區域網的網路安全

A. 如何防範網路安全問題

網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。如何防範網路安全問題防範網路病毒。配置防火牆。採用入侵檢測系統。web、emai1、bbs的安全監測系統。漏洞掃描系統。ip用問題的解決。利用網路維護子網系統安全。提高網路工作人員的素質，強化網路安全責任。採用強力的密碼。一個足夠強大的密碼可以讓暴力破解成為不可能實現的情況。相反的，如果密碼強度不夠，幾乎可以肯定會讓你的系統受到損害;對介質訪問控制(mac)地址進行控制。隱藏無線網路的服務集合標識符、限制介質訪問控制(mac)地址對網路的訪問，可以確保網路不會被初級的惡意攻擊者騷擾的;互聯網已經成為世界各國人民溝通的重要工具。進入21世紀，以互聯網為代表的信息化浪潮席捲世界每個角落，滲透到經濟、政治、文化和國防等各個領域，對人們的生產、工作、學習、生活等產生了全面而深刻的影響，也使世界經濟和人類文明跨入了新的歷史階段。然而，伴隨著互聯網的飛速發展，網路信息安全問題日益突出，越來越受到社會各界的高度關注。如何在推動社會信息化進程中加強網路與信息安全管理，維護互聯網各方的根本利益和社會和諧穩定，促進經濟社會的持續健康發展，成為我們在信息化時代必須認真解決的一個重大問題。下面介紹下關於網路安全防護的幾項措施。


拓展資料;網路分段技術的應用將從源頭上杜絕網路的安全隱患問題。因為區域網採用以交換機為中心、以路由器為邊界的網路傳輸格局，再加上基於中心交換機的訪問控制功能和三層交換功能，所以採取物理分段與邏輯分段兩種方法來實現對區域網的安全控制，其目的就是將非法用戶與敏感的網路資源相互隔離，從而防止非法偵聽，保證信息的安全暢通。
以交換式集線器代替共享式集線器的方式將不失為解除隱患的又一方法。

法律依據:《規定》第十二條作出規定：網路用戶或者網路服務提供者利用網路公開自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息，造成他人損害，被侵權人請求其承擔侵權責任的，人民法院應予支持。但下列情形除外：
(一)經自然人書面同意且在約定范圍內公開;

(二)為促進社會公共利益且在必要范圍內;

B. 如何讓區域網更安全

區域網安全的解決辦法有以下幾種：

1.以交換式集線器代替共享式集線器

對區域網的中心交換機進行網路分段後，乙太網偵聽的危險仍然存在。這是因為網路最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據通信時，兩台機器之間的數據包(稱為單播包Unicast

Packet)還是會被同一台集線器上的其他用戶所偵聽。一種很危險的情況是：用戶TELNET到一台主機上，由於TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字元(包括用戶名、密碼等重要信息)，都將被明文發送，這就給黑客提供了機會。

因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法偵聽。當然，交換式集線器只能控制單播包而無法控制廣播包(Broadcast

Packet)和多播包(Multicast Packet)。所幸的是，廣播包和多播包內的關鍵信息，要遠遠少於單播包。

2.網路分段

網路分段通常被認為是控制網路廣播風暴的一種基本手段，但其實也是保證網路安全的一項重要措施。其目的就是將非法用戶與敏感的網路資源相互隔離，從而防止可能的非法偵聽，網路分段可分為物理分段和邏輯分段兩種方式。

目前，海關的區域網大多採用以交換機為中心、路由器為邊界的網路格局，應重點挖掘中心交換機的訪問控制功能和三層交換功能，綜合應用物理分段與邏輯分段兩種方法，來實現對區域網的安全控制。例如：在海關系統中普遍使用的DEC

MultiSwitch 900的入侵檢測功能，其實就是一種基於MAC地址的訪問控制，也就是上述的基於數據鏈路層的物理分段。

3.VLAN的劃分

為了克服乙太網的廣播問題，除了上述方法外，還可以運用VLAN(虛擬區域網)技術，將乙太網通信變為點到點通信，防止大部分基於網路偵聽的入侵。

目前的VLAN技術主要有三種：基於交換機埠的VLAN、基於節點MAC地址的VLAN和基於應用協議的VLAN。基於埠的VLAN雖然稍欠靈活，但卻比較成熟，在實際應用中效果顯著，廣受歡迎。基於MAC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基於協議的VLAN，理論上非常理想，但實際應用卻尚不成熟。

在集中式網路環境下，我們通常將中心的所有主機系統集中到一個VLAN里，在這個VLAN里不允許有任何用戶節點，從而較好地保護敏感的主機資源。在分布式網路環境下，我們可以按機構或部門的設置來劃分VLAN。各部門內部的所有伺服器和用戶節點都在各自的VLAN內，互不侵擾。

VLAN內部的連接採用交換實現，而VLAN與VLAN之間的連接則採用路由實現。目前，大多數的交換機(包括海關內部普遍採用的DEC

MultiSwitch

900)都支持RIP和OSPF這兩種國際標準的路由協議。如果有特殊需要，必須使用其他路由協議(如CISCO公司的EIGRP或支持DECnet的IS-IS)，也可以用外接的多乙太網口路由器來代替交換機，實現VLAN之間的路由功能。當然，這種情況下，路由轉發的效率會有所下降。

無論是交換式集線器還是VLAN交換機，都是以交換技術為核心，它們在控制廣播、防止黑客上相當有效，但同時也給一些基於廣播原理的入侵監控技術和協議分析技術帶來了麻煩。因此，如果區域網內存在這樣的入侵監控設備或協議分析設備，就必須選用特殊的帶有SPAN(Switch

Port

Analyzer)功能的交換機。這種交換機允許系統管理員將全部或某些交換埠的數據包映射到指定的埠上，提供給接在這一埠上的入侵監控設備或協議分析設備。筆者在廈門海關外部網設計中，就選用了Cisco公司的具備SPAN功能的Catalyst系列交換機，既得到了交換技術的好處，又使原有的Sniffer協議分析儀「英雄有用武之地」。

其它一些公司或企業在注重區域網監控管理軟體的同時也要注意工司內部的網路問題，利用一些網路管理軟體，網管工具軟體讓自己的員工為自己的公司利益最大化，當然我們講的是人道，所以只要充分利用好電腦網路就行了，讓我們一起維護一個綠色的網路共享家園。

C. 如何保障區域網內共享文件安全性

在企業的網路中，最常用的功能莫過於「共享文件」了。財務部門需要當月員工的考勤信息，人事部門可能不會親自拿過去，而是在網路上共享；生產部門的生產報表也不會用書面的資料分發，而是放在網路的共享文件夾下，誰需要的話，就自己去查看就可以了，等等。類似的需求還有很多。x0dx0a可見，共享文件的功能，提高了企業辦公的效率，使企業區域網應用中的一個不可缺的功能。但是，由於共享文件夾管理不當，往往也給企業帶來了一些安全上的風險。如某些共享文件莫名其妙的被刪除或者修改；有些對於企業來說數據保密的內容在網路上被共享，所有員工都可以訪問；共享文件成為病毒、木馬等傳播的最好載體，等等。x0dx0a一、實時查看誰在訪問我的共享文件x0dx0a第二步：依次選擇「系統工具」、共享文件夾、打開文件，此時，在窗口中就會顯示本機上的一些共享資源，被哪些電腦在訪問。同時，在這個窗口中還會顯示一些有用的信息，如其打開了哪一個共享文件；是什麼時候開始訪問的；已經閑置了多少時間。也就是所，只要其打開了某個共享文件夾，即使其沒有打開共享文件，也會在這里顯示。x0dx0a另外，我們有時候可能出於某些目的，如員工可能認為不能讓這個人訪問這個文件。此時，我們就可以直接右鍵點擊這個會話，然後從快捷菜單中選擇關閉會話，我們就可以阻止這個用戶訪問這個共享文件，而不會影響其他用戶的正常訪問。x0dx0a二、設置共享文件夾時，最好把文件與文件夾設置為只讀x0dx0a在大部分時候，用戶都只需要查看或者復制這個共享文件即可，而往往不會在共享文件夾上進行直接修改。但是，有些員工為了貪圖方便，就直接以可讀寫的方式共享某個文件夾以及文件。這是非常危險的。x0dx0a一方面，這些不受限制的共享文件家與共享文件成為了病毒傳播的載體。筆者在工作中發現，有些用戶在共享文件的時候，沒有許可權限制。一段時間後，再去看這個共享文件，發現有些共享文件或者共享文件夾中有病毒或者木馬的蹤影。原來由於這個共享文件夾有寫的許可權，所以，其他用戶如何打開這個文件，恰巧這台電腦中有病毒或者木馬的話，就會傳染給這個共享文件夾。從而讓其他訪問這個共享文件夾的電腦也中招。可見，沒有保護措施的共享文件夾以及裡面的共享文件，已經成為了病毒傳播的一個很好的載體。x0dx0a另一方面，當數據非法更改時，很難發現是誰在惡作劇。雖然可以通過相關的日誌信息可以查詢到有哪些人訪問過這個共享文件，以及是否進行了更改的動作。但是，光憑這些信息的話，是不能夠知道這個用戶對這個共享文件夾作了哪些更改。有時候，我們打開一個共享文件，會不小心的按了一個空格鍵或者一個字元鍵，不小心的把某個字覆蓋了，等等。這些情況在實際工作中經常會遇到。有時候，即使找到了責任人，他也不知道到底修改了哪些內容。所以，當把共享文件設置為可寫的話，則很難防止員工有意或者無意的更改。x0dx0a第三，若以可寫的方式共享文件的話，可能無法保證數據的統一。如人事部門以可讀寫的方式共享了一個考勤文件。此時，若財務部門修改了這個文件，而人事部門並不知道。因為財務人員可能忘記告訴了人事部門，此時，就會導致兩個部門之間的數據不一致，從而可能會造成一些不必要的麻煩。而且，由於沒有相關的證據，到時候誰對誰錯，大家都說不清楚。x0dx0a為了解決這些問題，筆者建議企業用戶，在共享文件夾的時候，最好把文件夾的許可權設置為只讀。若這個共享文件夾有時候其他用戶需要往這個文件夾中存文件，不能設置為只讀。那我們也可以把共享文件夾中的文件設置為只讀。如此的話，由於文件夾為只讀的，則病毒、木馬也就不能夠感染這些文件夾，從而避免成為散播病毒的污染源；而且，也可以防止用戶未經授權的更改，從而導致數據的不統一等等。x0dx0a三、建立文件共享伺服器，統一管理共享文件的訪問許可權x0dx0a另外，若把企業的共享文件分散在各個用戶終端管理的話，有一個問題，就是用戶對於共享操作的熟悉程度不同或者安全觀念有差異，所以，很難從部署一個統一的文件共享安全策略。如分散在用戶主機的共享文件，員工一般不會定期對其進行備份，以防止因為意外損害而進行及時恢復；一般也不會設置具體的訪問許可權，如只允許一些特定的員工訪問等等。因為這些操作的話，一方面可能需要一些專業知識，另一方面，設置企業也比較繁瑣。所以，即使我們出了相關的制度，但是，員工一般很難遵守。x0dx0a所以，筆者建議，在一些有條件的企業，部署一個文件共享伺服器，來統一管理共享文件。採取這種策略的話，有如下好處。x0dx0a一是可以定時的對共享文件進行備份，從而減少因為意外修改或者刪除而導致的損失。若能夠把共享文件夾都放在文件伺服器上，則我們就可以定時的對文件伺服器上的文件進行備份。如此的話，即使因為許可權設置不合理，導致文件被意外修改或者刪除；有時會，員工自己也會在不經意中刪除不該刪的文件，遇到這種情況的時候，則我們可以通過文件恢復作業，把原有的文件恢復過來，從而減少這些不必要的損失。x0dx0a二是可以統一制定文件訪問許可權策略。在共享文件伺服器上，我們可以根據各個員工的需求，在文件服務中預先設置一些文件夾，並設置好具體的許可權。如此的話，放到共享文件伺服器中的文件就自動繼承了文件伺服器文件夾的訪問許可權，從而實現統一管理文件訪問許可權的目的。如對於一些全公司都可以訪問的行政通知類文件，我們可以為此設立一個通知類文件夾，這個文件夾只有行政人員具有讀寫許可權，而其他職工都只有隻讀許可權。如此的話，其他員工就不能夠對這些通知進行更改或者刪除。所以，對共享文件夾進行統一的管理，可以省去用戶每次設置許可權的麻煩，從而提高共享文件的安全性。x0dx0a三是可以統一進行防毒管理。對於共享文件來說，我們除了要關心其數據是否為泄露或者非法訪問外，另外一個問題就是共享文件是否會被病毒感染。病毒或者木馬是危害企業網路安全的第一把殺手，而共享文件又是其很好的載體。若能夠有效的解決共享文件的病毒木馬感染問題，必定可以有效的抑制病毒或者木馬在企業網路中為非作歹。而我們若能夠在企業中統一部署文件伺服器，則我們就可以利用下班的空閑時間，對文件伺服器上的共享文件統一進行殺毒，以保證共享文件伺服器上的文件都是干凈的，沒有被木馬或者病毒所感染，從而避免其成為病毒或者木馬的有效載體。x0dx0a綜上所述，共享文件夾以及共享文件的安全性問題，是企業網路安全管理中的一個比較薄弱的環節，但是，又是一個十分重要的環節。筆者相信，做好這件工作，必定可以提高企業網路的利用價值，減少網路安全事故。

D. 區域網安全有哪些防護措施

應對網路攻擊我們應該採取這樣的防護 措施 呢?以下我整理的 區域網安全 的防護措施，供大家參考，希望大家能夠有所收獲!

區域網安全的防護措施：

(1)、物理安全

存放位置：將關鍵設備集中存放到一個單獨的機房中，並提供良好的通風、消防

電氣設施條件

人員管理：對進入機房的人員進行嚴格管理，盡可能減少能夠直接接觸物理設備

的人員數量

硬體冗餘：對關鍵硬體提供硬體冗餘，如RAID磁碟陣列、熱備份路由、UPS不

間斷電源等

(2)、網路安全

埠管理：關閉非必要開放的埠，若有可能，網路服務盡量使用非默認埠，

如遠程桌面連接所使用的3389埠，最好將其更改為其他埠

加密傳輸：盡量使用加密的通信方式傳輸數據據，如HTTPS、，IPsec...，

一般只對TCP協議的埠加密，UDP埠不加密

入侵檢測：啟用入侵檢測，對所有的訪問請求進行特徵識別，及時丟棄或封鎖攻

擊請求，並發送擊擊警告

(3)、 系統安全

系統/軟體漏洞：選用正版應用軟體，並及時安裝各種漏洞及修復補丁

賬號/許可權管理：對系統賬號設置高強度的復雜密碼，並定期進行更換，對特定

人員開放其所需的最小許可權

軟體/服務管理：卸載無關軟體，關閉非必要的系統服務

病毒/木馬防護：統一部署防病毒軟體，並啟用實時監控

(4)、數據安全

數據加密：對保密性要求較高的數據據進行加密，如可以使用微軟的EFS

(Encrypting File System)來對文件系統進行加密

用戶管理：嚴格控制用戶對關鍵數據的訪問，並記錄用戶的訪問日誌

數據備份：對關鍵數據進行備份，制定合理的備份方案，可以將其備份到遠程

伺服器、或保存到光碟、磁帶等物理介質中，並保證備份的可用性

E. 無線區域網安全技術解析

由於無線區域網是以射頻方式在開放的空間進行工作的，因而其開放性特點增加了確定無線 區域網安全 的難度，所以說相對於傳統有線區域網而言，無線區域網的安全問題顯得更為突出。其安全的內容主要體現在訪問控制與信息保密兩部分，目前已經有一些針對無線區域網的安全問題的解決 方法 ，但仍須不斷改善。下面一起來學習無線區域網安全技術知識。

1無線區域網中不安全因素

無線區域網攻擊可分為主動攻擊和被動攻擊兩類。主動攻擊是入侵者能夠針對數據和通信內容進行修改，主動攻擊主要有：

(1)信息篡改：網路攻擊者能夠針對網路通信數據進行刪除、增加或改動。

(2)數據截獲：是利用TCP/IP網路通信的弱點進行的，該方法會掠奪合法使用者的通信信道，進而獲得系統的操作許可權，截獲數據。

(3)拒絕服務攻擊：網路攻擊者通過各種可能的方法使網路管理者無法獲得系統資源及服務。

(4)重傳攻擊：網路攻擊者從網路上獲取某些通信內容，然後重新發送這些內容，以對伺服器認證系統實施欺騙。

被動攻擊主要是指網路入侵者取得對通信資源的存取許可權，但是並不對數據內容進行篡改。主要有：

(1)非法竊聽：入侵者針對通信數據進行偵聽。(2)流量分析：入侵者可以得知諸如網路伺服器位置及網路通信模式等相關信息。

2IEEE802.11標準的安全性

IEEE802.11b標準定義了兩種方法實現無線區域網的接入控制和加密:系統ID(SSID)認證和有線對等加密(W-EP)。

2.1認證

當一個站點與另一個站點建立網路連接之前，必須首先通過認證，執行認證的站點發送一個管理認證幀到一個相應的站點，IEEE802.11b標准詳細定義了兩種認證服務:一是開放系統認證是802.11b默認的認證方式，是可用認證演算法中簡單的一種，分為兩步，首先向認證另一站點的站點發送個含有發送站點身份的認證管理幀;然後，接收站發回一個提醒它是否識別認證站點身份的幀。另一是共享密鑰認證，這種認證先假定每個站點通過一個獨立於802.11網路的安全信道，已經接收到一個秘密共享密鑰，然後這些站點通過共享密鑰的加密認證，加密演算法是有線等價加密(WEP)。

2.2WEP-WiredEquivalentPrivacy加密技術

WEP安全技術源自於名為RC4的RSA數據加密技術，以滿足用戶更高層次的網路安全需求。

WEP提供一種無線區域網數據流的安全方法，WEP是一種對稱加密，加密和解密的密鑰及演算法相同，WEP的目標是接入控制，防止未授權用戶接入網路，他們沒有正確的WEP密鑰。通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。

IEEE802.11b標准提供了兩種用於無線區域網的WEP加密方案。第一種方案可提供四個預設密鑰以供所有的終端共享包括一個子系統內的所有接入點和客戶適配器。當用戶得到預設密鑰以後，就可以與子系統內所有用戶安全通信，預設密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案是在每個客戶適配器建立一個與其他用戶聯系的密鑰表、該方案比第一種方案更加安全，但隨著終端數量的增加給每一個終端分配密鑰很困難。

2.3IEEE802.11的安全缺陷

無線區域網IEEE802.11的安全缺陷可以從以下幾個方面考慮：

(1)WEP的缺陷：密鑰管理系統不夠健全、安全機制提供的安全級別不高、數據包裝演算法不完善、認證系統不完善、初始化向量IV的操作存在不足。

(2)RC4加密演算法的缺陷：WEP採用RC4密碼演算法，RC4演算法的密鑰序列與明文無關，屬於同步流密碼(SSC)。其弱點是解密丟步後，其後的數據均出錯，若攻擊者翻轉密文中的bit位，解碼後明文中的對應比特位也是翻轉的，若攻擊者截獲兩個使用相同密鑰流加密的密文，可得到相應明文的異或結果，利用統計分析解密明文成為可能。(3)認證安全缺陷：IEEE802.11b標準的默認認證協議是開放式系統認證，實際上它是一個空的認證演算法。它的認證機制就已經給黑客入侵打開了方便之門。

(4)訪問控制的安全缺陷：封閉網路訪問控制機制，因為管理消息在網路里的廣播是不受任何阻礙的，因此，攻擊者可以很容易地嗅探到網路名稱，獲得共享密鑰;乙太網MAC地址訪問控製表，一是MAC地址很易被攻擊者嗅探到，二是大多數的無線網卡可以用軟體來改變MAC地址，偽裝一個有效地址，越過防線，連接到網路。

3無線區域網中安全技術

(1)有線對等保密協議WEP：WEP協議設計的初衷是使用無線協議為網路業務流提供安全保證，使得 無線網路 的安全達到與有線網路同樣的安全等級。是為了達到以下兩個目的：訪問控制和保密。

(2)Wi-Fi保護接入(WPA)：制定Wi-Fi保護接入協議是為了改善或者替換有漏洞的WEP加密方式。WPA提供了比WEP更強大的加密方式，解決了WEP存在的許多弱點。

(3)臨時密鑰完整性協議(TKIP)：TKIP是一種基礎性的技術，允許WPA向下兼容WEP協議和現有的無線硬體。TKIP與WEP一起工作，組成了一個更長的128位密鑰，並根據每個數據包變換密鑰，使這個密鑰比單獨使用WEP協議安全許多倍。

(4)可擴展認證協議(EAP)：有EAP的支持，WPA加密可提供與控制訪問無線網路有關的更多的功能。其方法不是僅根據可能被捕捉或者假冒的MAC地址過濾來控制無線網路的訪問，而是根據公共密鑰基礎設施(PKI)來控制無線網路的訪問。雖然WPA協議給WEP協議帶來了很大的改善，它比WEP協議安全許多倍。

(5)訪問控製表：在軟體開發上採用的另一種保證安全的機制是基於用戶乙太網MAC地址的訪問控制機制。每一個接入點都可以用所列出的MAC地址來限制網路中的用戶數。如果用戶地址存在於列表中，則允許訪問網路，否則，拒絕訪問。

4企業無線區域網安全防範建議

無線區域網安全技術可以劃分為三種安全策略。多數安全產品提供商在配置安全系統時會採用這三種安全策略的組合。第一種策略是認證。這種策略包括判斷客戶端是否是授權的無線LAN用戶以及確定該用戶有什麼許可權。同時它也包括阻比非授權用戶使用無線LAN的機制。第二種策略是在用戶得到認證並接入無線LAN後維護會話的保密性機制。一般來說.保密性通過使用加密技術得以實現。最後一種策略是校驗信息的完整性。

企業用戶必須依據使用環境的機密要求程度，對使用的應用軟體進行評估。切入點是從無線區域網的連接上開始，要考慮四個基本安全服務：

(1)經常進行審查：

保護WLAN的每一步就是完成網路審查，實現對內部網路的所有訪問節點都做審查，確定欺騙訪問節點，建立 規章制度 來約束它們，或者完全從網路上剝離掉它們;審查企業內無線網路設施及無線覆蓋范圍內的詳細情況。

(2)正確應用加密：首先要選擇合適的加密標准。無線網路系統不可能孤立地存在，在企業環境里尤其如此，所以加密方法一定要與上層應用系統匹配。在適用的情況下盡量選擇密鑰位數較高的加密方法

(3)認證同樣重要：加密可以保護信息不被解除，但是無法保證數據的真實性和完整性，所以必須為其提供匹配的認證機制。在使用的無線網路系統帶有認證機制的情況下可以直接利用。但是與加密一樣，要保證認證機制與 其它 應用系統能夠協同工作，在需要的情況下企業應該增加對WLAN用戶的認證功能(如使用RADIUS)，也可配置入侵檢測系統(IDS)，作為一種檢測欺騙訪問的前期識別方式。

(4)及時評估機密性：企業用戶要每個季度對網路使用情況進行一次評估，以決定根據網路流量來改變網路中機密性要求，有針對性來分網段傳輸信息。

(5)將無線納入安全策略：對於企業應用環境來說，將無線區域網安全問題納入到企業整體網路安全策略當中是必不可少的。

企業有關信息安全方面的所有內容，包括做什麼、由誰來做、如何做等等，應該圍繞統一的目標來組織，只有這樣才能打造出企業健康有效的網路安全體系。

5結束語

縱觀無線網路發展歷史，可以預見隨著應用范圍的日益普及，無線網路將面臨越來越多的安全問題。然而，新的安全理論和技術的不斷涌現使得我們有信心從容面對眾多安全挑戰，實現無線網路更廣泛的應用。

F. 如何保障無線區域網安全

1、通過查看WiFi 網路設置來了解已有哪些保護措施。看晃否用有線等效加密(WEP)，無線網路安全接入(WPA)或二代無線網路安全接入(WPA2)等保護措施。其中WEP是最早的無線安全協議，效果不佳。WPA優於WEP，不過WPA2才是最佳選擇。
2、將網路安全設置改為WPA2模式。如果購買的是早期型號，建議更換支持WPA2的新型路由器。因為它更安全，速度也更快。
3、為WiFi 網路設置高強度密碼。選擇獨特的密碼十分重要，最好使用由數字，字母和符號組成的長密碼，這樣不易被別人猜出。
4、保護路由器，以免他人更改設置。路由器需要設置單獨的密碼，要與保護WiFi 網路的密碼有所區別。不要用出廠給的簡單用戶名及密碼（如Admin之類的）。

G. 區域網的網路安全

區域網的安全：1、物理安全：是指機房的網路環境安全，機房規范化部署，保持溫度和濕度，防止灰塵，抗電磁干擾等，可預防火災等情況發生。
2、網路結構/系統安全：網路拓撲上考慮冗餘鏈路，設置防火牆，設置入侵檢測，設置實時監控系統。①設置嚴格內外網隔離 ②內網不同區域物理隔離，劃分多個不同廣播域。③網路安全檢測 ④網路監控和管控（上網行為管理軟體）
以上簡單列了一些區域網安全的注意事項，還有需要注意的非常多，題主可以多搜搜。我個人感覺這塊比較簡單一點，防火牆裝一個，上網行為管理軟體裝一個 就差不多了。
防火牆 推薦華為或者思科的防火牆，上網行為管理軟體 推薦Lanecat網貓

H. 怎樣確保區域網安全

一、對重要資料進行備份：

要維護企業區域網的安全， 首先必須對重要資料進行備份，以預防各種軟硬體故障、病毒的侵襲和黑客的破壞等導致系統崩潰而遭受損失。

二、在網路內部使用代理網關：

使用代理網關使得網路數據包不能直接在內外網路之間進行。

三、設置防火牆 ：

1.選擇適當的防火牆

2. 可選擇Cisco 805路由器

I. 無線區域網中的安全措施

摘要：由於在現在區域網建網的地域越來越復雜，很多地方應用了無線技術來建設區域網，但是由於 無線網路 應用電磁波作為傳輸媒介，因此安全問題就顯得尤為突出。本文通過對危害無線區域網的一些因素的敘述，給出了一些應對的安全 措施 ，以保證無線區域網能夠安全，正常的運行。

關鍵字：WLAN，WEP，SSID，DHCP，安全措施

1、 引言

WLAN是Wireless LAN的簡稱，即無線區域網。所謂無線網路，顧名思義就是利用無線電波作為傳輸媒介而構成的信息網路，由於WLAN產品不需要鋪設通信電纜，可以靈活機動地應付各種網路環境的設置變化。WIAN技術為用戶提供更好的移動性、靈活性和擴展性，在難以重新布線的區域提供快速而經濟有效的區域網接入，無線網橋可用於為遠程站點和用戶提供區域網接入。但是，當用戶對WLAN的期望日益升高時，其安全問題隨著應用的深入表露無遺，並成為制約WLAN發展的主要瓶頸。[1]

2、 威脅無線區域網的因素

首先應該被考慮的問題是，由於WLAN是以無線電波作為上網的傳輸媒介，因此無線網路存在著難以限制網路資源的物理訪問，無線網路信號可以傳播到預期的方位以外的地域，具體情況要根據建築材料和環境而定，這樣就使得在網路覆蓋范圍內都成為了WLAN的接入點，給入侵者有機可乘，可以在預期范圍以外的地方訪問WLAN，竊聽網路中的數據，有機會入侵WLAN應用各種攻擊手段對無線網路進行攻擊，當然是在入侵者擁有了網路訪問權以後。

其次，由於WLAN還是符合所有網路協議的計算機網路，所以計算機病毒一類的網路威脅因素同樣也威脅著所有WLAN內的計算機，甚至會產生比普通網路更加嚴重的後果。

因此，WLAN中存在的安全威脅因素主要是：竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等。

IEEE 802.1x認證協議發明者VipinJain接受媒體采訪時表示：「談到無線網路，企業的IT經理人最擔心兩件事：首先，市面上的標准與安全解決方案太多，使得用戶無所適從；第二，如何避免網路遭到入侵或攻擊？無線媒體是一個共享的媒介，不會受限於建築物實體界線，因此有人要入侵網路可以說十分容易。」[1]因此WLAN的安全措施還是任重而道遠。

3、無線區域網的安全措施

3.1採用無線加密協議防止未授權用戶

保護無線網路安全的最基本手段是加密，通過簡單的設置AP和無線網卡等設備，就可以啟用WEP加密。無線加密協議(WEP)是對無線網路上的流量進行加密的一種標准 方法 。許多無線設備商為了方便安裝產品，交付設備時關閉了WEP功能。但一旦採用這種做法，黑客就能利用無線嗅探器直接讀取數據。建議經常對WEP密鑰進行更換，有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外一個必須注意問題就是用於標識每個無線網路的服務者身份(SSID)，在部署無線網路的時候一定要將出廠時的預設SSID更換為自定義的SSID。現在的AP大部分都支持屏蔽SSID廣播，除非有特殊理由，否則應該禁用SSID廣播，這樣可以減少無線網路被發現的可能。[2]

但是目前IEEE 802.11標准中的WEP安全解決方案，在15分鍾內就可被攻破，已被廣泛證實不安全。所以如果採用支持128位的WEP，解除128位的WEP的是相當困難的，同時也要定期的更改WEP，保證無線區域網的安全。如果設備提供了動態WEP功能，最好應用動態WEP，值得我們慶幸的，Windows XP本身就提供了這種支持，您可以選中WEP選項「自動為我提供這個密鑰」。同時，應該使用IPSec，，SSH或其他

WEP的替代方法。不要僅使用WEP來保護數據。

3.2 改變服務集標識符並且禁止SSID廣播

SSID是無線接人的身份標識符，用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設備製造商設置的，並且每個廠商都用自己的預設值。例如，3COM 的設備都用「101」。因此，知道這些標識符的黑客可以很容易不經過授權就享受你的無線服務。你需要給你的每個無線接入點設置一個唯一並且難以推測的 SSID。如果可能的話。還應該禁止你的SSID向外廣播。這樣，你的無線網路就不能夠通過廣播的方式來吸納更多用戶．當然這並不是說你的網路不可用．只是它不會出現在可使用網路的名單中。[3]

3.3 靜態IP與MAC地址綁定

無線路由器或AP在分配IP地址時，通常是默認使用DHCP即動態IP地址分配，這對無線網路來說是有安全隱患的，「不法」分子只要找到了無線網路，很容易就可以通過DHCP而得到一個合法的IP地址，由此就進入了區域網絡中。因此，建議關閉DHCP服務，為家裡的每台電腦分配固定的靜態IP地址，然後再把這個IP地址與該電腦網卡的MAC地址進行綁定，這樣就能大大提升網路的安全性。「不法」分子不易得到合法的IP地址，即使得到了，因為還要驗證綁定的MAC地址，相當於兩重關卡。[4]設置方法如下：

首先，在無線路由器或AP的設置中關閉「DHCP伺服器」。然後激活「固定DHCP」功能，把各電腦的「名稱」(即Windows系統屬陸里的「計算機描述」)，以後要固定使用的IP地址，其網卡的MAC地址都如實填寫好，最後點「執行」就可以了。

3.4 技術在無線網路中的應用

對於高安全要求或大型的無線網路，方案是一個更好的選擇。因為在大型無線網路中維護工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務。

對於無線商用網路，基於的解決方案是當今WEP機制和MAC地址過濾機制的最佳替代者。方案已經廣泛應用於Internet遠程用戶的安全接入。在遠程用戶接入的應用中，在不可信的網路(Internet)上提供一條安全、專用的通道或者隧道。各種隧道協議，包括點對點的隧道協議和第二層隧道協議都可以與標準的、集中的認證協議一起使用。同樣，技術可以應用在無線的安全接入上，在這個應用中，不可信的網路是無線網路。AP可以被定義成無WEP機制的開放式接入(各AP仍應定義成採用SSID機制把無線網路分割成多個無線服務子網)，但是無線接入網路VLAN (AP和伺服器之問的線路)從區域網已經被伺服器和內部網路隔離出來。伺服器提供網路的認征和加密，並允當區域網網路內部。與WEP機制和MAC地址過濾接入不同，方案具有較強的擴充、升級性能，可應用於大規模的無線網路。

3.5 無線入侵檢測系統

無線入侵檢測系統同傳統的入侵檢測系統類似，但無線入侵檢測系統增加了無線區域網的檢測和對破壞系統反應的特性。侵入竊密檢測軟體對於阻攔雙面惡魔攻擊來說，是必須採取的一種措施。如今入侵檢測系統已用於無線區域網。來監視分析用戶的活動，判斷入侵事件的類型，檢測非法的網路行為，對異常的網路流量進行報警。無線入侵檢測系統不但能找出入侵者，還能加強策略。通過使用強有力的策略，會使無線區域網更安全。無線入侵檢測系統還能檢測到MAC地址欺騙。他是通過一種順序分析，找出那些偽裝WAP的無線上網用戶無線入侵檢測系統可以通過提供商來購買，為了發揮無線入侵檢測系統的優良的性能，他們同時還提供無線入侵檢測系統的解決方案。[1]

3.6 採用身份驗證和授權

當攻擊者了解網路的SSID、網路的MAC地址或甚至WEP密鑰等信息時，他們可以嘗試建立與AP關聯。目前，有3種方法在用戶建立與無線網路的關聯前對他們進行身份驗證。開放身份驗證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗證的問題在於，如果您沒有其他的保護或身份驗證機制，那麼您的無線網路將是完全開放的，就像其名稱所表示的。共享機密身份驗證機制類似於「口令一響應」身份驗證系統。在STA與AP共享同一個WEP密鑰時使用這一機制。STA向AP發送申請，然後AP發回口令。接著，STA利用口令和加密的響應進行回復。這種方法的漏洞在於口令是通過明文傳輸給STA的，因此如果有人能夠同時截取口令和響應，那麼他們就可能找到用於加密的密鑰。採用其他的身份驗證／授權機制。使用 802.1x，或證書對無線網路用戶進行身份驗證和授權。使用客戶端證書可以使攻擊者幾乎無法獲得訪問許可權。

[5]

3.7其他安全措施

除了以上敘述的安全措施手段以外我們還要可以採取一些其他的技術，例如設置附加的第三方數據加密方案，即使信號被盜聽也難以理解其中的內容；加強企業內部管理等等的方法來加強WLAN的安全性。

4、 結論

無線網路應用越來越廣泛，但是隨之而來的網路安全問題也越來越突出，在文中分析了WLAN的不安全因素，針對不安全因素給出了解決的安全措施，有效的防範竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等的攻擊手段，但是由於現在各個無線網路設備生產廠商生產的設備的功能不一樣，所以現在在本文中介紹的一些安全措施也許在不同的設備上會有些不一樣，但是安全措施的思路是正確的，能夠保證無線網路內的用戶的信息和傳輸消息的安全性和保密性，有效地維護無線區域網的安全。

參考文獻

[1]李園,王燕鴻,張鉞偉,顧偉偉.無線網路安全性威脅及應對措施[J].現代電子技術.2007, (5):91-94.

[2]王秋華,章堅武.淺析無線網路實施的安全措施[J].中國科技信息.2005, (17):18.

[3]邊鋒.不得不說無線網路安全六種簡單技巧[J].計算機與網路.2006, (20):6.

[4]冷月.無線網路保衛戰[J].計算機應用文摘.2006,(26)：79-81.

[5]宋濤.無線區域網的安全措施[J]. 電信交換.2004, (1):22-27.