企业无线网络强化措施

‘壹’ 无线网络安全防护措施有哪些

针对网络安全中的各种问题，我们应该怎样去解决，这里就告诉我们一个真理，要从安全方面入手，这才是解决问题的关键。公司无线网络的一个突出的问题是安全性。随着越来越多的企业部署无线网络，从而将雇员、专业的合伙人、一般公众连接到公司的系统和互联网。人们对增强无线网络安全的需要变得日益迫切。幸运的是，随着越来越多的公司也越来越清楚无线网络面临的威胁和对付这些威胁的方法，有线网络和无线网络面临的威胁差距越来越小。 无线网络威胁 无线网络安全并不是一个独立的问题，企业需要认识到应该在几条战线上对付攻击者，但有许多威胁是无线网络所独有的，这包括： 1、插入攻击：插入攻击以部署非授权的设备或创建新的无线网络为基础，这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置，要求客户端接入时输入口令。如果没有口令，入侵者就可以通过启用一个无线客户端与接入点通信，从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。 2、漫游攻击者：攻击者没有必要在物理上位于企业建筑物内部，他们可以使用网络扫描器，如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络，这种活动称为“wardriving ” ; 走在大街上或通过企业网站执行同样的任务，这称为“warwalking”。 3、欺诈性接入点：所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下，就设置或存在的接入点。一些雇员有时安装欺诈性接入点，其目的是为了避开公司已安装的安全手段，创建隐蔽的无线网络。这种秘密网络虽然基本上无害，但它却可以构造出一个无保护措施的网络，并进而充当了入侵者进入企业网络的开放门户。 当然，还有其它一些威胁，如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等，这都属于可给无线网络带来风险的因素。 实现无线网络安全的三大途径和六大方法 关于封闭网络，如一些家用网络和单位的网络，最常见的方法是在网络接入中配置接入限制。这种限制可包括加密和对MAC地址的检查。 正因为无线网络为攻击者提供了许多进入并危害企业网络的机会，所以也就有许多安全工具和技术可以帮助企业保护其网络的安全性： 具体来说，有如下几种保护方法： 1、防火墙:一个强健的防火墙 可以有效地阻止入侵者通过无线设备进入企业网络的企图。 2、安全标准：最早的安全标准WEP已经被证明是极端不安全的，并易于受到安全攻击。而更新的规范，如WPA、WPA2及IEEE802.11i是更加强健的安全工具。采用无线网络的企业应当充分利用这两种技术中的某一种。 3、加密和身份验证：WPA、WPA2及IEEE802.11i支持内置的高级加密和身份验证技术。WPA2和802.11i都提供了对AES(高级加密标准)的支持，这项规范已为许多政府机构所采用。 4、漏洞扫描：许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息，如探查其SSID、MAC等信息。而企业可以利用同样的方法来找出其无线网络中可被攻击者利用的漏洞，如可以找出一些不安全的接入点等。 5、降低功率：一些无线路由器 和接入点准许用户降低发射器的功率，从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。同时，仔细地调整天线的位置也可有助于防止信号落于贼手。 6、教育用户：企业要教育雇员正确使用无线设备，要求雇员报告其检测到或发现的任何不正常或可疑的活动。

‘贰’ 如何增强无线网信号

一、减少频段干扰

在我们发布无线网络时都会选择一个频段，理论上讲同一个频段内无线网络过多会严重影响信号的强弱，也就是说如果你家采用的无线信号频段与其他家的无线信号发射频段一样的话，那么在一定程度上两家的无线网络都会受到影响。所以说当网络不稳定时通过无线路由器更换一个信号发射频段是一个不错的办法。

很多用户在购买无线路由器使用后，并未对无线信号频道能进行修改，这样大家使用的都是路由器默认配置时的信道，这样就很容易发生信道的干扰。如果附近有邻居使用的信道跟我们的一样，那么，我们双方的无线信号都会受到影响。另外大家要注意的是，一个频道的信号会同时干扰与其相邻的两个频道，即频道 6的信号会影响到频道5和频道7，所以我们在设置无线信道的时候，应该尽量使用Network Stumbler这类软件，让自己的信道离其他信号频道两个以上。

二、减小射频干扰

如果你的网络带宽中噪音强度超过了-85dBm，那么射频干扰就存在着损害网络性能的可能。在这种情况下，用户的重试率将超过10%,这时用户会感到网络速度受到了影响。例如，在无线用户位于一个与正在运转的微波炉同样的房间时，就会发生这种情况。如果你断定问题是由于射频干扰引起的，就得找到这种干扰来自哪里，并设法去掉这种干扰。如果仅仅在微波炉或无线电话运行时有这种症状，你就得试着将AP接入点放到不同的信道。如果你还是无法将射频干扰减少到一个可以令人接受的水平，就可以试着在受影响的区域增加射频信号的强度。例如，你可以增加发射功率，就可以用更强的单元代替原有的天线，或者是将接入点靠得更接近一些。这此方法会增加信噪比，从而改善性能。

三、合理摆放路由位置

由于无线信号在穿越障碍物后，尤其是在穿越金属后，信号会大幅衰减。而在我们家庭的房子里，有很多钢筋混凝土墙，所以为了增强无线网络信号，我们在摆放无线路由器的时候，应该使信号尽量少穿越墙壁。我们一般很少会在厨房或餐厅里上网，而书房和卧室是我们平时经常上网的地方，所以我们在选择无线路由器的摆放位置的时候，可以选择离厨房和餐厅远一些地方，而尽量靠近书房和卧室。

书房外墙处是摆放无线路由器的理想位置，这样摆放能够使客厅，书房，主卧，次卧都有一个比较好无线信号。当然，不同家庭结构都不一样，大家应该视具体情况而定。一般来说，无线网卡的客户端都具备信号强度的检测能力，大家拿笔记本在房间各处查看信号强度，从而选择一个最佳的摆放点。

四、扩展天线增强信号

由于天线增益的大小直接影响到信号的发射强度和接收能力，而市场上有些路由器的天线采用的是可拆卸设计，所以给无线路由器更换一个高增益的天线是增强信号最直接的方法。增益天线市场上有很多，价格也便宜。不过一点值得注意的是，在购买的时候应该询问清楚是否是全向天线，否则使用定向天线只能向一个方向传输无线信号。

另外我们也可以对无线网卡的天线进行扩展，不过无线网卡的天线一般不可拆卸，更换起来也比较麻烦。其实生活中的很多小物品，都可以起到增强无线网络信号的作用。网络上也有很多DIY无线网络增益天线的方法，如使用奶粉罐，蚊香盘，漏勺等，有兴趣的网友不妨一试。

五、拒绝DHCP数据包

有经验的用户都知道DHCP服务可以帮助我们自动分配网络中计算机的IP地址，但是在实际使用中DHCP会造成网络的不稳定，例如租约到了再次获得IP却发现网络中其他计算机已经在使用该IP地址，或者计算机与无线路由器之间频繁协商DHCP信息。

实际上这些DHCP数据包完全可以不要，对于一般家庭用户来说，网络中的计算机数量并不多，我们完全可以通过手动设置IP地址等网络参数的方法来减少DHCP数据包。 曾经有朋友告诉我说原来他家里的无线网络很不稳定，后来不用DHCP直接指定IP就再也没掉过线。

六、降速提高稳定性

首先让大家看看这个例子，我跟邻居组成了一个无线网络，他的是D-Link的无线路由器，我这边是netcom无线网桥，最近频繁断线，连接的时候速度也很慢。经检查发现不知道什么时候多出一台Linksys的设备(Linksys的信号很强劲)占用了channel6，只要他一开机就影响我们的连接质量，原来ping的丢包率从1%狂升到50%。之后将发射信号频段调整到channel1，谁知道发现两台channel1的设备在附近，再转 channel11竟然有5台无线。如何解决呢?

上面这个例子是笔者自己遇到过的，可见现在无线网络非常普及，由于同频段无线网络会相互干扰所以13个频段已经不够大家用了，怎么解决这个问题呢?一般无线路由器都会有自动选择频段的功能，如果没有那么完全可以把你的无线设备工作模式从802.11g变为802.11b。虽然速度上降低了，但是却带来了稳定性方面的好处，所以在一定程度上降低传输速度可以让我们的无线网络更加稳定。

七、限制用户数量

活跃的无线网络用户太多，或者在用户们正在操作一些占用带宽过多的应用，都会影响无线网络信息的稳定性。可通过较低的功率将接入点AP放在更靠近的位置，从而创建更小的的射频蜂窝。这种“微型蜂窝”方法可以减少每个接入点中的用户数量，从而使每个用户获得更多的容量。

应对网络利用率过高的另外一种方法是将一些应用程序移动到一个不同的频带中去。例如，你可以考虑让Wi-Fi电话使用5GHz 的802.11a网络，而让数据应用运行在2.4GHz 的802.11b/g.网络。

八、消除覆盖盲点

在安装了无线网之后，调整射频信号传播的设施内有可能发生一些变化。例如，公司有可能要建一面墙，这会极大地减弱信号。更糟糕的是，在安装网络之前，可能并没有对射频位置进行调查。这些情况都会导致设施的某些区域拥有有限的甚至没有射频信号的存在，这会极大地降低性能并中断无线应用的运行。

有哪些方面表明覆盖范围有漏洞呢?这包括过低的信号强度(低于-75dBm)、太高的重试率(高于10%)，但与噪音强度无关。这种情况下，信号强度太低，所以无线卡的接收器在获得数据时相当困难，进而导致重传、吞吐量过低等。例如，当一个用户在信号强度过低的地方操作时，他会感到吞吐量下降达 75% 之多。

要应对覆盖范围的漏洞问题，用户需要改善受影响区域的信号强度。不妨试着增加发送功率，用更强的新天线替换旧天线，或者将AP更好地覆盖整个区域。为了使将来的无线网尽量少出现覆盖范围漏洞问题，我建议你经常进行射频现场的调查和测量，如每隔几个月就来上一次。

九、优化接入点

网络性能太差的根本原因有可能在于某个AP接入点发生故障。你可以检查接入点，看看天线有没有断掉，状态灯是不是指明出错了，电源功率够不够等等。可以试着重启AP，这个办法通常会解决固件的死锁问题。要保持固件的最新，这样做的目的是使未来的死锁更少一些。

‘叁’ 如何提高WIFI无线网络的信号强度和传输质量

一、调整无线路由器的最佳摆放位置

如果房屋空间不够开阔，有隔断、墙壁等障碍物，会导致无线信号穿透时衰减太大，覆盖范围大大缩小。部分用户将路由器放在弱电箱、壁橱或嵌入墙体里，天线无法展开，四周面板也会屏蔽无线信号，导致信号质量较差。

建议选择一个最佳的摆放位置，可以参考以下要求：

1、尽量选择房屋结构的中央位置，使终端在各个位置接收信号时穿过最少的墙面。如下图：

五、更换高增益天线

如果无线路由器的天线是可拆卸的，可根据需要更换高增益的天线。

如果房屋面积过大或是复式结构，单台无线路由器不可避免的有覆盖盲点，可以使用无线扩展器，中继放大信号，或者AC+AP方式扩大无线覆盖范围。

‘肆’ 目前办公室的无线网络很差，怎样可以保证无线网络的稳定

优化网络体验 注重细节
1、改良信号接收效果
由于无线应用环境的复杂，有些时候在障碍物和干扰的情况下，无线网络信号会受到严重的损失，导致不能稳定地连接。这时可以考虑选择一个多天线的路由设备，以便更好的将信号覆盖于整个家庭环境中。
如果不想更换无线路由器，可以通过更换设备的天线，或者在信号损失严重的区域，增设一个无线中继器的来加强无线信号的传递以便拥有更好的无线体验。
2、改变无线网络频道
我们使用的无线路由器需要工作在一个固定的频道，由于频道数有限，大多数路由器默认的工作频道将在同一频道上，可能相互带来干扰。
如果觉得在使用无线网路时，信号强度差的话，可以改变其默认工作频道以便得到更好服务。
3、赋予无线路由最佳工作环境
无线路由器最大的优势，就是让用户在所处环境中的任意位置都能通过无线信号连接互联网。可是并不是将路由设备放置在任意的位置都能让它发挥最佳工作状态，这样，我们就需对路由器的位置进行调整。
通常，在使用无线路由器时，应该选择一个居于使用区域中心点附近的位置来摆放设备，避免阳光直射，保证设备通风散热，让无线路由居于开放的大环境中更加有利于其稳定良好的工作。
第2页：应用安全保护 远离网络威胁
应用安全保护 远离网络威胁
4、使用最新的加密方式
相信大家对“蹭网”一词并不陌生，可是一些网络新手不了解它的重要性。在不加密的无线网络中，用户个人信息可能泄露，网络资源会被侵占，无线体验也被干扰，因此只有通过正确的无线加密才能保证网络安全，最大程度上保护自己的网络权益。
现在，无线路由器中都自带了WEP、WAP等多种加密方式，而其中，WPA2是目前被业界认为最安全的加密方式，建议用户采用。但是在使用之前，还需要检查无线网卡和其它设备是不是也能够支持此加密方式，因为一些老款无线设备可能不具有该方式，这时，建议用户更换一款较新的无线路由，价格可关注我们的促销行情。
5、仅限特定电脑访问
如果考虑到损耗无线传输速率，用户不愿意使用加密来保护无线网络安全，通过设置MAC地址过滤算得上是不错的方法。
缺点是当有新计算机需要使用网络时，必须手动添加其MAC地址以便能够顺利连接。
6、应用各种安全过滤
除了较好的MAC过滤功能，在安全方面，建议防火墙过滤、入侵检测等防范措施尽量应用。将网络安全细节处理得一丝不苟，才能有效保障用户在连接互联网的时候能毫无顾虑，有效的拒绝安全威胁。
应用各种安全过滤
7、禁用SSID广播
作为用户搜索无线网络信号时标明身份的标识符，SSID是最为简单的识别标志。一般设备默认将使用品牌名加上型号来作为SSID。
禁用SSID广播
在使用之处，首先将自己的SSID更改为一个与环境中其他无线信号不通的名称，之后关闭SSID广播，以便让自己的无线网络不显示在他人的搜索名单中，当然，这仅仅是一个小技巧，并不说明能够完全阻止黑客入侵。
当然，高级用户还可以使用VPN这类手段来更好的保障网络安全。
第3页：掌握技巧 创造完美体验
掌握技巧 创造完美体验
8、熟悉路由器基本细节
作为用户使用最多的上网设备，路由器的设置基本上全部都可以通过Web界面搞定。而最常见的登陆地址便是192.168.1.1，而默认账号admin，，密码为admin、空、password三者较为常见。
9、检查你的连接
在网络连接时，估计没有什么比“无法连接远程机器”此类结果更让人沮丧。为了确保网络中设备间的正常连接，通过ping命令来检查网络是否连通顺畅也是个不错的方法哟。
在计算机中，打开命令窗口，键入ping 192.168.1.*(所查电脑IP地址)来检查连接。此法应用于Windows、Mac和Linux系统中。
10、端口转发
许多服务或应用程序，如文件共享软件、FTP服务器、音乐流媒体服务器等需要特定端口连接，用户最好将计算机指定特定端口来传入流量，以免造成传输上的问题。
端口转发
11、注意DNS提供商
DNS，是Domain Name System的缩写，即域名解析系统。它可让用户能够顺利通过IP访问网络。如果没有找到指定IP，或由于连接数太多，翻译繁忙时，用户上网就会造成困扰。
国外用户目前可以随用户选择DNS服务器，如谷歌的OpenDNS等。
12、保持固件升级
路由器设备的硬件虽然已经确定，不能通过更换某部分来进行升级，但其固件通过更新却能让设备工作更加高效。通过刷新版本固件，让路由器各部分使用更加合理，或者添加额外功能。
路由器的固件就想是PC的操作系统，固件的升级不但带来了全新功能或让其工作更加高效，还能给漏洞打好补丁，降低威胁。
13、USB无线网卡
作为笔记本来说，无线网卡是不需要担心的，但是如果想让台式机也摆脱网线的烦恼，那么一款USB无线网卡的选择就显得非常必要了。
随着11n标准的出炉，符合新标准的无线网卡层出不穷，相信选择一款合适的产品不会太费力。

‘伍’ 无线局域网中的安全措施

摘要：由于在现在局域网建网的地域越来越复杂，很多地方应用了无线技术来建设局域网，但是由于 无线网络 应用电磁波作为传输媒介，因此安全问题就显得尤为突出。本文通过对危害无线局域网的一些因素的叙述，给出了一些应对的安全 措施 ，以保证无线局域网能够安全，正常的运行。

关键字：WLAN，WEP，SSID，DHCP，安全措施

1、 引言

WLAN是Wireless LAN的简称，即无线局域网。所谓无线网络，顾名思义就是利用无线电波作为传输媒介而构成的信息网络，由于WLAN产品不需要铺设通信电缆，可以灵活机动地应付各种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性，在难以重新布线的区域提供快速而经济有效的局域网接入，无线网桥可用于为远程站点和用户提供局域网接入。但是，当用户对WLAN的期望日益升高时，其安全问题随着应用的深入表露无遗，并成为制约WLAN发展的主要瓶颈。[1]

2、 威胁无线局域网的因素

首先应该被考虑的问题是，由于WLAN是以无线电波作为上网的传输媒介，因此无线网络存在着难以限制网络资源的物理访问，无线网络信号可以传播到预期的方位以外的地域，具体情况要根据建筑材料和环境而定，这样就使得在网络覆盖范围内都成为了WLAN的接入点，给入侵者有机可乘，可以在预期范围以外的地方访问WLAN，窃听网络中的数据，有机会入侵WLAN应用各种攻击手段对无线网络进行攻击，当然是在入侵者拥有了网络访问权以后。

其次，由于WLAN还是符合所有网络协议的计算机网络，所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机，甚至会产生比普通网络更加严重的后果。

因此，WLAN中存在的安全威胁因素主要是：窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。

IEEE 802.1x认证协议发明者VipinJain接受媒体采访时表示：“谈到无线网络，企业的IT经理人最担心两件事：首先，市面上的标准与安全解决方案太多，使得用户无所适从；第二，如何避免网络遭到入侵或攻击？无线媒体是一个共享的媒介，不会受限于建筑物实体界线，因此有人要入侵网络可以说十分容易。”[1]因此WLAN的安全措施还是任重而道远。

3、无线局域网的安全措施

3.1采用无线加密协议防止未授权用户

保护无线网络安全的最基本手段是加密，通过简单的设置AP和无线网卡等设备，就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准 方法 。许多无线设备商为了方便安装产品，交付设备时关闭了WEP功能。但一旦采用这种做法，黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换，有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSID)，在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播，除非有特殊理由，否则应该禁用SSID广播，这样可以减少无线网络被发现的可能。[2]

但是目前IEEE 802.11标准中的WEP安全解决方案，在15分钟内就可被攻破，已被广泛证实不安全。所以如果采用支持128位的WEP，解除128位的WEP的是相当困难的，同时也要定期的更改WEP，保证无线局域网的安全。如果设备提供了动态WEP功能，最好应用动态WEP，值得我们庆幸的，Windows XP本身就提供了这种支持，您可以选中WEP选项“自动为我提供这个密钥”。同时，应该使用IPSec，，SSH或其他

WEP的替代方法。不要仅使用WEP来保护数据。

3.2 改变服务集标识符并且禁止SSID广播

SSID是无线接人的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM 的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的 SSID。如果可能的话。还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户．当然这并不是说你的网络不可用．只是它不会出现在可使用网络的名单中。[3]

3.3 静态IP与MAC地址绑定

无线路由器或AP在分配IP地址时，通常是默认使用DHCP即动态IP地址分配，这对无线网络来说是有安全隐患的，“不法”分子只要找到了无线网络，很容易就可以通过DHCP而得到一个合法的IP地址，由此就进入了局域网络中。因此，建议关闭DHCP服务，为家里的每台电脑分配固定的静态IP地址，然后再把这个IP地址与该电脑网卡的MAC地址进行绑定，这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因为还要验证绑定的MAC地址，相当于两重关卡。[4]设置方法如下：

首先，在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能，把各电脑的“名称”(即Windows系统属陆里的“计算机描述”)，以后要固定使用的IP地址，其网卡的MAC地址都如实填写好，最后点“执行”就可以了。

3.4 技术在无线网络中的应用

对于高安全要求或大型的无线网络，方案是一个更好的选择。因为在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。

对于无线商用网络，基于的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中，在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议，包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样，技术可以应用在无线的安全接入上，在这个应用中，不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网)，但是无线接入网络VLAN (AP和服务器之问的线路)从局域网已经被服务器和内部网络隔离出来。服务器提供网络的认征和加密，并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同，方案具有较强的扩充、升级性能，可应用于大规模的无线网络。

3.5 无线入侵检测系统

无线入侵检测系统同传统的入侵检测系统类似，但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说，是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者，还能加强策略。通过使用强有力的策略，会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。他是通过一种顺序分析，找出那些伪装WAP的无线上网用户无线入侵检测系统可以通过提供商来购买，为了发挥无线入侵检测系统的优良的性能，他们同时还提供无线入侵检测系统的解决方案。[1]

3.6 采用身份验证和授权

当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时，他们可以尝试建立与AP关联。目前，有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于，如果您没有其他的保护或身份验证机制，那么您的无线网络将是完全开放的，就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制。STA向AP发送申请，然后AP发回口令。接着，STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的，因此如果有人能够同时截取口令和响应，那么他们就可能找到用于加密的密钥。采用其他的身份验证／授权机制。使用 802.1x，或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。

[5]

3.7其他安全措施

除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术，例如设置附加的第三方数据加密方案，即使信号被盗听也难以理解其中的内容；加强企业内部管理等等的方法来加强WLAN的安全性。

4、 结论

无线网络应用越来越广泛，但是随之而来的网络安全问题也越来越突出，在文中分析了WLAN的不安全因素，针对不安全因素给出了解决的安全措施，有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段，但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样，所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样，但是安全措施的思路是正确的，能够保证无线网络内的用户的信息和传输消息的安全性和保密性，有效地维护无线局域网的安全。

参考文献

[1]李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007, (5):91-94.

[2]王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息.2005, (17):18.

[3]边锋.不得不说无线网络安全六种简单技巧[J].计算机与网络.2006, (20):6.

[4]冷月.无线网络保卫战[J].计算机应用文摘.2006,(26)：79-81.

[5]宋涛.无线局域网的安全措施[J]. 电信交换.2004, (1):22-27.

‘陆’ 教你保护无线网络安全连接九大方法

无线网络 系统如果没有采取适当的安全 措施 ，无论这个无线系统是安装在家中还是办公室里，都可能引发严重的安全问题。事实上，一些针对住宅区提供互联网服务的提供商已经在他们的服务协议中禁止用户和 其它 非授权人共享联网服务。一个不安全的无线网络可能造成服务丢失或是被利用来对其他网络发起攻击。为了避免类似的一些无线网络安全漏洞，这里我们介绍几种便捷的无线网络安全技巧。

使用无线加密协议

无线加密协议(WEP)是无线网络上信息加密的一种标准 方法 。现在出产的无线路由器几乎都向用户提供加密数据的选择，妥善使用此功能就可以避免自己的银行账户的细节信息(包括口令等)不会被居心叵测的人截获。不过，需要注意，Wi-Fi保护访问技术(WPA和WPA2)要比WEP协议更加强健，因此在保障无线通信安全方面作用更大。

使用MAC地址过滤

在正常情况下，无线路由器和访问点都拥有防止未知的无线设备连接到网络的能力。这种功能是通过比较试图连接到路由器的设备MAC地址和路由器所保存设备的MAC地址而实现的。不过，不幸的是，在路由器出厂时这种特性通常是关闭的，因为这需要用户的一些努力才能使其正确工作，否则反而无法连接网络。因此，通过启用这种特性，并且只告诉路由器本单位或家庭中无线设备的MAC地址，我们就可以防止他人盗用自己的互联网连接，从而提升安全性。

但不要完全依赖这条措施，也可以这样说，使用MAC地址过滤并不是对付死心塌地地克隆MAC地址并试图连接到用户无线网络的黑客们的救命良药，但你确实应当采用这项措施来减少网络风险。

设置安全口令

为无线的互联网访问设置一个口令至关重要。选择一个强口令有助于无线网络的安全，但不要使用伴随无线路由器的默认口令，也不要使用可从字典上轻易查出的单词或家人的生日等作为口令。

在不使用网络时将其关闭

如果用户的无线网络并不需要每周的24小时都提供服务，可以通过关闭它而减少被黑客们利用的机会。虽然许多企业并不能离开网络，而且将这条建议付诸实施可能不太现实。但对一个 系统安全 性的最重大改进措施之一就是直接关闭它。因为没有任何人可以访问一种并不存在或打开的服务。

监视网络入侵者

用户应当一直监视网络活动，并保障跟踪其趋势。用户特别是管理员对恶意的黑客活动了解得越多，就越容易找到应对策略。网管员应当收集有关扫描和访问企图的日志，并利用现有的大量统计数字生成工具，以便于将这些日志变为更有用的信息。还要设置日志服务器，使其在发现确实有恶意活动发生时能够向管理员发送警告或电子邮件。笔者认为，了解危险相当于赢得了斗争胜利的一半。

改变服务集标识符并且禁止SSID广播

服务集标识符(SSID)是无线接入的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。

如果可能的话，还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户，当然这并不是说你的网络不可用，只是它不会出现在可使用网络的名单中。

仅在某些时段允许互联网访问

现在出产的一些最新无线路由器允许用户将对互联网的访问限制在一天的某些时段。例如，如果你不需要从周一到周五的上午8点到下午6点之间访问互联网，那么干脆打开你的路由器设置来禁用这些时段的访问!

无线网络系统如果没有采取适当的安全措施，无论这个无线系统是安装在家中还是办公室里，都可能引发严重的安全问题。事实上，一些针对住宅区提供互联网服务的提供商已经在他们的服务协议中禁止用户和其它非授权人共享联网服务。一个不安全的无线网络可能造成服务丢失或是被利用来对其他网络发起攻击。为了避免类似的一些无线网络安全漏洞，这里我们介绍几种便捷的无线网络安全技巧。

使用无线加密协议

无线加密协议(WEP)是无线网络上信息加密的一种标准方法。现在出产的无线路由器几乎都向用户提供加密数据的选择，妥善使用此功能就可以避免自己的银行账户的细节信息(包括口令等)不会被居心叵测的人截获。不过，需要注意，Wi-Fi保护访问技术(WPA和WPA2)要比WEP协议更加强健，因此在保障无线通信安全方面作用更大。

使用MAC地址过滤

在正常情况下，无线路由器和访问点都拥有防止未知的无线设备连接到网络的能力。这种功能是通过比较试图连接到路由器的设备MAC地址和路由器所保存设备的MAC地址而实现的。不过，不幸的是，在路由器出厂时这种特性通常是关闭的，因为这需要用户的一些努力才能使其正确工作，否则反而无法连接网络。因此，通过启用这种特性，并且只告诉路由器本单位或家庭中无线设备的MAC地址，我们就可以防止他人盗用自己的互联网连接，从而提升安全性。

但不要完全依赖这条措施，也可以这样说，使用MAC地址过滤并不是对付死心塌地地克隆MAC地址并试图连接到用户无线网络的黑客们的救命良药，但你确实应当采用这项措施来减少网络风险。

设置安全口令

为无线的互联网访问设置一个口令至关重要。选择一个强口令有助于无线网络的安全，但不要使用伴随无线路由器的默认口令，也不要使用可从字典上轻易查出的单词或家人的生日等作为口令。

在不使用网络时将其关闭

如果用户的无线网络并不需要每周的24小时都提供服务，可以通过关闭它而减少被黑客们利用的机会。虽然许多企业并不能离开网络，而且将这条建议付诸实施可能不太现实。但对一个系统安全性的最重大改进措施之一就是直接关闭它。因为没有任何人可以访问一种并不存在或打开的服务。

监视网络入侵者

用户应当一直监视网络活动，并保障跟踪其趋势。用户特别是管理员对恶意的黑客活动了解得越多，就越容易找到应对策略。网管员应当收集有关扫描和访问企图的日志，并利用现有的大量统计数字生成工具，以便于将这些日志变为更有用的信息。还要设置日志服务器，使其在发现确实有恶意活动发生时能够向管理员发送警告或电子邮件。笔者认为，了解危险相当于赢得了斗争胜利的一半。

改变服务集标识符并且禁止SSID广播

服务集标识符(SSID)是无线接入的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。

如果可能的话，还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户，当然这并不是说你的网络不可用，只是它不会出现在可使用网络的名单中。

仅在某些时段允许互联网访问

现在出产的一些最新无线路由器允许用户将对互联网的访问限制在一天的某些时段。例如，如果你不需要从周一到周五的上午8点到下午6点之间访问互联网，那么干脆打开你的路由器设置来禁用这些时段的访问!

禁用动态主机配置协议

这好象是一个奇怪的安全策略，但是对于无线网络，它是有道理的。通过这个策略，你将迫使黑客去解除你的IP地址，子网掩码，和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点，他还必需要知道你的IP地址。

禁用或修改SNMP设置

如果你的无线接入点支持SNMP, 那么你需要禁用它或者修改默认的公共和私有的标识符。你如果不这么做的话，黑客将可以利用SNMP获取关于你网络的重要信息。是对于无线网络，它是有道理的。通过这个策略，你将迫使黑客去解除你的IP地址，子网掩码，和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点，他还必需要知道你的IP地址。

禁用或修改SNMP设置

如果你的无线接入点支持SNMP, 那么你需要禁用它或者修改默认的公共和私有的标识符。你如果不这么做的话，黑客将可以利用SNMP获取关于你网络的重要信息。

‘柒’ 求一个公司无线网络建设方案

方案三：无线网络设计方案

一、前言

随着计算机应用技术的普及和国民经济信息化的发展，客户/服务器计算、分布式处理、国际互连网（Internet）、内部网（Intranet）等技术被广泛接受和应用，计算机的联网需求迅速扩大，网络在各行各业的应用越来越广。目前尽管有线网络以其传输速度高，产品品牌及数量众多和技术发展速度快等优点，在市场上有较高的知名度和较大的市场份额，但是在一些特殊的环境和特定的行业里依然有许多令IT数据管理公司头疼多年的LAN布线问题存在。

无线局域网在很多应用领域具有独特的优势：一是可移动性，它提供了不受线缆限制的应用，用户可以随时上网；二是容易安装、无须布线，大大节约了建网时间；三是组网灵活，即插即用，网络管理人员可以迅速将其加入到现有网络中，并在某种环境下运行；四是成本低，特别适合于变化频繁的工作场合。此外，无线网络相对来说比较安全，无线网络通信以空气为介质，传输的信号可以跨越很宽的频段，而且与自然背景噪音十分的相似，这样一来，就使得窃听者用普通的方式难以偷听到数据。

实际上，无线局域网早在80年代就已经得到广泛应用，当时受到技术上的制约，通信速率只有860kb/s，工作在900MHz的频段。能够了解并享受它的好处的人少之又少。到了90年代初，随着技术的进步，无线局域网的通信速率已经提高到1~2Mb/s，工作频段为2.4GHz，并开始向医疗、教育等多媒体应用领域延伸。无线局域网的发展也引起国际标准化组织的关注，IEEE从1992年开始着手制订802.11标准，以推动无线局域网的发展。1997年，该标准获得通过，它大大促进了不同厂商产品之间的互操作性，并推进了已经萌芽的产业的发展。802.11标准仅限于物理(PHY)层和媒介访问控制(MAC)层。物理层对应于国际标准化组织的七层开放系统互连(OSI)模型的最低层，MAC层与OSI第二层的下层相对应，该层与逻辑链路控制（LLC）层构成了OSI的第二层。

标准实际规定了三种不同的物理层结构，用户可以从中选出一种，它们中的每一种都可以和相同的MAC层进行通信。802.11工作组的成员认为在物理层实现方面有多个选择是必要的，因为这可以使系统设计人员和集成人员根据特定应用的价格、性能、操作等方面的因素来选择一种更合适的技术。另外，企业局域网通常会使用有线以太网和无线节点混合的方式，它们在使用上没有区别。近年来，无线局域网的速率有了本质的提高，新的IEEE802.11b标准支持11Mb/s高速数据传输。这为宽带无线应用提供了良好的平台。局域网作为一种通用的联网手段，得到了极为广泛的应用，其传输速率、网络性能不断提高。不过，它基本采用的是有线传输媒介，在许多不适宜布线的场合，受到很大程度的限制。另一方面，无线数据传输技术近年来不断获得突破，标准化进展也极为迅速，这使得局域网环境下的数据传输完全可以摆脱线缆的束缚。在此基础上，无线局域网开始崛起，越来越受到人们的重视。

随着wireless技术的出现和技术的不断进步，在诸多计算机联网技术中，无线网以其无需布线、在一定区域漫游、运行费用低廉等优点，在许多这些应用场合发挥着其他联网技术不可替代的作用。随着无线局域网应用逐渐增多，它将扩展有线局域网或在某些情况下取而代之。可以预期，在未来信息无所不在的时代，无线网将依靠其无法比拟的灵活性，可移动性和极强的可扩容性，使人们真正享受到简单、方便、快捷的连接。

二、需求分析

2.1、基本应用情况

对于该办公区的无线网络，主要提供给会议室、行政办公室、销售办公室、

物流办公室、常务副总办公室和行政总监办公室等6个区块使用，这些部门及个人都使用计算机处理及传递各种信息（包括图像、图形、声音、数据等），进行各自的办公、会议和管理等工作。建立一个支持多种应用系统的统一、先进的、具有良好的可扩展性和有一定冗余的网络平台，具有高可靠性、高安全性的运行网络是其基本的应用需求。下面将对其功能需求做一个具体详细的分析。

2.2、功能需求分析

（1）技术中心办公室

普通会议

视频会议

多媒体会议

学术研讨

（2）网络办公功能

网上事务管理

Web通用查询

Internet/Intranet信息服务功能

构建公司Intranet公司信息、服务系统，实现公司信息网上发布、整个公司的电子邮件系统、网上资源的信息共享，使管理人员和员工可以在公司内部网络交流。

2.3、环境需求分析

该建筑是属于大城市中的钢筋混凝土框架建筑物，按国家建筑标准，无线信号的贯穿损耗中值为18dB，标准偏差7.7dB，但经现场测试，此建筑的隔断墙的无线传输损耗为5dB。本大楼主要分为办公区和展览区，在办公区域接入点相对固定，而在大厅和展示厅的信号接入点则相对比较灵活，流动性比较大，需要做好无线信号的无缝漫游、无信号盲区，使使用者能稳定地接收到信号。

2.4、安全需求分析

由于在该楼层中有物流、销售、行政总监等办公室，都拥有公司的机密文件和材料，而为了不让外面的人在上外网的同时不能进入到本公司的内部网络，那就对我们的安全策略提出了要求，则必须使用稳定保险的加密技术来支持，比如WEP、WPA、RADIUS或无线交换机中使用的WLAN定位技术。

2.5、用户需求

（1）无线覆盖的场地，保证进入场地覆盖区域的客户能用自己的笔记本和无线网卡直接上网

（2）在保证客户在场地及其它覆盖区域无限制上网的同时，能使内部员工在办

公楼内随时访问内部网络。

（3）要求在无线覆盖区内95%的位置，99%的时间用户可成功接入网络,通过无线访问Internet。

（4）场地要求办公区域无线覆盖的信号接收强度达最低到15db，其它开放区域接收信号强度最大到底20db,需要做无线盲点覆盖。

（5）单用户情况数据传输速率最大4Mb/s，在多用户接入时，不低于100kb/s

‘捌’ 如何有效管理企业WiFi无线网络

对手机（移动设备）上网的管控主要考虑如下几个方面：

1. 识别客户机操作系统

2. 用户接入认证

3. 配置上网行为管理策略

4. 上网内容记录

5. 检测、禁止随身WiFi的使用。避免随身wifi对企业wifi产生干扰。

要实现这些功能，需要专业的上网行为管理才可以。建议你安装WFilter NGF系统，可以有效的管理WiFi网络。

‘玖’ .简述为大型会议建立无线网络,需要从哪些方面考虑

AP隔离非常类似有线网络的VLAN（虚拟局域网），将所有的无线客户端设备之间完全隔离，使客户端只能访问AP接入的固定网络。该措施非常适合大型的会议室、酒店、机场等公共场所的无线网络建设，让各个接入的无线客户端之间相互保持隔离，提供彼此间更加安全的接入。该措施对于家庭用户来说没有太多的实际意义，但企业用户在一些特殊的场合可以采用这种方式来加强无线网络的安全性。例如有客户或外单位人员参加的会议等公共活动。

‘拾’ 保证企业内网安全应该怎么做

1、注意内网安全与网络边界安全的不同
内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击，主要是防范来自公共的网络服务器如HTTP或SMTP的攻 击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。内网安全威胁主要源于企业内部。恶性的黑客攻击 事件一般都会先控制局域网络内部的一台Server，然后以此为基地，对Internet上其他主机发起恶性攻击。因此，应在边界展开黑客防护措施，同时 建立并加强内网防范策略。
2、限制VPN的访问
虚拟专用网(VPN)用户的 访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的。因此要避免给每一位 VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别，即只需赋予他们所需要的访问权限级别即可，如访问邮件服 务器或其他可选择的网络资源的权限。
3、为合作企业网建立内网型的边界防护
合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来完固防火墙，保护MS-SQL，但是Slammer蠕虫仍能侵入 内网，这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此，既然不能控制合作者的网络安全策略和活动，那么就应该为每一个合作企业创建一个 DMZ，并将他们所需要访问的资源放置在相应的DMZ中，不允许他们对内网其他资源的访问。
4、自动跟踪的安全策略
智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。它带来了商业活动中一大改革，极大的超过了手动安全策略的功效。商业活动的现状需要 企业利用一种自动检测方法来探测商业活动中的各种变更，因此，安全策略也必须与相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用情况并记录与 该计算机对话的文件服务器。总之，要做到确保每天的所有的活动都遵循安全策略。
5、关掉无用的网络服务器
大型企业网可能同时支持四到五个服务器传送e-mail，有的企业网还会出现几十个其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服 务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用 的，关掉该文件的共享协议。
6、首先保护重要资源
若一个内网上连了千万台 (例如30000台)机子，那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择优问题。这样，首先要对服 务器做效益分析评估，然后对内网的每一台网络服务器进行检查、分类、修补和强化工作。必定找出重要的网络服务器(例如实时跟踪客户的服务器)并对他们进行 限制管理。这样就能迅速准确地确定企业最重要的资产，并做好在内网的定位和权限限制工作。
7、建立可靠的无线访问
审查网络，为实现无线访问建立基础。排除无意义的无线访问点，确保无线网络访问的强制性和可利用性，并提供安全的无线访问接口。将访问点置于边界防火墙之外，并允许用户通过VPN技术进行访问。
8、建立安全过客访问
对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet访问”的策略，使得员工给客户一些非法的访问权限，导致了内网实时跟踪的困难。因此，须在边界防火墙之外建立过客访问网络块。
9、创建虚拟边界防护
主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的)，还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企 业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样，如果一个市场用户的客户机被侵入了，攻击者也不会由此而进入到公司的R&D。因此 要实现公司R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护，现在也应该意识到建立网上不同商业用户群之间 的边界防护。
10、可靠的安全决策
网络用户也存在着安全隐患。有的用户或 许对网络安全知识非常欠缺，例如不知道RADIUS和TACACS之间的不同，或不知道代理网关和分组过滤防火墙之间的不同等等，但是他们作为公司的合作 者，也是网络的使用者。因此企业网就要让这些用户也容易使用，这样才能引导他们自动的响应网络安全策略。
另外，在技术上，采用安全交换机、重要数据的备份、使用代理网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺少。