組建無線網路安全結論

⑴ 如何構建一個安全的無線網路

1.wep加密 2.SSID隱藏起來不讓無線網路搜索到。

⑵ 無線網安全建議 教你如何保護無線網路安全

下面將給用戶一些基本的無線網路安全建議，這些建議將有助於用戶更好保證自己的無線網路安全： 1. 無線網路適配器 在用戶不使用網路時，建議用戶關閉無線網路適配器，之所以這樣做，有兩個原因。首先，延長電池壽命;其次，防範使用「 Microsoft Windows silent ad hoc network advertisement」滲透攻擊的最好方法。微軟的自組網使用的是零默認設置訪問，這就給攻擊者以可乘之機。 2.校驗無線網路SSID 校驗SSID(Service Set Identifier或ESSID，用來區分不同的網路，最多可以有32個字元，無線網卡設置了不同的SSID就可以進入不同網路)有助於防止evil twin。evil twin即使攻擊者利用攻擊產生錯誤的無線網路。簡單點說，用戶根本不知道連接的是錯誤的網路，這樣黑客就可以獲取用戶接受和發送的任何流量了。 3. 保證軟體防火牆的安全性 Windows XP 和 Vista內置了防火牆，但是都不夠。市面上的有很多功能更加強大的防火牆，完全可以滿足筆記本使用者的需求。 4. 關閉Windows的文件和列印機共享功能 Windows的默認設置是關閉了這一功能，但是很多用戶在實際工作的時候需要使用這一功能。開啟這一功能實際上就是打開了「麻煩之門」。任何未經授權的人只要出現在這一無線網路的時候就可以訪問這些文件。 5.不要使用無線網路在線傳輸敏感信息 這點就毋庸贅言。重要性可想而知，但是還是要提醒一下。 6.操作系統需實時升級 除了操作系統，還有殺毒軟體，防火牆，網路瀏覽器以及無線網路客戶機程序，這些都需要實時升級，這樣就可以減少因其本身缺陷導致的攻擊。 7.保護好任何敏感信息 網頁當中保留的個人信息會成為黑客攻擊提供十分有用的價值。因此如條件允許可以採用某些加密工具。 8.使用加密技術進行網上沖浪 在沒有虛擬個人網路或是虛擬個人網路設置不正確的時候，這是很重要的。市面上有很多提供SSL(Security Socket Layer ，加密套接字協議層 ) VPN的技術，這樣就可以在一個安全通道中傳輸機密文件。還有一些更加先進的服務，譬如超級代理等。 9.VPN 前面一個建議的局限就是它只適用於基於網路的應用程序。但是一些郵件應用程序呢?譬如Outlook。這正是虛擬個人網路大展拳腳的地方。但是很多人根本就不使用虛擬個人網路。虛擬個人網路保證用戶即使在外的話也相當於家庭或是辦公網路中的一部分。這樣，所有的商業應用程序，文件共享或是網路訪問都由公司的網路來完成。市面上的選擇很多，推薦Open個人虛擬網路。 10.使用遠程訪問工具保證安全 不要通過有疑問的網路傳輸敏感數據。有一些設備可以保證出門在外的人通過家裡的網路使用SSL通道實現遠程式控制制。這樣，網上沖浪，收發郵件還有其他一些活動只會在遠程主機上實現。因此，除非在特別緊急的情況下，否則不要傳輸數據。 總結： 經常在外使用筆記本的人應該保持警惕。除了一些日常工作，他們經常需要在外做一些工作。以上一些建議能夠保護他們在外使用時的信息安全。

⑶ 家庭網路的網路安全

家庭網路的安全技術

家庭網路的安全技術涉及家庭網路內部終端設備和內部信息安全、業務系統的安全（如防攻擊、防非法接入等），在特定場合還需要能追查惡意呼叫，確定其來源從而採取相應的措施。

（1）網路安全

家庭網路應通過防火牆與外界互聯網進行聯系，實現內部可信任網與外部不可信任網之間的隔離，並進行訪問控制，保證家庭網路系統及家庭網路服務的安全性。

●家庭網路隔離及訪問控制：在內外部網路之間設置防火牆，實現家庭網路內部的訪問控制，根據防範的方式和側重點的不同，可以選擇分級過濾或應用代理等不同類型的防火牆。

●審計與監控：安裝網路安全評估分析軟體，利用此類軟體對用戶使用計算機網路系統的過程進行記錄，以便發現和預防可能的破壞活動。

●網路反病毒：安裝反病毒軟體，預防、檢測和消除病毒。

（2）業務系統安全

業務系統設備本身會有各種各樣系統方面的漏洞，而這些漏洞往往會造成信息的泄露。為了維護家庭網路業務的安全，應做到以下幾點。

●及時給系統進行升級、維護、打系統補丁。

●用戶訪問業務需進行認證，可以使用密碼、智能卡和證書等認證的手段。

●系統要進行病毒的防範。病毒本身有很強的傳染性，並增加設備的負擔，給用戶帶來不便，甚至是重大的經濟損失。病毒防範應做到定期更新，在出現重要病毒警告時要及時進行系統升級。

●記錄日誌。對系統進行攻擊時，會對被攻擊的設備進行埠掃描或多次連接嘗試，所有這些攻擊如果在日誌中記錄在案，則便於查找攻擊的發起者。

⑷ 無線網路的組建方案

企業信息化的基礎是企業網，企業都在致力於建設一個高速、安全、可靠、可擴充的網路系統，以實現企業內信息的高度共享、傳遞，大大提高工作效率;為了實現對外信息的交流，還需要建立出口通道，實現與Internet互聯，可以方便地進行資料查詢。企業所需要的信息化服務要求較高，其網路應具有以下特點：
· 作為一個基於企業Intranet的信息管理和應用的網路系統，提供相應的各種服務
·網路上各種軟、硬體資源能得到共享，並能快速、穩定地傳輸各種信息，提供有效的網路信息管理手段
· 採用開放式、標准化的系統結構，以利於功能擴充和技術升級
· 能夠與外界進行廣域網的連接，提供、享用各種信息服務
· 具有完善的網路安全機制。
· 能夠與原有的計算機區域網絡和應用系統平滑地連接，調用原有各種計算機系統的信息。

⑸ 無線網路安全

給你找了個 自己抄吧

論文

無線區域網的安全防護

學 科、專業 計算機技術及應用
學 生 姓 名 雷磊
學 號 200512118
指導教師姓名 史虹湘

2008年10月30日

無線區域網的安全防護
摘要：
在網路應用日益普及的今天，區域網作為一種通用的聯網手段，得到了極為廣泛的應用，其傳輸速率、網路性能不斷提高。不過，它基本採用的是有線傳輸媒介，在許多不適宜布線的場合，受到很大程度的限制。另一方面，無線數據傳輸技術近年來不斷獲得突破，標准化進展也極為迅速，這使得區域網環境下的數據傳輸完全可以擺脫線纜的束縛。在此基礎上，無線區域網開始崛起，越來越受到人們的重視。但是，無線區域網給我們帶來方便的同時，它的安全性更值得我們關注，本篇論文通過了解無線區域網的組成，它的工作原理，以及無線區域網的優、缺點，找出影響安全的因素，通過加密、認證等手段並且應用完整的安全解決方案，從而更好的做到無線區域網的安全防護。
關鍵詞：無線區域網；安全性；WPAN

目錄
第一章 引言 3
1.1無線區域網的形成 3
1.2無線區域網的常用設備 3
第二章、無線區域網的概況及特點 4
2.1無線區域網（WLAN）方案 4
2.2無線區域網的常見拓撲形式 6
2.3 無線區域網的優勢 6
2.4無線區域網的缺點 7
第三章、無線區域網的安全性及其解決方案 7
3.1無線區域網的安全性 7
3.2完整的安全解決方案 11
第四章、結束語 13

第一章 引言
1.1無線區域網的形成
隨著計算機技術和網路技術的蓬勃發展，網路在各行各業中的應用越來越廣。然而，隨著移動計算技術的日益普及和工業標准逐步為市場所採納和接受，無線網路的應用領域正在不斷地擴大。無線區域網的出現使人們不必再圍著機器轉，它採用乙太網的幀格式，使用簡單。無線區域網方便了用戶訪問網路數據，高吞吐量無線區域網可以實現11Mb/s的數據傳輸速率。
從網路角度來看，它涉及互聯網和城域網（Metropolitan Area Network-MAN）、區域網（Local Area Network-LAN）及最近提出的「無線個域網」 (Wireless Personal Area Network - WPAN)。在廣域網(Wide Area Network-WAN)、城域網和區域網的層次結構中，WPAN的范圍是最小的。
1.2無線區域網的常用設備
WPAN將取代線纜成為連接包括行動電話、筆記本個人電腦和掌上設備在內的各類用戶個人設備的工具。WPAN可以隨時隨地地為用戶實現設備間的無縫通訊，並使用戶能夠通過蜂窩電話、區域網或廣域網的接入點聯入網路。
1.2.1Bluetooth應用
通過Bluetooth(藍牙）技術，它使人們周圍的電子設備通過無線的網路連接在一起。這些設備包括：桌上型電腦、筆記本電腦、列印機、手持設備、行動電話、傳呼機和可攜帶的音樂設備等。
藍牙技術是由愛立信、IBM、英特爾、諾基亞和東芝這五大公司於1998年5月聯合推出的一項旨在實現網路中各類數據及語音設備（如PC、撥號網路、筆記本電腦、列印機、傳真機、數碼相機、行動電話、高品質耳機等）互連的計劃，並為紀念第一個統一北歐語言的人Norse國王而命名為藍牙。
藍牙收發信機採用跳頻擴譜技術，在2.45 GHz ISM頻帶上以1600跳／s的速率進行跳頻。依據各國的具體情況，以2.45 GHz為中心頻率，最多可以得到79個1MHz帶寬的信道。除採用跳頻擴譜的低功率傳輸外，藍牙還採用鑒權和加密等措施來提高通信的安全性。
1.2.2HomeRF應用
無線區域網技術HomeRF，是專門為家庭用戶設計的短距離無線聯網方案。
它基於共享無線訪問協議（shared Wireless Access Protocol，SWAP），可應用於家庭中的移動數據和語音設備與主機之間的通信。
符合SWAP規范的產品工作在2.4GHz頻段，使用每秒50跳的跳頻擴展頻譜技術，通過家庭中的一台主機在移動數據和語音設備之間實現通信，既可以通過時分復用支持語音通信，又能通過載波監聽多重訪問/沖突避免協議提供數據通信服務。同時，HomeRF提供了與TCP/IP良好的集成，支持廣播和48位IP地址。
按照SWAP規范，用戶可以建立無線家庭網路，用戶可在PC、PC增強無繩電話、手持式遠程顯示器等設備之間共享話音、數據和Internet連接；用手持顯示裝置在房間內和房間周圍的任何地方訪問Internet；在多台PC間共享文件、數據機、列印機等；向多個無繩手機、傳真機和話音郵箱轉發電話；使用小型PC增強無繩電話手機重復收聽話音、傳真和電子郵件；簡單地使用PC增強無繩電話手機發出話音命令，來激活其他家用電子系統；可以玩PC或Internet上的多人游戲。
第二章、無線區域網的概況及特點
2.1無線區域網（WLAN）方案
在網路應用日益普及的今天，區域網作為一種通用的聯網手段，得到了極為廣泛的應用，其傳輸速率、網路性能不斷提高。不過，它基本採用的是有線傳輸媒介，在許多不適宜布線的場合，受到很大程度的限制。另一方面，無線數據傳輸技術近年來不斷獲得突破，標准化進展也極為迅速，這使得區域網環境下的數據傳輸完全可以擺脫線纜的束縛。在此基礎上，無線區域網開始崛起，越來越受到人們的重視。
2.1.1無線區域網概念和工作原理
一般來講，凡是採用無線傳輸媒體的計算機區域網都可稱為無線區域網。這里的無線媒體可以是無線電波、紅外線或激光。
無線區域網的基礎還是傳統的有線區域網，是有線區域網的擴展和替換。它只是在有線區域網的基礎上通過無線HUB、無線訪問節點（AP）、無線網橋、無線網卡等設備使無線通信得以實現。
2.1.2無線區域網標准
實際上，無線區域網早在80年代就已經得到廣泛應用，當時受到技術上的制約，通信速率只有860kb/s，工作在900MHz的頻段。能夠了解並享受它的好處的人少之又少。
到了90年代初，隨著技術的進步，無線區域網的通信速率已經提高到1 ~2Mb/s，工作頻段為2.4GHz，並開始向醫療、教育等多媒體應用領域延伸。
無線區域網的發展也引起國際標准化組織的關注，IEEE從1992年開始著手制訂802.11標准，以推動無線區域網的發展。1997年，該標准獲得通過，它大大促進了不同廠商產品之間的互操作性，並推進了已經萌芽的產業的發展。
802.11標准僅限於物理(PHY)層和媒介訪問控制(MAC)層。物理層對應於國際標准化組織的七層開放系統互連(OSI)模型的最低層，MAC層與OSI第二層的下層相對應，該層與邏輯鏈路控制（LLC）層構成了OSI的第二層。
標准實際規定了三種不同的物理層結構，用戶可以從中選出一種，它們中的每一種都可以和相同的MAC層進行通信。802.11工作組的成員認為在物理層實現方面有多個選擇是必要的，因為這可以使系統設計人員和集成人員根據特定應用的價格、 性能、 操作等方面的因素來選擇一種更合適的技術。這些選擇實際上非常類似，就像10BaseT， 10Base2及100BaseT等都在乙太網領域取得了很大的成功一樣。另外，企業區域網通常會使用有線乙太網和無線節點混合的方式，它們在使用上沒有區別。
近年來，無線區域網的速率有了本質的提高，新的IEEE802.11b標准支持11Mb/s高速數據傳輸。這為寬頻無線應用提供了良好的平台。
2.1.3無線區域網傳輸方式
就傳輸方式而言，無線區域網可以分為兩類：紅外線系統和射頻系統。前者的優點在於不受無線電的干擾；鄰近區域無干擾；不受管制機構的政策限制；在視距范圍內傳輸，監測和竊聽困難，保密性好。不過，由於紅外線傳輸對非透明物體的透過性極差，傳輸距離受限。
此外，它容易受到日光、熒光燈等雜訊干擾，並且只能進行半雙工通信。所以，相比而言，射頻系統的應用范圍遠遠高於紅外線系統。
採用射頻方式傳輸數據，一般都需要引入擴頻技術。在擴頻系統中，信號所佔用的帶寬遠大於所需發送信息的最小帶寬，並採用了獨立的擴展信號。擴頻技術具有安全性高、抗干擾能力強和無需許可證等優點。目前，在全球范圍內應用比較廣泛的擴頻技術有直接序列（DS）擴頻技術和跳頻（FH）擴頻技術。就頻帶利用來說，DS採用主動佔有的方式，FH則是跳換頻率去適應。在抗干擾方面，FH通過不同信道的跳躍避免干擾，丟失的數據包在下一跳重傳。DS方式中數據從冗餘位中得到保證，移動到相鄰信道避免干擾。同DS方式相比，FH方式速度慢，最多隻有2 ~3Mb/s。DS傳輸速率可以達到11Mb/s，這對多媒體應用來說非常有價值。從覆蓋范圍看，由於DS採用了處理增益技術，因此在相同的速率下比FH覆蓋范圍更大。不過，FH的優點在於抗多徑干擾能力強。此外，它的可擴充性要優於DS。DS有3個獨立、不重疊的信道，接入點限制為三個。FH在跳頻不影響性能時最多可以有15個接入點。
新的無線區域網標准協議IEEE802.11b只支持DS方式，但是IEEE802.11對這兩種技術都是推薦的。應該說，FH和DS這兩種擴頻方式在不同的領域都擁有適合自身的應用環境，一般說來，在需要大范圍覆蓋時選DS，需要高數據吞吐量時選擇DS，需要抗多徑干擾強時選擇FH。
2.2無線區域網的常見拓撲形式
根據不同的應用環境，目前無線區域網採用的拓撲結構主要有網橋連接型、訪問節點連接型、HUB接入型和無中心型四種。
（1）網橋連接型。該結構主要用於無線或有線區域網之間的互連。當兩個區域網無法實現有線連接或使用有線連接存在困難時，可使用網橋連接型實現點對點的連接。在這種結構中區域網之間的通信是通過各自的無線網橋來實現的，無線網橋起到了網路路由選擇和協議轉換的作用。
（2）訪問節點連接型。這種結構採用移動蜂窩通信網接入方式，各移動站點間的通信是先通過就近的無線接收站（訪問節點：AP）將信息接收下來，然後將收到的信息通過有線網傳入到「移動交換中心」，再由移動交換中心傳送到所有無線接收站上。這時在網路覆蓋范圍內的任何地方都可以接收到該信號，並可實現漫遊通信。
（3）HUB接入型。在有線區域網中利用HUB可組建星型網路結構。同樣也可利用無線HUB組建星型結構的無線區域網，其工作方式和有線星型結構很相似。但在無線區域網中一般要求無線HUB應具有簡單的網內交換功能。
（4）無中心型結構。該結構的工作原理類似於有線對等網的工作方式。它要求網中任意兩個站點間均能直接進行信息交換。每個站點既是工作站，也是伺服器。
2.3 無線區域網的優勢
無線區域網在很多應用領域具有獨特的優勢：一是可移動性，它提供了不受線纜限制的應用，用戶可以隨時上網；二是容易安裝、無須布線，大大節約了建網時間；三是組網靈活，即插即用，網路管理人員可以迅速將其加入到現有網路中，並在某種環境下運行；四是成本低，特別適合於變化頻繁的工作場合。此外，無線網路相對來說比較安全，無線網路通信以空氣為介質，傳輸的信號可以跨越很寬的頻段，而且與自然背景噪音十分的相似，這樣一來，就使得竊聽者用普通的方式難以偷聽到數據。
「加密」也是無線網路必備的一環，能有效提高其安全性。所有無線網路都可加設安全密碼，竊聽者即使千方百計地接收到數據，若無密碼，想打開信息系統亦無計可施。
2.4無線區域網的缺點
目前，由於相關的配套技術不足，無線網路傳輸速度還存在著一些局限。現在無線網路的帶寬還比較局限，與有線區域網主幹可達千兆還差得很遠。與有線網路相比，無線網路的通信環境要受到更多的限制。由於電源限制、可用的頻譜限制以及無線網路的移動性等特點，無線數據網路一般具有帶寬少、延遲長、連接穩定性差、可用性很難預測等特點。盡管無線區域網有種種優點，但是PC廠商在出售無線LAN產品時多採取慎重態度。這是因為，在家庭里利用的無線聯網方式，除了無線LAN外，還有一些其他方案。藍牙主要用於在攜帶型信息設備之間以無線方式進行數據通信；HomeRF則用於PC同家電之間以無線方式進行數據通信。而無論藍牙還是HomeRF，其最大傳輸速度都只有2Mb/s。此外，它們的傳輸距離都只有幾十米，比無線LAN最多可達的100米要短。在鋼筋混凝土這類能使電波明顯衰減的使用環境里，藍牙和HomeRF的傳輸距離甚至會縮短到只有幾米。
第三章、無線區域網的安全性及其解決方案
3.1無線區域網的安全性
除了硬體方面的不足，無線區域網的安全性也非常值得關注。無線區域網的安全性，主要包括接入控制和加密兩個方面。
3.1.1IEEE802.11b標準的安全性
IEEE 802.11b標準定義了兩種方法實現無線區域網的接入控制和加密：系統ID(SSID)和有線對等加密(WEP)。
1、認證
當一個站點與另一個站點建立網路連接之前，必須首先通過認證。執行認證的站點發送一個管理認證幀到一個相應的站點。 IEEE 802.11b標准詳細定義了兩種認證服務：－開放系統認證（Open System Authentication）：是802.11b默認的認證方式。這種認證方式非常簡單，分為兩步：首先，想認證另一站點的站點發送一個含有發送站點身份的認證管理幀；然後，接收站發回一個提醒它是否識別認證站點身份的幀。 －共享密鑰認證（Shared Key Authentication）：這種認證先假定每個站點通過一個獨立於802.11網路的安全信道，已經接收到一個秘密共享密鑰，然後這些站點通過共享密鑰的加密認證，加密演算法是有線等價加密（WEP）。 共享密鑰認證的過程如圖1所示，描述如下：
（1） 請求工作站向另一個工作站發送認證幀。
（2） 當一個站收到開始認證幀後，返回一個認證幀，該認證幀包含WEP服務生成的128位元組的質詢文本。
（3） 請求工作站將質詢文本復制到一個認證幀中，用共享密鑰加密，然後再把幀發往響應工作站。
（4） 接收站利用相同的密鑰對質詢文本進行解密，將其和早先發送的質詢文本進行比較。如果相互匹配，相應工作站返回一個表示認證成功的認證幀；如果不匹配，則返回失敗認證幀。
請求工作站 響應工作站
驗證幀
驗證演算法標識=「共享密鑰」
驗證處理序列號=1

驗證幀
驗證演算法標識=「共享密鑰」
驗證處理序列號=2
質詢文本

驗證幀
驗證演算法標識=「共享密鑰」
驗證處理序列號=3
質詢文本加密

驗證幀
驗證演算法標識=「共享密鑰」
驗證處理序列號=1
圖1 共享密鑰認證
認證使用的標識碼稱為服務組標識符（SSID：Service Set Identifier），它提供一個最底層的接入控制。一個SSID是一個無線區域網子系統內通用的網路名稱，它服務於該子系統內的邏輯段。因為SSID本身沒有安全性，所以用SSID作為接入控制是不夠安全的。接入點作為無線區域網用戶的連接設備，通常廣播SSID。
2、WEP
IEEE 802.11b規定了一個可選擇的加密稱為有線對等加密，即WEP。WEP提供一種無線區域網數據流的安全方法。WEP是一種對稱加密，加密和解密的密鑰及演算法相同。WEP的目標是： 接入控制：防止未授權用戶接入網路，他們沒有正確的WEP密鑰。
加密：通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。
IEEE 802.11b標准提供了兩種用於無線區域網的WEP加密方案。第一種方案可提供四個預設密鑰以供所有的終端共享—包括一個子系統內的所有接入點和客戶適配器。當用戶得到預設密鑰以後，就可以與子系統內所有用戶安全地通信。預設密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯系的密鑰表。該方案比第一種方案更加安全，但隨著終端數量的增加給每一個終端分配密鑰很困難。

幀體
明文

綜合檢測值
（ICV）
幀體
密鑰 密文
鍵序

圖2 WEP加密過程
WEP加密的演算法如圖2所示，過程如下：
（1） 在發送端，WEP首先利用一種綜合演算法對MAC幀中的幀體欄位進行加密，生成四位元組的綜合檢測值。檢測值和數據一起被發送，在接收端對檢測值進行檢查，以監視非法的數據改動。
（2） WEP程序將共用密鑰輸入偽隨機數生成器生成一個鍵序，鍵序的長度等於明文和綜合檢測值的長度。
（3） WEP對明文和綜合檢測值進行模二加運算，生成密文，完成對數據的加密。偽隨機數生成器可以完成密鑰的分配，因為每台終端只用到共用密鑰，而不是長度可變的鍵序。
（4） 在接收端，WEP利用共用密鑰進行解密，復原成原先用來對幀進行加密的鍵序。
（5） 工作站計算綜合檢測值，隨後確認計算結果與隨幀一起發送來的值是否匹配。如果綜合檢測失敗，工作站不會把MSDU（介質服務單元）送到LLC（邏輯鏈路控制）層，並向MAC管理程序發回失敗聲明。
3.1.2影響安全的因素
1、硬體設備
在現有的WLAN產品中，常用的加密方法是給用戶靜態分配一個密鑰，該密鑰或者存儲在磁碟上或者存儲在無線區域網客戶適配器的存儲器上。這樣，擁有客戶適配器就有了MAC地址和WEP密鑰並可用它接入到接入點。如果多個用戶共享一個客戶適配器，這些用戶有效地共享MAC地址和WEP密鑰。 當一個客戶適配器丟失或被竊的時候，合法用戶沒有MAC地址和WEP密鑰不能接入，但非法用戶可以。網路管理系統不可能檢測到這種問題，因此用戶必須立即通知網路管理員。接到通知後，網路管理員必須改變接入到MAC地址的安全表和WEP密鑰，並給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態加密密鑰。客戶端越多，重新編碼WEP密鑰的數量越大。
2、虛假接入點
IEEE802.11b共享密鑰認證表採用單向認證，而不是互相認證。接入點鑒別用戶，但用戶不能鑒別接入點。如果一個虛假接入點放在無線區域網內，它可以通過劫持合法用戶的客戶適配器進行拒絕服務或攻擊。
因此在用戶和認證伺服器之間進行相互認證是需要的，每一方在合理的時間內證明自己是合法的。因為用戶和認證伺服器是通過接入點進行通信的，接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。
3、其它安全問題
標准WEP支持對每一組加密但不支持對每一組認證。從響應和傳送的數據包中一個黑客可以重建一個數據流，組成欺騙性數據包。減輕這種安全威脅的方法是經常更換WEP密鑰。
通過監測IEEE802.11b控制信道和數據信道，黑客可以得到如下信息：
客戶端和接入點MAC地址
內部主機MAC地址
上網時間
黑客可以利用這些信息研究提供給用戶或設備的詳細資料。為減少這種黑客活動，一個終端應該使用每一個時期的WEP密鑰。
3.2完整的安全解決方案
3.2.1無線區域網的安全方案
無線區域網完整的安全方案以IEEE802.11b為基礎，是一個標準的開放式的安全方案，它能為用戶提供最強的安全保障，確保從控制中心進行有效的集中管理。它的核心部分是：
擴展認證協議（Extensible Authentication Protocol，EAP），是遠程認證撥入用戶服務（RADIUS）的擴展。可以使無線客戶適配器與RADIUS伺服器通信。
IEEE 802.1X， 一個控制埠接入的提議標准。
當無線區域網執行安全保密方案時，在一個BSS范圍內的站點只有通過認證以後才能與接入點結合。當站點在網路登錄對話框或類似的東西內輸入用戶名和密碼時，客戶端和RADIUS伺服器（或其它認證伺服器）進行雙向認證，客戶通過提供用戶名和密碼來認證。然後 RADIUS伺服器和用戶伺服器確定客戶端在當前登錄期內使用的WEP密鑰。所有的敏感信息，如密碼，都要加密使免於攻擊。
這種方案認證的過程是：
一個站點要與一個接入點連接。
除非站點成功登錄到網路，否則接入點將禁止站點使用網路資源。
用戶在網路登錄對話框和類似的結構中輸入用戶名和密碼。
用IEEE802.1x協議，站點和RADIUS伺服器在有線區域網上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。例如：RADIUS伺服器向用戶發送一個認證請求，客戶端對用戶提供的密碼進行一種hash運算來響應這個請求，並把結果送到RADIUS伺服器；利用用戶資料庫提供的信息，RADIUS伺服器創建自己的響應並與客戶端的響應相比較。一旦伺服器認證了用戶，就進行相反的處理使用戶認證RADIUS伺服器。
相互認證成功完成後，RADIUS伺服器和用戶確定一個WEP密鑰來區分用戶並提供給用戶適當等級的網路接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶載入這個密鑰並在該登錄期內使用。
RADIUS伺服器發送給用戶的WEP密鑰，稱為時期密鑰。
接入點用時期密鑰加密它的廣播密鑰並把加密密鑰發送給用戶，用戶用時期密鑰來解密。
用戶和接入點激活WEP，在這時期剩餘的時間內用時期密鑰和廣播密鑰通信。
認證的全部過程如圖3所示。
4.RADIUS伺服器和站點雙
向認證並且生成WEP密鑰

無線 有線

6. 站 點 和AP 激活 5.RADIUS伺服器
WEP，加密傳輸數據 把密鑰傳給AP

圖3 基於IEEE802.1x的安全傳輸
3.2.2無線區域網的應用環境
（1） 無線區域網的應用方向之一是增加電腦的移動性，讓電腦更符合人性，例如在辦公室內，企業經理們可以像使用室內無繩電話那樣，隨心所欲地使用聯網的筆記本電腦。
（2） 在難於布線的室外環境下，無線區域網可充分發揮其高速率、組網靈活之優點。尤其在公共通信網不發達的狀態下，無線區域網可作為區域網（覆蓋范圍幾十公里）使用。
它的范圍可以延伸到城市建築群間通信；學校校園網路；工礦企業廠區自動化控制與管理網路；銀行、金融證券城區網路；城市交通信息網路；礦山、水利、油田等區域網路；港口、碼頭、江河湖壩區網路；野外勘測、實驗等流動網路；軍事、公安流動網路等領域。
（3） 無線區域網與有線主幹網構成了移動計算網路。
這種網路傳輸速率高、覆蓋面大，是一種可傳輸多媒體信息的個人通信網路。這也是無線區域網的發展方向。
第四章、結束語
無線網路安全技術在21世紀將成為信息網路發展的關鍵技術，21世紀人類步入信息社會後，信息這一社會發展的重要戰略資源需要網路安全技術的有力保障，才能形成社會發展的推動力。在我國信息網路安全技術的研究和產品開發仍處於起步階段，仍有大量的工作需要我們去研究、開發和探索，以走出有中國特色的產學研聯合發展之路，趕上或超過發達國家的水平，以此保證我國信息網路的安全，推動我國國民經濟的高速發展。
雖然我的論文作品不是很成熟，還有很多不足之處，但這次做論文的經歷使我終身受益，我感受到做論文是要真真正正用心去做的一件事情，是真正的自己學習的過程和研究的過程，沒有學習就不可能有研究的能力，沒有自己的研究，就不會有所突破，希望這次的經歷能讓我在以後學習中激勵我繼續進步。
最後，感謝史虹湘老師對我論文的精心指導和無私的幫助，感謝經濟管理幹部學院老師們的辛勤栽培，使我能夠很好的掌握和運用專業知識。

參考文獻：
[1] 網路安全 徐國愛. 北京郵電大學出版社，2006.5
[2] 計算機網路基礎 劉遠生. 清華大學出版社，2004.9
[3] 區域網組建、管理與維護 揚威. 電子工業出版社，2005.7

⑹ 組建網路設計報告

公司小型辦公網路設計

此網路設計盡供參考！

摘要：

本網路有兩個模塊：公司互聯網模塊與園區網模塊：公司互聯網模塊擁有與互聯網的連接，同時也端接VPN與公共服務（DNS、HTTP、FTP、SMTP）信息流。園區模塊包含第2層交換功能與所有的用戶以及管理與內部網伺服器。

互聯網模塊為內部用戶提供了與互聯網的連接並使用戶能夠通過互聯網訪問公共伺服器上的信息，同時還為遠程地點和遠程工作人員提供了VPN訪問能力。這種模塊不適用於電子商務類型的應用。

園區網模塊包含最終用戶工作站、公司內部網伺服器、管理伺服器和支持這些設備所需的相關第2層基礎設施。

關鍵字：

VPN；公共服務（DNS、HTTP、FTP、SMTP）信息流；互聯網；遠程；工作站；伺服器

1 目的要求

至少要有兩個LAN

一個WAN

網間設備之間能互通

註：在報告中要有各種設備的詳細配置命令

2 需求分析

小型辦公網路環境一般是的應用需求是作為辦公用途，所以在組建過程中，一般以辦公應用為主，主要實現的功能就是共享文件、列印機等應用。下面我們就為大家介紹如何構建小型辦公網路環境。

2.1費用因素

這是在組建網路時主要考慮的因素之一。一般情況下，費用因素包括：設備的購買費用、寬頻線路租用費用這兩項。其中需要的設備主要是根據自身需求來選擇的。

2.2 應用需求

這是在集成網路之前就需要考慮到的，用戶構建的網路主要是以辦公需求為主，主要是共享文件、列印機之類的需求，所以建議構建一個10/100M的交換乙太網絡就完全能夠滿足這些需求。

在接入線路方面，一般小型辦公網路環境對於流量的需求並不是很多，一般都是些獲取信息、收發電子郵件等流量比較低的應用，所以選擇目前流行的一些寬頻接入方式就已經完全夠用。

目前適合小型辦公網路使用的寬頻主要有ADSL和乙太網接入，這兩種方式用戶可以根據辦公場所的現有線路環境來進行選擇，如果有乙太網接入方式就可以直接向ISP申請服務，而如果沒有隻能申請ADSL線路接入服務。以下是北京網通這兩項的費用比較，用戶可以根據自己的預算需求來選擇。

2.3 管理和安全性因素

在小型辦公網路環境中，可管理性和安全性因素也必不可少，但相對大型網路來說要簡單的多，所以一般有條件的可以配備一名網管，而如果現有人員有對網路管理方面有經驗則不需要，一般需要的網路管理就是一些常用的升級操作，並不復雜。在安全性方面，一般就是安裝和升級防火牆，定期對網路中的病毒進行查殺的工作。

2.4 組網方法

2.4.1 內部網路：

前面我們提到，小型辦公網路可以使用10/100M的交換乙太網來組建內部網路，在這里我們需要的設備包括網路適配器和交換機這兩種設備。

網路適配器就是一般的網卡，在市場上一般的PCI網卡三十元左右就可以買到,網卡需要每台上網的計算機都必須提供，主要有PCI和PCMCIA兩種，PCI網卡用於台式機當中，而PCMCIA卡則用於筆記本電腦當中，價格相應會貴一些。

交換機設備則需要根據網路中的終端數量來進行選擇，目前市場上適合小型辦公網路使用的交換機有5口、8口、16口和24口幾種，在選擇的過程我們需要根據網路中終端數量的多少來選擇，而且在選擇時還應注意要有冗餘和日後網路升級的考慮。

2.4.2 外部網路

前面我們也提到小型辦公網路可以選擇ADSL或乙太網兩種接入方式。在這里，我們需要講解的是幾種寬頻共享上網方式。一般我們可以用以下幾種方式來共享一條寬頻線路上網：

<1>代理伺服器方式共享上網

這種方式不需要其他的投資，但需要提供一台主機用作代理上網使用，這台機器需要配備兩塊網卡，不需要如寬頻路由器等共享上網設備。缺點是如果這台機器出現故障或關機時，所有的機器都會受到影響而不能正常上網。

<2>寬頻路由器方式共享上網

這種方式需要投資購買寬頻路由器，優點是不需要過多的維護，只要打開寬頻路由器就可以隨時提供共享上網服務，缺點是寬頻路由器有可能會因為性能、病毒等種種因素造成使用網路的不正常。

3 網路規劃

本網路有兩個模塊：公司互聯網模塊與園區網模塊：如圖1。公司互聯網模塊擁有與互聯網的連接，同時也端接VPN與公共服務（DNS、HTTP、FTP、SMTP）信息流。園區模塊包含第2層交換功能與所有的用戶以及管理與內部網伺服器。關於這種設計的討論的前提是小型網路用作企業的頭端。

圖1

3.1 公司互聯網模塊

互聯網模塊為內部用戶提供了與互聯網的連接並使用戶能夠通過互聯網訪問公共伺服器上的信息，同時還為遠程地點和遠程工作人員提供了VPN訪問能力。這種模塊不適用於電子商務類型的應用。

互聯網模塊涉及的關鍵設備有：SMTP伺服器、DNS伺服器、FTP／HTTP伺服器、防火牆或防火牆路由器、第2層交換機（支持專用VLAN）：如圖2。

擁有公共地址的伺服器是最容易被攻擊的。以下是互聯網模塊潛在的威脅：未授權訪問、應用層攻擊、病毒與特洛伊馬攻擊、密碼攻擊、拒絕服務、IP電子欺騙、分組竊聽、網路偵察、信任關系利用、埠重定向。

設計指南——在小型VPN網路設計中，該模塊堪稱為極至。VPN功能被壓縮入一個機箱，但依然執行著路由選擇、NAT、IDS和防火牆功能。在確定如何實施該功能時，提及了兩種主要替代措施。第一是使用帶防火牆和VPN功能的路由器。這種選擇為小型網路帶來了極大的靈活性，因為路由器將支持在當今網路中可能是不可或缺的所有高級服務。作為一種替代措施，可使用帶VPN的專用防火牆來取代路由器。這種設置給部署造成了一些限制。首先，防火牆通常都只是乙太網，要求對相應的WAN協議進行一些轉換。在目前的環境中，大多數有線和DSL路由器/數據機都是由電信服務供應商提供的，可用於連接乙太網防火牆。如果設備要求WAN連接（如電信供應商的DSL電路），那麼，就必須使用路由器。使用專用防火牆不具備輕松配置安全性和VPN服務的優勢，當發揮防火牆功能時，可提供改進性能。無論選用哪種設備，都要考慮一些VPN的因素。請注意，路由器傾向於允許信息流通過，而防火牆的預設設置則傾向於阻止信息流通過。

從ISP的客戶邊緣路由器開始，ISP出口將限制那些超出預定閾值的次要信息流，以便減少DDoS攻擊。同時在ISP路由器的入口處，RFC1918與RFC 2827過濾功能將防止針對本地網路及專用地址的源地址電子欺騙。

在防火牆的入口，RFC1918與RFC2827將首先被用於驗證ISP的過濾功能。此外，由於零散的分組帶來了極大的安全隱患，因此防火牆將丟棄那些在互聯網上不應被視作標准信息流的零散分組。這種過濾有可能導致某些合格信息流被丟棄，但考慮到允許以上不合格的信息流通過所帶來的風險，上述情況是可以接受的。目的地為防火牆的信息流僅限於IPSec信息流和用於路由的任何必要協議。

防火牆為通過防火牆發起的會話提供了連接狀態執行操作以及詳細的過濾。擁有公共地址的伺服器通過在防火牆上使用半開放連接限制能夠防止TCP SYN洪水。從過濾的角度講，除了將公共服務區域的信息流限定到相關地址和埠外，在相反的方向上也在進行過濾。如果某個攻擊涉及到一個公共伺服器（通過規避防火牆和基於主機的IDS），那麼這個伺服器應該不會再進一步攻擊網路。為了緩解這種攻擊，具體的過濾將防止公共伺服器向其他任何地點發出任何未授權請求。例如，應該對Web伺服器進行過濾，以便使其不能自身產生請求，而只能回答來自客戶機的請求。這種設置有助於防止黑客在實施最初的攻擊後將更多的應用下載到被破壞的機器。同時還有助於防止黑客在主攻擊過程中觸發不受歡迎的會話。這種攻擊的例子是從Web伺服器生成一個xterm，再通過防火牆將其傳送到黑客的機器。此外，DMI上的專用VLAN可以防止一個被破壞的公共伺服器攻擊同一區域的其他伺服器。這種信息流甚至不能被防火牆發現，由此可以證明專用VLAN的重要性。
從主機的角度看，公共服務區域內的每個伺服器均擁有主機入侵檢測軟體，用於監控OS級的任何不良活動以及普通伺服器應用的活動（HTTP、FTP、SMTP等）。DNS主機應該只響應必要的命令，同時消除任何可能有助於黑客的網路偵察攻擊的不必要響應。這包括防止從任何地點進行zone傳輸（合格的二級DNS伺服器除外）。在郵件服務方面，防火牆在第7層過濾SMTP信息，以便只允許必要的命令到達郵件伺服器。

防火牆與防火牆路由器的安全功能中通常包括一些有限的NIDS功能。這種功能會影響設備的性能，但在您遭受攻擊的情況下卻能提供一些關於攻擊的信息。您是犧牲部分性能換取了攻擊透明度。如果不使用IDS，許多攻擊將被放棄，但監控站不會知道發生了什麼具體攻擊。VPN連通性是通過防火牆或防火牆／路由器實現的。遠程地點用預共享的密鑰進行彼此驗證，遠程用戶則通過園區模塊中的訪問控制伺服器得到驗證。

與上述設計不同的設計將是為了提高網路容量或將各種不同的安全功能分配給不同的設備。這樣這種設計就越來越象本文後面要討論的中型網路設計。在完全採用中型網路設計之前可以先添加專用的遠程訪問VPN集中器，以提高遠程用戶群的可管理性。

圖2

3.2 園區網模塊

園區網模塊包含最終用戶工作站、公司內部網伺服器、管理伺服器和支持這些設備所需的相關第2層基礎設施：如圖3。在小型網路設計中，這種第2層功能已被並入單個交換機中。

設計指南——園區交換機的主要功能是交換生產與管理信息流並為公司和管理伺服器以及用戶提供連接。在交換機內部可以實施VLAN，以減少設備間的信任關系利用攻擊。例如，公司用戶可能需要與公司伺服器通信但彼此之間可能沒有必要通信。
由於園區模塊中沒有第3層服務，因此必須注意，由於內部網路的開放性，這種設計越來越注重應用和主機的安全性。因此，園區中的關鍵系統上也安裝了HIDS，包括公司伺服器與管理系統。

在管理站與網路其餘部分之間設置一個小型過濾路由器或防火牆能夠提高總體安全性。這種設置將使管理流量只沿著管理員認為必要的方向傳輸。如果機構內部的信任水平高，那麼可以取消HIDS（盡管我們不建議這樣做）。

圖3

3.3 分支機構與獨立式配置

在分支機構中不要求配備遠程訪問VPN功能，因為公司總部通常會提供這種功能。此外，管理主機一般位於中央地點，這種設置要求管理信息流穿過地點到地點VPN連接回到公司總部。

4 網路實現

4.1 應用BOSSON軟體畫出公司小型辦公網路拓補圖

網路拓補圖

4.2 配置路由器

相關程序如下：

配置路由器基本參數

通過 Boson NetSim 中的工具欄按鈕「 eRouters」選擇「 R1」並按照下面的 過程進行路由器基本參數的配置

Router>enable

Router#conf t

Router(config)#host ISP

ISP (config)#ena se c1

ISP (config)#line vty 0 4

ISP (config-line)#pass c2

ISP (config-line)#int eth 0

ISP (config-if)#ip add 192.168.1.1 255.255.255.0

ISP (config-if)#no shut

ISP (config-if)#int se 0

ISP (config-if)#ip add 10.0.0.1 255.0.0.0

ISP (config-if)#clock rate 64000

ISP (config-if)#no shut

ISP (config-if)#end

ISP # run start

通過 Boson NetSim 中的工具欄按鈕「 eRouters」選擇「 R2」並按照下面的 過程進行路由器基本參數的配置：

Router>enable

Router#conf t

Router(config)#host R2

R2(config)#ena se c1

R2(config)#line vty 0 4

R2(config-line)#pass c2

R2(config-line)#int eth 0

R2(config-if)#ip add 192.168.2.1 255.255.255.0

R2(config-if)#no shut

R2(config-if)#int se 0

R2(config-if)#ip add 10.0.0.2 255.0.0.0

R2(config-if)#no shut

R2(config-if)#end

R2# run start

配置、測試靜態路由選擇路由器 R1 並配置相關的靜態路由信息，如下所示：

ISP #conf t

ISP (config)#ip route 192.168.2.0 255.255.255.0 10.0.0.2

ISP (config)#end

ISP # run start

選擇路由器 R2 並配置相關的靜態路由信息，如下所示：

R2#conf t

R2(config)#ip route 192.168.1.0 255.255.255.0 10.0.0.1

R2(config)#end

R2# run start

選擇路由器 R1 並按照下面的步驟測試靜態路由配置結果：

ISP #show ip route

選擇路由器 R2 並按照下面的步驟測試靜態路由配置結果：

R2#show ip route

4.3 配置交換機

相關程序如下：

Switch>enable

Switch#conf t

Switch(config)#host SW1

SW1(config)#ena se c1

SW1(config)#line vty 0 15

SW1(config-line)#pass c2

SW1(config-line)#int fe 0/1

SW1(config-if)#switchport mode access

SW1(config-if)#int fe 0/2

SW1(config-if)#switchport mode access

SW1(config-if)#int vlan 1

SW1(config-if)#ip add 192.168.0.1 255.255.255.0

SW1(config-if)#no shut

SW1(config-if)#end

SW1# run start

通過 Boson NetSim 中的工具欄按鈕 「 eSwitches」選 擇「 SW2」 並 按照下面 的過程進行交換機基本參數的配置：

Switch>enable

Switch#conf t

Switch(config)#host SW2

SW2(config)#ena se c1

SW2(config)#line vty 0 15

SW2(config-line)#pass c2

SW2(config-line)#int fe 0/1

SW2(config-if)#switchport mode access

SW2(config-if)#int fe 0/2

SW2(config-if)#switchport mode access

SW2(config-if)#int vlan 1

SW2(config-if)#ip add 192.168.0.2 255.255.255.0

SW2(config-if)#no shut

SW2(config-if)#end

SW2# run start

通過 Boson NetSim 中的工具欄按鈕「 eStations」選 擇「 Host 1」並按照下面 的步驟配置 Host 1 的相關參數

4.4 給相應網路PC配置IP地址

通過 Boson NetSim 中的工具欄按鈕「 eStations」選 擇「 Host 1」並按照下面 的步驟配置 Host 1 的相關參數：

鍵入「回車鍵」繼續。

在 Host 1 的命令提示符下鍵入 ipconfig /ip 192.168.0.11 為 Host 1 設置 IP 地址、子網掩 碼。

在 Host 2 的命令提示符下鍵入 ipconfig /ip 192.168.0.22 為 Host 2 設置 IP 地址、子網掩 碼。

在 Host 3 的命令提示符下鍵入 ipconfig /ip 192.168.0.33 為 Host 3 設置 IP 地址、子網掩 碼。

在 Host 4 的命令提示符下鍵入 ipconfig /ip 192.168.0.44 為 Host 4 設置 IP 地址、子網掩 碼。

4.5 檢測網路暢通性

在 Host 1 的命令提示符下鍵入 ping 192.168.0.1 測試到交換機 SW1 的管理 IP 的連通性。

在 Host 1 的命令提示符下鍵入 ping 192.168.0.2 測試到交換機 SW2 的管理 IP 的連通性。

在 Host 1 的命令提示符下鍵入 ping 192.168.0.22 測試到 PC 機 Host 2 的連通性。

在 Host 1 的命令提示符下鍵入 ping 192.168.0.33 測試到 PC 機 Host 3 的連通性。 在 Host 1 的命令提示符下鍵入 ping 192.168.0.44 測試到 PC 機 Host 4 的連通性。

5 結論

小型辦公網路環境一般是的應用需求是作為辦公用途，所以在組建過程中，一般以辦公應用為主，主要實現的功能就是共享文件、列印機等應用。

6 心得體會

通過本次計算機網路課程設計，我更加充分的理解了課本上的知識，並能夠加以擴展，從而應用於實踐當中，在BOSON軟體中虛擬實現一個小型辦公網路，畫出網路簡單模塊拓補圖，對其內部器件進行相應的正確配置。達到網路暢通、功能齊全、安全可靠的目的，並符合公司對網路的要求水平。

通過本網路的設計，我基本掌握了路由器、交換機、網路適配器以及SMTP伺服器、DNS伺服器、FTP／HTTP伺服器的用途及配置維護方法，了解了防火牆對網路的重要性，從而對我的網路知識有了更深一步的加深與延拓，是今後學習和工作中的一次寶貴經驗。

7 參考文獻：

[1]《計算機網路》（第四版） 謝希仁編 大連理工大學出版社 2004-2

[2] Cisco Networking Academy Program《思科網路技術學院教程網路安全基礎》

人民郵電出版社 2005年4月

[3] Cisco Networking Academy Program

《思科網路技術學院教程CCNP1高級路由（第二版）》

人民郵電出版社 2005年3月

[4] Cisco Networking Academy Program

《思科網路技術學院教程CCNP 2遠程接入（第二版）》

人民郵電出版社 2005年2月

[5]圓網—無線區域網安全技術

⑺ 無線網路安全的概論

隨著WLAN在中國乃至全世界的逐漸流行，再加上WLAN天生便是一種不安全的網路，所以安全意識必須加強，本書便是基於這個前提而編著的。本書的核心在於「戰爭駕駛」（War Drive）。由於WLAN是一種發散型的網路，所以你建立的無線網路可能在不知不覺之間被偶然路過的黑客盯上。因此，無論安全審計人員還是黑客，都必須藉助「戰爭駕駛」這一方式，攜帶一套專用的軟硬體工具，對身邊的無線網路進行檢測，並盡量找出它的漏洞。作者憑借他們在無線安全行業的豐富經驗，在本書中透徹講述了WLAN的基本安全機制、存在的安全風險、黑客的攻擊方式以及安全審計人員和網管應該如何最有效地保護自己的WLAN。
全書信息豐富、行文朴實、簡單易懂，是網管和安全行業的專業人士不可多得的參考書。

⑻ 如何構建一個安全無線網路

無線安全性的設置也有許多要注意的，首先你應該設置無線密碼，因為在你的電腦連接過程中，其他人的電腦也能搜索到你的無線路由器，如果你有了密碼，一般情況下別人是連接不上的。

進入路由器設置的密碼也必須設定，因為即使你設置了無線密碼，如果有人進入了你的路由設置頁面，密碼也一覽無余。

⑼ 無線網路安全防護措施有哪些

針對網路安全中的各種問題，我們應該怎樣去解決，這里就告訴我們一個真理，要從安全方面入手，這才是解決問題的關鍵。公司無線網路的一個突出的問題是安全性。隨著越來越多的企業部署無線網路，從而將雇員、專業的合夥人、一般公眾連接到公司的系統和互聯網。人們對增強無線網路安全的需要變得日益迫切。幸運的是，隨著越來越多的公司也越來越清楚無線網路面臨的威脅和對付這些威脅的方法，有線網路和無線網路面臨的威脅差距越來越小。 無線網路威脅 無線網路安全並不是一個獨立的問題，企業需要認識到應該在幾條戰線上對付攻擊者，但有許多威脅是無線網路所獨有的，這包括： 1、插入攻擊：插入攻擊以部署非授權的設備或創建新的無線網路為基礎，這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置，要求客戶端接入時輸入口令。如果沒有口令，入侵者就可以通過啟用一個無線客戶端與接入點通信，從而連接到內部網路。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。 2、漫遊攻擊者：攻擊者沒有必要在物理上位於企業建築物內部，他們可以使用網路掃描器，如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網路，這種活動稱為“wardriving ” ; 走在大街上或通過企業網站執行同樣的任務，這稱為“warwalking”。 3、欺詐性接入點：所謂欺詐性接入點是指在未獲得無線網路所有者的許可或知曉的情況下，就設置或存在的接入點。一些雇員有時安裝欺詐性接入點，其目的是為了避開公司已安裝的安全手段，創建隱蔽的無線網路。這種秘密網路雖然基本上無害，但它卻可以構造出一個無保護措施的網路，並進而充當了入侵者進入企業網路的開放門戶。 當然，還有其它一些威脅，如客戶端對客戶端的攻擊(包括拒絕服務攻擊)、干擾、對加密系統的攻擊、錯誤的配置等，這都屬於可給無線網路帶來風險的因素。 實現無線網路安全的三大途徑和六大方法 關於封閉網路，如一些家用網路和單位的網路，最常見的方法是在網路接入中配置接入限制。這種限制可包括加密和對MAC地址的檢查。 正因為無線網路為攻擊者提供了許多進入並危害企業網路的機會，所以也就有許多安全工具和技術可以幫助企業保護其網路的安全性： 具體來說，有如下幾種保護方法： 1、防火牆:一個強健的防火牆 可以有效地阻止入侵者通過無線設備進入企業網路的企圖。 2、安全標准：最早的安全標准WEP已經被證明是極端不安全的，並易於受到安全攻擊。而更新的規范，如WPA、WPA2及IEEE802.11i是更加強健的安全工具。採用無線網路的企業應當充分利用這兩種技術中的某一種。 3、加密和身份驗證：WPA、WPA2及IEEE802.11i支持內置的高級加密和身份驗證技術。WPA2和802.11i都提供了對AES(高級加密標准)的支持，這項規范已為許多政府機構所採用。 4、漏洞掃描：許多攻擊者利用網路掃描器不斷地發送探查鄰近接入點的消息，如探查其SSID、MAC等信息。而企業可以利用同樣的方法來找出其無線網路中可被攻擊者利用的漏洞，如可以找出一些不安全的接入點等。 5、降低功率：一些無線路由器 和接入點准許用戶降低發射器的功率，從而減少設備的覆蓋范圍。這是一個限制非法用戶訪問的實用方法。同時，仔細地調整天線的位置也可有助於防止信號落於賊手。 6、教育用戶：企業要教育雇員正確使用無線設備，要求雇員報告其檢測到或發現的任何不正常或可疑的活動。

⑽ 無線網路的安全風險有哪些

無線網路的安全風險有無線網路安全並不是一個獨立的問題，企業需要認識到應該在幾條戰線上對付攻擊者，但有許多威脅是無線網路所獨有的，下面是學習啦小編整理的一些關於無線網路存在的威脅的相關資料，供你參考。

企業無線網路所面臨的安全威脅
1、插入攻擊
插入攻擊以部署非授權的設備或創建新的無線網路為基礎，這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置，要求客戶端接入時輸入口令。如果沒有口令，入侵者就可以通過啟用一個無線客戶端與接入點通信，從而連接到內部網路。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。
2、漫遊攻擊者
攻擊者沒有必要在物理上位於企業建築物內部，他們可以使用網路掃描器，如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網路，這種活動稱為「wardriving
」 ; 走在大街上或通過企業網站執行同樣的任務，這稱為「warwalking」。
3、欺詐性接入點
所謂欺詐性接入點是指在未獲得無線網路所有者的許可或知曉的情況下，就設置或存在的接入點。一些雇員有時安裝欺詐性接入點，其目的是為了避開公司已安裝的安全手段，創建隱蔽的無線網路。這種秘密網路雖然基本上無害，但它卻可以構造出一個無保護措施的網路，並進而充當了入侵者進入企業網路的開放門戶。哪些?