引論：我們為您整理了13篇無線網絡安全防范措施范文，供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源，期望它們能夠激發您的創作靈感，讓您的文章更具深度。

篇1

前言

無線網絡作為一種新興的便捷性網絡資源，已經逐漸得到普及，尤其是在辦公場所。然而，在逐漸快速化的現代生活，網絡的安全性問題已經成為了首要關注的問題，下面我們來討論有關安全防范措施。

二、無線網絡的安全隱患分析

無線局域網的基本原理就是在企業或者組織內部通過無線通訊技術來連接單個的計算機終端,以此來組成可以相互連接和通訊的資源共享系統。無線局域網區別于有線局域網的特點就是通過空間電磁波來取代傳統的有限電纜來實施信息傳輸和聯系。對比傳統的有線局域網,無線網絡的構建增強了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸的效率,但同時,也正是由于無線局域網的特性,使得其很難采取和有線局域網一樣的網絡安全機制來保護信息傳輸的安全,換句話無線網絡的安全保護措施難度原因大于有線網絡。

IT技術人員在規劃和建設無線網絡中面臨兩大問題:首先,市面上的標準與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網絡遭到入侵或攻擊?在有線網絡階段,技術人員可以通過部署防火墻硬件安全設備來構建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內部被攻破”。由于無線網絡具有接入方便的特點,使得我們原先耗資部署的有線網絡防范設備輕易地就被繞過,成為形同虛設的“馬奇諾防線”。

針對無線網絡的主要安全威脅有如下一些:

1.數據竊聽。竊聽網絡傳輸可導致機密敏感數據泄漏、未加保護的用戶憑據曝光,引發身份盜用。它還允許有經驗的入侵者手機有關用戶的IT環境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統或數據。甚至為攻擊者提供進行社會工程學攻擊的一系列商信息。

2.截取和篡改傳輸數據。如果攻擊者能夠連接到內部網絡,則他可以使用惡意計算機通過偽造網關等途徑來截獲甚至修改兩個合法方之劍正常傳輸的網絡數據。

3.網絡通信被竊聽

網絡通信被竊聽是指用戶在使用網絡過程中產生的通信信息為局域網中的其他計算機所捕獲。由于大部分網絡通信都是以明文(非加密)的方式在網絡上進行傳輸的，因此通過觀察、監聽、分析數據流和數據流模式，就能夠得到用戶的網絡通信信息。例如，A計算機用戶輸入百度的網址就可能為處于同一局域網的B計算機使用監視網絡數據包的軟件所捕獲，并且在捕獲軟件中能夠顯示出來，同樣可以捕獲的還有MSN聊天記錄等。

4.無線AP為他人控制

無線AP是指無線網絡接入點，例如家庭中常用的無線路由器就是無線AP。無線AP為他人所控制就是無線路由器的管理權限為非授權的人員所獲得。當無線網絡盜取者盜取無線網絡并接入后，就可以連接訪問無線AP的管理界面，如果恰好用戶使用的無線AP驗證密碼非常簡單，比如使用的是默認密碼，那么非授權用戶即可登錄進入無線AP的管理界面隨意進行設置。

無線AP為他人所控制可能造成的后果很嚴重：一是盜用者在控制無線AP后，可以任意修改用戶AP的參數，包括斷開客戶端連接；二是在無線路由器管理界面中，存放著用戶ADSL的上網賬號和口令(如圖2所示)，通過密碼查看軟件可以很輕松地查看以星號或者點號顯示的口令。

三、安全防范措施

1.隱藏計算機

要讓自己的計算機隱身，技巧比較多，在這里我們向大家介紹一些常用的技巧。

（一）DOS命令法

對于處在局域網里的計算機，我們可以打開命令提示符窗口，然后在提示符下輸入“net config server /hidden:yes”，這樣即可實現隱身。

（二）取消共享法

打開本地無線連接的屬性窗口，在“常規”標簽中把“此連接使用下列項目”下的“Microsoft網絡的文件和打印機共享”項選中，然后單擊“卸載”按鈕，將文件和打印共享服務卸載，同樣可以起到隱身的作用。

（三）組策略法

對于Windows 2000/XP用戶，還可以通過組策略來解決。運行“gpedit.msc”打開組策略，依次找到“計算機配置Windows設置安全設置本地策略用戶權利指派”，在右側窗口中找到“從網絡訪問這臺計算機”，然后將其中所有的用戶都刪除即可。

（四）禁Ping法

對于Windows XP SP2用戶，我們還可以使用防火墻來解決這個問題。黑客入侵，一般都會使用Ping命令判斷主機是否在線。對此我們可以讓他Ping不通。進入控制面板打開Windows防火墻，切換到“高級”標簽，在“網絡連接設置”中選中無線連接并單擊“設置”按鈕，將打開的窗口再切換到“ICMP”，把相關的傳入和傳出請求都禁止，這樣再Ping時將無法判斷主機是否在線。

2.MAC地址過濾

MAC地址過濾在有線網絡安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網絡中操作交換機的方式一致。通過無線控制器將指定的無線網卡的物理地址(MAC地址)下發到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設置。

3.隱藏SSID

SSID(Service Set Identifier,服務標識符)是用來區分不同的網絡,其作用類似于有線網絡中的VLAN,計算機接入某一個SSID的網絡后就不能直接與另一個SSID的網絡進行通信了,SSID經常被用來作為不同網絡服務的標識。一個SSID最多有32個字符構成,無線終端接入無線網路時必須提供有效的SIID,只有匹配的SSID才可接入。

一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網絡,例如WINDOWSXP自帶掃描功能,可以將能聯系到的所有無線網絡的SSID羅列出來。因此,出于安全考慮,可以設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統自帶的功能掃描到這個實際存在的無線網絡,即便他知道有一個無線網絡存在,但猜不出SSID全名也是無法接入到這個網絡中去的。

4.隱藏無線路由

很多用戶為了方便客戶機連接，一般都會啟用SSID廣播。事實上如果客戶端比較固定，那么我們根本不需要，應該將其停止廣播，使其處于隱身狀態，避免處于信號覆蓋范圍內的非法計算機接入網絡。

不同設備禁用SSID廣播的技巧大體相同，只需要登錄管理界面，然后找到SSID廣播設置將其禁用即可。禁用SSID廣播后，客戶端需要連接時，只需要手工添加首先網絡并輸入SSID名稱即可。

雖然說，上面的技巧并不能絕對保障無線網絡的安全，但是將相應的設備隱藏起來，將可以阻止大部分非法侵入。

5.安全標準策略

WEP標準已經被證明是極為不安全的，特別容易受到安全攻擊，WPA雖然也存在被破解的可能，但是其安全程度比WEP高了很多，因此建議采用WPA加密方式。

6. 修改路由器密碼策略

為了無線路由器的安全，應當修改路由器所使用的用戶名和密碼，不要使用默認的用戶名和密碼。例如很多路由器的默認用戶名和密碼都是“admin”，幾乎成為眾所周知的密碼，也就毫無安全保障可言。

防火墻

對于企業用戶，可以通過建立防火墻來提升無線網絡的安全性，防火墻能夠有效阻止入侵者通過無線設備進入網絡。

8.定期安全檢查

登錄無線AP管理端，即可查看客戶端列表，客戶端列表中顯示了接入的無線網絡的計算機信息，包括計算機名稱、MAC地址等。對于客戶端數量較少的無線網絡，能夠排查出是否存在非授權訪問的計算機。

9.降低無線AP功率策略

在無線網絡中，無線AP(接入點)的發射功率越高，其輻射的距離和范圍越大。當設備覆蓋范圍遠遠超出其正常使用范圍時，用戶的無線網絡就有可能遭遇盜用。在能夠滿足用戶對無線網速需要的前提下，應當盡量減少無線AP的功率，降低被他人非法訪問的可能性。

四、結束語

無線網絡的安全性問題在未來信息化時代中將會成為至關重要的問題之一，以上介紹的有關網絡安全問題以及解決措施大致包含了所有情況，對于運行過程中出現的突況就需要進行進一步的研究與探討。

參考文獻：

篇2

一、無線網絡的安全隱患分析

無線局域網的基本原理就是在企業或者組織內部通過無線通訊技術來連接單個的計算機終端,以此來組成可以相互連接和通訊的資源共享系統。無線局域網區別于有線局域網的特點就是通過空間電磁波來取代傳統的有限電纜來實施信息傳輸和聯系。對比傳統的有線局域網,無線網絡的構建增強了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸的效率,但同時,也正是由于無線局域網的特性,使得其很難采取和有線局域網一樣的網絡安全機制來保護信息傳輸的安全,換句話無線網絡的安全保護措施難度原因大于有線網絡。

IT技術人員在規劃和建設無線網絡中面臨兩大問題:首先,市面上的標準與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網絡遭到入侵或攻擊?在有線網絡階段,技術人員可以通過部署防火墻硬件安全設備來構建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內部被攻破”。由于無線網絡具有接入方便的特點,使得我們原先耗資部署的有線網絡防范設備輕易地就被繞過,成為形同虛設的“馬奇諾防線”。

針對無線網絡的主要安全威脅有如下一些:

1.數據竊聽。竊聽網絡傳輸可導致機密敏感數據泄漏、未加保護的用戶憑據曝光,引發身份盜用。它還允許有經驗的入侵者手機有關用戶的IT環境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統或數據。甚至為攻擊者提供進行社會工程學攻擊的一系列商信息。

2.截取和篡改傳輸數據。如果攻擊者能夠連接到內部網絡,則他可以使用惡意計算機通過偽造網關等途徑來截獲甚至修改兩個合法方之劍正常傳輸的網絡數據。

二、常見的無線網絡安全措施

綜合上述針對無線網絡的各種安全威脅,我們不難發現,把好“接入關”是我們保障企業無線網絡安全性的最直接的舉措。目前的無線網絡安全措施基本都是在接入關對入侵者設防,常見的安全措施有以下各種。

1.MAC地址過濾

MAC地址過濾在有線網絡安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網絡中操作交換機的方式一致。通過無線控制器將指定的無線網卡的物理地址(MAC地址)下發到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設置。

2.隱藏SSID

SSID(Service Set Identifier,服務標識符)是用來區分不同的網絡,其作用類似于有線網絡中的VLAN,計算機接入某一個SSID的網絡后就不能直接與另一個SSID的網絡進行通信了,SSID經常被用來作為不同網絡服務的標識。一個SSID最多有32個字符構成,無線終端接入無線網路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網絡,例如WINDOWSXP自帶掃描功能,可以將能聯系到的所有無線網絡的SSID羅列出來。因此,出于安全考慮,可以設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統自帶的功能掃描到這個實際存在的無線網絡,即便他知道有一個無線網絡存在,但猜不出SSID全名也是無法接入到這個網絡中去的。

三、無線網絡安全措施的選擇

應用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網絡的應用中,我們不能不考慮應用的方便性。因此,我們在對無線網路安全措施的選擇中應該均衡考慮方便性和安全性。

在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。

使用強制Portal+802.1x這兩種認證方式相結合的方法能有效地解決無線網絡的安全,具有一定的現實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。

此外,如果在資金可以保證的前提下,在無線網絡中使用無線網絡入侵檢測設備進行主動防御,也是進一步加強無線網絡安全性的有效手段。

最后,任何的網絡安全技術都是在人的使用下發揮作用的,因此,最后一道防線就是使用者,只有每一個使用者加強無線網絡安全意識,才能真正實現無線網絡的安全。否則,黑客或攻擊者的一次簡單的社會工程學攻擊就可以在2分鐘內使網絡管理人員配置的各種安全措施變得形同虛設。

現在,不少企業和組織都已經實現了整個的無線覆蓋。但在建設無線網絡的同時,因為對無線網絡的安全不夠重視,對局域網無線網絡的安全考慮不及時,也造成了一定的影響和破壞。做好無線網絡的安全管理工作,并完成全校無線網絡的統一身份驗證,是當前組建無線網必須要考慮的事情。只有這樣才能做到無線網絡與現有有線網絡的無縫對接,確保無線網絡的高安全性,提高企業的信息化的水平。

參考文獻:

篇3

無線網絡受到安全威脅，主要是因為“接入關”這個環節沒有處理好，因此以下從兩方面著手來直接保障企業網線網絡的安全性。

1.1 MAC地址過濾

MAC地址過濾作為一種常見的有線網絡安全防范措施，憑借其操作手法和有線網絡操作交換機一致的特性，經過無線控制器將指定的無線網卡MAC地址下發至每個AP中，或者在AP交換機端實行設置，或者直接存儲于無線控制器中。

1.2 隱藏SSID

所謂SSID，即指用來區分不同網絡的標識符，其類似于網絡中的VLAN，計算機僅可和一個SSID網絡連接并通信，因此SSID就被定為區別不同網絡服務的標識。SSID最多由32個字符構成，當無線終端接入無線網絡時須要有效的SIID，經匹配SSID后方可接入。通常無線AP會廣播SSID，從而接入終端通過掃描即可獲知附近存在的無線網絡資源。比如windows XP系統自帶掃描功能，檢索附近的無線網絡資源、羅列出SSID信息。然而，為了網絡安全最好設置AP不廣播SSID，同時將其名字設置成難以猜解的長字符串。通過這種手段便于隱藏SSID，避免接入端利用掃描功能獲取到該無線網絡名稱，即使知道其存在也是難以通過輸入其全稱來接入此網絡的。

2、無線網絡安全措施的選擇

網絡的安全性和便捷性永遠是相互矛盾的關系，安全性高的網絡一定在使用前或使用中較為繁瑣，然而，科技的進步就是為了便捷我們的生活，因此，在對無線網絡進行設置時，需要兼顧安全性和便捷性這兩個主要方面，使其均衡地發展使用。

接入無線AP時選取WAP加密模式的方法，此外，SSID即使被隱藏，也會被攻擊者利用相關軟件探測到，所以無需進行隱藏SSID，增強接入便捷性，在接入時實行一次性輸入密碼完成設置任務。

與此同時，采用強制Portal+802.1X的認證方式，兩種方法的融合可以有效確保無線網絡的安全。來訪用戶更關注的是使用時的便捷性，對其安全性沒有過高要求。強制Portal認證方式免除安裝額外的客戶端軟件，用戶通過瀏覽器認證后即可獲取網絡資源。這種便捷的方法，其不足之處就是安全性較低。倘若花費一定資金用來購置無線網絡入侵檢測設備展開主動性防御，是可以在一定程度上保障無線網絡安全性的。

其實，網絡安全技術是人類發明的，并依靠人的使用而發揮作用，所以網絡使用者是安全防線的最后一關，加強網絡使用者的安全意識，是保障無線網絡安全的根本。

3、校園無線網絡的應用

(1)在校園網絡建設中，無線網絡作為一種流程趨勢正在普及開來，同時其用戶也在日益增多。當前在校園網絡不同環境下，主要用戶分為以下幾類人群，第一類為固定用戶群，包括機關辦公、機房電腦、教學樓、試驗室等眾多使用者；第二類是活動用戶群，主要包括教師的個人電腦和學生的自用電腦；第三類為臨時用戶群，特指在學術交流會時所使用電腦上網的群體。經過劃分出三類用戶群，便于無線網絡在接入Internet網絡時采取相應的安全策略，以保障整個校園無線網絡的安全性。

(2)校園無線網絡的安全措施除了進行WEP數據加密協議外，更要結合不同用戶群特點，制定相應的安全防范措施。對于固定用戶群可以實行綁定MAC地址，限制非法用戶的訪問，網絡信息中心通過統一分配IP地址來配置MAC地址，進行這種過濾策略保障無線網絡的安全運行；針對活動用戶群實行端口訪問控制，即連接工作站STA和訪問點AP，再利用802.1x認證AP服務，一旦認證許可，AP便為STA開通了邏輯端口，不然接入被禁止執行。802.1x需要工作站安裝802.1x的客戶端軟件，并在訪問點內置802.1x的認證，再作為Radius的客戶端把用戶的認證信息轉發至Radius服務器。802.1x不僅控制端口的訪問，還為用戶提供了認證系統及其計費功能。

AP隔離措施近似于有線網絡的VLAN，對無線客戶端進行全面隔離，僅可訪問AP所連接的固定網絡，進而增強接入Internet網絡的安全性；最后一類臨時用戶群，可以通過設置密碼限制訪問，無密碼者無法接入無線網絡，利用此手段保障授權用戶安全穩定的使用無線網絡，避免他人肆意進入無線網絡發生干擾，尤其適合于會議等臨時性場所的使用。

4、結語

建設校園無線網絡，可以為校園學習生活帶來極大的便捷性，但與此同時，其中也潛在著安全隱患，無線網絡技術需要不斷研究、完善，方可保證校園無線網絡的安全性、可靠性，實現校園的現代化網絡建設。

無線網絡中的威脅無處不在，不法分子利用網絡技術手段可以竊取校園中傳輸的重要數據，截取或篡改教學數據，嚴重威脅著學校中重要資料的安全性。只有結合上述相應手段，才能有效控制非法用戶侵入校園無線網絡，維持校園無線網絡的純凈度，實現健康資源的共享。其實，無線網絡的安全防范措施還有很多，須要在科學技術的發展進步中，不斷分析，進行完善，以共同打造美好的校園網絡學習生活為目標。

參考文獻

[1]孔雪蓮.淺談無線局域網中的安全及黑客防范[J].電腦知識與技術（學術交流)，2007(13).

篇4

0 引言

無線局域網相比于有線網絡而言具有更大的靈活性和便利性，為人們提供了在任何時候、任何地點連入互聯網進行通信的可能性。而且伴隨著無線網絡的發展，移動終端設備逐漸升級換代，現在主流移動終端基本將wifi功能作為必備功能之一，而且一些其他的終端設備如平板電腦等也隨著無線網絡速度的提升得到了迅速發展。現在也有一些大中型企業也將無線網絡引入到企業內部網絡中，辦公效率和流程簡化都得到了明顯改善。但是無線信號也有其弊端，而安全性的考慮則是首當其沖。對于有線網絡而言，網絡安全也一直是困擾其發展的一個重要障礙，在無線傳輸中安全性的問題更加嚴峻。由于無線網絡中信號傳播的媒介不再是有形的傳輸設備如網線之類的，而是通過空間進行無線信號的輻射和接收，只要是處于該空間中的任何具備接收無線信號功能的設備均可以對該信號進行接收，這就使得安全性成為一個重點考慮的問題。在現實生活中，一些稍微熟悉無線網絡攻擊技巧的用戶只需簡單的一些操作，就可以獲取在無線網絡中傳播的一些重要信息，如果不采取任何安全防范措施的話，無線網絡就會成為一個信息泄密的通道，所以研究無線網絡安全對于無線網絡的構建和進一步發展都具有重要的應用意義和價值。

1 無線局域網絡安全威脅

由于無線網絡具有很好的移動性，而且當前無線網絡的速度不斷提升使得人們對于快速響應的要求不斷得到滿足，再加上構建無線網絡靈活簡單成本也低，使得無線網絡得到了廣泛應用，如一些移動辦公環境，還有一些是無法布線的環境，而組網靈活的優點可以滿足頻繁變換環境的要求，以及一些公共場所如校園、餐廳等，這些地方都可以看到無線網絡的蹤影，而且并不僅僅限于以上所列出的一些場所。從WLAN誕生之日起，安全性就成為困擾WLAN技術發展的一個重要課題，人們享受WLAN帶來便捷的同時也不得不為其中存在的安全隱患而擔憂。

由于無線網絡傳輸介質的特殊性，使得信息在傳輸過程中相比于有線網絡而言具有更多的不確定性，其受到的安全威脅主要可以分為如下幾個方面：其一為竊聽，所發出的信息可以被任何一部能夠接收無線信號的終端設備所接收，也就是說在接收這一過程中不具有阻攔的作用，而且發送者和預期的接收者無法獲悉信息在空間傳播時是否被某個其它的終端設備也接收了，這就使得無線網絡無法檢測竊聽，這是與有線網絡不通的地方，有線網絡通過網線傳輸，在一定程度上是一個封閉的環境；其二為修改替換，在無線網絡中，信號較強節點可以屏蔽較弱節點，用自己的數據替代原來在網絡中傳播的數據，也有的能夠替代其它階段做出響應。

2 構建安全無線局域網的措施分析

2.1 對無線設備進行限制

密碼無論是對于有線網絡還是無線網絡都是極其重要的，密碼可以使得惡意的用戶無法連接到的節點上，從一開始就杜絕了惡意用戶入侵的可能性。在實際應用中，由于一些設備如路由器等，其初始密碼都是固定的，都是出廠時統一設定的，所以用戶在實際使用中必須修改密碼，否則相當于為惡意用戶敞開了大門，安全性就無從談起了。登陸本地無線節點設備的后臺管理界面，使用初始的用戶名和密碼登陸，將復雜的由數字和字母共同組成的一串字符作為密碼，字母中最好包括大小寫，這樣就能有效限制非法用戶隨意使用無線節點設備的目的了。這種密碼設置類似于操作系統的登陸密碼，經過加密限制的無線設備就會拒絕非法攻擊者隨意偷竊本地無線網絡中的隱私內容了。

2.2 對無線網卡進行限制

一般情況下，對于無線網卡不進行設置，所以所有的能夠接收無線的信號只要有登陸系統的密碼即都可以使用無線網絡，所以這是一種開放的環境。這種一般應用于公共區域的網絡，如學校、餐廳等場所，只要擁有無線信號接收設備都可以接入無線網絡，適合于對于接入設備信息未知的情況下，或者說對于安全不需要太高級別的情況下，所以這些網絡一般都不設置密碼。但是對于一個企業則不同，安全性是一個需要考慮的重要因素，而且接入無線網絡的設備信息也是已知的，這種情況下就可以通過設置只有符合的無線網卡設備才允許接入。無線網卡設備與有線網卡設備一樣，都有一個唯一標識符MAC地址來標識自己的“身份”， MAC地址是網卡設備的唯一標識。對無線網卡進行限制，其實就是在無線路由器設備的后臺管理界面中正確設置好MAC地址過濾參數，從而從根本上拒絕非法攻擊者使用無線網絡偷竊隱私信息。

2.3 對傳輸數據進行限制

加密技術在無線網絡的安全中也具有重要作用，一般常使用的數據加密方式采用的是WEP加密技術，這種加密技術能夠對所有接入無線網絡的用戶進行身份識別，并且對數據內容直接進行加密限制。然而，WEP加密技術在默認狀態下是沒有使用的，所以如果不進行單獨設置的話，非法攻擊者就能輕松掃描到各類無線網絡信息，并且能將捕獲到的無線數據內容輕松破解掉，所以必須及時修改無線節點設備的數據加密參數，確保對無線上網信號進行安全加密。

3 結論

無線網絡是發揮巨大便利性的同時，其安全問題也不容小覷，本文對無線網絡安全性問題表現的幾個方面進行論述，并從幾個具體措施探討了如何確保無線局域網絡的安全性。

參考文獻

[1]梁卓明，黃偉強.無線網絡安全防范措施分析及其在校園網絡中的應用研究[J].數字技術與應用，2011(8).

[2]田永民.基于無線網絡WLAN安全機制分析[J].數字技術與應用，2011(5).

篇5

眾所周知，自從因特網的出現，使社會全面的步入信息化時代，并在一定程度提高了社會的發展。因特網是計算機技術與網絡技術共同的產物，在現階段，已經很大程度的使人們生活發生了巨大變化，然而無線網絡是計算機技術與無線通信技術的產物。與此同時，無線網絡的使用是利用無線電波代替雙絞線、同軸電纜等的設備以此來對數據進行傳輸，這在一定程度上就省去了很多不必要的麻煩，使其在組網的過程中更加靈活，真正意義上的實現了網絡互聯的移動性，同時大大的提高了用戶在使用中因受線纜限制而引起的不便性。由此可知，無線網絡發展至今，其發展非常迅速，并且在不斷的改變著人們對于社會的各種看法以及觀念，時時刻刻對人們的傳統工作、學習和生活方式進行著改變，使其越來越多的人們生活在無線網絡中。但是，在社會發展的今天，無線網絡由于具有很大的開放性，使其的數據傳播范圍難以控制，因此無線網絡也存在著很大的安全問題。

1 高校無線網絡使用現狀概述

近年來，由于國內網絡的不斷發展與普及，尤其是高校校園網的普及，如今，大多數的高校都在有線網的基礎上建設了無線網絡。以高校圖書館的無線網為例，當下，各大高校的圖書館也都紛紛普及了無線網的使用，同時高校圖書館內部也開始建設了網絡化、數字化，如建立自己獨特的門戶網站、電子資源等。與此同時， 于高校的教師和學生們對上網的需求量也越來越大，因此，高校圖書館已經將電子閱覽室等可以上網的機房，統統讓學生和教師使用。但人數的龐大，根據現在已有的機房數量，遠遠不能滿足教師和學生的需求，同時，要想再建設新機房，往往因資金的投放量大，使其高校無法很好的完成這項任務。這樣館內所能提供的網絡資源就無法被教師和學生充分利用，因此使高校的資源大量的浪費[1]。

2 高校無線網絡安全問題

隨著用戶需求的增長，使無線網絡的開放性也逐漸增大，因此出現了一些安全隱患[2]。

2.1 用戶非法訪問

縱觀當下，無線網絡的開放性是嚴重阻礙無線網絡安全使用的重要原因之一。一般情況下，無限網絡開放式的訪問很容易導致網絡在傳輸數據的過程中，信息易被第三方攔截或者獲取，與此同時，無線網絡的三方用戶在對網絡進行訪問時，無線信道中的資源也被網絡資源進行了非法占用，這在一定程度上，使其他的用戶在進行網絡訪問時被受到阻礙作用，以至于網絡服務的質量同時也遭到一定的損害。

2.2 保密協議易破解

無線網絡中的WEP是屬于網絡的一種基本的保密協議，一定程度上，雖然能夠阻擋非法訪問，但是由于網絡技術的不斷發展，一些較低級的保密協議依然無法使用戶的數據得到更好的保障，而在一般情況下，WEP保密鑰的回復通常較為簡單，因此，WEP的保密鑰很容易就被破解[3]。

3 提高高校無線網絡安全的防范措施

3.1 建立、健全網絡安全防范措施

安全的方法措施也就是要結合實際，建立出有效的安全策略，而安全策略是指在一個具體特定的環境里，有效的制定出能夠保護安全的一種做法。而今，因特網，主要是以為人們提供信息資源的共享為目的，因此其在安全上具有很大的漏洞，例如，數據的流失、數據的保密協議破解等問題。由于無線網是建立在有線網的基礎上，并且被高校多數的教師與學生所使用，因此對其做好安全防范措施是非常必要的，與此同時，還要建立健全的網絡安全防范措施，例如，高校可以一方面可以提高系統的安全性，并且對網絡的管理進行長期的監管，建立完善的終端管理制度，對網絡進行定期的評估與維護。

3.2 禁止SSID廣播

SSID廣播是無線網絡用于定位服務的，通常情況下，無線路由器都會提供“允許SSID廣播”的功能，如果高校的無線網絡使用了這項功能，其在一定程度上就暴露了無線路由器的位置，這樣將會給無線網絡帶來安全問題。而想要提高高校無線網的安全性，最好的辦法使通過手動來修改SSID，并對其選擇禁用。其修改的具體方法是：首先打開 “我的電腦”，在地址欄中輸入自己設定的IP地址，通常情況下，IP地址為192.168.0.1，隨后再輸入用戶名和密碼，并在此基礎上，打開“TP- LINK”窗口，在單擊窗口左邊的“無線設置”，再點擊“無線網絡基本設置”的窗口，這樣就會出現“開啟SSID廣播”的復選框，然后對其選擇取消復選框中的 “√”，最后單擊 “保存 ”按鈕，重新啟動后，SSID廣播就會被禁用[4]。

3.3 使用無線MAC地址過濾

目前，由于無線MAC地址有過濾的功能，因此可以通過MAC地址在一定程度上，允許或拒絕無線客戶端對無線網絡進行訪問，以此使客戶在訪問時受到一定的阻礙作用，從而讓無線網絡獲得較高的安全性。舉個例子，只允許MAC地址為“01-23-24-B5-7A-20”的主機訪問本無線，這樣其他的機主均不可以訪問本無線，其主要的設置方法為：用3.2中的方法打開"TP- LINK"窗口，然后再單擊左邊欄中 “無線設置-無線MAC地址過濾”， 等窗口出現網絡MAC地址過濾設置，然后再打開 “無線網絡MAC地址過濾設置”窗口，并單擊過濾中的“允許生效的MAC地址訪問本無線網絡”的單選鈕，再單擊“添加新條目”，在MAC地址欄中輸入允許訪問本無線網絡的主機MAC地址 “01-23-24-B5-7A-20”，然后再欄中輸入“上述地址為某某的電腦”，最后單擊“保存”，這樣就可以達到MAC地址過濾的目的。

3.4 對數據進行加密

數據庫加密，毫無疑問就是為數據庫SQLServer，又安裝了一把鑰匙，使其更加安全，就算用戶成功驗證身份并進入數據庫中，但也只是進入數據庫中，并不能查看所有的數據，這就是數據庫加密的作用。這就要求，在對待極為保密的檔案數據時應及時的與普通數據區分加密，并運用密碼的形式進行儲存或傳輸。舉個例，數據庫SQLServer在加密的機制上，主要具體表現的是加密方法與加密的卓越成效，其主要通過數據庫加密來實現數據庫的分布與安全管理，同時用SQLServer語句對數據進行加密，一方面可以實現賬號在數據中更加隱藏，一方面，可以在系統表中進行儲存。

4 結 語

總而言之，無線網絡，在目前存在很多的安全問題，但是由于近幾年來，我國網絡技術的不斷發展，一定程度上改變了人們的生活環境與學習環境，因此，無線網絡被越來越多的人使用。而在今天，由于高校無線網絡的建設，一方面給人們帶來了更多的方便，但它也存在著一些安全隱患。如，無線網絡技術的發展為高校提供了可靠的網絡環境。但同時伴隨著安全隱患的出現，如一些截取或修改傳輸數據的黑客用戶，時時刻刻的偷窺著高校的資料。這就需要高校，必須采取多種防范措施手段，才能有效的阻止非法用戶的侵入，無線網絡安全防范措施還有很多，但它必須緊跟時代的發展與科技的發展，從而不斷的完善。

參考文獻：

[1] 陳亨坦.淺談無線網絡安全防范措施在高校網絡中的應用[J].中國科 技信息，2008，（17）.

[2] 楊川.高校無線網絡安全問題及防范措施[J].計算機光盤軟件與應用，

2014，（15）.

篇6

網絡技術的飛速發展，為教學科研作出了巨大的貢獻。但是網絡安全問題也一直困擾著高校。目前病毒、黑客猖獗，而學校的科研資料等相關資料都非常重要，因此網絡安全尤其重要。當前許多企事業單位都已經采用了無線網絡。了解無線網安全隱患，再結合高校

自身網絡的特點，提出合理有效的安全防范措施，確保高校網絡安全。

2 無線網通訊協議和安全措施

2.1 通訊協議

無線網絡通訊協議主要有以下幾個：

（1）．802.11b 協議：價格低廉、高開放性，支持A d H o c （點對點）和Infrastructure（基本結構）兩種工作模式。

（2）．802.11g協議：傳輸速率高，可以達到54M傳輸速率，加強型的802.11g 產品已經步入無線百兆時代，兼容802.11b 協議。

（3）．藍牙：主要是應用在筆記本電腦中，目前大部分無線網絡產品都支持藍牙。

（4）．WEP 協議：WEP 協議為了保證802.11b協議數據傳輸的安全性而制訂的安全協議，該協議通過對傳輸的數據加密，保證無線局域網中數據傳輸的安全性。

2.2 安全措施

無線網絡中主要存在的威脅是截獲或修改傳輸數據。如果攻擊者可以訪問網絡，則可以插入惡意計算機來截獲、篡改兩個客戶端的通信。

無線網絡覆蓋的安全性對無線網絡是最為關心的問題之一，網絡覆蓋區域內，難免有非法用戶接入無線網絡。現在所有W L A N 產品均實現了一定程度的安全措施，目前常用的有M A C 地址訪問限制，數據傳輸加密等方法。

（1）．AP 端的MAC 地址訪問限制，拒絕未經過登記許可的無線客戶端設備鏈接；

（2）．128 bits WEP 數據加密，確保數據傳播途徑中的安全；

（3）．無線設備自身的安全防范措施。

3 高校無線網安全措施

3.1 用戶劃分

高校網絡建設中，已經應用了無線網絡建設，將來普及面更廣，無線用戶數量眾多。

從現有的網絡環境和用戶分析，可以劃分成以下用戶群：

（1）．固定用戶群：機關辦公、機房電腦、教學樓、實驗室等用戶群。

（2）．活動用戶群：教師個人電腦、學生自用電腦等用戶群。

（3）．臨時用戶群：學術交流會臨時電腦用戶群。

用戶群的劃分，有利于無線網絡接入Internet 網采取不同的安全策略，確保整個高校的無線網絡安全。

3.2 安全防范措施

高校無線網絡的安全防范措施，除了WEP 數據加密協議外，應根據不同的用戶群，采取不同的安全防范措施。

（1）．固定用戶群

1）MAC 地址綁定，限制非法用戶訪問。這種策略適合高校固定用戶群，網絡信息中心可以統一分配IP，配置MAC 地址的過濾策略，確保無線網絡的安全。

（2）．活動用戶群

1）端口訪問控制技術。該技術是無線局域網的一種增強性網絡安全解決方案。當工作站STA 與訪問點AP 連接后，使用AP 的服務要經過802.1x 的認證。如果認證通過，AP 為STA 打開這個邏輯端口，否則禁止接入。802.1x 要求工作站安裝802.1x客戶端軟件，訪問點要內嵌802.1x 認證，同時還作為Radius 客戶端，將用戶的認證信息轉發給Radius 服務器。802.1x 除提供端口訪問控制之外，還提供基于用戶的認證系統及計費。

2）A P 隔離。類似于有線網絡的VLAN，將所有的無線客戶端設備完全隔離，只能訪問AP 連接的固定網絡，從而提供安全的I n t e r n e t 接入。

（3）．臨時用戶群

1）啟用密碼訪問限制，非密碼用戶不能訪問無線網。此方法可以確保授權用戶能訪問網絡。特別適合臨時場所使用，比如會議等。

4 結束語

篇7

近年來隨著無線技術的發展和普及，無線網絡作為一種新興技術，無線網絡應用已經成為人們休閑娛樂，甚至工作和學習的常規渠道之一。人們已漸漸習慣于隨時隨地通過無線網絡分享照片，微博，使用微信，網上支付，收發郵件和即時通訊等。越來越多的個人隱私甚至商業機密信息通過無線網絡傳輸，人們更多關注的是無線網絡應用的便捷性，卻忽略了其潛在的安全風險。無線網絡的威脅和攻擊常常發生在我們身邊，例如2012年山東聊城發生的網銀“被”轉賬事件就給人們敲響了警鐘。無線網絡安全并非杞人憂天，而是當務之急。本文將對無線網絡安全問題進行分析，并針對這些問題提供相應的防范措施。

1 無線網絡存在的安全問題

無線網絡的數據傳送主要是通過無線電波在空中進行傳輸。由于無線網絡的信號在開放空間中傳送，那么只要有合適的無線客戶端設備，在合適的信號覆蓋范圍之內就可以接收無線網絡的信號。由于這樣的傳導性，導致無線網絡存在著很大的安全隱患問題，這些突出的問題主要表現在以下幾個方面。

1.1 無線網絡被盜用

無線網絡被盜用是指用戶的無線網絡被非授權用戶的電腦接入，這種行為也稱為蹭網。對于無線網絡設置了很低安全防護或是沒有設置安全防護的用戶，非授權用戶利用攻擊工具就能很容易搜索到并入侵這類用戶的無線網絡，從而造成很嚴重的后果。非授權用戶的入侵會造成很大損失，由于網絡帶寬資源是一定的，非法用戶的入侵會造成網絡流量被使用，網速變慢。更有甚者，某些非授權用戶會對安全級別設置低的無線網絡進行非法篡改，導致該無線網絡內的合法用戶無法正常登錄，造成不必要的損失。

1.2 加密方式簡單易破解

無線網絡中很多用戶采用了安全防范性能一般的WEP協議，它是所有客戶端和無線接入點都會以一個共享的密鑰進行加密設置了WEP密鑰，對無線上網信號進行加密傳輸。由于WEP使用的是靜態的密鑰，很容易被黑客破解。而且在互聯網上可以搜索到很多的“無線蹭網”秘笈，破解密碼最快只需幾分鐘。非法攻擊者通過下載“無線蹭網器”軟件，就可以輕松破解無線路由密碼，從而非常容易地截取上網地址、網絡標識名稱、WEP密鑰內容等信息，然后很方便地對無線網絡進行偷竊隱私或其他非法入侵操作。

1.3 數據安全問題

基于無線網的信號是在開放的空間傳送的，通過獲取無線網的信號，非法用戶或是惡意攻擊者有可能會執行如下操作：一是通過破解了普通無線網絡安全設置，包括SSID隱藏、WEP加密、WPA加密、MAC過濾等就可以以合法設備的身份進入無線網，導致“設備身份”被冒用。二是對傳輸信息進行竊聽、截取和破壞。竊聽以被動和無法覺察的方式人侵檢測設備，即使網絡不對外廣播網絡信息，只要能夠發現任何明文信息，攻擊者仍然可以使用一些網絡工具，如Ethereal和TCPDump來監聽和分析通信量，從而可以識別出破壞的信息。

2 無線網絡安全防范措施

對于無線網絡的存在安全問題，我們已經進行了初步的分析和了解，我們接下來針對這些安全隱患問題找到相應的解決方法和防范措施，從而降低網絡安全問題的出現率。

2.1 安裝防火墻

對于網絡用戶，可以通過安裝防火墻來提升無線網絡的安全性，同時也可以減少黑客攻擊和病毒的入侵，還起著安全保護作用，但是有些用戶對設置防火墻的意識不高，并沒有把系統介入點直接的放置在防火墻外，這樣就需要及時地對防火墻的設置進行修改，并把無線系統接人點設置在防火墻之外。

2.2 更改默認設置

在設置無線路由器的過程中，有很多用戶總是對無線網絡系統進行默認設置，雖然默認設置可以給用戶帶來一定的方便性，但是長時間的使用存在一定的安全隱患。由于很多路由器默認的用戶名和密碼都是“admin”，這個密碼已經是眾所周知，毫無安全保障。對此，建議用戶在設置無線網絡時應該修改其默認設置，達到安全目的。幾種有效的設置方法推薦給大家就是設置AP、設置較長的安全口令、修改SNMP設置、隱藏SSID、MAC地址過濾等等幾種方式。對于設置安全口令一項來講，要定時更改設置的密碼，保證密碼的安全性。

2.3 采用WPA2加密方式

目前無線網絡采用的加密技術主要有三種方式，一是WEP（Wired Equivalent Privacy）加密、二是WPA（Wi-Fi Protected Access）加密、三是WPA2（Wi-Fi Protected Access 2）加密。WEP加密方式是使用了一種稱為RC4 PRNG的算法。所有客戶端和無線接入點都會以一個共享的密鑰進行加密，密鑰越長，就越安全。WEP的缺點是使用靜態的密鑰，安全性不夠強，比較容易破解。WPA加密方式是WEP的升級版，在安全性上有了很大的改進，主要體現在身份認證、加密機制和數據包檢查等方面。WPA的優點是使用了動態的密鑰，不容易破解。缺點是完整的WPA設置過程比較復雜，一般用戶很難設置。WPA2是目前比較強的加密技術。使用更安全的加密技術AES（Advanced Encryption Standard），因此比WPA更難被破解、更安全。WPA2的設置方式如圖1所示。

圖1 WPA2設置

2.4 設置強度密碼和定期更改密碼

有些用戶對無線網絡設置訪問時不需要密碼或者比較簡單密碼，比如“12345678”這樣簡單的密碼，很容易遭到別人的盜用。建議無線網絡用戶設置密碼要用高等級的，不能隨便設置一些簡單的數字。這樣可以提高訪問網絡安全性。加密以后可以阻止沒有進行身份驗證的非法用戶隨意的進入，并能將黑客隔離在外，保證了數據的安全性。另外用戶在不使用無線網絡時，建議關閉無線路由器，定期更改密碼等方法，來提高無線網絡的安全性。

3 總結

無線網絡應用越來越廣泛，針對無線網絡的安全威脅也日益嚴重。雖然無線網絡存在某些安全問題，但是只要我們加強安全意識并靈活應用文中所提出的安全措施，就能夠提高無線網絡安全性，減少遭遇攻擊和威脅的可能，從而最大限度地避免由此帶來的各種損失。

參考文獻：

[1]林曉.網絡與信息讓網絡暢通無阻，確保無線網絡安全[J].網絡與信息，2010，11.

[2]楊哲.無線網絡安全攻防實戰進階[M].北京：電子工業出版社，2011，1.

篇8

一、無線網絡的安全隱患分析

無線局域網的基本原理就是在企業或者組織內部通過無線通訊技術來連接單個的計算機終端,以此來組成可以相互連接和通訊的資源共享系統。無線局域網區別于有線局域網的特點就是通過空間電磁波來取代傳統的有限電纜來實施信息傳輸和聯系。對比傳統的有線局域網,無線網絡的構建增強了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸的效率,但同時,也正是由于無線局域網的特性,使得其很難采取和有線局域網一樣的網絡安全機制來保護信息傳輸的安全,換句話無線網絡的安全保護措施難度原因大于有線網絡。

IT技術人員在規劃和建設無線網絡中面臨兩大問題:首先,市面上的標準與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網絡遭到入侵或攻擊?在有線網絡階段,技術人員可以通過部署防火墻硬件安全設備來構建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內部被攻破”。由于無線網絡具有接入方便的特點,使得我們原先耗資部署的有線網絡防范設備輕易地就被繞過,成為形同虛設的“馬奇諾防線”。

針對無線網絡的主要安全威脅有如下一些:

1.數據竊聽。竊聽網絡傳輸可導致機密敏感數據泄漏、未加保護的用戶憑據曝光,引發身份盜用。它還允許有經驗的入侵者手機有關用戶的IT環境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統或數據。甚至為攻擊者提供進行社會工程學攻擊的一系列商信息。

2.截取和篡改傳輸數據。如果攻擊者能夠連接到內部網絡,則他可以使用惡意計算機通過偽造網關等途徑來截獲甚至修改兩個合法方之劍正常傳輸的網絡數據。

二、常見的無線網絡安全措施

綜合上述針對無線網絡的各種安全威脅,我們不難發現,把好“接入關”是我們保障企業無線網絡安全性的最直接的舉措。目前的無線網絡安全措施基本都是在接入關對入侵者設防,常見的安全措施有以下各種。

1.MAC地址過濾

MAC地址過濾在有線網絡安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網絡中操作交換機的方式一致。通過無線控制器將指定的無線網卡的物理地址(MAC地址)下發到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設置。

2.隱藏SSID

SSID(ServiceSetIdentifier,服務標識符)是用來區分不同的網絡,其作用類似于有線網絡中的VLAN,計算機接入某一個SSID的網絡后就不能直接與另一個SSID的網絡進行通信了,SSID經常被用來作為不同網絡服務的標識。一個SSID最多有32個字符構成,無線終端接入無線網路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網絡,例如WINDOWSXP自帶掃描功能,可以將能聯系到的所有無線網絡的SSID羅列出來。因此,出于安全考慮,可以設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統自帶的功能掃描到這個實際存在的無線網絡,即便他知道有一個無線網絡存在,但猜不出SSID全名也是無法接入到這個網絡中去的。

三、無線網絡安全措施的選擇

應用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網絡的應用中,我們不能不考慮應用的方便性。因此,我們在對無線網路安全措施的選擇中應該均衡考慮方便性和安全性。

在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。

使用強制Portal+802.1x這兩種認證方式相結合的方法能有效地解決無線網絡的安全,具有一定的現實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。

此外,如果在資金可以保證的前提下,在無線網絡中使用無線網絡入侵檢測設備進行主動防御,也是進一步加強無線網絡安全性的有效手段。

最后,任何的網絡安全技術都是在人的使用下發揮作用的,因此,最后一道防線就是使用者,只有每一個使用者加強無線網絡安全意識,才能真正實現無線網絡的安全。否則,黑客或攻擊者的一次簡單的社會工程學攻擊就可以在2分鐘內使網絡管理人員配置的各種安全措施變得形同虛設。

現在,不少企業和組織都已經實現了整個的無線覆蓋。但在建設無線網絡的同時,因為對無線網絡的安全不夠重視,對局域網無線網絡的安全考慮不及時,也造成了一定的影響和破壞。做好無線網絡的安全管理工作,并完成全校無線網絡的統一身份驗證,是當前組建無線網必須要考慮的事情。只有這樣才能做到無線網絡與現有有線網絡的無縫對接,確保無線網絡的高安全性,提高企業的信息化的水平。

參考文獻:

篇9

一、無線網絡的安全隱患分析

無線局域網的基本原理就是在企業或者組織內部通過無線通訊技術來連接單個的計算機終端,以此來組成可以相互連接和通訊的資源共享系統。無線局域網區別于有線局域網的特點就是通過空間電磁波來取代傳統的有限電纜來實施信息傳輸和聯系。對比傳統的有線局域網,無線網絡的構建增強了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸的效率,但同時,也正是由于無線局域網的特性,使得其很難采取和有線局域網一樣的網絡安全機制來保護信息傳輸的安全,換句話無線網絡的安全保護措施難度原因大于有線網絡。

IT技術人員在規劃和建設無線網絡中面臨兩大問題:首先,市面上的標準與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網絡遭到入侵或攻擊?在有線網絡階段,技術人員可以通過部署防火墻硬件安全設備來構建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內部被攻破”。由于無線網絡具有接入方便的特點,使得我們原先耗資部署的有線網絡防范設備輕易地就被繞過,成為形同虛設的“馬奇諾防線”。

針對無線網絡的主要安全威脅有如下一些:

1.數據竊聽。竊聽網絡傳輸可導致機密敏感數據泄漏、未加保護的用戶憑據曝光,引發身份盜用。它還允許有經驗的入侵者手機有關用戶的IT環境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統或數據。甚至為攻擊者提供進行社會工程學攻擊的一系列商信息。

2.截取和篡改傳輸數據。如果攻擊者能夠連接到內部網絡,則他可以使用惡意計算機通過偽造網關等途徑來截獲甚至修改兩個合法方之劍正常傳輸的網絡數據。

二、常見的無線網絡安全措施

綜合上述針對無線網絡的各種安全威脅,我們不難發現,把好“接入關”是我們保障企業無線網絡安全性的最直接的舉措。目前的無線網絡安全措施基本都是在接入關對入侵者設防,常見的安全措施有以下各種。

1.MAC地址過濾

MAC地址過濾在有線網絡安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網絡中操作交換機的方式一致。通過無線控制器將指定的無線網卡的物理地址(MAC地址)下發到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設置。

2.隱藏SSID

SSID(ServiceSetIdentifier,服務標識符)是用來區分不同的網絡,其作用類似于有線網絡中的VLAN,計算機接入某一個SSID的網絡后就不能直接與另一個SSID的網絡進行通信了,SSID經常被用來作為不同網絡服務的標識。一個SSID最多有32個字符構成,無線終端接入無線網路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網絡,例如WINDOWSXP自帶掃描功能,可以將能聯系到的所有無線網絡的SSID羅列出來。因此,出于安全考慮,可以設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統自帶的功能掃描到這個實際存在的無線網絡,即便他知道有一個無線網絡存在,但猜不出SSID全名也是無法接入到這個網絡中去的。

三、無線網絡安全措施的選擇

應用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網絡的應用中,我們不能不考慮應用的方便性。因此,我們在對無線網路安全措施的選擇中應該均衡考慮方便性和安全性。

在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。

使用強制Portal+802.1x這兩種認證方式相結合的方法能有效地解決無線網絡的安全,具有一定的現實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。

此外,如果在資金可以保證的前提下,在無線網絡中使用無線網絡入侵檢測設備進行主動防御,也是進一步加強無線網絡安全性的有效手段。

最后,任何的網絡安全技術都是在人的使用下發揮作用的,因此,最后一道防線就是使用者,只有每一個使用者加強無線網絡安全意識,才能真正實現無線網絡的安全。否則,黑客或攻擊者的一次簡單的社會工程學攻擊就可以在2分鐘內使網絡管理人員配置的各種安全措施變得形同虛設。

現在,不少企業和組織都已經實現了整個的無線覆蓋。但在建設無線網絡的同時,因為對無線網絡的安全不夠重視,對局域網無線網絡的安全考慮不及時,也造成了一定的影響和破壞。做好無線網絡的安全管理工作,并完成全校無線網絡的統一身份驗證,是當前組建無線網必須要考慮的事情。只有這樣才能做到無線網絡與現有有線網絡的無縫對接,確保無線網絡的高安全性,提高企業的信息化的水平。

參考文獻:

篇10

一、4G無線通信網絡安全隱患問題

在我國4G無線通信網絡實際運行中，經常會出現一些安全隱患問題，難以提升網絡系統的運行質量，無法保證其運行有效性，具體問題表現為以下幾點：第一，4G無線網絡面臨的現狀。4G無線通信網絡是很多無線網絡連接在一起的通信方式，其中包括：MT、無線接入網等，可以有效促進人們通信的先進性。隨著我國計算機系統技術發展與無線網絡的使用，MT可以在無線協議的情況下，參與各類無線活動，能夠提升無線通信系統的應用有效性，減少其中存在的各類銜接問題，并作為各類無線網絡的連接紐帶。但是，在其實際運行期間，還是存在一些安全隱患，主要因為MT系統的網絡安全性較低。第二，4G用戶安全意識較為薄弱。在用戶應用4G無線通信網絡的時候，還沒有樹立正確的安全觀念，不能根據現代化通信網絡運行需求對其進行處理。一方面，用戶還沒有得到一定的使用權限，不能保證用戶的合法性質。另一方面，在用戶實際應用4G無線通信網絡的時候，不能根據移動環境或是OS字體軟件實際情況對裝備信息進行調整，難以提升其工作可靠性[1]。第三，4G無線通信網絡的安全可伸縮性較低。在4G無線通信網絡實際運行的過程中，經常會出現安全問題，難以提升其可伸縮性，也無法保證網絡運行系統的安全性，難以增強其工作效果。

二、4G無線通信網絡安全防護措施

在對4G無線網絡進行安全防護處理的過程中，相關管理人員與技術人員必須要制定完善的管理方案，創新安全防護技術措施，保證可以滿足現代化4G無線通信網絡的安全防護需求，提升其運行安全性[2]。

2.1安全措施

在對4G網絡進行安全維護的過程中，相關技術人員與管理人員必須要制定完善的安全制度，采取計算機軟硬件保護措施開展相關工作，促進網絡內部環境的優化性，減少容易被襲擊的硬件接口。同時，相關技術人員還要加大對溫度、電流與電壓檢查測試工作力度，利用物理預防方式開展相關工作，保證可以提升網絡系統的安全性，增強網絡系統運行有效性，發揮安全工作作用。

2.2科學應用效能方式

4G無線通信網絡的運行，需要相關技術人員與管理人員科學應用效能方式，減少各類資源對無線網絡的約束問題，制定完善的安全規劃方案，保證可以提升無線網絡系統的安全性與可靠性。同時，在交換安全協議的時候，必須要簡化安全協議相關信息，保證可以提升其工作便利性與有效性。在應用MT系統的時候，要盡量較少系統的工作量，保證可以提升協議系統的運算能力，明確系統運算責任，并利用先進的管理技術對其進行約束。另外，還要對MT系統的運算功能進行預先評價處理，確保無線通信網絡的安全性[3]。

2.3其他安全防護措施

技術人員在對4G無線通信網絡進行安全防護的過程中，必須要科學應用各類安全措施，保證可以利用融合性與可移動性的防范措施對其進行防護處理，以此提升4G無線通信網絡的安全性與可靠性。首先，技術人員需要共同商討MT系統與無線網絡的計算方式，在意見達成一致之后，要建設成為統一的文件，保證可以提升其安全性。其次，相關技術人員需要利用裝備方式，根據相關規定對其進行安全監測，保證裝備終端安全性，科學選擇裝配終端，以此提升4G無線通信網絡的可靠性。最后，技術人員與管理人員需要科學應用混雜制措施，建設多元化的安全檢測與防護系統，并利用先進的技術措施對系統安全性進行管理，同時，還可以對其進行優勢補充處理，例如：技術人員將Publie與Private結合在一起，發揮二者的安全控制作用，再如：技術人員將密碼安全系統與指紋安全系統結合在一起，以此提升用戶信息的安全性，滿足現代化4G無線通信網絡安全防范需求，增強安全防范工作有效性，減少其中存在的各類問題。

三、結語

在4G無線通信網絡實際運行的過程中，相關技術人員與管理人員必須要制定完善的管理制度，創新安全防護方案，保證可以提升網絡系統的安全性與可靠性，為其發展奠定基礎。

作者:邵強 范磊 單位:廣州杰賽科技股份有限公司通信規劃設計院

參考文獻

篇11

隨著網絡的普及和推廣，越來越多的用戶將家庭中帶有網絡功能的電子電器通過無線技術連接成局域網絡，并與外部Internet相連，構成智能化、多功能的現代家居智能系統。由于用戶技術水平參差不齊，缺少安全意識，人們在享受家庭無線上網便利的同時也出現了各種各樣的問題。如何保護用戶個人隱私，防止網絡帶寬資源被他人竊用，家庭無線網絡的安全防護就顯得十分重要。

1 無線局域網概述

無線局域網（Wireless LocalArea Networks；WLAN）是利用無線射頻的技術，取代傳統的采用雙絞線為傳輸介質的有線網絡。它具有傳統局域網無法比擬的靈活性和移動性，無需重新布線，允許用戶在任何時間、任何地點，使用支持無線上網的筆記本、PAD、智能手機訪問Internet。無線局域網已經在家庭、學校、醫院和公司等不適合網絡布線的場合得到了廣泛的應用。目前大多數家庭使用無線AP或無線路由器組建無線局域網，采用IEEE802.11n標準協議，理論傳輸速度最高達到600Mbit/s。[1]

2 家庭無線網絡存在的安全隱患

經過對許多家庭無線網絡環境的分析，其面臨的威脅主要來自于以下五個方面：。

（1）信號干擾。目前家庭無線網絡使用的協議標準主要是IEEE 802.11g/n，這與家庭中使用的微波爐、藍牙、無繩電話工作于同一頻率2.4GHz，除此之外，還有來自于復印機、防盜裝置、等離子燈泡、附近無線AP或無線路由器等相近頻率信號的干擾。[2]

（2）非法接入。很多家庭在搭建無線網絡后，并未修改無線AP或無線路由器等設備的默認出廠信息，如無線網絡的管理賬戶和Web頁面登陸地址，入侵者在搜索到附近的無線網絡信號后，只需嘗試使用常見的登陸用戶名、密碼（admin）和管理IP（192.168.X.1），就可以進入無線設備管理Web頁面，獲取通過SSID、信道、加密。

（3）地址欺騙、會話攔截。入侵者利用IEEE 802.11無線標準協議接收數據幀時不進行認證這一缺陷，能輕易獲得網絡中站點的MAC地址。此外，入侵者還通過監測AP發出的廣播幀發現AP的存在，并冒充一個AP進一步獲取身份認證信息。

（4）流量監聽與數據加密。由于無線網絡信號借助于空氣介質傳播，任何無線網絡分析儀都可以不受阻礙地截獲未經加密的信息。

（5）阻塞攻擊與訪問控制。無線局域網與傳統的有線局域網一樣，也會面臨蠕蟲病毒、拒絕服務（DoS）攻擊等威脅。

3 對策與建議

針對以上家庭無線網絡存在的安全隱患問題，必須對癥下藥，筆者建議從以下幾個方面著手解決：

（1）為避免信號干擾，部署無線網絡時，要根據家庭的實際環境，盡量將根據無線AP或無線路由器安放在無線上網區域的中心位置，同時也要遠離微波爐、無繩電話、電視機等設備。

（2）修改無線AP或無線路由器出廠時的默認用戶名、口令和管理IP地址。

（3）對無線網絡進行加密。目前常見的安全加密類型有WEP、WPA、WPA2三種，建議使用WPA2，它使用AES作為加密算法，提供了一種安全性更高的加密標準-CCMP。[3]

（4）修改默認的服務區標識符（SSID）可以防止他人搜索信號時看到家庭無線網絡名稱，但最好禁止SSID使用廣播。

（5）設置MAC地址過濾。在路由器、中繼器等路由設備中建立允許訪問通過的MAC列表規則，以此來防止非法設備主機接入網絡。

（6）為設備分配靜態IP。在無線路由器中取消DHCP服務功能，為網絡成員設備分配固定的IP地址，設定允許接入設備的IP地址列表，可以有效地防止非法入侵。[4]

（7）設置防Ping功能。Ping命令可以檢查網絡是否能夠連通，將家庭的無線路由器防Ping，可以降低被互聯網黑客發現的幾率，避免因受到拒絕服務攻擊導致網絡癱瘓。[5]

（8）啟用防火墻。為防止個人計算機受到非法使用者侵入，用戶電腦系統上一定要安裝網絡防火墻，實現內外網的隔離保護，根據記錄的可疑事件及時采取措施。

（9）網絡訪問控制。現在很多無線AP或無線路由器都提供了網絡訪問控制功能，根據家庭需要，可以對不安全的IP、URL、MAC進行訪問控制。

4 結語

技術總是不斷更新快速發展，黑客的攻擊手段也是不斷變化升級的，所以說絕對安全的網絡是不可能存在的，通過以上措施和手段只是對家庭無線上網用戶的安全起到一定的保障作用。家庭用戶還需加強學習，增強網絡安全意識，才能確保我們的家庭、社會更加和諧美好。

參考文獻

[1]張銳.家庭無線局域網的組建與安全設置[J].科技致富向導，2012（14）.

[2]王元，王東，潘洪友.無線網絡安全威脅與防范措施綜述[J].中國無線電，2011（05）.

篇12

現在，互聯網以成為人們不可或缺的重要工具和載體，更多的用戶正在擺脫傳統的有線上網方式，轉而應用各類無線終端來獲取信息或互動服務。近幾年，越來越多的無線訪問接入點更加普及，各類無線路由器正在單位或家庭發揮著重要的作用，無線網絡的接入給人們帶來了更多便利，但是無線網絡也存在許多不安全因素。基于此，下面就無線網絡安全所面臨的問題進行探討。

筆記本大都具備無線網絡模塊，辦公及家庭環境中的無線網絡需求正進一步增加。人們都希望借助筆記本或手機隨時接入互聯網，所以，無線網絡得到了廣泛的普及。無線網絡普遍采用公共電磁波式的發送方式，與早期的交換機有類似指出，接入網絡的用戶都會在該無線局域網中獲取或竊取信息。借助專用的抓包工具，進行處理后，可以借機免費上網甚至進入網內的服務器。幾年前，wpa的加密方式已經被破解了。近期，有些分布式解密破解工具，正在試圖實現對wpa無線網絡密鑰的破解。軟件功能的日益強大，使得無線網絡受到較大威脅。

1 無線網絡的常見類型

依據網絡傳授速率、輻射范圍和應用放馬的不同，無線網絡主要包括無線廣域網、城域網、局域網和個域網等。

1.1 Wireless Wide AreaNetwork即為無線廣域網，是借助通訊衛星傳輸數據的網絡，覆蓋范圍非常大。常見技術有3G、4G網絡，傳輸速率可以達到2MB/S以上。因為3G更趨于成熟化，許多國際上組織逐步發展傳輸速率更高、更為靈活的4G網絡。

1.2 Wireless Metropolitan AreaNetwork即為無線城域網，是指通過移動電話或者車在設備實現數據通訊的方式，通常能覆蓋一個城市。

1.3 Wireless Local Area Network即為無限局域網，其覆蓋范圍相對較小。數據傳輸在11M到56MB/S之間。有效傳輸距離再100M以內。傳統技術是IEEE802.11和HomeRF無線標準。IEEE802.11涵蓋802.11b/a/g的無限網絡表彰，可以支持校園網或辦公網的數據傳輸。

1.4 Wireless Personal Area Network即為無線個域網，一般是個人筆記本中的無線模塊間的網絡。傳輸距離在十幾米之內，常見保證是IEEE 802.15、藍牙等，傳輸速率可以達到0Mb/s。藍牙的工作頻段為2.4GHz，成本低，短距離傳輸數據較為方便，支持多達7個無線設備。IEEE802.15也支持Wireless Sensor Networks范圍內的無線節點的通訊。

1.5 Wireless Body Area Network即為無線體域網，主要應用于醫療、娛樂和軍事范圍內的無線環境，可以在人體體表或體內嵌入的傳感器上實現無線通訊。Wireless Body Area Network比Wireless Personal Area Network Communication Technologies傳輸距離短，這是無線域網的主要特征之一。

2 現實中無線局域網面臨的安全隱患

無線網在開放的空間在傳輸數據，因此，只要具備恰當的無線終端，即可在信號可及的范圍內接入無線網絡。也正因為如此，無線網絡存在以下安全隱患：

2.1 非法用戶接入的隱患。視窗系統集成了自搜索無線信號的模塊，只要對于此有常規的知識，對于安全等級較低或沒有安全設置的網絡，非法用戶即可輕易進入該無線網絡。接入后，非法用戶可以擠占合法用戶的帶寬，甚至修改路由器的設置，造成正常用戶無法接入，甚至造成用戶的信息被非法用戶竊取。

2.2 非法接入點的安全隱患。無線局域網訪問簡單、設置方便，普通人都可以自行購買無線接入點，繞過授權而進入網絡。用戶在應用方便的目的的驅使下，自行安裝Access Point，非法進入無線網，在該Access Point范圍內的任何人都能進入無線網，這就對網絡造成了極大的隱患。

2.3 數據安全隱患。無線信號通過開放性空間傳遞，非法用戶獲取無線網絡信號后，可能會進行以下不安全設置：一是破解無線網絡安全規則，顯示Service Set Identifier，突破wpa加密，取消mac過濾，造成門戶大開。二是竊取傳輸數據。非法用戶可以借助Ethereal等網絡工具偵聽通信數據，進而破壞信息的傳遞等。

3 無線網絡安全技術措施

為了消減無線網絡中的安全隱患，許多安全技術也逐步應用起來，比如過濾物理地址、匹配SSID、控制訪問端口等。此類技術都依據網絡的認證性、完整性等核心要素進行防護。其他還有密鑰管理等機制，來擴展安全措施。

3.1 無線網絡匿名身份雙向認證。無線網絡通訊雙方通訊之前要進行幾名身份雙向認證，FA和MIN是通訊的雙方，MIN對FA的認證是通過MIN對HA的認證和HA對FA的認證來構成。依托公鑰協議實現HA和FA的雙向認證，時間戳記和簽名以HA對MIN臨時身份的對應協定來認證MIN的有效身份。以雙線程的特性實現認證。

3.2 引入會話密鑰的有效及時性。FA和MIN的會話密鑰E都是上次會話階段MIN選定的隨機值ram憑借Ek=H 3（bi-1||ki-1）測試得出，每次通訊時密鑰都不一樣，凸顯每密一換，也依次確保會話密鑰的有效及時性。

3.3 過濾物理地址。每個網卡的物理地址都是唯一的，可以在路由器中設置多個允許訪問的物理地址表，實現物理地址的過濾。該方法適合于接入點不多的情況，而且非法用戶也可以修改物理地址來達到入侵無線網絡的效果，所以，過濾物理地址并非安全有效的防范措施。

3.4 服務區標識符（SSID）匹配。可以借助服務區標識符設置，對用戶群體進行分組，避免漫游方面的安全隱患。因為客戶端要與接入熱點的服務區標識符相同，才可以接入。另外可以隱藏access point和服務區標識符來實現保密。所以服務區標識符加上密碼認證的方式，可以實現安全防護。

3.5 端口訪問控制技術。該技術依據端口訪問控制管理協議機制，在物理層和物理地址層控制接入設備，關聯無線訪問點和工作站后，如果802.1x認證通過，就可以為熱點放開這個端口，如果沒有通過，就不授權訪問。

4 結束語

無線網絡技術在不斷發展，所帶來的安全隱患也層出不窮。要不斷研究并應用新型的安全防范措施，才能保障網絡的安全和訪問的暢通。

參考文獻：

[1]李林，劉毅，楊駿.無線網絡安全風險評估方法的應用研究[J].計算機仿真，2011（09）：147-150.

[2]樊昕.淺談鄉村網絡發展新趨勢[J].農家之友（理論版），2008（05）：3.

[3]池水明，孫斌.無線網絡安全風險及防范技術芻議[J].信息網絡安全，2012（03）：25-27.

篇13

Tobacco Enterprise WLAN Security Building

Lai Rijun

(Fujian tobacco company,Longyan City Company,Longyan364000,China)

Abstract:With the increased popularity of notebook computers,PDAs, iPad and other mobile terminals and mobile office needs,the wireless network in the tobacco industry,cigarette logistics,tobacco production and acquisition,mobile office,and other fields has been widely used and development of wireless network security is bound to become an important part of the tobacco industry of network security This article describes the conceptual and technical standard of the wireless LAN,analyze security threats facing tobacco companies WLAN WLAN may use encryption, authentication,VPN,wireless intrusion detection,integrated security and security technology,and focuses on wired and wireless security integration is the development trend of the tobacco enterprise WLAN security.

Keywords:Tobacco;Enterprises;Network

隨著記本電腦、PDA、IPAD等移動終端的普及和移動辦公需求的增加，無線網絡正以其安裝便捷、使用靈活、經濟解決、易于擴展等有線網絡無法比擬的優點在煙草行業卷煙物流、煙葉生產收購、移動辦公等領域得到廣泛應用與發展，無線網絡的安全也勢必成為煙草行業網絡安全的一個重要部分。WLAN應用當前存在的一個突出問題是：多數情況下，無線網絡作為獨立的網絡與現有網絡（主要指有線網）分開管理。這就導致了無線網需要單獨的管理系統和安全策略，使其管理成本居高不下。此外，現有的無線安全技術基本上都是針對物理層和鏈路層安全問題而設計的，而對于網絡層到應用層的攻擊往往力不從心。隨著無線網絡在煙草企業大規模部署，如何將無線安全技術和現有成熟的有線安全技術有機地結合起來形成一套一體化的安全系統已經成為煙草企業網絡建設的焦點。從網絡發展來看，有線和無線網絡融合是未來煙草企業網絡建設發展的趨勢，無線網絡安全也會從原有的單純強調無線網絡內的安全逐漸演化為關注有線無線一體化安全。

一、無線局域網概述

（一）無線局域網的定義

無線局域網（Wireless Local Area Network,WLAN）是基于802.11b/g/n標準的無線網絡，通常由無線網卡、無線接入點（AccessPiont,，AP）或無線路由器、站點（Station）和有關設備組成。Station是網絡最基本的組成部分，通常為無線客戶端，及筆記本電腦、PDA、IPAD等移動終端。SSID（Service SetIdentifier）,通常由AP或者無線路由器廣播出來，用于區別其他無線網絡，是無線局域網的名稱，只有設置為名稱相同SSID值的移動終端才能互相通信。

（二）無線局域網技術標準

IEEE作為WLAN標準的權威制定組織，從1991年開始對WLAN 技術進行研究，迄今為止，已經制定了一系列標準，稱為802.11系列標準。從1997年IEEE802.11第一個版本，到1999年了兩個補充版本IEEE802.11a和IEEE802.11b，到當今的802.11n標準，這些不斷的更新也就能從中看出在局域網方面的不斷的發展與進步，同時也在說明著局域網技術的不斷的成熟。

二、無線局域網的安全威脅

（一）開放的無線網絡資源入侵容易

眾所周知，當前在建立局域網的時候，是要求其接入點一定要容易的辨別，所以必須具有一些比較突出的特點來進行相關的差別。這樣做的唯一的目的是為那些合法的用戶提供方便，但是，也正是因為這樣，也就給了不法分子也就是入侵者提供了條件。利用那少量的信息，那些入侵者可能就會進入局域網，來設置一些權限，給局域網造成了不便。現階段的很多用戶的計算機上都有共享性的文件或者是文件夾，這樣一來，入侵者同樣可以利用這一點，能夠在企業局域網中進行肆意操作，破壞文件、種植木馬等惡意行為。

（二）嗅探及截獲敏感信息，信息容易泄漏

無線局域網可以說是一個虛構的東西，因為它是看不見，摸不到的，不能給他一個詳細的物理定義。但是，當你的電腦也是這個局域網的一部分的時候，你就會發現，其實局域網是非常的不安全的，局域網中的信息是非常容易就可以被他人所知道的。下面就介紹一個比較普遍的入侵者的作案手段，首先，入侵者要在局域網中獲取數據，當然，這個數據里面就包含了用戶的賬號和密碼等等，然后入侵者利用得到的這些信息來進行一定的破壞活動，而且還能實現對用戶進行竊聽的目的。在竊聽的同時，一些狡猾的入侵者還有可能進行一定的偽裝，讓用戶以為是合法人員，這就給入侵者獲取合法用戶的各類賬號及密碼等信息創造了條件，進行惡意、違法操作，然后通過欺騙幀改變ARP表，進行地址欺騙攻擊，使局域網內合法用戶不能正常工作，實現冒充合法用戶竊取局域網內資源。

（三）拒絕服務攻擊，易受干擾

由于目前802.1lb協議規定的WLAN工作在2.4G的ISM頻段的開放性，也就是說不存在使用的權限，所以在這個波段內，就會存在大量的電子設備的信號，就會導致這些信號之間存在比較嚴重的干擾作用，所以就會出現信號不好，或者是出現信號中斷的等幾個比較常見的現象。在這種條件下，你會發現，如果有一個入侵者在這個波段內進行一定的干擾的話，想要調查出是什么人所為的話，基本上是不可能的事情。所以，這樣的條件下，就會使入侵者變得十分的猖狂，可以說是想干什么就干什么，把網絡資源耗盡，隨意的破壞們這樣的例子已經太多了，可以說是屢見不鮮了。

三、構建安全的WLAN

（一）合理規劃WLAN建設

企業構建安全的WLAN應當在企業建設網絡體系之初就認真考察、調研WLAN的主要用途，明確管理傳輸何種數據、服務多大規模、多大人群的網絡，以及要有何等規模的設備等情況。然后根據企業的實際需求規劃AP的物理位置、客戶端的訪問權限和控制模式等。煙草企業網絡建設者可以通過AP的架構將無線AP納入整個網絡體系架構中，各個AP使用POE供電，通過無線管理器統一管理所有的AP。網管人員進行管理維護需要對AP進行關電重啟只需對POE交換機進行操作即可輕松實現。只有精心設計安全的WLAN，在WLAN中傳輸的數據才能獲得基本的安全保證。

（二）設置WLAN的安全特性

WLAN中采用加密和認證手段能使無線業務達到有線業務同樣的安全等級。一般采用WEP（有線對等保密）協議設置專門的網絡安全機制來加密和認證業務數據的傳輸過程。理論上WEP能防止未經授權的用戶存取無線網絡，用于保護網絡的秘密性，但WEP用來產生密碼的方式很快就被發現有可預測性，入侵者可以很容易的截取和破解密鑰。

為了防范WEP的弱點，Wi-Fi聯盟建立了WPA，WPA是基于標準的可互操作的WLAN安全性增強解決方案，大大增強WLAN的數據保護和訪問控制水平。WPA防止數據中途被篡改，只有授權的用戶才能訪問WLAN。WPA2是WPA的第二個版本，WPA-PSK(TKIP)和WPA2-PSK(AES)等加密模式，這些加密技術對所載資料的完整性提供巨大的改進技術。

（三）建立虛擬專用網絡（VPN）

VPN是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性，只要具有IP連通性，就可以建立VPN。當WLAN中的用戶使用VPN時，在到達VPN網關之前，傳輸數據是經過加密的。VPN技術在不可信的網絡上提供一條安全、專用的通道或者隧道，改進了WLAN的安全。雖然AP可以被定義為無WEP機制的開放式接入，但無線接入網絡被從VPN服務器和內部網絡隔離出來。VPN服務器提供網絡的認證和加密，與WEP機制和MAC地址過濾接入不同，VPN方案可擴充、可升級，可應用于大規模的WLAN。VPN比WEP協議更高層的網絡安全性，可以為WLAN提供三級安全保障，即用戶認證保障、加密保障和數據認證保障。VPN可以加密從計算機到VPN網關的整個鏈路，在計算機到無線AP之間的無線局域網部分也是被加密的，其中用戶認證環節只有被成功授權的用戶才有資格進行網絡的連接和訪問。引入無線入侵檢測系統，檢測MAC地址欺騙，找到偽裝WAP的無線上網用戶，加強WLAN的安全。無線入侵檢測系統主要提供了非法AP檢測、白名單功能、黑名單功能、無線協議攻擊防御等功能。

（四）構建有線無線一體化安全防御

煙草企業的安全措施除了進行WEP數據加密協議外，更要結合不同用戶群特點，制定相應的安全防范措施。隨著有線網絡和無線網絡的不斷融合，基于統一的安全架構越來越受到青睞，能很好的融合無線鏈路層和有線網絡四到七層的安全防御，使無線安全和有線安全智能聯動起來，真正實現一體化、立體式的智能安全防御網絡。有線無線一體化安全方案主要包含以下幾個特點：1.有線、無線網絡構建一套安全體系架構；2.有線、無線網絡共用一套端點準入方案；3.有線、無線用戶接入控制管理統一。

1.有線、無線網絡一體化安全架構

現階段，把有線和無線連接到一塊的工具就是插卡，仔細的說就是利用安全業務插卡，把安全的業務和有線與無線的任務集于一身。而且這種裝置還具有防火墻的作用，可以說是一個功能比較全面的一個工具。利用這個工具可以詳細的檢測出有線和無線接入層的協議情況，從而真正意義上的把有線與無線集合在一起。而且所用的平臺也是比較的先進的，一般采用的是電信的平臺，大家都知道，電信級別的平臺都是多核的，所以利用多核來處理時就顯得比較的輕松，而且準確度也比較的高，處理問題的時候也比較的全面，所以利用這種一體化的構造時，會大大的增加辦事效率。

2.有線、無線網絡一體化端點準入方案

在大型企業網絡中，新的網絡安全威脅層出不窮，高危病毒蠕蟲無孔不入，它的危害性和對互聯網的破壞能力也有著很大方面的增強，這對企業來說是一個非常大的挑戰，而且可以說很多的企業在這方面已經是損失慘重的了，而且這個局域網的安全是關系到每臺電腦的，如果其中的一臺電腦出現問題，那么這個網絡就會陷入不安全的狀態。端點接入控制方案可以解決上述問題，如目前煙草企業使用的北信源內網安全桌面管理系統等，它可以檢查接入用戶是否滿足安全策略的要求，包括病毒軟件是否安裝、病毒庫是否升級、必要的系統補丁是否安裝等。

有線、無線網絡一體化端點準入方案通過對接入有線、無線網絡的用戶們要讓他們加入到企業的安全策略中，這個過度，可以是強制性的。而且，在使用時，對每一個入網用戶進行身份認證，并基于用戶身份及安全狀態為其劃分相應的權限，只有這樣，才能加強用戶和局域網的防御能力。而且這樣一來，對管理者也起到了提高效率和節約資源的效果。

3.有線、無線網絡接入控制統一管理

在早期時候的無線網絡僅僅是無限網絡而已，不像現階段的無線網絡還包括著建設與管理，以前的無線和有線根本是扯不再一起的。所以，在那種情況下，網絡的維護者的任務就比較的艱巨了。因為他要管理兩個系統，有線和無線，而且兩種系統可以說是完全的不同的，不只是網絡維護者比較麻煩，其實用戶也是比較麻煩的，因為兩個系統就需要兩個賬號。引入一體化端點準入解決方案后，可以在有線和無線之間進行解決，使得有線和無線擁有共同的系統來進行控制，即減輕了網絡維護者的工作量，用戶也不用再使用兩個賬號，也大大的節約的管理上的資源。

四、結束語

無線網絡正以其覆蓋范圍廣、擴容性強及組網靈活等優點被越來越廣泛的應用到煙草行業，無線網絡的應用發展使得其自身的網絡安全問題日益突出，只有不斷發展和完善新的防范技術、應用完善的安全策略，才能確保無線網絡的安全。除此之外安全與管理是兩個需要同等重視的問題，而且是互相影響互相推動的。構建安全的WLAN，還應通過制定嚴格的安全管理規范和制度來約束企業員工的行為，比如，規定員工不得把網絡設置信息告訴公司外部人員，禁止設置P2P的Adhoc網絡結構，設置員工的使用權限，禁止員工私自安裝AP等。對企業員工進行知識培訓，普及無線網絡的安全知識，加深員工的安全意識，明白違規使用無線網絡的危害性。企業員工的安全意識加完善的安全防范技術才能使煙草企業有線、無線網絡達到一體化安全的目的。

參考文獻：