无线网络安全方案设计2021

❶ 求一个公司无线网络建设方案

方案三：无线网络设计方案

一、前言

随着计算机应用技术的普及和国民经济信息化的发展，客户/服务器计算、分布式处理、国际互连网（Internet）、内部网（Intranet）等技术被广泛接受和应用，计算机的联网需求迅速扩大，网络在各行各业的应用越来越广。目前尽管有线网络以其传输速度高，产品品牌及数量众多和技术发展速度快等优点，在市场上有较高的知名度和较大的市场份额，但是在一些特殊的环境和特定的行业里依然有许多令IT数据管理公司头疼多年的LAN布线问题存在。

无线局域网在很多应用领域具有独特的优势：一是可移动性，它提供了不受线缆限制的应用，用户可以随时上网；二是容易安装、无须布线，大大节约了建网时间；三是组网灵活，即插即用，网络管理人员可以迅速将其加入到现有网络中，并在某种环境下运行；四是成本低，特别适合于变化频繁的工作场合。此外，无线网络相对来说比较安全，无线网络通信以空气为介质，传输的信号可以跨越很宽的频段，而且与自然背景噪音十分的相似，这样一来，就使得窃听者用普通的方式难以偷听到数据。

实际上，无线局域网早在80年代就已经得到广泛应用，当时受到技术上的制约，通信速率只有860kb/s，工作在900MHz的频段。能够了解并享受它的好处的人少之又少。到了90年代初，随着技术的进步，无线局域网的通信速率已经提高到1~2Mb/s，工作频段为2.4GHz，并开始向医疗、教育等多媒体应用领域延伸。无线局域网的发展也引起国际标准化组织的关注，IEEE从1992年开始着手制订802.11标准，以推动无线局域网的发展。1997年，该标准获得通过，它大大促进了不同厂商产品之间的互操作性，并推进了已经萌芽的产业的发展。802.11标准仅限于物理(PHY)层和媒介访问控制(MAC)层。物理层对应于国际标准化组织的七层开放系统互连(OSI)模型的最低层，MAC层与OSI第二层的下层相对应，该层与逻辑链路控制（LLC）层构成了OSI的第二层。

标准实际规定了三种不同的物理层结构，用户可以从中选出一种，它们中的每一种都可以和相同的MAC层进行通信。802.11工作组的成员认为在物理层实现方面有多个选择是必要的，因为这可以使系统设计人员和集成人员根据特定应用的价格、性能、操作等方面的因素来选择一种更合适的技术。另外，企业局域网通常会使用有线以太网和无线节点混合的方式，它们在使用上没有区别。近年来，无线局域网的速率有了本质的提高，新的IEEE802.11b标准支持11Mb/s高速数据传输。这为宽带无线应用提供了良好的平台。局域网作为一种通用的联网手段，得到了极为广泛的应用，其传输速率、网络性能不断提高。不过，它基本采用的是有线传输媒介，在许多不适宜布线的场合，受到很大程度的限制。另一方面，无线数据传输技术近年来不断获得突破，标准化进展也极为迅速，这使得局域网环境下的数据传输完全可以摆脱线缆的束缚。在此基础上，无线局域网开始崛起，越来越受到人们的重视。

随着wireless技术的出现和技术的不断进步，在诸多计算机联网技术中，无线网以其无需布线、在一定区域漫游、运行费用低廉等优点，在许多这些应用场合发挥着其他联网技术不可替代的作用。随着无线局域网应用逐渐增多，它将扩展有线局域网或在某些情况下取而代之。可以预期，在未来信息无所不在的时代，无线网将依靠其无法比拟的灵活性，可移动性和极强的可扩容性，使人们真正享受到简单、方便、快捷的连接。

二、需求分析

2.1、基本应用情况

对于该办公区的无线网络，主要提供给会议室、行政办公室、销售办公室、

物流办公室、常务副总办公室和行政总监办公室等6个区块使用，这些部门及个人都使用计算机处理及传递各种信息（包括图像、图形、声音、数据等），进行各自的办公、会议和管理等工作。建立一个支持多种应用系统的统一、先进的、具有良好的可扩展性和有一定冗余的网络平台，具有高可靠性、高安全性的运行网络是其基本的应用需求。下面将对其功能需求做一个具体详细的分析。

2.2、功能需求分析

（1）技术中心办公室

普通会议

视频会议

多媒体会议

学术研讨

（2）网络办公功能

网上事务管理

Web通用查询

Internet/Intranet信息服务功能

构建公司Intranet公司信息、服务系统，实现公司信息网上发布、整个公司的电子邮件系统、网上资源的信息共享，使管理人员和员工可以在公司内部网络交流。

2.3、环境需求分析

该建筑是属于大城市中的钢筋混凝土框架建筑物，按国家建筑标准，无线信号的贯穿损耗中值为18dB，标准偏差7.7dB，但经现场测试，此建筑的隔断墙的无线传输损耗为5dB。本大楼主要分为办公区和展览区，在办公区域接入点相对固定，而在大厅和展示厅的信号接入点则相对比较灵活，流动性比较大，需要做好无线信号的无缝漫游、无信号盲区，使使用者能稳定地接收到信号。

2.4、安全需求分析

由于在该楼层中有物流、销售、行政总监等办公室，都拥有公司的机密文件和材料，而为了不让外面的人在上外网的同时不能进入到本公司的内部网络，那就对我们的安全策略提出了要求，则必须使用稳定保险的加密技术来支持，比如WEP、WPA、RADIUS或无线交换机中使用的WLAN定位技术。

2.5、用户需求

（1）无线覆盖的场地，保证进入场地覆盖区域的客户能用自己的笔记本和无线网卡直接上网

（2）在保证客户在场地及其它覆盖区域无限制上网的同时，能使内部员工在办

公楼内随时访问内部网络。

（3）要求在无线覆盖区内95%的位置，99%的时间用户可成功接入网络,通过无线访问Internet。

（4）场地要求办公区域无线覆盖的信号接收强度达最低到15db，其它开放区域接收信号强度最大到底20db,需要做无线盲点覆盖。

（5）单用户情况数据传输速率最大4Mb/s，在多用户接入时，不低于100kb/s

❷ 无线网络安全

给你找了个 自己抄吧

论文

无线局域网的安全防护

学 科、专业 计算机技术及应用
学 生 姓 名 雷磊
学 号 200512118
指导教师姓名 史虹湘

2008年10月30日

无线局域网的安全防护
摘要：
在网络应用日益普及的今天，局域网作为一种通用的联网手段，得到了极为广泛的应用，其传输速率、网络性能不断提高。不过，它基本采用的是有线传输媒介，在许多不适宜布线的场合，受到很大程度的限制。另一方面，无线数据传输技术近年来不断获得突破，标准化进展也极为迅速，这使得局域网环境下的数据传输完全可以摆脱线缆的束缚。在此基础上，无线局域网开始崛起，越来越受到人们的重视。但是，无线局域网给我们带来方便的同时，它的安全性更值得我们关注，本篇论文通过了解无线局域网的组成，它的工作原理，以及无线局域网的优、缺点，找出影响安全的因素，通过加密、认证等手段并且应用完整的安全解决方案，从而更好的做到无线局域网的安全防护。
关键词：无线局域网；安全性；WPAN

目录
第一章 引言 3
1.1无线局域网的形成 3
1.2无线局域网的常用设备 3
第二章、无线局域网的概况及特点 4
2.1无线局域网（WLAN）方案 4
2.2无线局域网的常见拓扑形式 6
2.3 无线局域网的优势 6
2.4无线局域网的缺点 7
第三章、无线局域网的安全性及其解决方案 7
3.1无线局域网的安全性 7
3.2完整的安全解决方案 11
第四章、结束语 13

第一章 引言
1.1无线局域网的形成
随着计算机技术和网络技术的蓬勃发展，网络在各行各业中的应用越来越广。然而，随着移动计算技术的日益普及和工业标准逐步为市场所采纳和接受，无线网络的应用领域正在不断地扩大。无线局域网的出现使人们不必再围着机器转，它采用以太网的帧格式，使用简单。无线局域网方便了用户访问网络数据，高吞吐量无线局域网可以实现11Mb/s的数据传输速率。
从网络角度来看，它涉及互联网和城域网（Metropolitan Area Network-MAN）、局域网（Local Area Network-LAN）及最近提出的“无线个域网” (Wireless Personal Area Network - WPAN)。在广域网(Wide Area Network-WAN)、城域网和局域网的层次结构中，WPAN的范围是最小的。
1.2无线局域网的常用设备
WPAN将取代线缆成为连接包括移动电话、笔记本个人电脑和掌上设备在内的各类用户个人设备的工具。WPAN可以随时随地地为用户实现设备间的无缝通讯，并使用户能够通过蜂窝电话、局域网或广域网的接入点联入网络。
1.2.1Bluetooth应用
通过Bluetooth(蓝牙）技术，它使人们周围的电子设备通过无线的网络连接在一起。这些设备包括：桌上型电脑、笔记本电脑、打印机、手持设备、移动电话、传呼机和可携带的音乐设备等。
蓝牙技术是由爱立信、IBM、英特尔、诺基亚和东芝这五大公司于1998年5月联合推出的一项旨在实现网络中各类数据及语音设备（如PC、拨号网络、笔记本电脑、打印机、传真机、数码相机、移动电话、高品质耳机等）互连的计划，并为纪念第一个统一北欧语言的人Norse国王而命名为蓝牙。
蓝牙收发信机采用跳频扩谱技术，在2.45 GHz ISM频带上以1600跳／s的速率进行跳频。依据各国的具体情况，以2.45 GHz为中心频率，最多可以得到79个1MHz带宽的信道。除采用跳频扩谱的低功率传输外，蓝牙还采用鉴权和加密等措施来提高通信的安全性。
1.2.2HomeRF应用
无线局域网技术HomeRF，是专门为家庭用户设计的短距离无线联网方案。
它基于共享无线访问协议（shared Wireless Access Protocol，SWAP），可应用于家庭中的移动数据和语音设备与主机之间的通信。
符合SWAP规范的产品工作在2.4GHz频段，使用每秒50跳的跳频扩展频谱技术，通过家庭中的一台主机在移动数据和语音设备之间实现通信，既可以通过时分复用支持语音通信，又能通过载波监听多重访问/冲突避免协议提供数据通信服务。同时，HomeRF提供了与TCP/IP良好的集成，支持广播和48位IP地址。
按照SWAP规范，用户可以建立无线家庭网络，用户可在PC、PC增强无绳电话、手持式远程显示器等设备之间共享话音、数据和Internet连接；用手持显示装置在房间内和房间周围的任何地方访问Internet；在多台PC间共享文件、调制解调器、打印机等；向多个无绳手机、传真机和话音邮箱转发电话；使用小型PC增强无绳电话手机重复收听话音、传真和电子邮件；简单地使用PC增强无绳电话手机发出话音命令，来激活其他家用电子系统；可以玩PC或Internet上的多人游戏。
第二章、无线局域网的概况及特点
2.1无线局域网（WLAN）方案
在网络应用日益普及的今天，局域网作为一种通用的联网手段，得到了极为广泛的应用，其传输速率、网络性能不断提高。不过，它基本采用的是有线传输媒介，在许多不适宜布线的场合，受到很大程度的限制。另一方面，无线数据传输技术近年来不断获得突破，标准化进展也极为迅速，这使得局域网环境下的数据传输完全可以摆脱线缆的束缚。在此基础上，无线局域网开始崛起，越来越受到人们的重视。
2.1.1无线局域网概念和工作原理
一般来讲，凡是采用无线传输媒体的计算机局域网都可称为无线局域网。这里的无线媒体可以是无线电波、红外线或激光。
无线局域网的基础还是传统的有线局域网，是有线局域网的扩展和替换。它只是在有线局域网的基础上通过无线HUB、无线访问节点（AP）、无线网桥、无线网卡等设备使无线通信得以实现。
2.1.2无线局域网标准
实际上，无线局域网早在80年代就已经得到广泛应用，当时受到技术上的制约，通信速率只有860kb/s，工作在900MHz的频段。能够了解并享受它的好处的人少之又少。
到了90年代初，随着技术的进步，无线局域网的通信速率已经提高到1 ~2Mb/s，工作频段为2.4GHz，并开始向医疗、教育等多媒体应用领域延伸。
无线局域网的发展也引起国际标准化组织的关注，IEEE从1992年开始着手制订802.11标准，以推动无线局域网的发展。1997年，该标准获得通过，它大大促进了不同厂商产品之间的互操作性，并推进了已经萌芽的产业的发展。
802.11标准仅限于物理(PHY)层和媒介访问控制(MAC)层。物理层对应于国际标准化组织的七层开放系统互连(OSI)模型的最低层，MAC层与OSI第二层的下层相对应，该层与逻辑链路控制（LLC）层构成了OSI的第二层。
标准实际规定了三种不同的物理层结构，用户可以从中选出一种，它们中的每一种都可以和相同的MAC层进行通信。802.11工作组的成员认为在物理层实现方面有多个选择是必要的，因为这可以使系统设计人员和集成人员根据特定应用的价格、 性能、 操作等方面的因素来选择一种更合适的技术。这些选择实际上非常类似，就像10BaseT， 10Base2及100BaseT等都在以太网领域取得了很大的成功一样。另外，企业局域网通常会使用有线以太网和无线节点混合的方式，它们在使用上没有区别。
近年来，无线局域网的速率有了本质的提高，新的IEEE802.11b标准支持11Mb/s高速数据传输。这为宽带无线应用提供了良好的平台。
2.1.3无线局域网传输方式
就传输方式而言，无线局域网可以分为两类：红外线系统和射频系统。前者的优点在于不受无线电的干扰；邻近区域无干扰；不受管制机构的政策限制；在视距范围内传输，监测和窃听困难，保密性好。不过，由于红外线传输对非透明物体的透过性极差，传输距离受限。
此外，它容易受到日光、荧光灯等噪声干扰，并且只能进行半双工通信。所以，相比而言，射频系统的应用范围远远高于红外线系统。
采用射频方式传输数据，一般都需要引入扩频技术。在扩频系统中，信号所占用的带宽远大于所需发送信息的最小带宽，并采用了独立的扩展信号。扩频技术具有安全性高、抗干扰能力强和无需许可证等优点。目前，在全球范围内应用比较广泛的扩频技术有直接序列（DS）扩频技术和跳频（FH）扩频技术。就频带利用来说，DS采用主动占有的方式，FH则是跳换频率去适应。在抗干扰方面，FH通过不同信道的跳跃避免干扰，丢失的数据包在下一跳重传。DS方式中数据从冗余位中得到保证，移动到相邻信道避免干扰。同DS方式相比，FH方式速度慢，最多只有2 ~3Mb/s。DS传输速率可以达到11Mb/s，这对多媒体应用来说非常有价值。从覆盖范围看，由于DS采用了处理增益技术，因此在相同的速率下比FH覆盖范围更大。不过，FH的优点在于抗多径干扰能力强。此外，它的可扩充性要优于DS。DS有3个独立、不重叠的信道，接入点限制为三个。FH在跳频不影响性能时最多可以有15个接入点。
新的无线局域网标准协议IEEE802.11b只支持DS方式，但是IEEE802.11对这两种技术都是推荐的。应该说，FH和DS这两种扩频方式在不同的领域都拥有适合自身的应用环境，一般说来，在需要大范围覆盖时选DS，需要高数据吞吐量时选择DS，需要抗多径干扰强时选择FH。
2.2无线局域网的常见拓扑形式
根据不同的应用环境，目前无线局域网采用的拓扑结构主要有网桥连接型、访问节点连接型、HUB接入型和无中心型四种。
（1）网桥连接型。该结构主要用于无线或有线局域网之间的互连。当两个局域网无法实现有线连接或使用有线连接存在困难时，可使用网桥连接型实现点对点的连接。在这种结构中局域网之间的通信是通过各自的无线网桥来实现的，无线网桥起到了网络路由选择和协议转换的作用。
（2）访问节点连接型。这种结构采用移动蜂窝通信网接入方式，各移动站点间的通信是先通过就近的无线接收站（访问节点：AP）将信息接收下来，然后将收到的信息通过有线网传入到“移动交换中心”，再由移动交换中心传送到所有无线接收站上。这时在网络覆盖范围内的任何地方都可以接收到该信号，并可实现漫游通信。
（3）HUB接入型。在有线局域网中利用HUB可组建星型网络结构。同样也可利用无线HUB组建星型结构的无线局域网，其工作方式和有线星型结构很相似。但在无线局域网中一般要求无线HUB应具有简单的网内交换功能。
（4）无中心型结构。该结构的工作原理类似于有线对等网的工作方式。它要求网中任意两个站点间均能直接进行信息交换。每个站点既是工作站，也是服务器。
2.3 无线局域网的优势
无线局域网在很多应用领域具有独特的优势：一是可移动性，它提供了不受线缆限制的应用，用户可以随时上网；二是容易安装、无须布线，大大节约了建网时间；三是组网灵活，即插即用，网络管理人员可以迅速将其加入到现有网络中，并在某种环境下运行；四是成本低，特别适合于变化频繁的工作场合。此外，无线网络相对来说比较安全，无线网络通信以空气为介质，传输的信号可以跨越很宽的频段，而且与自然背景噪音十分的相似，这样一来，就使得窃听者用普通的方式难以偷听到数据。
“加密”也是无线网络必备的一环，能有效提高其安全性。所有无线网络都可加设安全密码，窃听者即使千方百计地接收到数据，若无密码，想打开信息系统亦无计可施。
2.4无线局域网的缺点
目前，由于相关的配套技术不足，无线网络传输速度还存在着一些局限。现在无线网络的带宽还比较局限，与有线局域网主干可达千兆还差得很远。与有线网络相比，无线网络的通信环境要受到更多的限制。由于电源限制、可用的频谱限制以及无线网络的移动性等特点，无线数据网络一般具有带宽少、延迟长、连接稳定性差、可用性很难预测等特点。尽管无线局域网有种种优点，但是PC厂商在出售无线LAN产品时多采取慎重态度。这是因为，在家庭里利用的无线联网方式，除了无线LAN外，还有一些其他方案。蓝牙主要用于在便携式信息设备之间以无线方式进行数据通信；HomeRF则用于PC同家电之间以无线方式进行数据通信。而无论蓝牙还是HomeRF，其最大传输速度都只有2Mb/s。此外，它们的传输距离都只有几十米，比无线LAN最多可达的100米要短。在钢筋混凝土这类能使电波明显衰减的使用环境里，蓝牙和HomeRF的传输距离甚至会缩短到只有几米。
第三章、无线局域网的安全性及其解决方案
3.1无线局域网的安全性
除了硬件方面的不足，无线局域网的安全性也非常值得关注。无线局域网的安全性，主要包括接入控制和加密两个方面。
3.1.1IEEE802.11b标准的安全性
IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密：系统ID(SSID)和有线对等加密(WEP)。
1、认证
当一个站点与另一个站点建立网络连接之前，必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。 IEEE 802.11b标准详细定义了两种认证服务：－开放系统认证（Open System Authentication）：是802.11b默认的认证方式。这种认证方式非常简单，分为两步：首先，想认证另一站点的站点发送一个含有发送站点身份的认证管理帧；然后，接收站发回一个提醒它是否识别认证站点身份的帧。 －共享密钥认证（Shared Key Authentication）：这种认证先假定每个站点通过一个独立于802.11网络的安全信道，已经接收到一个秘密共享密钥，然后这些站点通过共享密钥的加密认证，加密算法是有线等价加密（WEP）。 共享密钥认证的过程如图1所示，描述如下：
（1） 请求工作站向另一个工作站发送认证帧。
（2） 当一个站收到开始认证帧后，返回一个认证帧，该认证帧包含WEP服务生成的128字节的质询文本。
（3） 请求工作站将质询文本复制到一个认证帧中，用共享密钥加密，然后再把帧发往响应工作站。
（4） 接收站利用相同的密钥对质询文本进行解密，将其和早先发送的质询文本进行比较。如果相互匹配，相应工作站返回一个表示认证成功的认证帧；如果不匹配，则返回失败认证帧。
请求工作站 响应工作站
验证帧
验证算法标识=“共享密钥”
验证处理序列号=1

验证帧
验证算法标识=“共享密钥”
验证处理序列号=2
质询文本

验证帧
验证算法标识=“共享密钥”
验证处理序列号=3
质询文本加密

验证帧
验证算法标识=“共享密钥”
验证处理序列号=1
图1 共享密钥认证
认证使用的标识码称为服务组标识符（SSID：Service Set Identifier），它提供一个最底层的接入控制。一个SSID是一个无线局域网子系统内通用的网络名称，它服务于该子系统内的逻辑段。因为SSID本身没有安全性，所以用SSID作为接入控制是不够安全的。接入点作为无线局域网用户的连接设备，通常广播SSID。
2、WEP
IEEE 802.11b规定了一个可选择的加密称为有线对等加密，即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密，加密和解密的密钥及算法相同。WEP的目标是： 接入控制：防止未授权用户接入网络，他们没有正确的WEP密钥。
加密：通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享—包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后，就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全，但随着终端数量的增加给每一个终端分配密钥很困难。

帧体
明文

综合检测值
（ICV）
帧体
密钥 密文
键序

图2 WEP加密过程
WEP加密的算法如图2所示，过程如下：
（1） 在发送端，WEP首先利用一种综合算法对MAC帧中的帧体字段进行加密，生成四字节的综合检测值。检测值和数据一起被发送，在接收端对检测值进行检查，以监视非法的数据改动。
（2） WEP程序将共用密钥输入伪随机数生成器生成一个键序，键序的长度等于明文和综合检测值的长度。
（3） WEP对明文和综合检测值进行模二加运算，生成密文，完成对数据的加密。伪随机数生成器可以完成密钥的分配，因为每台终端只用到共用密钥，而不是长度可变的键序。
（4） 在接收端，WEP利用共用密钥进行解密，复原成原先用来对帧进行加密的键序。
（5） 工作站计算综合检测值，随后确认计算结果与随帧一起发送来的值是否匹配。如果综合检测失败，工作站不会把MSDU（介质服务单元）送到LLC（逻辑链路控制）层，并向MAC管理程序发回失败声明。
3.1.2影响安全的因素
1、硬件设备
在现有的WLAN产品中，常用的加密方法是给用户静态分配一个密钥，该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样，拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器，这些用户有效地共享MAC地址和WEP密钥。 当一个客户适配器丢失或被窃的时候，合法用户没有MAC地址和WEP密钥不能接入，但非法用户可以。网络管理系统不可能检测到这种问题，因此用户必须立即通知网络管理员。接到通知后，网络管理员必须改变接入到MAC地址的安全表和WEP密钥，并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多，重新编码WEP密钥的数量越大。
2、虚假接入点
IEEE802.11b共享密钥认证表采用单向认证，而不是互相认证。接入点鉴别用户，但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内，它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的，每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的，接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
3、其它安全问题
标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流，组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。
通过监测IEEE802.11b控制信道和数据信道，黑客可以得到如下信息：
客户端和接入点MAC地址
内部主机MAC地址
上网时间
黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动，一个终端应该使用每一个时期的WEP密钥。
3.2完整的安全解决方案
3.2.1无线局域网的安全方案
无线局域网完整的安全方案以IEEE802.11b为基础，是一个标准的开放式的安全方案，它能为用户提供最强的安全保障，确保从控制中心进行有效的集中管理。它的核心部分是：
扩展认证协议（Extensible Authentication Protocol，EAP），是远程认证拨入用户服务（RADIUS）的扩展。可以使无线客户适配器与RADIUS服务器通信。
IEEE 802.1X， 一个控制端口接入的提议标准。
当无线局域网执行安全保密方案时，在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时，客户端和RADIUS服务器（或其它认证服务器）进行双向认证，客户通过提供用户名和密码来认证。然后 RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息，如密码，都要加密使免于攻击。
这种方案认证的过程是：
一个站点要与一个接入点连接。
除非站点成功登录到网络，否则接入点将禁止站点使用网络资源。
用户在网络登录对话框和类似的结构中输入用户名和密码。
用IEEE802.1x协议，站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。例如：RADIUS服务器向用户发送一个认证请求，客户端对用户提供的密码进行一种hash运算来响应这个请求，并把结果送到RADIUS服务器；利用用户数据库提供的信息，RADIUS服务器创建自己的响应并与客户端的响应相比较。一旦服务器认证了用户，就进行相反的处理使用户认证RADIUS服务器。
相互认证成功完成后，RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥，称为时期密钥。
接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户，用户用时期密钥来解密。
用户和接入点激活WEP，在这时期剩余的时间内用时期密钥和广播密钥通信。
认证的全部过程如图3所示。
4.RADIUS服务器和站点双
向认证并且生成WEP密钥

无线 有线

6. 站 点 和AP 激活 5.RADIUS服务器
WEP，加密传输数据 把密钥传给AP

图3 基于IEEE802.1x的安全传输
3.2.2无线局域网的应用环境
（1） 无线局域网的应用方向之一是增加电脑的移动性，让电脑更符合人性，例如在办公室内，企业经理们可以像使用室内无绳电话那样，随心所欲地使用联网的笔记本电脑。
（2） 在难于布线的室外环境下，无线局域网可充分发挥其高速率、组网灵活之优点。尤其在公共通信网不发达的状态下，无线局域网可作为区域网（覆盖范围几十公里）使用。
它的范围可以延伸到城市建筑群间通信；学校校园网络；工矿企业厂区自动化控制与管理网络；银行、金融证券城区网络；城市交通信息网络；矿山、水利、油田等区域网络；港口、码头、江河湖坝区网络；野外勘测、实验等流动网络；军事、公安流动网络等领域。
（3） 无线局域网与有线主干网构成了移动计算网络。
这种网络传输速率高、覆盖面大，是一种可传输多媒体信息的个人通信网络。这也是无线局域网的发展方向。
第四章、结束语
无线网络安全技术在21世纪将成为信息网络发展的关键技术，21世纪人类步入信息社会后，信息这一社会发展的重要战略资源需要网络安全技术的有力保障，才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段，仍有大量的工作需要我们去研究、开发和探索，以走出有中国特色的产学研联合发展之路，赶上或超过发达国家的水平，以此保证我国信息网络的安全，推动我国国民经济的高速发展。
虽然我的论文作品不是很成熟，还有很多不足之处，但这次做论文的经历使我终身受益，我感受到做论文是要真真正正用心去做的一件事情，是真正的自己学习的过程和研究的过程，没有学习就不可能有研究的能力，没有自己的研究，就不会有所突破，希望这次的经历能让我在以后学习中激励我继续进步。
最后，感谢史虹湘老师对我论文的精心指导和无私的帮助，感谢经济管理干部学院老师们的辛勤栽培，使我能够很好的掌握和运用专业知识。

参考文献：
[1] 网络安全 徐国爱. 北京邮电大学出版社，2006.5
[2] 计算机网络基础 刘远生. 清华大学出版社，2004.9
[3] 局域网组建、管理与维护 扬威. 电子工业出版社，2005.7

❸ 路由器无线网络安全设置怎么弄

禁用DHCP功能
DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写，主要功能就是帮助用户随机分配IP地址，省去了用户手动设置IP地址、子网掩码以及其他所需要的TCP/IP参数的麻烦。这本来是方便用户的功能，但却被很多别有用心的人利用。一般的路由器DHCP功能是默认开启的，这样所有在信号范围内的无线设备都能自动分配到IP地址，这就留下了极大的安全隐患。攻击者可以通过分配的IP地址轻易得到很多你的路由器的相关信息，所以禁用DHCP功能非常必要。
无线加密
现在很多的无线路由器都拥有了无线加密功能，这是无线路由器的重要保护措施，通过对无线电波中的数据加密来保证传输数据信息的安全。一般的无线路由器或AP都具有WEP加密和WPA加密功能，WEP一般包括64位和128位两种加密类型，只要分别输入10个或26个16进制的字符串作为加密密码就可以保护无线网络。
WEP协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络，但WEP密钥一般是是保存在Flash中，所以有些黑客可以利用你计算机网络中的漏洞轻松进入你的网络。
WEP加密出现的较早，现在基本上都已升级为WPA加密，WPA是一种基于标准的可互操作的WLAN安全性增强解决方案，可大大增强现有无线局域网系统的数据保护和访问控制水平；WPA加强了生成加密密钥的算法，黑客即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。
WPA的出现使得网络传输更加的安全可靠。需要指出的是一般无线路由器在出厂时无线加密功能都是关闭的，但如果你放弃此功能的话，那么你的网络就是一个极度不安全的网络，因此建议你设置后启用此功能。
关闭SSID广播
简单来说，SSID便是你给自己的无线网络所取的名字。在搜索无线网络时，你的网络名字就会显示在搜索结果中。一旦攻击者利用通用的初始化字符串来连接无线网络，极容易入侵到你的无线网络中来，所以笔者强烈建议你关闭SSID广播。
还要注意，由于特定型号的访问点或路由器的缺省SSID在网上很容易就能搜索到，比如“netgear，linksys等”，因此一定要尽快更换掉。对于一般家庭来说选择差别较大的命名即可。
关闭SSID后再搜索无线网络你会发现由于没有进行SSID广播，该无线网络被无线网卡忽略了，尤其是在使用Windows XP管理无线网络时，可以达到“掩人耳目”的目的，使无线网络不被发现。不过关闭SSID会使网络效率稍有降低，但安全性会大大提高，因此关闭SSID广播还是非常值得的。
设置IP过滤和MAC地址列表
由于每个网卡的MAC地址是唯一的，所以可以通过设置MAC地址列表来提高安全性。在启用了IP地址过滤功能后，只有IP地址在MAC列表中的用户才能正常访问无线网络，其它的不在列表中的就自然无法连入网络了。
另外需要注意在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”选项，要不无线路由器就会阻止所有用户连入网络。对于家庭用户来说这个方法非常实用，家中有几台电脑就在列表中添加几台即可，这样既可以避免邻居“蹭网”也可以防止攻击者的入侵。
5
主动更新
搜索并安装所使用的无线路由器或无线网卡的最新固件或驱动更新，消除以前存在的漏洞。还有下载安装所使用的操作系统在无线功能上的更新，比如Windows XP SP3或Vista SP1等，这样可以更好的支持无线网络的使用和安全，使自己的设备能够具备最新的各项功能。

❹ 基于校园无线网络安全策略

楼主，你好，很荣幸帮你解答问题，希望以下回答能够帮助到你，望请采纳，谢谢！

1、在过去的很多年，计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在实施过程中工程量大，破坏性强，网中的各节点移动性不强。为了解决这些问题，无线网络作为有线网络的补充和扩展，逐渐得到的普及和发展。
在校园内，教师与学生的流动性很强，很容易在一些地方人员聚集，形成“公共场所”。而且随着笔记本电脑的普及和Intemet接入需求的增长，无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性，使有线网络无法灵活满足他们对网络的需求，造成网络互联和Intemet接入瓶颈。
将无线网络的技术引入校园网，在某些场所，如网络教室，会议室，报告厅、图书馆等区域，可以率先覆盖无线网络，让用户能真正做到无线漫游，给工作和生活带来巨大的便利。随后，慢慢把无线的覆盖范围扩大，最后做到全校无线的覆盖。
2 校园网无线网络安全需求现状
在无线网络技术成熟的今天，无线网络解决方案能够很好满足校园网的种种特殊的要求，并且拥有传统网络所不能比拟的易扩容性和自由移动性，它已经逐渐成为一种潮流，成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成，在学校的教室、办公室、会议室、甚至是校园草坪上，都有不少的教师和学生手持笔记本电脑通过无线上网，这都源于无线局域网拓展了现有的有线网络的覆盖范围，使随时随地的网络接入成为可能。但在使用无线网络的同时，无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种：① 基于MAC地址的认证。基于 MAC地址的认证就是MAC地址过滤，每一个无线接入点可以使用 MAC地址列表来限制网络中的用户访问。实施 MAC地址访问控制后，如果MAC列表中包含某个用户的MAC地址，则这个用户可以访问网络，否则如果列表中不包含某个用户的MAC地址，则该用户不能访问网络。② 共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥，那么就授予该用户对无线网络的访问权。③ 802.1x认证。802．1x协议称为基于端口的访问控制协议，它是个二层协议，需要通过 802.1x客户端软件发起请求，通过认证后打开逻辑端口，然后发起 DHCP请求获得IP以及获得对网络的访问。
可以说 ，校园网的不少无线接入点都没有很好地考虑无线接入的安全问题，就连最基本的安全，如基于MAC地址的认证或共享密钥认证也没有设置，更不用说像 802.1 x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动，会搜索到很多无线接入点，这些接入点几乎没有任何的安全防范措施，可以非常方便地接入。试想，如果让不明身份的人进入无线网络，进而进入校园网，就会对我们的校园网络构成威胁。
3 校园网无线网络安全解决方案
校园网内无线网络建成后，怎样才能有效地保障无线网络的安全?前面提到的基于 MAC地址的认证存在两个问题，一是数据管理的问题，要维护 MAC数据库，二是 MAC可嗅探，也可修改；如果采用共享密钥认证，攻击者可以轻易地搞到共享认证密钥；802.1x定义了三种身份：申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间，认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份，然后认证服务器对申请者进行认证，认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。

❺ 设计一个网络安全方案。

1、物理安全
2、网络平台
3、系统的安全
4、应用的安全
5、管理的安全
6、黑客的攻击
7、不满的内部人员
8、病毒的攻击
这几点是都是多年来网络安全专家所总结的。
最常见的网络安全问题还是处于网络内部并且是内部底层。
内网底层的安全常常被忽略，这就是现在的企业为什么花了钱买了安全设备但是内网的卡、慢、掉线依然存在的原因。

最后一句话，想要内网安全，从内网底层做起！

❻ 如何设计网络安全方案呢

对于一名从事网络安全的人来说，网络必须有一个整体、动态的安全概念。总的来说，就是要在整个项目中，有一种总体把握的能力，不能只关注自己熟悉的某一领域，而对其他领域毫不关心，甚至不理解，这样写不出一份好的安全方案。因为写出来的方案，就是要针对用户所遇到的问题，运用产品和技术解决问题。设计人员只有对安全技术了解的很深，对产品线了解的很深，写出来的方案才能接近用户的要求。

❼ 无线网络安全的内容简介

如今，无线网络技术已经广泛应用到多个领域，然而，无线网络的安全性也是最令人担忧的，经常成为入侵者的攻击目标。《无线网络安全》为网络管理员提供了最实用的无线网络安全解决方案。详细介绍了无线网络的历史与现状、无线设备的漏洞、无线网络非法接人点的探测和处理、利用RADIUS进行VLAN接入控制、无线网络的架构和设计等内容。
无线技术是指在不使用物理线缆的前提下，从一点向另一点传递数据的方法，包括无线电、蜂窝网络、红外线和卫星等技术。

❽ 无线网网络安全设计方案

加密
不定期换密码

❾ 大型无线网络方案设计

推荐cisco 无线AP。功率大而且稳定，最主要的是加密方式可选的多。可以很好提供你的网络安全。具体的东西，可以打800电话，他们会给你详细的设计方案。cisco的网络专家提供给你完整的配置和兼容性扩展性方案。

❿ 无线网安全建议 教你如何保护无线网络安全

下面将给用户一些基本的无线网络安全建议，这些建议将有助于用户更好保证自己的无线网络安全： 1. 无线网络适配器 在用户不使用网络时，建议用户关闭无线网络适配器，之所以这样做，有两个原因。首先，延长电池寿命;其次，防范使用“ Microsoft Windows silent ad hoc network advertisement”渗透攻击的最好方法。微软的自组网使用的是零默认设置访问，这就给攻击者以可乘之机。 2.校验无线网络SSID 校验SSID(Service Set Identifier或ESSID，用来区分不同的网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同网络)有助于防止evil twin。evil twin即使攻击者利用攻击产生错误的无线网络。简单点说，用户根本不知道连接的是错误的网络，这样黑客就可以获取用户接受和发送的任何流量了。 3. 保证软件防火墙的安全性 Windows XP 和 Vista内置了防火墙，但是都不够。市面上的有很多功能更加强大的防火墙，完全可以满足笔记本使用者的需求。 4. 关闭Windows的文件和打印机共享功能 Windows的默认设置是关闭了这一功能，但是很多用户在实际工作的时候需要使用这一功能。开启这一功能实际上就是打开了“麻烦之门”。任何未经授权的人只要出现在这一无线网络的时候就可以访问这些文件。 5.不要使用无线网络在线传输敏感信息 这点就毋庸赘言。重要性可想而知，但是还是要提醒一下。 6.操作系统需实时升级 除了操作系统，还有杀毒软件，防火墙，网络浏览器以及无线网络客户机程序，这些都需要实时升级，这样就可以减少因其本身缺陷导致的攻击。 7.保护好任何敏感信息 网页当中保留的个人信息会成为黑客攻击提供十分有用的价值。因此如条件允许可以采用某些加密工具。 8.使用加密技术进行网上冲浪 在没有虚拟个人网络或是虚拟个人网络设置不正确的时候，这是很重要的。市面上有很多提供SSL(Security Socket Layer ，加密套接字协议层 ) VPN的技术，这样就可以在一个安全通道中传输机密文件。还有一些更加先进的服务，譬如超级代理等。 9.VPN 前面一个建议的局限就是它只适用于基于网络的应用程序。但是一些邮件应用程序呢?譬如Outlook。这正是虚拟个人网络大展拳脚的地方。但是很多人根本就不使用虚拟个人网络。虚拟个人网络保证用户即使在外的话也相当于家庭或是办公网络中的一部分。这样，所有的商业应用程序，文件共享或是网络访问都由公司的网络来完成。市面上的选择很多，推荐Open个人虚拟网络。 10.使用远程访问工具保证安全 不要通过有疑问的网络传输敏感数据。有一些设备可以保证出门在外的人通过家里的网络使用SSL通道实现远程控制。这样，网上冲浪，收发邮件还有其他一些活动只会在远程主机上实现。因此，除非在特别紧急的情况下，否则不要传输数据。 总结： 经常在外使用笔记本的人应该保持警惕。除了一些日常工作，他们经常需要在外做一些工作。以上一些建议能够保护他们在外使用时的信息安全。