)絡安全。

（六）使用正版殺毒軟件。各類殺毒軟件，都有破解版本出現(xiàn)，但是離正版軟件有很大差距，所以要求企業(yè)購買比較知名的殺毒軟件。并對軟件的更新作出及時升級。

結語：網(wǎng)絡安全防范措施，是從不斷的日常工作經(jīng)驗中，積累總結而得出的，因此要根據(jù)企業(yè)的內部實際，采用適當?shù)南嚓P技術，來完善補充，才能真正起到保護內部網(wǎng)絡安全的目的。

參考文獻：

篇(5)

關鍵詞：無線網(wǎng)絡；網(wǎng)絡安全；無線協(xié)議；防范措施

1安全概述

狹義的“無線網(wǎng)絡”，即基于802.11/b/g/n標準的無線網(wǎng)絡，由于其具有可移動性、安裝簡單、高靈活性和高擴展性，作為傳統(tǒng)有限網(wǎng)絡的延伸，在許多領域得到了廣泛應用。由于無線局域網(wǎng)以電磁波作為主要傳輸介質，設備之間可以相互接收數(shù)據(jù)，如果無線局域網(wǎng)不采用適當?shù)逆溄诱J證、數(shù)據(jù)加密機制，數(shù)據(jù)傳輸?shù)娘L險就會加大。當然，無線網(wǎng)絡發(fā)展起初，安全便是無線局域網(wǎng)系統(tǒng)的重要組成部分，客戶端接入無線網(wǎng)絡的過程為掃描、認證、關聯(lián)、連接成功。無線網(wǎng)絡安全性保證，需要從認證和加密2個安全機制來分析。認證機制用來對客戶端無線接入身份進行驗證，授權以后才可以使用網(wǎng)絡資源；加密機制用來對無線局域網(wǎng)的數(shù)據(jù)傳輸進行加密，以保證無線網(wǎng)絡數(shù)據(jù)的通信安全。

2鏈路認證機制分析

客戶端（STA）獲得足夠的權限并擁有正確的密鑰以后才能進行安全的、完整的、受保護的通信。鏈路認證即身份驗證機制，認證通過即授權以后才能訪問網(wǎng)絡資源。無線局域網(wǎng)中，客戶端同無線接入端進行802.11關聯(lián)，首先必須進行接入認證。身份驗證是客戶端連接到無線網(wǎng)絡的起點，任何一個STA試圖連接網(wǎng)絡之前，都必須進行802.11的身份驗證進行身份確認。802.11標準定義了2種鏈路層的認證，即開放系統(tǒng)身份認證和共享密鑰身份認證。開放系統(tǒng)身份認證不需要確認客戶端任何信息，和AP沒有交互身份信息，可以認為是空加密，目的是使雙方都認為應該在后面使用更安全的加密方式。也可以認為，先關聯(lián)后核對身份信息。如果認證類型設置為開放系統(tǒng)認證，則STA發(fā)送的第一個Authentication報文只要是開放系統(tǒng)就通過認證，接著就順利完成關聯(lián)。共享密鑰身份認證是一種增強無線網(wǎng)絡安全性的認證機制，其在WEP機制中得到應用。這種認證的前提是STA和AP都有配置靜態(tài)的WEP密鑰，認證的目的就是確認兩者使用的密鑰是否一致。共享密鑰認證是通過4個認證幀的交互來完成的，STA首先發(fā)送一個認證報文（Authentication報文）給AP，然后AP會給STA回復一個挑戰(zhàn)明文（Challenge包），接著STA使用密鑰對這個明文進行加密并發(fā)送給AP，最后AP對其解密。如果解密成功且明文與最初給STA的字符串一致，則表示認證成功并回復，接著為STA打開邏輯端口，便可以使用無線接入點服務，否則不允許用戶連接網(wǎng)絡。目前常用的鏈路認證有PSK接入認證、EAP拓展認證。預共享密鑰PSK是802.11i中定義的一種身份驗證方式，以預共享密鑰的方式對無線用戶接入進行控制，并能動態(tài)產(chǎn)生密鑰，以保證無線局域網(wǎng)用戶的數(shù)據(jù)安全。該認證方式要求無線客戶端和接入端配置相同的預共享密鑰。如果密鑰相同，則PSK接入認證成功，否則認證失敗，一般應用于家庭或小型網(wǎng)絡公司。EAP拓展認證協(xié)議主要運行于數(shù)據(jù)鏈路層，比如PPP、有線局域網(wǎng)，同樣支持無線局域網(wǎng)，在IEEE802.11i進行了描述。該架構支持多路認證方法，具有靈活性，EAP允許使用后臺認證服務器（BAS，BackendAuthenticationServer）。某些情況認證實體并不是真正處理身份認證，它僅僅將驗證請求轉發(fā)給后臺認證服務器來處理。這種架構拓展了EAP的適用范圍。AAA（認證、授權、計費）認證是基于EAP協(xié)議，屬于BAS的一種具體形式，包括常用的RADIUS服務器等。如果沒有后臺驗證服務器，EAP服務器功能就在驗證請求實體中，無線網(wǎng)絡一般是AP。

3無線加密方式對比

無線網(wǎng)絡加密主要是對數(shù)據(jù)鏈路層（包含媒介訪問控制、邏輯鏈路控制部分）進行加密，目前無線局域網(wǎng)涉及到的加密算法有有線等效加密（WEP）、暫時密鑰集成協(xié)議（TKIP）和高級加密標準AES-CCMP。

3.1有線等效加密

有線等效加密是目前802.11無線加密的基礎，是無線網(wǎng)絡基礎安全加密機制。其通過共享密鑰來實現(xiàn)認證，認證機制簡單，并且是單向認證，沒有密鑰管理、更新及分發(fā)機制。完全手工配置并不方便，所以用戶往往不更改。802.11定義了2個WEP版本，WEP-40和WEP-104，分別支持64，128位加密，含24位初始化向量IV，因此無線設備上配置的共享密鑰為40或104位，其還包括一個數(shù)據(jù)校驗機制ICV，用來保護信息傳輸不被篡改。隨著技術的不斷發(fā)展，發(fā)現(xiàn)WEP存在許多密碼學缺陷，基礎缺陷是RC4加密算法以及短IV向量。另外，還發(fā)現(xiàn)其容易受到重傳攻擊。ICV也有弱點。雖然WEP協(xié)議通過高位WEP和動態(tài)WEP方式改進，但是有實驗證明高位WEP雖然密碼復雜程度高，但核心算法RC4已經(jīng)公開，破解花費時間不是很長，根本無法保證數(shù)據(jù)的機密性、完整性和用戶身份認證。動態(tài)WEP，指定期動態(tài)更新密鑰，但由于是私有方案而非標準，無法從根本上解決WEP存在的問題。

3.2暫時密鑰集成協(xié)議

暫時密鑰集成協(xié)議是針對WEP加密算法漏洞而制定的一種臨時解決方案，其核心是對WEP加密算法的改進。與WEP不同的是，TKIP針對不同客戶端周期性動態(tài)產(chǎn)生新的密鑰，避免密鑰被盜用。并且TKIP密鑰長度為128位，初始化向量IV增加為48位，降低了密鑰沖突，提高了加密安全性。同時數(shù)據(jù)包增加信息完整碼MIC（MessageIntegrityCode）校驗，可防止偽裝、分片、重放攻擊功能等黑客攻擊行為，為無線安全提供了強有力的保證。另外，如果使用TKIP加密，只要支持WEP加密就不需要進行硬件升級。

3.3高級加密標準AES-CCMP

基于計數(shù)器模式CBC-MAC協(xié)議的AES安全加密技術（AES-CCMP），是目前為止最高級的無線安全協(xié)議，加密使用128位AES算法（一種對稱迭代數(shù)據(jù)加密技術）實現(xiàn)數(shù)據(jù)保密，使用CBC-MAC來保證數(shù)據(jù)的完整性和安全性。另外，通過數(shù)據(jù)包增加PN（PacketNumber）字段，使其具有防止回放、注入攻擊的功能。這樣就可提供全部4種安全服務，即認證、數(shù)據(jù)保密性、完整性和重發(fā)保護。AES加密算法是密碼學中的高級加密標準，采用對稱的區(qū)塊加密技術，比WEP與TKIP加密核心算法RC4具有更高的加密性能，不僅安全性能更高，而且其采用最新技術，在無線網(wǎng)絡傳輸速率上也要比TKIP快，快于TKIP及WEP的54Mbps的最大網(wǎng)絡傳輸速度。

4WPA/WPA2安全分析

Wi-Fi網(wǎng)絡安全存取技術（WPA）是在802.11i草案基礎上制定的無線局域網(wǎng)安全技術系統(tǒng)，因WEP有嚴重的缺陷，WPA的目的就是替代傳統(tǒng)的WEP加密認證。WPA主要使用TKIP加密算法，其核心加密算法還是RC4，不過其密鑰與網(wǎng)絡上設備MAC地址、初始化向量合并。這樣每個節(jié)點都使用不同的密鑰加密。WPA使用Michael算法取代WEP加密的CRC均支持。這樣，WPA既可以通過外部Radius服務進行認證，也可以在網(wǎng)絡中使用Radius協(xié)議自動更改分配密鑰。WPA的核心內容是IEEE802.1x認證和TKIP加密。WPA含2個版本，即針對家庭及個人的WPA-PSK和針對企業(yè)的WPA-Enterprise。WPA2（無線保護接入V2）是經(jīng)由Wi-Fi聯(lián)盟驗證過的IEEE802.11i標準的認證形式，即強健安全網(wǎng)絡，它的出現(xiàn)并不是為了解決WPA的局限性。它支持AES高級加密算法，使用CCM（Counter-Mode/CBC-MAC）認證方式。這比TKIP更加強大和健壯，更進一步加強了無線局域網(wǎng)的安全和對用戶信息的保護。最初，其與WPA的核心區(qū)別是定義了具有更高安全性的加密標準，不過現(xiàn)在兩者都已經(jīng)支持AES加密。同樣，WPA2允許使用基于具有IEEE802.X功能的RADIUS服務器和預共享密鑰（PSK）的驗證模式。一般RADIUS服務器驗證模式適用于企業(yè)，預共享密鑰適用于個人驗證。不過專業(yè)技術人員WPA/WPA2的4次握手過程仍然存在字典攻擊的可能。近來，隨著對無線安全的深入了解，黑客通過字典及PIN碼破解就能攻破WPA2加密。

5無線網(wǎng)絡安全防范措施

目前，大多數(shù)企事業(yè)單位及個人家庭Wi-Fi產(chǎn)品都支持WPA2，WPA2已經(jīng)成為一種無線設備強制性標準。WPA2基本上可以滿足部分企業(yè)和政府機構等需要導入AES的用戶需求。具體來說，用戶可以采取以下一些措施來降低無線網(wǎng)絡的安全風險：①定期維護加密密碼，不要使用默認用戶名，組合使用字母、數(shù)字、特殊字符來設置密碼，并要定期變更密碼。②定期修改SSID或隱蔽SSID。選取AP的SSID時，不要使用公司或部門名稱、接入點默認名稱及測試用SSID，并定期更改無線路由器的SSID號。另建議用戶關閉無線路由器的SSID廣播功能。③必要時，關閉無線路由器的DHCP服務。DHCP服務會暴露用戶網(wǎng)絡的一些信息，無線客戶端可以獲得IP地址、子網(wǎng)掩碼、網(wǎng)關等信息。這樣，入侵者很輕易就可以使用無線路由器的資源，成為一個有隱患的漏洞。④充分利用路由器的安全功能，通過路由器提供安全設置功能對IP地址進行過濾、MAC地址綁定等，限制非法用戶接入。⑤選擇最新加密設置。目前大多數(shù)無線客戶端、路由器及AP都已經(jīng)全面支持WPA協(xié)議，WEP在當今基本失去安全意義，可以選擇WPA/WPA2和WPA-PSK/WPA2-PSK這幾種模式，同時建議采用AES加密算法。⑥采用802.1x身份驗證。該認證用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制?；赑PP協(xié)議定義的EAP擴展認證協(xié)議，可以采用MD5、公共密鑰等更多認證機制，從而提供更高級別的安全。802.1x的客戶端認證請求可以獨立搭建Radius服務器進行認證，目前已經(jīng)成為大中型企業(yè)、高校等無線網(wǎng)絡強化的首選。

6結束語

無線局域網(wǎng)使用簡單、操作安裝方便，移動靈活性強，但同時面臨著復雜的無線安全問題。網(wǎng)絡技術管理人員應關注網(wǎng)絡安全技術，提高安全防范意識，切不可對無線網(wǎng)絡安全掉以輕心，同時采取合理的網(wǎng)絡安全措施規(guī)避無線網(wǎng)絡安全風險。

參考文獻

［1］JoshuaWright.黑客大曝光：無線網(wǎng)絡安全［M］.李瑞民，馮全紅，沈鑫，譯.北京：機械工業(yè)出版社，2011.

［2］楊哲，ZerOne無線安全團隊.無線網(wǎng)絡黑客攻防［M］.北京：中國鐵道出版社，2011.

［3］安淑林，白鳳娥.降低無線網(wǎng)絡風險的策略探析［J］.山西科技，2010，25（2）.

篇(6)

1 引言

隨著各種電子設備的不斷興起，傳統(tǒng)的有線網(wǎng)絡顯然已經(jīng)不能滿足人們的用網(wǎng)需求。與有線網(wǎng)絡相比，無線網(wǎng)絡的安裝快捷、使用方便、可移動性等特點，使得你在可在校園內任何時間、任何地點都能輕松上網(wǎng)，作為對有線網(wǎng)絡的補充，校園網(wǎng)肩負著學校的教學、科研等重要任務，一旦遭遇網(wǎng)絡安全問題，后果不堪設想。所以了解無線網(wǎng)絡的安全隱患，確保高校網(wǎng)絡安全問題顯得尤為重要。

2 高校無線網(wǎng)絡的安全問題

由于無線網(wǎng)絡的信號難以控制，因為無線網(wǎng)絡依靠的是邏輯鏈路而不是物理鏈路，只要是無線AP能廣播出信號的地方都有可能遭到入侵，通過非法手段獲取網(wǎng)絡訪問權限[1]。大學校園是人員相對密集的一個場所，和其他區(qū)域的無線網(wǎng)絡一樣，高校無線網(wǎng)絡存在以下幾點隱患。

2.1 非法用戶的接入

我們電腦現(xiàn)在所使用的操作系統(tǒng)，基本支持無線wifi的查找，一旦非法用戶或者黑客通過一般的攻擊接入無線網(wǎng)絡，勢必將占用合法用戶的網(wǎng)絡帶寬，從而降低了合法用戶的網(wǎng)絡體驗。

2.2 非法竊聽

校園無線網(wǎng)絡通信主要使用網(wǎng)絡通道完成數(shù)據(jù)的接收和發(fā)送，由于無線網(wǎng)絡的通信設備的信號發(fā)射頻率較低，而且信號傳輸?shù)木嚯x有限，非法入侵者借助一些高增益的無線設備就很容易竊聽到無線網(wǎng)絡通信設備中傳輸?shù)臄?shù)據(jù)信息，并在進行數(shù)據(jù)的惡意修改和轉發(fā)，從而影響無線網(wǎng)絡安全的穩(wěn)定運行。

2.3 Arp欺騙

非法用戶通過網(wǎng)絡竊聽等手段獲取網(wǎng)絡中合法站點的MAC地址，然后通過ARP欺騙，通過偽造MAC地址進行ARP欺騙，持續(xù)不斷地發(fā)送偽造的ARP信息，從而使網(wǎng)絡中產(chǎn)生大量的信息量，占用網(wǎng)絡帶寬，從而引起網(wǎng)絡堵塞[2]。

2.4 拒絕服務攻擊

拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務，如導致某些服務被暫停甚至死機都屬于拒絕服務攻擊。我們常用無線網(wǎng)絡的協(xié)議是IEEE802.11，但由于其本身的漏洞，非法入侵者可能利用這些漏洞對設備進行拒絕服務攻擊。易受攻擊的設備包括支持802.11、802.11b等無線標準的設備。

2.5 網(wǎng)絡管理者安全意識不強

目前各個高校大都在興建無線網(wǎng)絡，但校園無線網(wǎng)絡建設的水平缺參差不齊、提前規(guī)劃設計考慮不充分、在加之網(wǎng)絡管理人員安全意識不強，導致無線網(wǎng)絡安全性并不高。比如：很多無線站點都沒有考慮無線接入的安全問題；無線網(wǎng)絡接入認證存在缺陷；無線密鑰的認證等基本方法沒有完全普及等等各種問題，所以高校網(wǎng)絡管理者有必要更進一步完善無線的安全體系。

3 高校無線網(wǎng)絡安全應對措施

3.1 用戶劃分

高校無線用戶數(shù)量較多，我們可以根據(jù)不同網(wǎng)絡環(huán)境劃分用戶群。如教學區(qū)、實驗室、行政辦公人員這部分相對固定的劃分為固定用戶群[3]?？梢圆捎秒娔XMAC地址綁定的形式或者分配固定的IP地址，從而保證無線網(wǎng)絡安全；此外對于位置不固定的用戶，如使用手機、筆記本電腦等手持設備的用戶，將其劃分為活動用戶。對于這類用戶，采用較為嚴格的登陸認證機制，從根本杜絕非法用戶的入侵。

3.2 提高無線網(wǎng)絡的認證機制

在使用校園無線網(wǎng)絡的用戶中，基本可以分為內網(wǎng)用戶和外網(wǎng)用戶。對于內網(wǎng)用戶如老師、學生，由于工作和學習需要可能需要隨時的接入無線網(wǎng)絡，對于這類用戶我們可以使用802.1x+Radius認證，在認證的過程中由隧道加密進行防護，這需要無線網(wǎng)絡的接入設備安裝有支持802.1x的客戶端。對于網(wǎng)絡用戶，只需要訪問internet而不需要訪問內網(wǎng)資源，我們可以采用web portal認證，當用戶接入無線網(wǎng)絡時會通過DHCP服務器分配合法地址，用戶打開網(wǎng)頁時，認證系統(tǒng)會自動推送認證界面。

3.3 采用VPN技術增強安全性能

VPN即虛擬專用網(wǎng)絡，是在公用網(wǎng)絡上利用隧道技術和加密技術建立起專用網(wǎng)絡，VPN網(wǎng)關通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉換實現(xiàn)遠程訪問[4]。我們可以將高校無線網(wǎng)絡劃分成單獨的局域網(wǎng)，所有無線用戶在訪問校園網(wǎng)絡之前必須使用VPN網(wǎng)關進行鑒定，客戶機到VPN的數(shù)據(jù)包采用安全協(xié)議加密，這樣非法入侵者將無法破解專用網(wǎng)絡，從而保證我們的無線網(wǎng)絡更加安全。

3.4 使用入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（intrusion detection system，簡稱“IDS”）是一種對網(wǎng)絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備。它通常設置在內部網(wǎng)絡的邊界上，通過監(jiān)視、分析用戶的上網(wǎng)行為，判斷入侵時間的類型此外對于網(wǎng)絡使用過程流量異常報警，通過IDS可以有效地檢測網(wǎng)絡非法的接入和入侵，找出偽裝WAP的無線上網(wǎng)用戶

篇(7)

關鍵詞：無線；局域網(wǎng)；校園網(wǎng)；安全技術

中圖分類號：TP393文獻標識碼：A文章編號：1007-9599 (2012) 05-0000-02

一、引言

無線局域網(wǎng)（WLAN）相對有線網(wǎng)絡具有其獨特的優(yōu)勢，避免了有線網(wǎng)絡比較繁瑣的布線施工過程，節(jié)約了施工費用，安裝比較便捷，同時可以根據(jù)實際使用情況進行擴展。無線網(wǎng)絡已逐步在校園網(wǎng)絡普及，逐漸成為校園網(wǎng)絡建設的重點。無線網(wǎng)絡給我們帶來便捷的同時，也帶來了網(wǎng)絡安全隱患，無線網(wǎng)絡的信道開放的特點，使得網(wǎng)絡數(shù)據(jù)容易被攻擊者竊聽、修改或轉發(fā)。無線網(wǎng)絡的安全隱患阻礙了其發(fā)展。校園用戶大多喜歡嘗試新的事物，雖然一方面對無線校園網(wǎng)的需求不斷增長，但同時也讓許多潛在的用戶對不能夠得到可靠的安全保護而對最終是否使用無線局域網(wǎng)猶豫不決。

二、無線局域網(wǎng)的安全威脅

利用WLAN進行通信，要求其必須具有較高的通信保密能力。現(xiàn)有的WLAN產(chǎn)品的安全問題主要表現(xiàn)在以下方面：

（一）未經(jīng)授權使用網(wǎng)絡服務

由于WLAN的開放式訪問方式特點，未經(jīng)授權也可以使用網(wǎng)絡資源。占用無線通道，增加了帶寬費用，合法用戶的服務質量遭到影響，而且非法用戶濫用無線網(wǎng)絡資源，使得合法的無線校園網(wǎng)的用戶無法正常使用。

同時，非法用戶私自架設無線AP，誘使用戶接入不安全的無線AP上。接入非法AP輕則會導致客戶無法訪問網(wǎng)絡資源，重則會導致用戶的重要數(shù)據(jù)被竊取。

（二）地址欺騙和會話攔截

現(xiàn)在許多網(wǎng)卡都支持MAC地址重新配置，非法用戶可以通過將自己所用網(wǎng)絡設備的MAC地址改為合法用戶MAC地址的方法，使用MAC地址“欺騙”，成功通過交換機的檢查，進而非法訪問網(wǎng)絡資源。非法用戶利用無線網(wǎng)路的特點監(jiān)聽合法站點的MAC地址，并對合法的MAC地址進行惡意攻擊。

另外，由于IEEE802.11沒有對AP身份進行認證，攻擊者很容易裝扮成合法AP進入網(wǎng)絡，并進一步獲取合法用戶的鑒別身份信息，通過會話攔截實現(xiàn)網(wǎng)絡入侵。

（三）高級入侵

一旦攻擊者侵入無線網(wǎng)絡，它將成為進一步入侵其他系統(tǒng)的起點。多數(shù)學校部署的WLAN都在防火墻之后，這樣WLAN的安全隱患就會成為整個安全系統(tǒng)的漏洞，只要攻破無線網(wǎng)絡，整個網(wǎng)絡就將暴露在非法用戶面前。

三、無線局域網(wǎng)安全技術

目前有很多種無線局域網(wǎng)的安全技術，有物理地址（MAC）過濾、服務集標識符（SSID）匹配、有線對等保密（WEP）、端口訪問控制技術（IEEE802.1x）、IEEE 802.11i等。下面對在無線局域網(wǎng)中常用的安全技術進行簡介。

（一）物理地址（MAC）過濾

每個無線客戶端的無線網(wǎng)卡都有一個唯一的物理地址（MAC），可以在無線接入點（AP）中規(guī)定一組允許訪問的MAC地址，以實現(xiàn)物理地址過濾，防止非法用戶的侵入無線網(wǎng)絡。這便要求AP中的MAC地址列表必需隨時更新，但物理地址過濾屬于硬件認證，而不是用戶認證，而且MAC過濾技術的可擴展性比較差，MAC地址在理論上還可以偽造，因此這也是較低級別的授權認證，也只適合于小型網(wǎng)絡規(guī)模。

（二）服務集標識符（SSID）匹配

服務集標識符（SSID）是賦予一個獨特名稱給WLAN的一組32位字符。在WLAN中的所有的無線設備為了彼此通信必須使用相同的SSID，這樣才能訪問AP。通過SSID設置，可以對用戶進行有效分組，保證網(wǎng)路的安全和性能。對AP設置不同的SSID，無線工作站必須出示正確的SSID才能訪問AP，這樣就可以允許不同的用戶群組接入，并且通過設置隱藏接入點及SSID的權限控制來達到保密的目的。

（三）有線對等保密（WEP）

有線對等保密（Wired Equivalent Privacy，WEP）是一種數(shù)據(jù)加密算法，用于提供等同于有線局域網(wǎng)的保護能力。使用了該技術的無線局域網(wǎng)，所有客戶端與無線接入點的數(shù)據(jù)都會以一個共享的密鑰進行加密，密鑰的長度有40位至256位兩種，密鑰越長，黑客就需要更多的時間去進行破解，因此能夠提供更好的安全保護。

（四）端口訪問控制技術（IEEE802.1x）和可擴展認證協(xié)議（EAP）

IEEE802.1x是基于端口的網(wǎng)絡訪問控制標準，它能提供一種對連接到局域網(wǎng)的用戶進行認證和授權的手段，達到接受合法用戶接入，保護網(wǎng)絡安全的目的?；贗EEE802.1x的認證，又稱EAPOE認證，因為這個協(xié)議依賴于可擴展認證協(xié)議（EAP）實現(xiàn)。IEEE802.1x認證包括三個部分：請求方、認證方、認證服務器。請求方就是希望接入局域網(wǎng)/無線局域網(wǎng)來上網(wǎng)的設備，譬如一臺筆記本，有時候也指設備上運行的客戶端軟件；認證方則是管理接入設備、譬如以太網(wǎng)交換機或者無線接入點；認證服務器就是一個運行有支持RADIUS和EAP的軟件的主機。在認證過程中認證方起到關鍵作用。它將網(wǎng)絡接入段扣分成兩個邏輯端口：受控端口和非受控端口。非受控端口始終對用戶開發(fā)，只允許用于傳送認證信息，認證通過后，受控端口才會打開，用戶才能正常訪問網(wǎng)絡服務。

（五）IEEE 802.11i

IEEE 802.11i的目標是以針對無線網(wǎng)路原本所具備的弱點加以補強，但由于IEEE 802.11i的標準尚未制訂完成，在WIFI的推動下，制訂了“WIFI Protected Access”標準，以IEEE 802.11i Draft為藍圖，去建構出一個符合現(xiàn)今需求，具備更進一步安全性的無線網(wǎng)路環(huán)境。目前802.11i主要定義的加密機制可以分為TKIP（Temporal Key Integrity Protocol）與AES，其中TKIP就是目前WPA 1.x（WPA/SSN）主要采用的加密機制。

四、無線校園網(wǎng)的多安全防御策略

在有線以太網(wǎng)技術的發(fā)展歷程中，越來越多的面向訪問端和服務端的安全技術被開發(fā)出來并得到了成熟運用。由于無線網(wǎng)絡利用空中載波信道作為傳輸媒介，物理層和數(shù)據(jù)鏈路層的工作原理與有線網(wǎng)絡不同，遵循的安全策略也不同。在校園無線網(wǎng)絡的設計中，如何保證合法用戶的使用權限，避免非法用戶的侵入已成為無線網(wǎng)絡規(guī)劃者的設計重點

現(xiàn)有的WLAN產(chǎn)品的安全技術中，SSID禁止廣播、WEP機密、WPA認證、802.1X認證、EAP-TLS擴展認證、VLAN劃分等一系列技術的得到廣泛運用，有效的提升無線網(wǎng)絡的安全防御性能。我們可以把室內型和室外型網(wǎng)絡設備均支持SSID禁止廣播、WEP機密、WPA認證、802.1X認證、EAP-TLS擴展認證、VLAN劃分技術，可提供完備的安全防御功能。啟用了目前先進的SSID廣播禁止功能之后，由于空中不再廣播明文的SSID號碼，使得那些擁有截獲SSID密碼的無線終端非法訪問網(wǎng)絡。

另外，WEP（有線等效密鑰）和WPA/WPA2（接入保護）技術的出現(xiàn)，可以通過大量的密文加密位和動態(tài)的密鑰協(xié)議（TKIP/AES），為非法訪問者制造難以攻破的障礙，從而避免網(wǎng)絡安全事件的發(fā)生。我們在校園無線網(wǎng)絡規(guī)劃中，由于目前各高校校園有線網(wǎng)絡已具備一定規(guī)模，因此，在無線網(wǎng)絡融合進有線網(wǎng)絡進行數(shù)據(jù)交換之前，通過WEP和WPA加密技術可以增加一層保護手段，可以極大的提升安全防御的能力。

另外，對于室內/室外型AP產(chǎn)品，由于其分別開放于室內高密度訪問和室外環(huán)境，面對的是所有用戶群體，對不同的用戶群體的權限和身份識別則成為必須的功能。因此，AP產(chǎn)品應選擇具備多BSS的劃分和802.1Q VLAN功能的無線產(chǎn)品，協(xié)助接入層無線用戶與接入層交換機用戶同樣接受全網(wǎng)統(tǒng)一管理和VLAN的劃分，這樣可以徹底解決無線用戶無法管、不方便管的疑難問題。

對于覆蓋室內/室外環(huán)境的無線接入點設備而言，由于接入用戶比較復雜，網(wǎng)絡應用不盡相同，因此針對不同用戶、不同應用的QoS保證必須具備。我們可以采用支持標準的802.11i協(xié)議的網(wǎng)絡無線接入點產(chǎn)品，可針對不同的BSS或802.1Q VLAN設置優(yōu)先級保證，有利于充分、合理的利用信道帶寬。

五、結束語

信息化的普及使得校園網(wǎng)絡已經(jīng)與教職工、學生的工作和生活息息相關，是教職工和學生獲取信息和資源的主要途徑。校園網(wǎng)絡為用戶帶來了很大便捷的同時，網(wǎng)絡安全問題的存在時刻威脅著用戶信息的安全。只有運用有效的安全技術和策略，才能阻止非法用戶利用校園網(wǎng)絡進行非法操作，保證校園網(wǎng)絡的正常、穩(wěn)定運行。

參考文獻：

[1]吳振強.Study on Security Architecture and Key Techno―logies for Wireless Local Area Network[D].西安電子科技大學,2007

[2]伍永鋒.無線局域網(wǎng)在高校信息化建設中的應用探討[J].福建電腦,2004