企業無線網路強化措施

『壹』 無線網路安全防護措施有哪些

針對網路安全中的各種問題，我們應該怎樣去解決，這里就告訴我們一個真理，要從安全方面入手，這才是解決問題的關鍵。公司無線網路的一個突出的問題是安全性。隨著越來越多的企業部署無線網路，從而將雇員、專業的合夥人、一般公眾連接到公司的系統和互聯網。人們對增強無線網路安全的需要變得日益迫切。幸運的是，隨著越來越多的公司也越來越清楚無線網路面臨的威脅和對付這些威脅的方法，有線網路和無線網路面臨的威脅差距越來越小。 無線網路威脅 無線網路安全並不是一個獨立的問題，企業需要認識到應該在幾條戰線上對付攻擊者，但有許多威脅是無線網路所獨有的，這包括： 1、插入攻擊：插入攻擊以部署非授權的設備或創建新的無線網路為基礎，這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置，要求客戶端接入時輸入口令。如果沒有口令，入侵者就可以通過啟用一個無線客戶端與接入點通信，從而連接到內部網路。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。 2、漫遊攻擊者：攻擊者沒有必要在物理上位於企業建築物內部，他們可以使用網路掃描器，如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網路，這種活動稱為“wardriving ” ; 走在大街上或通過企業網站執行同樣的任務，這稱為“warwalking”。 3、欺詐性接入點：所謂欺詐性接入點是指在未獲得無線網路所有者的許可或知曉的情況下，就設置或存在的接入點。一些雇員有時安裝欺詐性接入點，其目的是為了避開公司已安裝的安全手段，創建隱蔽的無線網路。這種秘密網路雖然基本上無害，但它卻可以構造出一個無保護措施的網路，並進而充當了入侵者進入企業網路的開放門戶。 當然，還有其它一些威脅，如客戶端對客戶端的攻擊(包括拒絕服務攻擊)、干擾、對加密系統的攻擊、錯誤的配置等，這都屬於可給無線網路帶來風險的因素。 實現無線網路安全的三大途徑和六大方法 關於封閉網路，如一些家用網路和單位的網路，最常見的方法是在網路接入中配置接入限制。這種限制可包括加密和對MAC地址的檢查。 正因為無線網路為攻擊者提供了許多進入並危害企業網路的機會，所以也就有許多安全工具和技術可以幫助企業保護其網路的安全性： 具體來說，有如下幾種保護方法： 1、防火牆:一個強健的防火牆 可以有效地阻止入侵者通過無線設備進入企業網路的企圖。 2、安全標准：最早的安全標准WEP已經被證明是極端不安全的，並易於受到安全攻擊。而更新的規范，如WPA、WPA2及IEEE802.11i是更加強健的安全工具。採用無線網路的企業應當充分利用這兩種技術中的某一種。 3、加密和身份驗證：WPA、WPA2及IEEE802.11i支持內置的高級加密和身份驗證技術。WPA2和802.11i都提供了對AES(高級加密標准)的支持，這項規范已為許多政府機構所採用。 4、漏洞掃描：許多攻擊者利用網路掃描器不斷地發送探查鄰近接入點的消息，如探查其SSID、MAC等信息。而企業可以利用同樣的方法來找出其無線網路中可被攻擊者利用的漏洞，如可以找出一些不安全的接入點等。 5、降低功率：一些無線路由器 和接入點准許用戶降低發射器的功率，從而減少設備的覆蓋范圍。這是一個限制非法用戶訪問的實用方法。同時，仔細地調整天線的位置也可有助於防止信號落於賊手。 6、教育用戶：企業要教育雇員正確使用無線設備，要求雇員報告其檢測到或發現的任何不正常或可疑的活動。

『貳』 如何增強無線網信號

一、減少頻段干擾

在我們發布無線網路時都會選擇一個頻段，理論上講同一個頻段內無線網路過多會嚴重影響信號的強弱，也就是說如果你家採用的無線信號頻段與其他家的無線信號發射頻段一樣的話，那麼在一定程度上兩家的無線網路都會受到影響。所以說當網路不穩定時通過無線路由器更換一個信號發射頻段是一個不錯的辦法。

很多用戶在購買無線路由器使用後，並未對無線信號頻道能進行修改，這樣大家使用的都是路由器默認配置時的信道，這樣就很容易發生信道的干擾。如果附近有鄰居使用的信道跟我們的一樣，那麼，我們雙方的無線信號都會受到影響。另外大家要注意的是，一個頻道的信號會同時干擾與其相鄰的兩個頻道，即頻道 6的信號會影響到頻道5和頻道7，所以我們在設置無線信道的時候，應該盡量使用Network Stumbler這類軟體，讓自己的信道離其他信號頻道兩個以上。

二、減小射頻干擾

如果你的網路帶寬中噪音強度超過了-85dBm，那麼射頻干擾就存在著損害網路性能的可能。在這種情況下，用戶的重試率將超過10%,這時用戶會感到網路速度受到了影響。例如，在無線用戶位於一個與正在運轉的微波爐同樣的房間時，就會發生這種情況。如果你斷定問題是由於射頻干擾引起的，就得找到這種干擾來自哪裡，並設法去掉這種干擾。如果僅僅在微波爐或無線電話運行時有這種症狀，你就得試著將AP接入點放到不同的信道。如果你還是無法將射頻干擾減少到一個可以令人接受的水平，就可以試著在受影響的區域增加射頻信號的強度。例如，你可以增加發射功率，就可以用更強的單元代替原有的天線，或者是將接入點靠得更接近一些。這此方法會增加信噪比，從而改善性能。

三、合理擺放路由位置

由於無線信號在穿越障礙物後，尤其是在穿越金屬後，信號會大幅衰減。而在我們家庭的房子里，有很多鋼筋混凝土牆，所以為了增強無線網路信號，我們在擺放無線路由器的時候，應該使信號盡量少穿越牆壁。我們一般很少會在廚房或餐廳里上網，而書房和卧室是我們平時經常上網的地方，所以我們在選擇無線路由器的擺放位置的時候，可以選擇離廚房和餐廳遠一些地方，而盡量靠近書房和卧室。

書房外牆處是擺放無線路由器的理想位置，這樣擺放能夠使客廳，書房，主卧，次卧都有一個比較好無線信號。當然，不同家庭結構都不一樣，大家應該視具體情況而定。一般來說，無線網卡的客戶端都具備信號強度的檢測能力，大家拿筆記本在房間各處查看信號強度，從而選擇一個最佳的擺放點。

四、擴展天線增強信號

由於天線增益的大小直接影響到信號的發射強度和接收能力，而市場上有些路由器的天線採用的是可拆卸設計，所以給無線路由器更換一個高增益的天線是增強信號最直接的方法。增益天線市場上有很多，價格也便宜。不過一點值得注意的是，在購買的時候應該詢問清楚是否是全向天線，否則使用定向天線只能向一個方向傳輸無線信號。

另外我們也可以對無線網卡的天線進行擴展，不過無線網卡的天線一般不可拆卸，更換起來也比較麻煩。其實生活中的很多小物品，都可以起到增強無線網路信號的作用。網路上也有很多DIY無線網路增益天線的方法，如使用奶粉罐，蚊香盤，漏勺等，有興趣的網友不妨一試。

五、拒絕DHCP數據包

有經驗的用戶都知道DHCP服務可以幫助我們自動分配網路中計算機的IP地址，但是在實際使用中DHCP會造成網路的不穩定，例如租約到了再次獲得IP卻發現網路中其他計算機已經在使用該IP地址，或者計算機與無線路由器之間頻繁協商DHCP信息。

實際上這些DHCP數據包完全可以不要，對於一般家庭用戶來說，網路中的計算機數量並不多，我們完全可以通過手動設置IP地址等網路參數的方法來減少DHCP數據包。 曾經有朋友告訴我說原來他家裡的無線網路很不穩定，後來不用DHCP直接指定IP就再也沒掉過線。

六、降速提高穩定性

首先讓大家看看這個例子，我跟鄰居組成了一個無線網路，他的是D-Link的無線路由器，我這邊是netcom無線網橋，最近頻繁斷線，連接的時候速度也很慢。經檢查發現不知道什麼時候多出一台Linksys的設備(Linksys的信號很強勁)佔用了channel6，只要他一開機就影響我們的連接質量，原來ping的丟包率從1%狂升到50%。之後將發射信號頻段調整到channel1，誰知道發現兩台channel1的設備在附近，再轉 channel11竟然有5台無線。如何解決呢?

上面這個例子是筆者自己遇到過的，可見現在無線網路非常普及，由於同頻段無線網路會相互干擾所以13個頻段已經不夠大家用了，怎麼解決這個問題呢?一般無線路由器都會有自動選擇頻段的功能，如果沒有那麼完全可以把你的無線設備工作模式從802.11g變為802.11b。雖然速度上降低了，但是卻帶來了穩定性方面的好處，所以在一定程度上降低傳輸速度可以讓我們的無線網路更加穩定。

七、限制用戶數量

活躍的無線網路用戶太多，或者在用戶們正在操作一些佔用帶寬過多的應用，都會影響無線網路信息的穩定性。可通過較低的功率將接入點AP放在更靠近的位置，從而創建更小的的射頻蜂窩。這種「微型蜂窩」方法可以減少每個接入點中的用戶數量，從而使每個用戶獲得更多的容量。

應對網路利用率過高的另外一種方法是將一些應用程序移動到一個不同的頻帶中去。例如，你可以考慮讓Wi-Fi電話使用5GHz 的802.11a網路，而讓數據應用運行在2.4GHz 的802.11b/g.網路。

八、消除覆蓋盲點

在安裝了無線網之後，調整射頻信號傳播的設施內有可能發生一些變化。例如，公司有可能要建一面牆，這會極大地減弱信號。更糟糕的是，在安裝網路之前，可能並沒有對射頻位置進行調查。這些情況都會導致設施的某些區域擁有有限的甚至沒有射頻信號的存在，這會極大地降低性能並中斷無線應用的運行。

有哪些方面表明覆蓋范圍有漏洞呢?這包括過低的信號強度(低於-75dBm)、太高的重試率(高於10%)，但與噪音強度無關。這種情況下，信號強度太低，所以無線卡的接收器在獲得數據時相當困難，進而導致重傳、吞吐量過低等。例如，當一個用戶在信號強度過低的地方操作時，他會感到吞吐量下降達 75% 之多。

要應對覆蓋范圍的漏洞問題，用戶需要改善受影響區域的信號強度。不妨試著增加發送功率，用更強的新天線替換舊天線，或者將AP更好地覆蓋整個區域。為了使將來的無線網盡量少出現覆蓋范圍漏洞問題，我建議你經常進行射頻現場的調查和測量，如每隔幾個月就來上一次。

九、優化接入點

網路性能太差的根本原因有可能在於某個AP接入點發生故障。你可以檢查接入點，看看天線有沒有斷掉，狀態燈是不是指明出錯了，電源功率夠不夠等等。可以試著重啟AP，這個辦法通常會解決固件的死鎖問題。要保持固件的最新，這樣做的目的是使未來的死鎖更少一些。

『叄』 如何提高WIFI無線網路的信號強度和傳輸質量

一、調整無線路由器的最佳擺放位置

如果房屋空間不夠開闊，有隔斷、牆壁等障礙物，會導致無線信號穿透時衰減太大，覆蓋范圍大大縮小。部分用戶將路由器放在弱電箱、壁櫥或嵌入牆體里，天線無法展開，四周面板也會屏蔽無線信號，導致信號質量較差。

建議選擇一個最佳的擺放位置，可以參考以下要求：

1、盡量選擇房屋結構的中央位置，使終端在各個位置接收信號時穿過最少的牆面。如下圖：

五、更換高增益天線

如果無線路由器的天線是可拆卸的，可根據需要更換高增益的天線。

如果房屋面積過大或是復式結構，單台無線路由器不可避免的有覆蓋盲點，可以使用無線擴展器，中繼放大信號，或者AC+AP方式擴大無線覆蓋范圍。

『肆』 目前辦公室的無線網路很差，怎樣可以保證無線網路的穩定

優化網路體驗 注重細節
1、改良信號接收效果
由於無線應用環境的復雜，有些時候在障礙物和干擾的情況下，無線網路信號會受到嚴重的損失，導致不能穩定地連接。這時可以考慮選擇一個多天線的路由設備，以便更好的將信號覆蓋於整個家庭環境中。
如果不想更換無線路由器，可以通過更換設備的天線，或者在信號損失嚴重的區域，增設一個無線中繼器的來加強無線信號的傳遞以便擁有更好的無線體驗。
2、改變無線網路頻道
我們使用的無線路由器需要工作在一個固定的頻道，由於頻道數有限，大多數路由器默認的工作頻道將在同一頻道上，可能相互帶來干擾。
如果覺得在使用無線網路時，信號強度差的話，可以改變其默認工作頻道以便得到更好服務。
3、賦予無線路由最佳工作環境
無線路由器最大的優勢，就是讓用戶在所處環境中的任意位置都能通過無線信號連接互聯網。可是並不是將路由設備放置在任意的位置都能讓它發揮最佳工作狀態，這樣，我們就需對路由器的位置進行調整。
通常，在使用無線路由器時，應該選擇一個居於使用區域中心點附近的位置來擺放設備，避免陽光直射，保證設備通風散熱，讓無線路由居於開放的大環境中更加有利於其穩定良好的工作。
第2頁：應用安全保護 遠離網路威脅
應用安全保護 遠離網路威脅
4、使用最新的加密方式
相信大家對「蹭網」一詞並不陌生，可是一些網路新手不了解它的重要性。在不加密的無線網路中，用戶個人信息可能泄露，網路資源會被侵佔，無線體驗也被干擾，因此只有通過正確的無線加密才能保證網路安全，最大程度上保護自己的網路權益。
現在，無線路由器中都自帶了WEP、WAP等多種加密方式，而其中，WPA2是目前被業界認為最安全的加密方式，建議用戶採用。但是在使用之前，還需要檢查無線網卡和其它設備是不是也能夠支持此加密方式，因為一些老款無線設備可能不具有該方式，這時，建議用戶更換一款較新的無線路由，價格可關注我們的促銷行情。
5、僅限特定電腦訪問
如果考慮到損耗無線傳輸速率，用戶不願意使用加密來保護無線網路安全，通過設置MAC地址過濾算得上是不錯的方法。
缺點是當有新計算機需要使用網路時，必須手動添加其MAC地址以便能夠順利連接。
6、應用各種安全過濾
除了較好的MAC過濾功能，在安全方面，建議防火牆過濾、入侵檢測等防範措施盡量應用。將網路安全細節處理得一絲不苟，才能有效保障用戶在連接互聯網的時候能毫無顧慮，有效的拒絕安全威脅。
應用各種安全過濾
7、禁用SSID廣播
作為用戶搜索無線網路信號時標明身份的標識符，SSID是最為簡單的識別標志。一般設備默認將使用品牌名加上型號來作為SSID。
禁用SSID廣播
在使用之處，首先將自己的SSID更改為一個與環境中其他無線信號不通的名稱，之後關閉SSID廣播，以便讓自己的無線網路不顯示在他人的搜索名單中，當然，這僅僅是一個小技巧，並不說明能夠完全阻止黑客入侵。
當然，高級用戶還可以使用VPN這類手段來更好的保障網路安全。
第3頁：掌握技巧 創造完美體驗
掌握技巧 創造完美體驗
8、熟悉路由器基本細節
作為用戶使用最多的上網設備，路由器的設置基本上全部都可以通過Web界面搞定。而最常見的登陸地址便是192.168.1.1，而默認賬號admin，，密碼為admin、空、password三者較為常見。
9、檢查你的連接
在網路連接時，估計沒有什麼比「無法連接遠程機器」此類結果更讓人沮喪。為了確保網路中設備間的正常連接，通過ping命令來檢查網路是否連通順暢也是個不錯的方法喲。
在計算機中，打開命令窗口，鍵入ping 192.168.1.*(所查電腦IP地址)來檢查連接。此法應用於Windows、Mac和Linux系統中。
10、埠轉發
許多服務或應用程序，如文件共享軟體、FTP伺服器、音樂流媒體伺服器等需要特定埠連接，用戶最好將計算機指定特定埠來傳入流量，以免造成傳輸上的問題。
埠轉發
11、注意DNS提供商
DNS，是Domain Name System的縮寫，即域名解析系統。它可讓用戶能夠順利通過IP訪問網路。如果沒有找到指定IP，或由於連接數太多，翻譯繁忙時，用戶上網就會造成困擾。
國外用戶目前可以隨用戶選擇DNS伺服器，如谷歌的OpenDNS等。
12、保持固件升級
路由器設備的硬體雖然已經確定，不能通過更換某部分來進行升級，但其固件通過更新卻能讓設備工作更加高效。通過刷新版本固件，讓路由器各部分使用更加合理，或者添加額外功能。
路由器的固件就想是PC的操作系統，固件的升級不但帶來了全新功能或讓其工作更加高效，還能給漏洞打好補丁，降低威脅。
13、USB無線網卡
作為筆記本來說，無線網卡是不需要擔心的，但是如果想讓台式機也擺脫網線的煩惱，那麼一款USB無線網卡的選擇就顯得非常必要了。
隨著11n標準的出爐，符合新標準的無線網卡層出不窮，相信選擇一款合適的產品不會太費力。

『伍』 無線區域網中的安全措施

摘要：由於在現在區域網建網的地域越來越復雜，很多地方應用了無線技術來建設區域網，但是由於 無線網路 應用電磁波作為傳輸媒介，因此安全問題就顯得尤為突出。本文通過對危害無線區域網的一些因素的敘述，給出了一些應對的安全 措施 ，以保證無線區域網能夠安全，正常的運行。

關鍵字：WLAN，WEP，SSID，DHCP，安全措施

1、 引言

WLAN是Wireless LAN的簡稱，即無線區域網。所謂無線網路，顧名思義就是利用無線電波作為傳輸媒介而構成的信息網路，由於WLAN產品不需要鋪設通信電纜，可以靈活機動地應付各種網路環境的設置變化。WIAN技術為用戶提供更好的移動性、靈活性和擴展性，在難以重新布線的區域提供快速而經濟有效的區域網接入，無線網橋可用於為遠程站點和用戶提供區域網接入。但是，當用戶對WLAN的期望日益升高時，其安全問題隨著應用的深入表露無遺，並成為制約WLAN發展的主要瓶頸。[1]

2、 威脅無線區域網的因素

首先應該被考慮的問題是，由於WLAN是以無線電波作為上網的傳輸媒介，因此無線網路存在著難以限制網路資源的物理訪問，無線網路信號可以傳播到預期的方位以外的地域，具體情況要根據建築材料和環境而定，這樣就使得在網路覆蓋范圍內都成為了WLAN的接入點，給入侵者有機可乘，可以在預期范圍以外的地方訪問WLAN，竊聽網路中的數據，有機會入侵WLAN應用各種攻擊手段對無線網路進行攻擊，當然是在入侵者擁有了網路訪問權以後。

其次，由於WLAN還是符合所有網路協議的計算機網路，所以計算機病毒一類的網路威脅因素同樣也威脅著所有WLAN內的計算機，甚至會產生比普通網路更加嚴重的後果。

因此，WLAN中存在的安全威脅因素主要是：竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等。

IEEE 802.1x認證協議發明者VipinJain接受媒體采訪時表示：「談到無線網路，企業的IT經理人最擔心兩件事：首先，市面上的標准與安全解決方案太多，使得用戶無所適從；第二，如何避免網路遭到入侵或攻擊？無線媒體是一個共享的媒介，不會受限於建築物實體界線，因此有人要入侵網路可以說十分容易。」[1]因此WLAN的安全措施還是任重而道遠。

3、無線區域網的安全措施

3.1採用無線加密協議防止未授權用戶

保護無線網路安全的最基本手段是加密，通過簡單的設置AP和無線網卡等設備，就可以啟用WEP加密。無線加密協議(WEP)是對無線網路上的流量進行加密的一種標准 方法 。許多無線設備商為了方便安裝產品，交付設備時關閉了WEP功能。但一旦採用這種做法，黑客就能利用無線嗅探器直接讀取數據。建議經常對WEP密鑰進行更換，有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外一個必須注意問題就是用於標識每個無線網路的服務者身份(SSID)，在部署無線網路的時候一定要將出廠時的預設SSID更換為自定義的SSID。現在的AP大部分都支持屏蔽SSID廣播，除非有特殊理由，否則應該禁用SSID廣播，這樣可以減少無線網路被發現的可能。[2]

但是目前IEEE 802.11標准中的WEP安全解決方案，在15分鍾內就可被攻破，已被廣泛證實不安全。所以如果採用支持128位的WEP，解除128位的WEP的是相當困難的，同時也要定期的更改WEP，保證無線區域網的安全。如果設備提供了動態WEP功能，最好應用動態WEP，值得我們慶幸的，Windows XP本身就提供了這種支持，您可以選中WEP選項「自動為我提供這個密鑰」。同時，應該使用IPSec，，SSH或其他

WEP的替代方法。不要僅使用WEP來保護數據。

3.2 改變服務集標識符並且禁止SSID廣播

SSID是無線接人的身份標識符，用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設備製造商設置的，並且每個廠商都用自己的預設值。例如，3COM 的設備都用「101」。因此，知道這些標識符的黑客可以很容易不經過授權就享受你的無線服務。你需要給你的每個無線接入點設置一個唯一並且難以推測的 SSID。如果可能的話。還應該禁止你的SSID向外廣播。這樣，你的無線網路就不能夠通過廣播的方式來吸納更多用戶．當然這並不是說你的網路不可用．只是它不會出現在可使用網路的名單中。[3]

3.3 靜態IP與MAC地址綁定

無線路由器或AP在分配IP地址時，通常是默認使用DHCP即動態IP地址分配，這對無線網路來說是有安全隱患的，「不法」分子只要找到了無線網路，很容易就可以通過DHCP而得到一個合法的IP地址，由此就進入了區域網絡中。因此，建議關閉DHCP服務，為家裡的每台電腦分配固定的靜態IP地址，然後再把這個IP地址與該電腦網卡的MAC地址進行綁定，這樣就能大大提升網路的安全性。「不法」分子不易得到合法的IP地址，即使得到了，因為還要驗證綁定的MAC地址，相當於兩重關卡。[4]設置方法如下：

首先，在無線路由器或AP的設置中關閉「DHCP伺服器」。然後激活「固定DHCP」功能，把各電腦的「名稱」(即Windows系統屬陸里的「計算機描述」)，以後要固定使用的IP地址，其網卡的MAC地址都如實填寫好，最後點「執行」就可以了。

3.4 技術在無線網路中的應用

對於高安全要求或大型的無線網路，方案是一個更好的選擇。因為在大型無線網路中維護工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務。

對於無線商用網路，基於的解決方案是當今WEP機制和MAC地址過濾機制的最佳替代者。方案已經廣泛應用於Internet遠程用戶的安全接入。在遠程用戶接入的應用中，在不可信的網路(Internet)上提供一條安全、專用的通道或者隧道。各種隧道協議，包括點對點的隧道協議和第二層隧道協議都可以與標準的、集中的認證協議一起使用。同樣，技術可以應用在無線的安全接入上，在這個應用中，不可信的網路是無線網路。AP可以被定義成無WEP機制的開放式接入(各AP仍應定義成採用SSID機制把無線網路分割成多個無線服務子網)，但是無線接入網路VLAN (AP和伺服器之問的線路)從區域網已經被伺服器和內部網路隔離出來。伺服器提供網路的認征和加密，並允當區域網網路內部。與WEP機制和MAC地址過濾接入不同，方案具有較強的擴充、升級性能，可應用於大規模的無線網路。

3.5 無線入侵檢測系統

無線入侵檢測系統同傳統的入侵檢測系統類似，但無線入侵檢測系統增加了無線區域網的檢測和對破壞系統反應的特性。侵入竊密檢測軟體對於阻攔雙面惡魔攻擊來說，是必須採取的一種措施。如今入侵檢測系統已用於無線區域網。來監視分析用戶的活動，判斷入侵事件的類型，檢測非法的網路行為，對異常的網路流量進行報警。無線入侵檢測系統不但能找出入侵者，還能加強策略。通過使用強有力的策略，會使無線區域網更安全。無線入侵檢測系統還能檢測到MAC地址欺騙。他是通過一種順序分析，找出那些偽裝WAP的無線上網用戶無線入侵檢測系統可以通過提供商來購買，為了發揮無線入侵檢測系統的優良的性能，他們同時還提供無線入侵檢測系統的解決方案。[1]

3.6 採用身份驗證和授權

當攻擊者了解網路的SSID、網路的MAC地址或甚至WEP密鑰等信息時，他們可以嘗試建立與AP關聯。目前，有3種方法在用戶建立與無線網路的關聯前對他們進行身份驗證。開放身份驗證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗證的問題在於，如果您沒有其他的保護或身份驗證機制，那麼您的無線網路將是完全開放的，就像其名稱所表示的。共享機密身份驗證機制類似於「口令一響應」身份驗證系統。在STA與AP共享同一個WEP密鑰時使用這一機制。STA向AP發送申請，然後AP發回口令。接著，STA利用口令和加密的響應進行回復。這種方法的漏洞在於口令是通過明文傳輸給STA的，因此如果有人能夠同時截取口令和響應，那麼他們就可能找到用於加密的密鑰。採用其他的身份驗證／授權機制。使用 802.1x，或證書對無線網路用戶進行身份驗證和授權。使用客戶端證書可以使攻擊者幾乎無法獲得訪問許可權。

[5]

3.7其他安全措施

除了以上敘述的安全措施手段以外我們還要可以採取一些其他的技術，例如設置附加的第三方數據加密方案，即使信號被盜聽也難以理解其中的內容；加強企業內部管理等等的方法來加強WLAN的安全性。

4、 結論

無線網路應用越來越廣泛，但是隨之而來的網路安全問題也越來越突出，在文中分析了WLAN的不安全因素，針對不安全因素給出了解決的安全措施，有效的防範竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等的攻擊手段，但是由於現在各個無線網路設備生產廠商生產的設備的功能不一樣，所以現在在本文中介紹的一些安全措施也許在不同的設備上會有些不一樣，但是安全措施的思路是正確的，能夠保證無線網路內的用戶的信息和傳輸消息的安全性和保密性，有效地維護無線區域網的安全。

參考文獻

[1]李園,王燕鴻,張鉞偉,顧偉偉.無線網路安全性威脅及應對措施[J].現代電子技術.2007, (5):91-94.

[2]王秋華,章堅武.淺析無線網路實施的安全措施[J].中國科技信息.2005, (17):18.

[3]邊鋒.不得不說無線網路安全六種簡單技巧[J].計算機與網路.2006, (20):6.

[4]冷月.無線網路保衛戰[J].計算機應用文摘.2006,(26)：79-81.

[5]宋濤.無線區域網的安全措施[J]. 電信交換.2004, (1):22-27.

『陸』 教你保護無線網路安全連接九大方法

無線網路 系統如果沒有採取適當的安全 措施 ，無論這個無線系統是安裝在家中還是辦公室里，都可能引發嚴重的安全問題。事實上，一些針對住宅區提供互聯網服務的提供商已經在他們的服務協議中禁止用戶和 其它 非授權人共享聯網服務。一個不安全的無線網路可能造成服務丟失或是被利用來對其他網路發起攻擊。為了避免類似的一些無線網路安全漏洞，這里我們介紹幾種便捷的無線網路安全技巧。

使用無線加密協議

無線加密協議(WEP)是無線網路上信息加密的一種標准 方法 。現在出產的無線路由器幾乎都向用戶提供加密數據的選擇，妥善使用此功能就可以避免自己的銀行賬戶的細節信息(包括口令等)不會被居心叵測的人截獲。不過，需要注意，Wi-Fi保護訪問技術(WPA和WPA2)要比WEP協議更加強健，因此在保障無線通信安全方面作用更大。

使用MAC地址過濾

在正常情況下，無線路由器和訪問點都擁有防止未知的無線設備連接到網路的能力。這種功能是通過比較試圖連接到路由器的設備MAC地址和路由器所保存設備的MAC地址而實現的。不過，不幸的是，在路由器出廠時這種特性通常是關閉的，因為這需要用戶的一些努力才能使其正確工作，否則反而無法連接網路。因此，通過啟用這種特性，並且只告訴路由器本單位或家庭中無線設備的MAC地址，我們就可以防止他人盜用自己的互聯網連接，從而提升安全性。

但不要完全依賴這條措施，也可以這樣說，使用MAC地址過濾並不是對付死心塌地地克隆MAC地址並試圖連接到用戶無線網路的黑客們的救命良葯，但你確實應當採用這項措施來減少網路風險。

設置安全口令

為無線的互聯網訪問設置一個口令至關重要。選擇一個強口令有助於無線網路的安全，但不要使用伴隨無線路由器的默認口令，也不要使用可從字典上輕易查出的單詞或家人的生日等作為口令。

在不使用網路時將其關閉

如果用戶的無線網路並不需要每周的24小時都提供服務，可以通過關閉它而減少被黑客們利用的機會。雖然許多企業並不能離開網路，而且將這條建議付諸實施可能不太現實。但對一個 系統安全 性的最重大改進措施之一就是直接關閉它。因為沒有任何人可以訪問一種並不存在或打開的服務。

監視網路入侵者

用戶應當一直監視網路活動，並保障跟蹤其趨勢。用戶特別是管理員對惡意的黑客活動了解得越多，就越容易找到應對策略。網管員應當收集有關掃描和訪問企圖的日誌，並利用現有的大量統計數字生成工具，以便於將這些日誌變為更有用的信息。還要設置日誌伺服器，使其在發現確實有惡意活動發生時能夠向管理員發送警告或電子郵件。筆者認為，了解危險相當於贏得了斗爭勝利的一半。

改變服務集標識符並且禁止SSID廣播

服務集標識符(SSID)是無線接入的身份標識符，用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設備製造商設置的，並且每個廠商都用自己的預設值。例如，3COM的設備都用「101」。因此，知道這些標識符的黑客可以很容易不經過授權就享受你的無線服務。你需要給你的每個無線接入點設置一個唯一並且難以推測的SSID。

如果可能的話，還應該禁止你的SSID向外廣播。這樣，你的無線網路就不能夠通過廣播的方式來吸納更多用戶，當然這並不是說你的網路不可用，只是它不會出現在可使用網路的名單中。

僅在某些時段允許互聯網訪問

現在出產的一些最新無線路由器允許用戶將對互聯網的訪問限制在一天的某些時段。例如，如果你不需要從周一到周五的上午8點到下午6點之間訪問互聯網，那麼乾脆打開你的路由器設置來禁用這些時段的訪問!

無線網路系統如果沒有採取適當的安全措施，無論這個無線系統是安裝在家中還是辦公室里，都可能引發嚴重的安全問題。事實上，一些針對住宅區提供互聯網服務的提供商已經在他們的服務協議中禁止用戶和其它非授權人共享聯網服務。一個不安全的無線網路可能造成服務丟失或是被利用來對其他網路發起攻擊。為了避免類似的一些無線網路安全漏洞，這里我們介紹幾種便捷的無線網路安全技巧。

使用無線加密協議

無線加密協議(WEP)是無線網路上信息加密的一種標准方法。現在出產的無線路由器幾乎都向用戶提供加密數據的選擇，妥善使用此功能就可以避免自己的銀行賬戶的細節信息(包括口令等)不會被居心叵測的人截獲。不過，需要注意，Wi-Fi保護訪問技術(WPA和WPA2)要比WEP協議更加強健，因此在保障無線通信安全方面作用更大。

使用MAC地址過濾

在正常情況下，無線路由器和訪問點都擁有防止未知的無線設備連接到網路的能力。這種功能是通過比較試圖連接到路由器的設備MAC地址和路由器所保存設備的MAC地址而實現的。不過，不幸的是，在路由器出廠時這種特性通常是關閉的，因為這需要用戶的一些努力才能使其正確工作，否則反而無法連接網路。因此，通過啟用這種特性，並且只告訴路由器本單位或家庭中無線設備的MAC地址，我們就可以防止他人盜用自己的互聯網連接，從而提升安全性。

但不要完全依賴這條措施，也可以這樣說，使用MAC地址過濾並不是對付死心塌地地克隆MAC地址並試圖連接到用戶無線網路的黑客們的救命良葯，但你確實應當採用這項措施來減少網路風險。

設置安全口令

為無線的互聯網訪問設置一個口令至關重要。選擇一個強口令有助於無線網路的安全，但不要使用伴隨無線路由器的默認口令，也不要使用可從字典上輕易查出的單詞或家人的生日等作為口令。

在不使用網路時將其關閉

如果用戶的無線網路並不需要每周的24小時都提供服務，可以通過關閉它而減少被黑客們利用的機會。雖然許多企業並不能離開網路，而且將這條建議付諸實施可能不太現實。但對一個系統安全性的最重大改進措施之一就是直接關閉它。因為沒有任何人可以訪問一種並不存在或打開的服務。

監視網路入侵者

用戶應當一直監視網路活動，並保障跟蹤其趨勢。用戶特別是管理員對惡意的黑客活動了解得越多，就越容易找到應對策略。網管員應當收集有關掃描和訪問企圖的日誌，並利用現有的大量統計數字生成工具，以便於將這些日誌變為更有用的信息。還要設置日誌伺服器，使其在發現確實有惡意活動發生時能夠向管理員發送警告或電子郵件。筆者認為，了解危險相當於贏得了斗爭勝利的一半。

改變服務集標識符並且禁止SSID廣播

服務集標識符(SSID)是無線接入的身份標識符，用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設備製造商設置的，並且每個廠商都用自己的預設值。例如，3COM的設備都用「101」。因此，知道這些標識符的黑客可以很容易不經過授權就享受你的無線服務。你需要給你的每個無線接入點設置一個唯一並且難以推測的SSID。

如果可能的話，還應該禁止你的SSID向外廣播。這樣，你的無線網路就不能夠通過廣播的方式來吸納更多用戶，當然這並不是說你的網路不可用，只是它不會出現在可使用網路的名單中。

僅在某些時段允許互聯網訪問

現在出產的一些最新無線路由器允許用戶將對互聯網的訪問限制在一天的某些時段。例如，如果你不需要從周一到周五的上午8點到下午6點之間訪問互聯網，那麼乾脆打開你的路由器設置來禁用這些時段的訪問!

禁用動態主機配置協議

這好象是一個奇怪的安全策略，但是對於無線網路，它是有道理的。通過這個策略，你將迫使黑客去解除你的IP地址，子網掩碼，和其它必需的TCP/IP參數。因為即使黑客可以使用你的無線接入點，他還必需要知道你的IP地址。

禁用或修改SNMP設置

如果你的無線接入點支持SNMP, 那麼你需要禁用它或者修改默認的公共和私有的標識符。你如果不這么做的話，黑客將可以利用SNMP獲取關於你網路的重要信息。是對於無線網路，它是有道理的。通過這個策略，你將迫使黑客去解除你的IP地址，子網掩碼，和其它必需的TCP/IP參數。因為即使黑客可以使用你的無線接入點，他還必需要知道你的IP地址。

禁用或修改SNMP設置

如果你的無線接入點支持SNMP, 那麼你需要禁用它或者修改默認的公共和私有的標識符。你如果不這么做的話，黑客將可以利用SNMP獲取關於你網路的重要信息。

『柒』 求一個公司無線網路建設方案

方案三：無線網路設計方案

一、前言

隨著計算機應用技術的普及和國民經濟信息化的發展，客戶/伺服器計算、分布式處理、國際互連網（Internet）、內部網（Intranet）等技術被廣泛接受和應用，計算機的聯網需求迅速擴大，網路在各行各業的應用越來越廣。目前盡管有線網路以其傳輸速度高，產品品牌及數量眾多和技術發展速度快等優點，在市場上有較高的知名度和較大的市場份額，但是在一些特殊的環境和特定的行業里依然有許多令IT數據管理公司頭疼多年的LAN布線問題存在。

無線區域網在很多應用領域具有獨特的優勢：一是可移動性，它提供了不受線纜限制的應用，用戶可以隨時上網；二是容易安裝、無須布線，大大節約了建網時間；三是組網靈活，即插即用，網路管理人員可以迅速將其加入到現有網路中，並在某種環境下運行；四是成本低，特別適合於變化頻繁的工作場合。此外，無線網路相對來說比較安全，無線網路通信以空氣為介質，傳輸的信號可以跨越很寬的頻段，而且與自然背景噪音十分的相似，這樣一來，就使得竊聽者用普通的方式難以偷聽到數據。

實際上，無線區域網早在80年代就已經得到廣泛應用，當時受到技術上的制約，通信速率只有860kb/s，工作在900MHz的頻段。能夠了解並享受它的好處的人少之又少。到了90年代初，隨著技術的進步，無線區域網的通信速率已經提高到1~2Mb/s，工作頻段為2.4GHz，並開始向醫療、教育等多媒體應用領域延伸。無線區域網的發展也引起國際標准化組織的關注，IEEE從1992年開始著手制訂802.11標准，以推動無線區域網的發展。1997年，該標准獲得通過，它大大促進了不同廠商產品之間的互操作性，並推進了已經萌芽的產業的發展。802.11標准僅限於物理(PHY)層和媒介訪問控制(MAC)層。物理層對應於國際標准化組織的七層開放系統互連(OSI)模型的最低層，MAC層與OSI第二層的下層相對應，該層與邏輯鏈路控制（LLC）層構成了OSI的第二層。

標准實際規定了三種不同的物理層結構，用戶可以從中選出一種，它們中的每一種都可以和相同的MAC層進行通信。802.11工作組的成員認為在物理層實現方面有多個選擇是必要的，因為這可以使系統設計人員和集成人員根據特定應用的價格、性能、操作等方面的因素來選擇一種更合適的技術。另外，企業區域網通常會使用有線乙太網和無線節點混合的方式，它們在使用上沒有區別。近年來，無線區域網的速率有了本質的提高，新的IEEE802.11b標准支持11Mb/s高速數據傳輸。這為寬頻無線應用提供了良好的平台。區域網作為一種通用的聯網手段，得到了極為廣泛的應用，其傳輸速率、網路性能不斷提高。不過，它基本採用的是有線傳輸媒介，在許多不適宜布線的場合，受到很大程度的限制。另一方面，無線數據傳輸技術近年來不斷獲得突破，標准化進展也極為迅速，這使得區域網環境下的數據傳輸完全可以擺脫線纜的束縛。在此基礎上，無線區域網開始崛起，越來越受到人們的重視。

隨著wireless技術的出現和技術的不斷進步，在諸多計算機聯網技術中，無線網以其無需布線、在一定區域漫遊、運行費用低廉等優點，在許多這些應用場合發揮著其他聯網技術不可替代的作用。隨著無線區域網應用逐漸增多，它將擴展有線區域網或在某些情況下取而代之。可以預期，在未來信息無所不在的時代，無線網將依靠其無法比擬的靈活性，可移動性和極強的可擴容性，使人們真正享受到簡單、方便、快捷的連接。

二、需求分析

2.1、基本應用情況

對於該辦公區的無線網路，主要提供給會議室、行政辦公室、銷售辦公室、

物流辦公室、常務副總辦公室和行政總監辦公室等6個區塊使用，這些部門及個人都使用計算機處理及傳遞各種信息（包括圖像、圖形、聲音、數據等），進行各自的辦公、會議和管理等工作。建立一個支持多種應用系統的統一、先進的、具有良好的可擴展性和有一定冗餘的網路平台，具有高可靠性、高安全性的運行網路是其基本的應用需求。下面將對其功能需求做一個具體詳細的分析。

2.2、功能需求分析

（1）技術中心辦公室

普通會議

視頻會議

多媒體會議

學術研討

（2）網路辦公功能

網上事務管理

Web通用查詢

Internet/Intranet信息服務功能

構建公司Intranet公司信息、服務系統，實現公司信息網上發布、整個公司的電子郵件系統、網上資源的信息共享，使管理人員和員工可以在公司內部網路交流。

2.3、環境需求分析

該建築是屬於大城市中的鋼筋混凝土框架建築物，按國家建築標准，無線信號的貫穿損耗中值為18dB，標准偏差7.7dB，但經現場測試，此建築的隔斷牆的無線傳輸損耗為5dB。本大樓主要分為辦公區和展覽區，在辦公區域接入點相對固定，而在大廳和展示廳的信號接入點則相對比較靈活，流動性比較大，需要做好無線信號的無縫漫遊、無信號盲區，使使用者能穩定地接收到信號。

2.4、安全需求分析

由於在該樓層中有物流、銷售、行政總監等辦公室，都擁有公司的機密文件和材料，而為了不讓外面的人在上外網的同時不能進入到本公司的內部網路，那就對我們的安全策略提出了要求，則必須使用穩定保險的加密技術來支持，比如WEP、WPA、RADIUS或無線交換機中使用的WLAN定位技術。

2.5、用戶需求

（1）無線覆蓋的場地，保證進入場地覆蓋區域的客戶能用自己的筆記本和無線網卡直接上網

（2）在保證客戶在場地及其它覆蓋區域無限制上網的同時，能使內部員工在辦

公樓內隨時訪問內部網路。

（3）要求在無線覆蓋區內95%的位置，99%的時間用戶可成功接入網路,通過無線訪問Internet。

（4）場地要求辦公區域無線覆蓋的信號接收強度達最低到15db，其它開放區域接收信號強度最大到底20db,需要做無線盲點覆蓋。

（5）單用戶情況數據傳輸速率最大4Mb/s，在多用戶接入時，不低於100kb/s

『捌』 如何有效管理企業WiFi無線網路

對手機（移動設備）上網的管控主要考慮如下幾個方面：

1. 識別客戶機操作系統

2. 用戶接入認證

3. 配置上網行為管理策略

4. 上網內容記錄

5. 檢測、禁止隨身WiFi的使用。避免隨身wifi對企業wifi產生干擾。

要實現這些功能，需要專業的上網行為管理才可以。建議你安裝WFilter NGF系統，可以有效的管理WiFi網路。

『玖』 .簡述為大型會議建立無線網路,需要從哪些方面考慮

AP隔離非常類似有線網路的VLAN（虛擬區域網），將所有的無線客戶端設備之間完全隔離，使客戶端只能訪問AP接入的固定網路。該措施非常適合大型的會議室、酒店、機場等公共場所的無線網路建設，讓各個接入的無線客戶端之間相互保持隔離，提供彼此間更加安全的接入。該措施對於家庭用戶來說沒有太多的實際意義，但企業用戶在一些特殊的場合可以採用這種方式來加強無線網路的安全性。例如有客戶或外單位人員參加的會議等公共活動。

『拾』 保證企業內網安全應該怎麼做

1、注意內網安全與網路邊界安全的不同
內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊，主要是防範來自公共的網路伺服器如HTTP或SMTP的攻 擊。網路邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源於企業內部。惡性的黑客攻擊 事件一般都會先控制區域網絡內部的一台Server，然後以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時 建立並加強內網防範策略。
2、限制VPN的訪問
虛擬專用網(VPN)用戶的 訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位 VPN用戶訪問內網的全部許可權。這樣可以利用登錄控制許可權列表來限制VPN用戶的登錄許可權的級別，即只需賦予他們所需要的訪問許可權級別即可，如訪問郵件服 務器或其他可選擇的網路資源的許可權。
3、為合作企業網建立內網型的邊界防護
合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆，保護MS-SQL，但是Slammer蠕蟲仍能侵入 內網，這就是因為企業給了他們的合作夥伴進入內部資源的訪問許可權。由此，既然不能控制合作者的網路安全策略和活動，那麼就應該為每一個合作企業創建一個 DMZ，並將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對內網其他資源的訪問。
4、自動跟蹤的安全策略
智能的自動執行實時跟蹤的安全策略是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全策略的功效。商業活動的現狀需要 企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業員工的僱傭和解僱、實時跟蹤網路利用情況並記錄與 該計算機對話的文件伺服器。總之，要做到確保每天的所有的活動都遵循安全策略。
5、關掉無用的網路伺服器
大型企業網可能同時支持四到五個伺服器傳送e-mail，有的企業網還會出現幾十個其他伺服器監視SMTP埠的情況。這些主機中很可能有潛在的郵件服 務器的攻擊點。因此要逐個中斷網路伺服器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件伺服器在運行但是又不具有文件伺服器作用 的，關掉該文件的共享協議。
6、首先保護重要資源
若一個內網上連了千萬台 (例如30000台)機子，那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對服 務器做效益分析評估，然後對內網的每一台網路伺服器進行檢查、分類、修補和強化工作。必定找出重要的網路伺服器(例如實時跟蹤客戶的伺服器)並對他們進行 限制管理。這樣就能迅速准確地確定企業最重要的資產，並做好在內網的定位和許可權限制工作。
7、建立可靠的無線訪問
審查網路，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網路訪問的強制性和可利用性，並提供安全的無線訪問介面。將訪問點置於邊界防火牆之外，並允許用戶通過VPN技術進行訪問。
8、建立安全過客訪問
對於過客不必給予其公開訪問內網的許可權。許多安全技術人員執行的「內部無Internet訪問」的策略，使得員工給客戶一些非法的訪問許可權，導致了內網實時跟蹤的困難。因此，須在邊界防火牆之外建立過客訪問網路塊。
9、創建虛擬邊界防護
主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企 業網路的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶機被侵入了，攻擊者也不會由此而進入到公司的R&D。因此 要實現公司R&D與市場之間的訪問許可權控制。大家都知道怎樣建立互聯網與內網之間的邊界防火牆防護，現在也應該意識到建立網上不同商業用戶群之間 的邊界防護。
10、可靠的安全決策
網路用戶也存在著安全隱患。有的用戶或 許對網路安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網關和分組過濾防火牆之間的不同等等，但是他們作為公司的合作 者，也是網路的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能引導他們自動的響應網路安全策略。
另外，在技術上，採用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少。