无线安全的应对措施.doc

无线安全的应对措施 随着迅驰笔记本电脑的快速普及，无线局域网依靠便捷、移动、易扩展等特点，也迅速受到了人们的欢迎。然而你真正了解无线网络么？你知道如何保护自己的Wi-Fi么？ 无线局域网(WLAN，也称Wi-Fi)一方面可以带给用户飞一般网上冲浪的感觉，而另一方面，它也可以带给用户不确定的网络安全。和有线网络一样，病毒、黑客、蠕虫、木马、间谍软件，随时都在威胁着无线网络的安全，并且无线网络比有线网络更容易遭侵害，这主要是因为用户在使用无线网络时的安全意识和掌握的技术手段还比较差。 危机四伏 无线网络节点正常可以辐射到300米左右的范围，因此在300米以内的安装有无线网卡的任何计算机，都能访问到无线网络节点，并有可能进入到无线网络中；很显然这种便捷的访问方式，容易给无线网络带来安全威胁。更为严重的是，离你不远的非法访问者一旦进入到你的无线网络中，就会很容易地窃取你的网上各种帐号信息，这样会给你造成更大的安全损失。因此面对无线网络存在的种种安全隐患，你必须及时行动起来，以便采取应对措施。 安防技巧 对于普通的无线网络用户来说，该采取怎样的措施来确保自己的无线网络安全无忧呢？为了能让无线上网尽可能地安全一些，下面，本文将着重分析业界排除无线网络安全隐患的主流技术，希望能给处于困惑中的无线用户和准备架构WLAN设备的用户一些建议和指导。 1. 正确设置网络密钥 在缺省状态下，无线网络节点生产商为方便用户安装无线网络，特意将无线网络节点的数据传输加密功能设置为了“禁用”，这样一来用户初次接入进的网络是不安全的，非法攻击者很容易利用专业的嗅探工具，截获到在无线网络中传输的明文数据。为此当你在初次连接到无线局域网中时，必须记得设置好网络密钥，来对在无线网络中传输的数据进行加密，以便有效抵御普通黑客的非法入侵。 2. 修改或隐藏SSID SSID，即Service Set Identifier的简称，让无线客户端对不同无线网络的识别，类似我们的手机识别不同的移动运营商的机制。 参数在设备缺省设定中是被AP无线接入点广播出去的，客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。默认状态下，无线网络节点的生产商会利用SSID来检验企图登录无线网络节点的连接请求，一旦检验通过的话，就可能顺利连接到无线网络中；可是由于同一生产商推出的无线网络节点都使用了相同的SSID名称，这给那些企图非法连接到无线网络中的攻击者们，提供了入侵便利。为此，在初次安装好无线局域网时，你必须及时重新设置一下初始化字符串；而且为了更有效地避免非法链接；在条件允许的前提下，取消SSID的网络广播，而我们如果把这个广播禁止，一般的漫游用户在无法找到SSID的情况下是无法连接到网络的，这样能将黑客入侵机会降到最低限度。 3. 分配静态IP 由于DHCP服务越来越容易建立，很多无线网络都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患，那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。然而在成员很固定的网络中，我们可以通过为网络成员设备分配固定的IP地址，然后路由器上设定允许接入设备IP地址列表，从而可以有效地防止非法入侵，保护你的网络。 4. MAC地址过滤 顾名思义，这种方式就是通过对AP的设定，将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断，只有符合设定标准的才能被转发，否则将会被丢弃。你完全可以在无线网络节点设备中创建一张“MAC访问控制表”，然后将自己认为合法的网卡MAC地址逐一输入到这个表格中，以后只有“MAC访问控制表”中显示的MAC地址，才能进入到你的无线网络中。 5. WEP加密： WEP是Wired Equivalent Privacy的简称，所有经过Wi-Fi认证的设备都支持该安全协定。采用64位或128位加密密钥的RC4加密算法，保证传输数据不会以明文方式被截获。当然，进一步使用WPA加密会更安全！ 6. AP隔离 类似于有线网络的VLAN，将所有的无线客户端设备完全隔离，使之只能访问AP连接的固定网络。 7. 在无线网络之上安装虚拟专用网 最好能够采取其它一些安全措施，如安全令牌和数字证书等。通过将无线网络作为您网络的一种远程接入方式，并将其集成至您的网络安全层中，将可以为员工和合作伙伴提供双重保护的安全远程接入。 8. 合适放置天线 无线网络节点中的天线位置，不但能够决定无线局域网的信号传输速度、