无线局域网络的安全设置及应用-毕业论.doc

合肥学院20 届 毕 业 论 文（设计）论文(设计)题目无线局域网络的安全设置及应用院系名称计算机科学与技术系专业（班级）2009级网络系统管理1班姓名（学号）许媛媛 （0904041050）指导教师沈 亦 军 系负责人袁 暋 完成时间2012.5.15 无线网络的安全设置和的防攻击实现摘 要 无线网络技术是21世纪全球信息技术发展的重要标志之一。随着无线网络产品价格的下降和用户使用热情的提高，在诸如机场，咖啡厅等很多公共场合都已经安装了无线AP（接入点），大多数新出品的笔记本，如迅驰笔记本也内置了无线网卡，人们可以随时随地的利用无线技术接入网络。然而，无线网络给我们带来方便和舒适的同时，也带来了不少的安全隐患。试想以下的情景：一个企业网络，由防火墙、IPS、VPN、DMZ等等建立起了完善的防护体系，入侵者要想从外部突破几乎是不可能的。然后，公司内部某位员工可能因为贪图方便，或者仅仅是觉得新奇，将家里自用的AP带来公司并连入网络使用。这样，入侵者可以使用定向的八木天线从一百甚至数百米远的地方通过这个AP绕过有线网中的层层防护，接入公司内部网络，使企业的巨额安全花费通通白费。 在无线局域网的早期发展阶段，物理地址（MAC）过滤和服务区标识符(SSID)匹配是两项主要的安全技术。物理地址过滤技术可以在无线访问点AP中维护一组允许访问的MAC地址列表，实现物理地址过滤。服务区标识符匹配则要求无线工作站出示正确的SSID，才能访问AP，通过提供口令认证机制，实现一定的无线安全。关键词：无线网络设置，服务区标识符（SSID）,WEP安全设置，无线路由ABSTRACTThe technology of wireless network is one of the important signals of global information and technology development in the 21st century. With the decreasing price of wireless products and the rising number of users, for example, in the airport, cafeteria and other public area, have already set wireless AP(input point), and for the new laptops, such as Centrino laptop, with built-in wireless network card, people can access Internet wherever and whenever they want.However, wireless network brings us hidden trouble as well as the convenience and comfortableness ,Imagine this: if an enterprise network has a perfect protection system, which is consisted with firewall, IPS,VPN, DMZ, it approaches to impossibility to destroy it from outer side; however, if someone who is working in the company take his own AP to the company, connect it into Internet and use it, just for convenience or for fun, with the help directional antenna, the intruders can skirt around levels of protection of the wire network one hundred or several hundred meters away, join in internal networks of this company, therefore,the tremendous costs on the enterprise network will be valueless.In the early stage of development, the filter of physical address (MAC) and matching of service area identifier (SSID) matching are two key techniques of security. Physical address filtering technology can realize filtering of physical address by protecting a list of accessible MAC address in the wireless access point AP. The matching of identifier in the service area requires wireless stations show correct SSID, only in this way can it access to AP. Through the password authentication, to achieve a certain levels of wireless safey.KEY WORDS: wireless network setting, service area identifier (SSID), WEP security, wireless routing目 录第一章 绪论11.1 课题的来源及意义11.2 课题主要研究的问题11.3课题的目标及基本思路11.3.1 目标11.3.2 基本思路2第二章 无线局域网技术32.1无线局域网技术特点32.1.1 传输方式32.1.2 网络拓扑42.1.3 网络接口52.1.4 无线局域网的应用环境62.2 无线局域网安全技术分类6第三章 IEEE802.11标准描述83.1标准概述83.2无线网络结构83.3无线网络连接建立使用流程9第四章 WEP(Wired Equivalent Privacy)114.1 WEP加密过程114.2 WEP解密过程12第五章 无线局域网安全操作和设置155.1 无线路由器设置155.2 SSID的设置165.3 MAC地址的设置175.4无线数据加密18结 论22参考文献23致 谢24III合肥学院计算机科学与技术系毕业论文第一章 绪论1.1 课题的来源及意义 在过去的很多年，计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在实施过程中工程量大，破坏性强，网中的各节点移动性不强。为了解决这些问题，无线网络作为有线网络的补充和扩展，逐渐得到的普及和发展。无线局域网是计算机网络与无线通信技术相结合的产物，由于无线和有线局域网无论在技术上还是应用上都有各自的优缺点，在许多地方不是互相替代，而是优势互补，所以现在及将来的局域网应是无线和有线的有机结合，这种主流态势乃大势所趋。目前各种无线蹭网卡正大肆其道，我们无线网络的安全变得岌岌可危，如何保证自己的无线网络不被别人侵占呢？设置更安全的无线网络。1.2 课题主要研究的问题（1）无线网络的结构。（2）采用哪些方法设置更安全的无线网络？（3）攻击者如何破解无线网及对策？1.3课题的目标及基本思路1.3.1 目标 使读者能用简单的几招设置自己的安全网络，简单、便捷。1.3.2 基本思路 对于“低敏感度高可用性”有需求的客户，肯定是有部署一个不小的无线网络，我们依据用户的机密要求程度，来对使用环境进行评估，从三个基本的安全服务来考虑，审计、认证和机密性。 （1）审计。审计在WLAN上尤其重要，这是因为它很容易在网络内部增加新的访问节点并且内部环境变化很快。保护WLAN的第一步必须建立网络审计系统，实现对内部网络的所有访问节点审计。我们要为用户制定管理政策，保证网络审计成为一个规范化的行为，来限制具有欺骗访问行为的站点恣意进入WLAN。在有任何问题的出现时，也能进行查证。（2）认证。因为基于WEP标准的WLAN安全协议并不可信，对安全要求高的客户我们应该增加其网络系统的认证功能，如使用802.1x和EAP/RADIUS。 （3）机密性。已经完成了认证的用户就可以使用无线网络来传输那些没有商业价值和不要求加密的信息。在这种情况下，使用WPA能满足一般需要。不过当用户在WLAN上交换机密信息，或者传送个人信息时，VPN就成为保证隐私的新选择了。第二章 无线局域网技术2.1无线局域网技术特点随着计算机技术和网络技术的蓬勃发展，网络在各行各业的应用越来越广。有线网络以其传输速度高，产品的品牌及数量众多和技术发展速度快等优点，在市场上有着相当的知名度和市场份额。然而，随着无线网络在技术上的成熟，产品种类的不断增加和产品成本下降，未来几年，无线网在全世界将有较大的发展。无线局域网应用越来越广，它将会扩展有线局域网或在某些情况下取而代之。可以预想，在未来信息无所不在的时代，无线网将依靠其无法比拟的灵活性，可移动性和极强的可扩容性，使人们真正享受到简单、方便、快捷的连接。下面从传输方式、网络拓扑、网络接口及对移动计算的支持等方面来简述无线局域网的特点。 2.1.1 传输方式 传输方式涉及无线局域网采用的传输媒体、选择的频段及调制方式。目前无线局域网采用的传输媒体主要有两种，即微波与红外线。采用微波作为传输媒体的无线局域网按调制方式不同，又可分为扩展频谱方式与窄带调制方式。1、扩展频谱方式在扩展频谱方式中，数据基带信号的频谱被扩展至几倍几十倍再被搬移至射频发射出去。这一做法虽然牺牲了频带带宽，却提高了通信系统的抗干扰能力和安全性。由于单位频带内的功率降低，对其它电子设备的干扰也减小了。采用扩展频谱方式的无线局域网一般选择所谓的ISM频段，这里ISM分别取自Industrial、Scientific及Medical的第一个字母。许多工业、科研和医疗设备辐射的能量集中于该频段。欧美日等国家的无线管理机构分别设置了各自的ISM频段。例如美国的ISM频段由902928MHz，2.42.484GHz, 5.7255.850GHz三个频段组成。如果发射功率及带外辐射满足美国联邦通信委员会（FCC）的要求，则无需向FCC提出专门的申请即可使用这些ISM频段。 2、窄带调制方式 在窄带调制方式中，数据基带信号的频谱不做任何扩展即被直接搬移到射频发射出去。与扩展频谱方式相比，窄带调制方式占用频带少，频带利用率高。采用窄带调制方式的无线局域网一般选用专用频段，需要经过国家无线电管理部门的许可方可使用。当然，也可选用ISM频段，这样可免去向无线电管理委员会申请。但带来的问题是，当邻近的仪器设备或通信设备也在使用这一频段时，会严重影响通信质量，通信的可靠性无法得到保障。 3、红外线方式 基于红外线的传输技术最近几年有了很大发展。目前广泛使用的家电遥控器几乎都是采用的红外线传输技术。作为无线局域网的传输方式，红外线方式的最大优点是这种传输方式不受无线电干扰，且红外线的使用不受国家无线管理委员会的限制。然而，红外线对非透明物体的透过性极差，这导致传输距离受限制。2.1.2 网络拓扑 无线局域网的拓扑结构可归结为两类：无中心或叫对等式（PEER TO PEER）拓扑和有中心（HUBBASED）拓扑。 1、无中心拓扑 无中心拓扑的网络要求网中任意两个站点均可直接通信。采用这种拓扑结构的网络一般使用公用广播信道，各站点都可竞争公用信道，而信道接入控制（MAC）协议大多采用CSMA（载波监测多址接入）类型的多址接入协议。这种结构的优点是网络抗毁性好、建网容易、且费用较低。但当网中用户数（站点数）过多时，信道竞争成为限制网络性能的要害。并且为了满足任意两个站点可直接通信，网络中站点布局受环境限制较大。因此这种拓扑结构适用于用户数相对较少的工作群规模。2、有中心拓扑在有中心拓扑结构中，要求一个无线站点充当中心站，所有站点对网络的访问均由其控制。这样，当网络业务量增大时网络吞吐性能及网络时延性能的恶化并不据烈。由于每个站点只需在中心站覆盖范围内就可与其它站点通信，故网络中心点布局受环境限制亦小。此外，中心站为接入有线主干网提供了一个逻辑接入点。有中心网络拓扑结构的弱点是抗毁性差，中心站点的故障容易导致整个网络瘫痪，并且中心站点的引入增加了网络成本。 在实际应用中，无线局域网往往与有线主干网络结合起来使用。这时，中心站点充当无线局域网与有线主干网的转接器。 2.1.3 网络接口 这涉及无线局域网中站点从哪一层接入网络系统。一般来讲，网络接口可以选择在OSI参考模型的物理层或数据链路层。所谓物理层接口指使用无线信道替代通常的有线信道，而物理层以上各层不变。这样做的最大优点是上层的网络操作系统及相应的驱动程序可不做任何修改。这种接口方式在使用时一般做为有线局域网的集线器和无线转发器以实现有线局域网间互联或扩大有线局域网的覆盖范围。 另一种接口方法是从数据链路层接入网络。这种接口方法并不沿用有线局域网的MAC协议，而采用更适合无线传输环境的MAC协议。在实时，MAC层及其以下层对上层是透明的，配置相应的驱动程序来完成与上层的接口，这样可保证现有的有线局域网操作系统或应用软件可在无线局域网上正常运行。目前，大部分无线局域网厂商都采用数据链路层接口方法。 2.1.4 无线局域网的应用环境 根据无线局域网的特点，其应用可分为两类：一类作为半移动网络应用，一类作为全移动网络应用。 1半移动应用 在半移动应用环境下，又可分为室内应用和室外应用。 2室内应用 在室内应用下，无线局域网作为有线局域网的补充，与有线局域网并存。由于无线局域网的价格比有线局域网高，故在室内环境下，无线局域网在以下应用情况可发挥其无线特长：大型办公室、车间；超级市场、智能仓库；临时办公室、会议室；证券市场等。 3室外应用 在难于布线的室外环境下，无线局域网可充分发挥其高速率、组网灵活之优点。尤其在公共通信网不发达的状态下，无线局域网可作为区域网（覆盖范围几十公里）使用。下面列出几种应用情况：城市建筑群间通信；学校校园网络；工矿企业厂区自动化控制与管理网络；银行、金融证券城区网络；城市交通信息网络；矿山、水利、油田等区域网络；港口、码头、江河湖坝区网络；野外勘测、实验等流动网络；军事、公安流动网络等。2.2 无线局域网安全技术分类常见的无线网络安全技术有以下几种：1、服务集标识符(SSID)通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。但是这只是一个简单的口令，所有使用该网络的人都知道该SSID，很容易泄漏，只能提供较低级别的安全;而且如果配置AP向外广播其SSID，那么安全程度还将下降，因为任何人都可以通过工具得到这个SSID。2、物理地址(MAC)过滤由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新，可扩展性差，无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。3、连线对等保密(WEP)在链路层采用RC4对称加密技术，用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失或者泄漏密钥将使整个网络不安全。而且由于WEP加密被发现有安全缺陷，可以在几个小时内被破解。详细分析见下面。4、虚拟专用网络(VPN)VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素，同时还可以提供基于Radius的用户认证以及计费。5、端口访问控制技术(802.1x)该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为用户打开这个逻辑端口，否则不允许用户上网。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公司的无线接入解决方案。24第三章 IEEE802.11标准描述3.1标准概述IEEE802.11是1999年11月由LAN/MAN标准委员会下属的无线工作组制定的无线局域网标准，规定了用于无线局域网的MAC层和物理层协议。802.11下又分有很多子标准：802.11a、802.11b、802.11d、802.11e、802.11f、802.11g、802.11h、802.11i，其中重要的有a、b、g三个子标准。80211a标准是第一个获得正式批准的无线以太网标准。但是它并没有得到迅速普及，因为它基于新技术，而且使用了一种完全不同的数据传输标准。它工作在5GHz频率上，使用OFDM（正交频分复用）数据传输机制，最高速率达54Mbps。IEEE802.11b标准使用与以太网相似的协议，工作频段是ISM（工业、科学和医疗）频段之一：2400-2483.5MHz。最高速率11Mbps，并能在较差条件下工作于5.5Mbps,2Mbps和1Mbps。虽然802.11a的速度比802.11b快，但有几个问题影响了数据传输的质量。由于频率高，数据传输距离短，信号也不稳定。因此802.11g应运而生，它同样工作与2.4GHz频率上，同时使用OFDM技术提供更快的速度（24-54Mbps）。3.2无线网络结构无线局域网由无线站STA、访问节点AP和交换设备组成。无线局域网的基本组成模块是基本服务组（BSS），独立的BSS是IEEE802.1b的最基本类型，简单的BSS仅由两个STA组成。每个BSS可以看作是一个专门的工作组，它有一个身份证，记为BSSID，这种网络可以按需随时建立而不需事先计划，称为特别（Ad hoc）网络。无线传输的距离有限，BSS的范围对于大规模无线局域网就不够了，这时需要采取其他措施来增加网络覆盖范围。一般通过访问点AP将几个BSS连接起来形成一个扩展的服务组（ESS）。ESS也有一个身份号，记为ESSID。其网络结构如图，图中STA1和AP1组成BSS1，STA2、STA3和AP2组成BSS23.3无线网络连接建立使用流程SwitchRouterInternet/IntranetSTA1STA2STA3AP1AP2图3-1典型Wi-Fi结构图 IEEE802.11协议定义STA与AP间的网络连接建立过程大致如下：首先，STA在所有网络信道广播消息，表示其想要与网络中的AP建立连接，这个消息包含STA的MAC地址和其所在网络的ESSID。收到这个消息后，在访问范围内的任何AP都将传其ESSID、信道号和MAC地址作为响应。利用AP的响应，STA可以将其信号限制在某一个AP无线信道，并开始认证过程。 当一个STA试图加入到无线局域网时，必须经过认证和附着（Association）两个过程，只有当附着成功后才能发送数据，其状态图如下：状态1未认证、未附着认证成功取消认证状态2已认证、未附着认证成功或重新附着取消附着状态3已认证、已附着取消认证可发送控制帧、管理帧、数据帧可发送控制帧、管理帧可发送控制帧图3-2认证状态机这种状态转换机制保证了无线终端必须成功通过认证和附着之后才能发送数据。具体的认证方式在后面详述。认证成功之后，STA再与AP进行关联。关联过程如下：STA传送其ESSID给AP验证，如果匹配，AP就将STA列入已认证过的STA表中，并返回一个肯定的答复给STA，然后STA就可以与网络连接，开始数据传输过程，使用无线网络。第四章 WEP(Wired Equivalent Privacy)WEP是IEEE802.11标准定义的最重要的安全算法，非常多的无线设备都能支持，WEP的作用有两点：1.明文数据的加密；2.保护未经认证的传输篡改。由于IEEE802.11协议的设计思想是尽可能模拟有线局域网，并对上层保持透明，所以WEP并不试图保证端到端的安全性，而仅仅保证从STA到AP间传输链路的安全。WEP通过发送方和接收方共享的密钥K来保护通讯双方交换的数据部分。允许STA与AP最多共享4个WEP用户密钥。具体使用哪个WEP用户密钥由WEP帧中的KEYID决定，下图显示了WEP帧的结构：IVDataCRC-32Encypted4 BytesIVKeyID1 B3 Bytes图4-1 WEP帧格式4.1 WEP加密过程 WEP依赖通信双方共享的密钥来保护传输的加密帧数据。WECA（Wireless Ethernet Compatibility Alliance）组织要求通过Wi-Fi认证的WLAN产品都必须支持至少40位的WEP加密协议。其加密数据帧的过程如下：计算校验和（checksumming）首先根据消息M计算完整校验和c(M)，将M和c(M)连接得到明文P=M,c(M)。加密。在这个过程中，将第一步得到的明文采用RC4算法加密。选择一个24位的初始化向量(IV)v。RC4算法用v和共享密钥k产生一个64位的密钥流，即一个长的伪随机字节序列PRNG(pseudo random number generator)。然后，将明文与密钥流进行按位异或操作XORs（记为），得到加密的信息，即密文：C=PRC4(v,k).传输。 将v和C串接得到传输的加密数据帧，在无线链路上传输。Mc(M)PKvPRNGCv图4-2WEP加密流程4.2 WEP解密过程 解密过程只是加密过程的简单取反。过程如下：恢复初试明文。重新产生密钥流RC4(v,k)，将其与接收到的密文信息进行异或运算以恢复当初的明文信息：P=CRC4(v,k)=(PRC4(v,k)RC4(v,k)=P;检验校验和。接收方根据恢复的明文信息P来检验校验和。将恢复的明文信息P分离成M,c的形式，重新计算校验和c(M),并检查是否与接收到的校验和c相匹配。这样可以保证只有正确的校验和数据帧才会被接收方接收密文CVI vRC4(v,k)kPc(M)M图4-3 WEP解密流程4.3 WEP安全漏洞密码序列重复使用流密码加密算法的一个缺陷是如果用相同的IV和密钥加密两条消息易导致两条消息的同时泄漏。例如：C1=P1RC4(v,k) C2=P2RC4(v,k)则有：C1C2=( P1RC4(v,k)(P2RC4(v,k)=P1P2从上式中可以看出C1和C2式是接收到的2个不同密文消息，将它们进行异或运算后就能将密钥流去掉，结果是2个明文信息P1和P2的异或，假如其中一个消息的明文已知，不论另外一个信息是否可知，则它的明文都可以立即得到。为阻止该类攻击，WEP协议为每个分组采用不用的初始向量IV加以克服，避免密钥序列的重复，然而无论是40bits或104bits长的密钥，其IV均为24bits，密钥空间只有224大小，对于CCK调制速率高达11Mbps的情形，可能在1小时以后就出现重复。流加密算法本身的弱点以及802.11标准中初始向量空间太少使密钥序列重复使用的机会大大增加，对于WLAN的安全是灾难性的。消息被篡改问题WEP协议使用32位的循环冗余校验（CRC32）验证数据的完整性。这原本是通信中用于检查随机误码的，没有密码保护，并不具备抗恶意攻击所需的消息认证功能。它不能对付恶意攻击（malicious attack），具体分析如下：设消息为P，密文为C，攻击者篡改数据为，篡改后的明文，密文为P,C,则C=RC4(v,k)。由于CRC32不带密钥，因此攻击者可算得CRC32(),现发起以下攻击。C（，CRC32（）=RC4(v,k)=RC4(v,k)攻击者完全可以不破坏校验和而对密文进行篡改密钥管理问题在802.11标准中，缺乏有效的密钥管理和分发机制。分配给客户机的密码由于丢失或泄密等原因，威胁网络的安全。另外，密码的更换周期较长，攻击者有足够的时间利用统计攻击的方法获得它。协议一般通过带外方式（out of band）分发密钥，通常标准分发4个密钥，每条消息中包含一个密钥标志符（key identifier）来表明其正在使用的密钥。标准也允许为每个移动台配置一个惟一的密钥，但这种选择往往不被广泛采用。实际使用时厂家经常为整个网络设置一个密钥，这样就带来了系统的安全隐患。另外一旦网络规模扩大或者成员动态变化时，仍采用带外方式发布密钥工作量太大，而密钥的分发管理又直接关系到系统认证和加密的安全，如何动态地实施密钥管理与交换，并在无线环境下安全地进行密钥分发，都是急待解决的关键问题。如果WEP使用单向的身份验证，即接入点可以验证用户的身份，而用户不能反过来验证接入点是否就一定是自己想要连接的接入点，WLAN中就有可能混入一个虚假的访问点，它可以诱使合法的客户机作为自己发动攻击的平台。WEP的包头没有加密,所以任何人可以看到数据传输的源和目的地址.针对以上漏洞，可以对WEP算法采取以下攻击方式：根据统计分析解密通信内容的被动攻击。根据已知明文，从未授权STA进入通信的主动攻击。通过虚假AP实现解密主动攻击。通过分析数日WLAN上的通信情况，允许实时自动地解密通信内容的字典构建攻击。第五章 无线局域网安全操作和设置 现在的路由器设置，多是通过WEB进行设置；由于路由器在没有正确设置以前，无线功能可能无法使用，因此我们通过网线与路由器连接；首先我们在浏览器地址栏中输入WR541G默认的IP地址，192.168.1.1。路由器的默认IP地址可能不相同，因此可在路由器上的标明或说明书中找到。在这里，需要说明一下：在通过WEB设置路由器时，当台与路由器连接的电脑的IP地址，必须设置成与路由器同一网关中；如下图的路由器IP地址是192.168.1.1，因此与之连接的电脑的IP可设置成192.168.1.2-192.168.1.255之间任一地址。5.1 无线路由器设置 在无线路由的Web配置界面中，我们可以在“无线设置”菜单中找到“无线网络加密”选项；而如果用户的无线路由拥有“快速设置向导”等功能，也可以在“向导”中完成无线网络加密的设置。5-1 无线网络加密常见的无线加密方式有三种：64/128位WEP加密、WPA加密和WPA2加密。需要特别说明的是，三种无线加密方式对无线网络传输速率的影响也不尽相同。由于IEEE 802.11n标准不支持以WEP加密（或TKIP加密算法）单播密码的高吞吐率，所以如果用户选择了WEP加密方式或WPA-PSK/WPA2-PSK加密方式的TKIP算法，无线传输速率将会自动降至11g水平（理论值54Mbps，实际测试成绩20Mbps左右）。也就是说，如果用户使用的是11n无线产品（150M或300M），那么无线加密方式只能选择WPA-PSK/WPA2-PSK的AES算法加密，否则无线传输速率将会自动降低。而如果用户使用的是11g产品，那么三种加密方式都可以很好的兼容，不过仍然不建议大家选择WEP这种较老且更容易破解的加密方式。5.2 SSID的设置无线路由器一般都会提供“允许SSID广播”功能。如果你不想让自己的无线网络被别人通过SSID名称搜索到，那么最好“禁止SSID广播”。注意:通过禁止SSID广播设置后，无线网络的效率会受到一定的影响，但以此换取安全性的提高，并认为还是值得的。而且由于没有进行SSID广播，该无线网络被无线网卡忽略了，尤其是在使用Windows XP管理无线网络时，达到了“掩人耳目”的目的。首先我们进入路由器设置，选择无线参数，取消允许SSID广播，一般路由器设置的SSID，厂家都会默认使用厂家的标识或机型，因此，如果不想别人猜出无线网络的SSID，我们可手动修改SSID，可指定任意个性化的，但也可不指定，采用默认的SSID如图5-1所示。图5-2 默认SSID但是我们禁用SSID广播，虽然达到了防范别人检测无线网络，但也会使我们自己无法检测和管理网络，因此我们需要在自己机器无线网络配置中手动指定SSID；选择控制面板-网络连接-鼠标单击无线网络连接，右键点属性，进入无线网络连接属性；选择无线网络配置，点击添加，输入与路由器一样的SSID确定即可如图5-3所示。图5-3 手动配置SSID5.3 MAC地址的设置无线MAC地址过滤功能通过MAC地址允许或拒绝无线客户端接入无线网络，有效控制无线客户端的接入权限。无线MAC过滤可以让无线网络获得较高的安全性。无线MAC地址的查看如图5-4所示。图5-4 MAC地址例如希望此MAC地址的主机访问或禁用无线网络，其他主机均不可以访问本无线网络，配置步骤如下：使用路由器管理地址登陆路由器管理界面，然后在“设置”菜单中选择“无线MAC地址过滤”选项，出现如图5-5界面：图5-5 MAC地址过滤设置将过滤规则设为“禁止列表中生效规则之外的MAC地址访问本无线网络”。点击“添加新条目”按钮，如图5-6所示填写相关信息。图5-6 添加MAC地址条目添加完成后，再启用MAC地址过滤功能。此时，无线MAC地址过滤设置中条目如图5-7所示。图5-7 启用MAC过滤5.4无线数据加密WEP数据加密WEP(Wired Equivalent Privacy:有线对等保密)协议来设置专门的安全机制，进行业务流的加密和节点的认证。它主要用于无线局域网中链路层信息数据的保密。WEP采用对称加密机理，数据的加密和解密采用相同的密钥和加密算法。WEP 使用加密密钥(也称为 WEP 密钥)加密 802.11 网络上交换的每个数据包的数据部分。启用加密后，两个802.11设备要进行通信，必须具有相同的加密密钥，并且均配置为使用加密。如果配置一个设备使用加密而另一个设备没有，则即使两个设备具有相同的加密密钥也无法通信如图5-8所示。图5-8加密密钥安全类型的选择如图5-9所示。图5-9 安全类型的选择设置好路由器后，在需要设置的电脑上，选择控制面板-网络连接-鼠标单击无线网络连接，右键点属性，进入无线网络连接属性；选择无线网络配置，进入界面后，如果此时在首选网络中已经检测到可用无线网络，只要单击检测到的无线网络名，点击下面的属性即可进入设置；如果我们设置了取消SSID广播，没有检测到可用无线网络，我们选择添加。进入设置界面，按路由器中设置在此设置好后，确定退出即可完成设置如图5-10所示。图5-10密钥的设置设置完成后，在无线网络连接状态中，选择查看无线网络-刷新网络列表，选择搜索到的无线网络，点击连接，此时系统会提示密码确认，由于我们已经设置好密码，直接点击连接即可如图5-11所示。图5-11 密钥的确认由于WEP的局限性及加密的可循环性，因此，破解的可能性也增大了，所以，目前已经不适合于用于安全等级高的无线网络中。如果你再意自己无线数据的安全性，最好使用WPA-PSK/WPA2-PSK - 基于共享密钥的WPA模式；WPA是一种基于标准的可互操作的WLAN安全性增强解决方案，可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平。WPA源于正在制定中的IEEE802.11i标准并将与之保持前向兼容。部署适当的话，WPA可保证WLAN用户的数据受到保护，并且只有授权的网络用户才可以访问WLAN网络。进入路由器设置界面，选择无线参数，开启安全设置；在安全类型中选择WPA-PSK/WPA2-PSK，安全选项中选择WPA-PSK，加密方法选择AES，然后按