无线路由有线无线混用 应注意事项.doc

无线路由有线无线混用 应注意事项(组图)无线路由器做为综合了宽带路由器、交换机和无线AP三大功能与一身的产品，其在使用时有线和无线混合使用的情况比比皆是，而无线路由器在有线和无线混用时候应该注意什么问题呢? 无线路由器做为综合了宽带路由器、交换机和无线AP三大功能与一身的产品，其在使用时有线和无线混合使用的情况比比皆是，而无线路由器在有线和无线混用时候应该注意什么问题呢?一、特点决定混用是主流无线路由器已成为家庭组网首选设备大家知道，无线路由器集有线/无线网络连接于一体，专为满足小型企业、办公室和家庭的上网需要而设计的产品，其设计理念就决定了它混用的本性。1、本身便是无线AP市售无线路由器都符合IEEE 802.11g/b标准，采用无线传输技术，支持无线AP常见的功能，如54/48/36/24/18/12/9/6M或11/5.5/2/1M速率自适应;支持64/128/152位WEP加密;支持WPA、IEEE 802.1X、TKIP、AES等加密与安全机制;支持SSID广播控制和基于MAC地址的访问控制;使用无线漫游(Roaming)技术，保证高效的无线连接;多采用双极子全向天线，传输距离室内最远100-200米，室外最远300米到数公里(因环境和天线而异)。提供多重安全防护。支持SSID广播控制，支持基于MAC地址的访问控制，再配合强大的防火墙特性，可有效防止入侵，为无线通信提供更强的安全保护。可以有针对地开放指定计算机的上网权限;具有按需连接和定时开启/关闭上网功能功能;支持MAC地址修改与克隆;提供系统安全日志和流量统计功能;支持远程和Web管理，全中文配置界面，配备简易安装向导(Wizard);支持无限免费WEB软件升级。2、支持路由功能无线混合网是无线路由器的基本组网模式无线路由器允许企业、办公室或家庭中多台电脑共享上网，提供1个10/100M自适应以太网(WAN)接口，可接ADSL或以太网交换机/路由器;内建NAT功能，内建DHCP服务器，同时可进行静态地址分配;支持静态路由;支持VPN Pass-through;支持虚拟服务器、DMZ主机;支持通用即插即用(UPnP)、DDNS功能。它之所以能实现路由功能，主要便在于其内建NAT功能，内建DHCP服务器。网络地址转换(NAT) 是一个Internet 工程任务组(Internet Engineering Task Force，IETF) 标准，用于允许专用网络上的多台PC(使用专用地址段，例如10.0.x.x、192.168.x.x、172.x.x.x)共享单个、全局路由的IPv4地址。DHCP是Dynamic Host Configuration Protocol的缩写，它是TCP/IP协议簇中的一种，主要是用来给网络客户机分配动态的IP地址。在使用DHCP的网络里，用户的计算机可以从DHCP服务器那里获得上网的参数，几乎不需要做任何手工的配置就可以上网。此外，无线路由除包含所有宽带路由器常见功能外，同时支持按需拨号、上网权限管理、病毒自动隔离、UPnP、DDNS、系统安全日志等高级功能，同时提供全中文配置界面，用户界面友好，配置简单易用，能让每个用户轻松的配置好路由器，与计算机建立快速可靠的连接，共享高速的Internet连接、共享文件和资源无线路由器做为综合了宽带路由器、交换机和无线AP三大功能与一身的产品，其在使用时有线和无线混合使用的情况比比皆是，而无线路由器在有线和无线混用时候应该注意什么问题呢? 3、集成交换机无线路由器一般都集成有4口交换机提供4个10/100M自适应以太网(LAN)接口，与内部局域网连接;内置的多个(一般是4口或8口)交换端口方便您在无线之外，用有线方式直接连接4台计算机，并支持端口自动翻转(Auto MDI/MDIX)功能。如果只有4台具备有线网卡的电脑，其内置的4口交换机就能满足需求。并且无路由器下面还可再接交换机、路由器进行有线扩展。比如用双绞线从无线路由器的LAN口连接到交换机的UPLINK口，从无线路由器的LAN口连接到宽带路由器的LAN口。4、混合组网方案实例例一：一小型企业，办公区与生产区相距50米，共有电脑(工作站、台式机和笔记本)25台，若要进行有线连接，最少要铺设30条网线，施工难度大，工程繁杂，投资也大，网络再扩展也不便。而如果采用无线+有线的混合组网的方案，则方便很多，在办公楼用无线(主要接入，覆盖直线距离2030米以内的电脑没问题)+有线(就近几台电脑接入)，生产区用有线，办公楼用无线路由器1台，有线部分用交换机1台，生产区亦用交换机1台，交换机和无线路由器间用两根双绞线相连接。架网总共花费仅在1000元内。例二：一SOHO工作室，采用ADSL 2M宽带接入，原有3台电脑采用4口交换机共享接入，后电脑增加到8台(电脑中多数为具备无线网卡的笔记本电脑)，亟需扩容现有网络。经综合考虑，决定采用无线+有线的混合组网方案。在设备上，只需购买一块无线路由器即可(200-500元)，然后可将原有的局域网中的交换机级联到无线路由器4个交换口中的其中一个交换端口，客户机IP地址采用自动获取即可。这样，工作室内的电脑即可通过无线方式也可通过有线方式与无线路由器实现通信，无需过多布设网线，节约了布线成本;也无需改变和破坏公司办公环境的装修装饰，省事省力。基于该混合网络，公司成员之间可以共享文件、打印机等资源，并且实现了高效的协同办公混用需注意的问题总之，随着无线路由器价格的不断走低，无线+有线的混合组网方案比新组建有线局域网的方案更加经济、高效，已成为多数用户的首选方案。但很多用户都是初次接触无线混合网，在进行无线混合组网时该注意些啥呢?1、设置并不复杂很多文章都爱把简单问题讲复杂化，很多用户也认为无线混合网的使用是一件很复杂的事，实际情况并非如此。在具体设置时，只需插上电源并接通电源，再将牵入的双绞线网线接到无线路由器WAN口即可。因为无线路由器都具备DHCP服务器功能，可为无线或有线网卡自动分配IP地址。所以，在接好并开启无线路由器后，你只需将网卡设置为自动获取IP，然后重新启动电脑，就能将网卡的IP和无线路由器的IP处于同一网段，两者间就能方便的互防。DHCP服务器功能可为每台接入电脑自动分配IP打开IE浏览器，在地址栏中输入无线路由器的IP地址，输入密码后便可进入无线路由器的管理界面。在WAN口设置中选择对应的宽带接入方式即可。在无线或有线网卡和无线路由器的默认设置下，就可无线共享或共享上网了。2、注意无线匹配无线网络要想达到最佳性能，必需选用速度一样的产品才行。并且在设置时还需注意，当无线路由器启用高速模式，如108Mbps(Static)模式时，必须使用支持功能的无线网卡才能正常连接到该路由器，而启用108Mbps(Dynamic)模式时，各种类型的无线网卡都可以连接到该路由器。此外，由于无线网络受环境的影响较大，不同材质的障碍物对无线信号的传输都有影响，在使用无限混合网时摇特别注意，以免因此影响有线网络的性能。无线网络的速度无法达到IEEE标准的最大速度，主要由下面几个因素造成：IEEE协议本身需要网络开销;其他的无线设备会干扰无线传输;周边环境的一些材料会吸收或反射无线电波，降低无线网络的性能;无线加密也会增加网络开销。比如距离无线设备及电缆线路100米内的无线电发射塔、电焊机、电车或高压电力变压器等强信号干扰源，都可能会对无线信号或设备产生强干扰。所以在组建无线混合网时，需多注意无线路由器、无线网卡及其天线的摆放位置，以利于达到较好的传输效果。钢筋混凝土结构的墙壁对无线信号的衰减严重，在这类墙体边布置设备如果发现其对无线信号的影响较大，应该避开这种阻碍物体3、安全性不忽视有线网络更多的时候时注意来自Internet方的安全威胁，而无线网络还需面对来自无线覆盖范围内的安全威胁。所以在无线混合网络中，进行必要的安全防范不可少。除了基础的不广播SSID等防范方式外，MAC地址过滤及IP地址过滤、WPA/WPA2及WEP加密等方案都时不错的选择。MAC就是介质访问控制(Media Access Control)地址，是厂商生产的网卡的地址，对于每一台设备是惟一的，所以只要通过无线路由器的MAC地址过滤功能就能禁止几乎所有非法用户的接入无线网络。在设置时只需进入无线路由器的MAC地址过滤选项，点击“启用过滤”按钮，开启无线网络的访问控制功能，并选择过滤规则为“禁止列表中生效规则之外的MAC地址访问本无线网络”，点击“添加新条目”按钮，一一填入本局域网内无线网卡或有线网卡的MAC地址，类型为“允许”，状态为“生效”。设置完成后，点击保存按钮即可。WPA(Wi-Fi Protected Access，Wi-Fi保护接入)是WEP加密的增强产品，在主流的54Mbps及以上的无线设备中是标配。其采用了802.1x和TKIP来实现WLAN的访问控制、密钥管理与数据加密。具体设置时，只需在无线路由器选中该设置，在加密方法中一般选择默认选项“自动选择”即可(有自动选择、TKIP、AES等几个选项)，选择该项后，路由器将根据实际需要自动选择TKIP或AES加密方式。如何区分BSSID和ESSID随着无线技术的普及以及无线设备价格的不断走低，越来越多的企业为了更加方便的使用网络而建立了企业内部无线局域网，还有些企业在扩展网络时出于成本因素考虑而采取了无线网和有线网相互结合的方式来完成网络升级工作。当然在企业无线网络运营过程中SSID是一个很重要的参数，和家庭无线网络不同的是企业无线网中会涉及到BSSID和ESSID两个概念，那么他们之间有什么区别和联系呢?今天就由笔者为各位介绍如何区分BSSID和ESSID。实际上不管是BSSID还是ESSID他们都是以SSID为基础的，所谓SSID就是Service Set Identifier的缩写，他的作用是区分不同的无线网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同网络，SSID通常由AP广播出来，通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID，此时用户就要手工设置SSID才能进入相应的网络。简单说，SSID就是一个局域网的名称，只有设置为名称相同SSID的值的电脑才能互相通信。那么我们再来看看BSSID和ESSID的概念，BSSID是48 bit数值，用来对较小BSS区域进行标识，每个主机在这个较小的区域里进行通讯。(eventually with an Access Point)ESSID可以让不同的BSS 扩展至Extended Service Set (ESS)。每个BSS有一个基点(Access Point)，如果ESSID相同就可以相互通讯，如果你的网路较大，最少拥有两个基点(Access Point)，那么你真的需要用到ESSID。(如图1)从上面的内容我们可以看出BSSID和ESSID都是关于无线网络名称的标识，只不过适用的范围不同，BSSID适合于较小的形式简单的无线网络中标识无线信号，也就是说该无线网络只有一个无线接入点AP产生，所有主机都连接到该AP时使用的名称是BSSID。而ESSID则应用于比较大规模复杂的无线网络中标识无线信号，即网络中有多个无线接入点AP，他们直接WDS等形式连接到一起构成一个大的无线网络，这时依然要求所有连接该无线网络的主机使用同一个名称即同一个ESSID。综上所述SSID是对BSSID和ESSID的缩写和统称，在无线网络只有一个无线路由器或AP发射源时各个客户端使用统一的BSSID名称和AP通讯，而在无线网络有多个无线路由器或AP发射源并相互通过WDS等方式连接时，各个客户端使用统一的ESSID信息和AP通讯。之前曾经有过错误的说法，认为SSID(Service Set Identifier)也可以写为ESSID，这种观点是错误的，从上文我们可以了解到我们平时所说的SSID实际上是对BSSID和ESSID的缩写，究竟其代表的意义是BSSID还是ESSID则是由上文中的AP数量来决定的如何架设小企业办公无线网络(组图)对于很多中小企业的各种办公室来说，如何快速安全的组建网络，接入Internet，跨入信息化之门，是其迫切需要解决的问题。而究竟该怎么样来架设这种中小企业办公网络呢?对于很多中小企业的各种办公室来说，如何快速安全的组建网络，接入Internet，跨入信息化之门，是其迫切需要解决的问题。而究竟该怎么样来架设这种中小企业办公网络呢?下面笔者就来谈一些思路。一、需求分析中小企业是各种类型企业中的主力军，而如何实现办公自动化和信息化已成为近几年来中小企业成长的关键因素。多数中小企业的办公室电脑数量在数台或数十台左右，该如何将它们接入网络呢?如果采用传统的交换机或集线器组成的星型有线网络，虽然硬件成本较低，但布设难度较大。要实现网络到桌面，烦杂的网络布线和工位布局让人头痛。无线网络是有线网的最好拓展，无线路由器可灵活的组成有线+无线的混合网络而如果能采用新兴的无线组网技术，则只需采用少量的布线，在根据每个办公室的建筑的结构或电脑的位置，布置单个或数个无线路由器或AP，就能实现桌面PC及移动用户的以太网服务，就可保证厂区内、办公楼内或单个办公室内所有用户都能够便捷的使用无线+有线的方式上网冲浪。不仅能够在布设时更自由调整网络结构和随意增加减少工位，还能在一定程度上满足部分中小型企业用户的移动网络办公需求，提高办公的效率。并且，随着无线路由器这类设备的出现，不仅为家庭无线上网打开了方便之门，也同样为中小企业办公无线网络提供了解决之道。通过无线路由器的使用，可兼顾传统的有线星型网与无线网络的优点，其较低的布线费用、较低的网络维护费用是有线网络所不能比拟的，对财力有限和没有很专业的网络维护技术人员的中小型企业都很适合。并且，通过无线路由器的使用，它不仅可让企业、办公室中多台电脑共享上网，提供1个10/100M自适应以太网(WAN)接口，可接ADSL/Cable MODEM或以太网交换机/路由器等多种宽带或网络接入方式。内置的4个交换机端口方便您在无线之外，用有线方式直接连接4台或更多的计算机。不需要大规模改造，在原有的有线局域网基础上添加无线设备，进行无线网络升级，就可以满足新增终端和无线办公的需求。二、产品选择总之，无线路由器完全可做为中小企业办公无线网络架设的好选择，其有线+无线混合型网络结构对规模较小、移动量较大的中小企业办公室很是适合，并且中小型企业可以根据业务和规模的实际情况和发展需要，灵活选择不同的接入方式和网络扩充方式。适合于一般办公用户的网件54Mbps无线路由器WGR614对于电脑台数较少需求不大的中小企业办公室用户，一般的54M无线路由器产品就能满足需求。比如网件的54Mbps无线路由器WGR614(参考价格235元)，性价比高，具备SPI和NAT双重防火墙，智能安全向导可自动检测ISP线路类型，兼容802.11b无线设备，支持Wi-Fi预保护访问预共享密钥匙(WPA-PSK)。除此而外，象D-Link DI-624+A(参考价格210元)、H3C Aolynk WBR204g+(参考价格220元)、华硕WL-500g-C(参考价格220元)、LINKSYS WRH54G(参考价格260元)等产品也是这方面的好选择。适合对速度较敏感的办公用户的108M的TP-Link TL-WR642G+无线路由器当然，如果想获得更快的局域网连接速度，可选108Mbps或速度更快的产品。如TP-Link TL-WR642G+(参考价格285元)，其采用了TP-LINK速展无线传输技术，无线传输速率自适应，最高可达108M。支持WPA、WPA-PSK、IEEE 802.1X、TKIP、AES等高级加密与安全性认证机制。最具特色的是其采用了增益5dBi的双极子全向天线(可拆卸)，号称传输距离室内最远可达200米。除此而外，象Netgear WGT624(参考价格380元)、华硕WL-500g-x(参考价格380元)、D-Link DI-624(参考价格390元)等也是这方面的代表产品。当然，需要说明的是，要想达到高速，需要所添购的PCI或USB接口的无线网卡也是其配套产品才行。适合于需要文件或打印共享的办公用户的华硕WL-500gP无线路由器如果办公室需要文件或无线打印共享，则可优选具备USB接口的无线路由器产品，其一般能日供无线文件服务器或者FTP服务器、打印服务器功能。如较具代表性的华硕WL-500gP无线路由器(参考价格890元)，其配备了双USB接口，能共享打印机、摄像头一类的设备，在设置界面中还专门为网络摄像头留出了丰富的设置功能，可以完成局域网和广域网摄像头存取(可做为办公室监控设备使用)，支持脱机P2P下载。除此而外，象D-Link的DI-624S，Netgear的WGT634U也是这方面的代表产品，其都具备USB接口，可以实现文件服务器功能，并作为数字中心储存大量的数字文件。而通过连接USB接口的打印机还可以提供网络打印功能。三、两种方案在具体的组建方案方面，根据网络接入方式的不同，中小企业办公无线网络可采用无线路由和无线AP两种方案实现共享上网。如果办公室接入端采用的是xDSL/以太网/Cable MODEM等接入方式，可直接用双绞线水晶头连接无线路由器提供的1个10/100M自适应以太网(WAN)接口，然后其它电脑通过其路由上网。无线网卡不需要做特别设置，因为无线路由器一般都默认开启了DHCP服务器及无线功能。在IE浏览器地址栏中输入无线路由器的IP地址，回车后输入用户名和密码，登陆无线路由器管理页面，进行配置。多数无线路由器都具备“快速设置”或“一键设定”功能，可通过其图文格式的配置向导，填入虚拟拨号(PPPoE)的用户名和密码(如果是采用的这种上网方式的话)，快速的一步一步的实现网络连接，SSID(Service Set Identifier)、频段/信道(Channel)这些参数采用路由器默认的即可。如果，中小企业办公网络采用的是常见的局域网动态IP(dynamic ip address)接入方式，只需在设置时将WAN口连接类型选为动态IP，不需要做其它特别设置，可自动从上层网络设备中获取IP地址，实现宽带共享。按需选择接入方式也有很多中小企业办公网络采用了带认证的专线接入方式，在设置时可在WAN口设置中选择“静态IP”方式，并在其下方填入ISP提供的IP地址、子网掩码、网关和DNS。然后运行ISP提供的拨号软件，进行用户名和密码认证即可。当然，如果接入办公室的网络已经是能共享Internet的路由网络，则可将无线路由器设置为无线AP来使用。其设置也并不是很复杂。首先，要将线路由器设置为无线AP来使用，就不要再将外部接入的双绞线水晶头连接无线路由器提供的1个10/100M自适应以太网(WAN或Internet)接口，而是将该插头直接插在无线路由器四个LAN口中的任何一个接口。接下来，同样登录无线路由器的管理页面，将里面出厂默认开启了的DHCP服务器功能关闭，并将无线路由器的IP地址和上层路由器设为同一网段。比如，上层所连接的路由器的网关IP地址为，掩码为，开启有DHCP服务器。便可将本无线路由器的IP地址设置为此网段中的任一地址，也就是192.168.1.*，其中的*为2254之间的数值，只要不与局域网其他设备IP地址冲突即可。最后点“应用”按钮，无线路由器便可做为AP来使用，让本办公室内的电脑也能无线接入上层路由所提供的网络了。四、安全设置无线网络的架设和接入无线网络都很方便，但对于中小企业办公无线网络用户来说，必要的安全设置和安全防范也必不可少。对于多数中小企业办公无线网络用户，我们推荐以下方案：使用DMZ主机对于FTP、IIS、POP3、P2P等网络应用虽可使用端口映射来解决问题，但还是不如设置DMZ主机来得直接与安全。DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间。简单易用的DMZ主机在无线路由器中，可将一台不重要的部门电脑设置成DMZ主机。其设置很简单，在设置页面中将“DMZ主机”选项开启。让后将作为DMZ主机的电脑的IP地址填入(先将该电脑的IP地址手工设置为与路由器同一网段的固定IP地址)即可。需要说明的是设置DMZ主机之后，与该IP相关的防火墙设置将不起作用。其所有端口都会向Internet开放，将承担很大的安全风险，所以所选择的电脑应是没有安装任何重要数据和资料的办公电脑。但这种方案的采用，可让网内其它重要电脑相对更安全，并且将DMZ主机用来与外部进行非重要数据交换及网络下载都十分有用。关闭SSID广播SSID(Service Set Identifier)，也可以写为ESSID，是无线AP或无线路由器的标志字符，有时候也译为“业务组标志符”、“服务集标志符”或“服务区标志符”，该标志主要用来区分不同的无线网络。默认情况下，无线路由器都开启了SSID广播功能，只要其信号覆盖范围内的具备无线网卡的电脑都可很方便的接入该网络。而关闭SSID广播后，其信号覆盖范围内的具备无线网卡的电脑要想接入该网络，就必需输入对应SSID名称(可定期更换)才行。通过MAC地址限制MAC地址是Media Access Control缩写，它是在网络中唯一能标识您的计算机的硬件地址，存在于你所购买的网络设备上。每块合法的无线或有线网卡在出厂时都被赋予了一个MAC地址，且所有的网卡的MAC地址都不会重复，所以，启用无线路由器具备的MAC地址限制可让非认定的网络设备不能接入本网络。MAC地址过滤是重要的无线安全功能其使用很简便，先开启无线路由器配置页面中的MAC地址过滤功能，再将过滤规则设为仅允许已设MAC地址列表中已生效的MAC地址访问本无线网络。然后，填入本办公室局域网内的电脑的有线或无线网卡的MAC地址。这样，其它非法或非认证电脑就不能接入本网络。启用WEP/WPA加密可考虑使用WEP/WPA加密。特别是利用瞬间密钥完整性协议(TKIP)加密和802.1x的WPA，以及利用AES高级加密标准的WPA2加密，其安全性都还是比较高的。在设置时在安全认证类型中选择相应的安全规格，然后密钥内容中输入对应密钥(任意数字或英文)，保存设置即可。杜绝安全隐患 将无线入侵者拒之门外(组图)无线的普遍也带来了新的问题，在使用中一些用户发现被非法用户接入，或不知不觉接入了非指定AP，从而在局域网络安全上造成了威胁。对于家庭用户来说，我们该如何防范无线入侵，现在有什么系统什么软件可以对无线入侵可以进行检测，进行防范。我们应该怎么来解决此类问题呢? 一、无线入侵威胁篇同有线局域网一样，无线局域网受到的安全威胁也很多。无线局域网在带给使用者巨大方便的同时，安全问题也值得关注，也由此具备了有线网络中不存在的安全问题。非法用户无须物理连线就可以连接无线网络，而且任何人都可以利用设备窃听到射频载波传输的广播数据包。无线在提供便利的同时安全值得关注总体来看，无线局域网的安全威胁来自以下几方面：1、为了方便，很多默认情况下的无线AP或无线路由器的配置几乎不具备任何安全措施，这样很可能被其它用户入侵，或进行象拒绝服务攻击(DoS)这样的攻击。2、对于大部分家庭用户来说，常常认为其处于无线局域网后的电脑都置于防火墙后，比较安全。殊不知，非法用户一旦攻破防火墙，内部防火墙就会形同虚设。3、对于通过无线AP或无线路由器做中心接入的Infrastructure(集中式无线网络)，如果无线网卡采用的是“ANY”方式自动登陆的话，那么邻居或非法入侵者只需在附近建一个以无线AP或无线路由器为中心的无线网络，就很可能让你的无线网卡自动登陆到该无线网络中，造成安全隐患。4、在一个无线局域网中如果一个用户将无线局域网的公共数据泄露，那么由此就会让其他非法用户轻易的登陆该网络，造成安全威胁。而且对于家庭间的无线局域网来说，也不能保证其他家庭用户中是否有第三方的使用者。5、破解无线网络的安全协议，对于黑客来说也并非难事。如针对IEEE 802.11网络采用的有线等效保密协议(WEP)存在的漏洞，进行破解攻击;进行有线网中同样存在恶意的媒体访问控制(MAC)地址伪装等等。6、来自互联网的攻击和入侵，这点和有线网一样二、无线入侵检测篇无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击，还有可能受到802.11标准本身的安全问题而受到威胁。为了更好的检测和防御这些潜在的威胁，无线局域网也可使用一种入侵检测系统(IDS，intrusion detection system)来解决这个问题。IDS可分为基于主机的入侵检修系统(HIDS)和基于网络的入侵检测系统(NIDS)两类。HIDS系统HIDS入侵检测系统是基于主机的入侵检测系统，提供包括日志分析、脆弱性评估、策略管理、网络节点入侵检测等多方面的功能。HIDS最大限度地、全天候地监控和分析主机的安全问题，捕获安全事件，给予适当的响应，阻止非法的入侵行为，为局域网业务的关键点(服务器)提供全方位的保护。与HIDS不同，NIDS采用原始的网络数据包作为数据源，从中发现入侵迹象。它能在不影响使用性能的情况下检测入侵事件，并对入侵事件进行响应。分布式网络IDS则把多个检测探针分布至多个网段，最后通过对各探针发回的信息进行综合分析来检测入侵，这种结构的优点是管理起来简单方便，单个探针失效不会导致整个系统失效，但配置过程复杂。Infrastructure模式入侵检测模型一般采用NIDS分布式网络检测方法，而对于Adhoc移动自组网模式内的入侵检测模型一般采用基于主机的HIDS入侵检测模型。当然，对于家庭用户来说，一般不可能为此去专购IDS系统及软件来进行家庭网络安全检测，对以上知识仅做为了解就足够。对于一般家庭用户来说，判断是否被非法用户入侵或进入了非指定无线网络可从无线AP或无线网卡端查看即可。无线网卡端查看在无线路由器(或无线AP)的配置页面中，一般可查看到已登陆电脑的“客户端主机名”、“客户端MAC地址”、“已分配IP地址”、“剩余租期”等等信息，是否有非法电脑登陆在此一目了然。在无线网卡的配置页面中，也可查看到所登陆的无线AP或路由器的名称(SSID)、MAC地址等信息，由此便可判断是否进入了非指定网络。三、无线入侵防范篇对于一般家庭用户来说，或许您会觉得您电脑上的重要资料或涉及到个人信息安全的重要资料并不多，也值不了几个钱不足为盗，但加强一下必要的安全防范还是有用的，其也并不复杂，只是举手之劳。如何进行防范设置呢?1、对无线设备进行必要设置其实WLAN无线设备在设计中已为家庭用户考虑了较周全的安全措施，只要起用这些功能，对家庭无线安全已能起到良好的保护作用。 修改无线路由器(或无线AP，下同)的登陆密码厂家出厂时设置的登陆用户名和密码很容易被第三方猜中，所以修改密码是第一步。如果非法用户破解登陆用户名和密码便可很容易的控制您的整个网络。 修改SSID设置及禁止广播很多家庭用户在使用无线设备时都使用的厂家出厂时设置的SSID名称，这同样很容易被第三方猜中，所以必需进行更改。此外，多数无线路由器在出厂时都是采用“允许广播SSID”的设置，为了不让“ANY”用户轻易的进入您的无线网络，可进入无线路由器的配置页面，将SSID设为“禁止广播SSID”。这样其他用户要想进入这个无线网，就要手工输入正确的“SSID”才能进入网络，否则免谈。 进行加密设置无线设备都提供了WEP加密等设置项。WEP使用了共享秘钥RC4加密算法，密钥长度一般是128位(13个字符)或152位加密。一般设置为静态保密密钥，各无线网卡终端需使用相同的密钥访问无线网络才行。当然，WEP也存在明显弱点，对于使用802.11g及以上设备的用户可考虑WPA加密。WPA可提供给无线网络用户一个更高级的安全保护，与WEP不同，WPA利用瞬间密钥完整性协议(TKIP)加密和802.1x，以及可扩展认证协议(EAP)作为认证机制，其安全性比WEP要强得多。与802.1x/EAP相结合，TKIP采用保护性增强的密钥序列，它还增加了信息完整性验证(MIC)，以阻止伪造数据包。 进行MAC地址过滤每个网卡都有其固定的MAC地址，利用MAC功能，仅允许已设MAC地址列表中已生效的MAC地址访问本无线网络。大家可在无线局域网的无线路由器配置设置一个许可接入的用户的MAC地址清单，MAC地址不在其中的用户，无线路由器将拒绝其接入请求。这样又为一些非法用户加了一道锁，安全性更高。 禁用无线网卡“ANY”ANY(自动搜索)功能可让无线网卡自动接入周边性能最好的AP或无线路由器中，增加了使用方便度，但如果其他家庭用户也有多个无线路由器，你的无线网卡就很可能接入他人网络，如果该“热点”又是不怀好意者，从而便会造成安全隐患。2、使用防火墙一般来说，以上功能的并用就足以让家庭用户确保WLAN安全，但对于来自Internet的安全威胁，防火墙软件仍是较好的防护办法。防火墙被广泛用来让用户在一个安全屏障后接入互联网，可把一家企业的公共网络服务器和企业内部网络隔开，也可被用来保护内部网络某一个部分的安全。对于Adhoc网络用户可以考虑优选Windows自带的Internet Connection Firewall(Internet连接防火墙，ICF)防火墙来帮助保护您的家用网络或小型办公网络。Windows XP Home Edition和Windows XP Professional中都包括ICF。该功能非常适合于家用网络或小型办公网络解决方案，适合于需要保护的用户和计算机相对较少时，可以提供强大的保护，而无需支付任何额外的费用。可以在防火墙后用ICF来分割您的网络，或者保护内部网中其他的计算机无权访问的特定计算机。开启防火墙无线路由器中要使用防火墙功能很简单，只需将防火墙选项选上打上勾和设为“开启”即可。当然，你也可同时并用无线路由器内置的防火墙功能，并开启起全部选项，提供安全保护。防火墙可以被安装在一个单独的路由器中，用来过滤不想要的信息包和进行傻瓜化的安全保护。总 结：通过本文的介绍，相信您对无线安全会更了解。安全不可麻痹大意，也不可掉以轻心，其实多数用户在使用时只需稍加留意，稍做设置，举手之劳后就能让自己的WLAN更安全，何乐而不为呢?无线网络多种加密模式比拼(组图)大约在上世纪90年代初，借助于无线网络产品来扩展一个网络的灵活性的现象开始出现，从此以后，无线技术和无线设备开始逐渐流行起来。随着这些新的无线产品或技术的到来，安全似乎成了对无线网络如影随形的最大弱点。在一个传统的有线网络中，攻击者要么必须从有线网络内部物理的连接你的网络中，要么需要想办法攻破边界防火墙或路由器的阻挡。而对于一个无线网络来说，一个潜在的攻击者所需要做的全部事情就是舒服的坐在他(她)的车里，手里具有一个支持无线功能的笔记本电脑和一个无线嗅探工具。加固无线网络的安全性的方法有很多，本文的目的就是简单的描述一下其中比较常见的方法，以便你可以决定哪一个最适合让你来加固你的无线网络。WEP(有线等效加密)尽管从名字上看似乎是一个针对有线网络的安全选项，其实不是。WEP标准在无线网络的早期已经创建，目标是成为无线局域网WLAN的必要的安全防护层，但是WEP的表现无疑令人非常失望。它的根源在于设计上存在缺陷。在使用WEP的系统中，在无线网络中传输的数据是使用一个随机产生的密钥来加密的。但是，WEP用来产生这些密钥的方法很快就被发现具有可预测性，这样对于潜在的入侵者来说，就可以很容易的截取和破解这些密钥。即使是一个中等技术水平的无线黑客也可以在两到三分钟内迅速的破解WEP加密。WEP破解过程如下图所示。破解WEB是一个比较容易的过程1、攻击者发送一个虚假的数据包给合法的移动用户。2、移动工作站使用WEP加密数据包，并将其转发给无线访问点(AP或路由器)3、攻击者截获这个加密后的数据包，并将其与最初的数据包进行对比，以得到加密密钥。尽管WEP已经被证明是过时且低效的，但是今天在许多现代的无线访问点和路由器中，它依然被支持。不仅如此，它依然是被个人或公司所使用的最多的加密方法之一。如果你正在使用WEP加密，我请你读完本篇文章的其余部分，并在以后尽可能的不要再使用WEP，如果你对你的网络的安全性非常重视的话。WPA(Wi-Fi访问受保护访问协议)WPA是直接针对WEP的弱点而推出的新加密协议。WPA的基本工作原理与WEP相同，但是它通过一种更少缺陷的方式。WPA有两种基本的方法可以使用，根据你所要求的安全等级而定。大多数家庭和小企业用户可以使用WPA-Personal安全，它单纯的基于一个加密密钥。这种设置下，你的访问接入点和无线客户端共享一个由TKIP或AES方法加密的密钥。尽管这听起来和WEP一样，但是在WPA中使用的加密方法大不相同，而且更复杂，难于破解。实施WPA的另一种方法是组合使用一个WPA加密密钥和802.1X认证，在下面部分将介绍它。802.1X/EAP802.1X和EAP都是IEEE认可的标准，被用来针对有线和无线网络提供改进的认证方式，尽管它们主要应用于无线网络部分中。它们不是基于密码的技术，因此不会作为WEP、TKIP等的直接替代者，而是作为它们的一种扩展功能，可以提供更强的安全保护。 IEEE 802.1X：通常被认为是对端口级别的访问控制，802.1X创建一个从无线客户端到访问点的虚拟端口，用于通信。假若这个通信被认为是未经授权的，那么这个端口就被禁用，通信就被中止。 EAP：可扩展认证协议，或EAP，通常与802.1X联合使用以为无线连接提供认证方法。它包括所需要的用户证书(密码或证书)，所使用的协议(WPA、WEP等等)和对密钥产生的支持。任何使用基于802.1X/EAP认证的无线网络通常可以被分解为三个主要部分。(如下图) 请求者系统：安装在无线工作站上的客户端 认证系统：无线访问点 认证服务器系统：认证数据库，通常是RADIUS服务器，诸如微软的IAS和思科的ACS802.1X认证过程一个典型的802.1X认证过程通常是这样的：无线客户端向访问接入点(AP)发一个EAPOL-Start的包提出认证请求，访问接入点(AP)收到后会向无线客户端作出回应(EAPRequest/Identity包)，之后两者之间就会开始更多的EAP交互。但在这个过程中访问接入点(AP)基本上是一个透明的转发者。它把从无线客户端收到的EAP包，翻译并封装成RADIUS包转发给RADIUS服务器。RADIUS服务器回的包同样也会被翻译回EAP的包送给客户端。整个交互完成后，访问接入点(AP)会最终从RADIUS学到认证是否成功，从而决定是否给予无线客户端以访问权限。基于802.1X/EAP的无线安全措施的使用最适合于企业级别的无线网络。小型网络可以将802.1X与诸如WPA或TKIP等标准加密协议混合使用，而对于大型的安全需求更高的网络来说，则可以考虑是将802.1X与基于证书的认证系统捆绑使用。VPN(虚拟专用网)自从1990年以来，虚拟专用网技术(VPN)一直作为点到点的一种安全措施。这种技术已经获得了更大的普及，因为它已经证明的安全性可以很容易被移植到无线网络中。当无线局域网中的用户使用VPN通道的时候，在到达VPN网关之前，通讯数据是经过加密的。加密的VPN连接这样，可以防止入侵者重入截取网络通讯数据。因为在企业网络核心中，VPN加密从计算机到VPN网关的整个链路，在计算机到无线访问点之间的无线网络部分也是被加密的。VPN连接可以通过不同的验证方式来管理，诸如密码、证书和智能卡等。这是加强企业级无线网络安全的另一个不错的方法。硬件安全交换机无线安全交换机是最近在无线完全市场中新推出的产品之一。这些交换机是基于硬件的解决方案，可以直接插入到你的有线网络的骨干中，通常与无线访问点组合在一起。无线交换机这种交换机的目的是集中化管理大型分布式网络中的无线访问设备。通常通过Web、应用程序或命令行界面来管理，它们是对一个网络中的无线访问设备提供统一化管理的很好的方式。无线交换机将原先的企业级AP诸如安全、QoS、接入控制和负载均衡等功能集成到交换机中。原先的企业级AP只充当天线的功能。把AP中存放的IP地址、密码、安全认证、ACL、QoS等集成到交换机中，在一定程度上解决了无线安全设置问题。在本篇文章中，我只是介绍了几种常见的加固无线网络的方法。说实话，当你将你的数据通过无线传输的时候，它就总会面临一些安全风险。我们所能做的就是，通过本篇文章中讨论的措施，来尽量减少这种风险，至于选择哪一种方式，要根据你自己的情况来定无线实战 通过WDS功能扩大无线网范围(组图)笔者家中两台摩托罗拉850G无线路由器，已经通过刷固件的方法升级到DD-WRT驱动，之前笔者使用一台850G无线路由器无法实现无线网络覆盖全家各个角落，现在我们通过WDS来扩展无线网络信号覆盖范围一、网络情况简介：笔者家中两台摩托罗拉850G无线路由器，已经通过刷固件的方法升级到DD-WRT驱动，之前笔者使用一台850G无线路由器无法实现无线网络覆盖全家各个角落，现在我们通过WDS来扩展无线网络信号覆盖范围，通过在两台850G上开启WDS互连，从而实现家中各个角落都有无线信号覆盖的目的。以前笔者将无线路由器放到书房，开启无线功能后客厅的阳台无法接收到任何无线信号，而客厅中部区域信号比较强，为了改善这种环境笔者用另外一台850G来实现扩展信号的目的，将其放到客厅中部。这样通过WDS互连后阳台也可以顺利接收到无线网络信号，从而轻松上网了。二、主AP的设置：我们要想成功实现WDS互连，首先要选择一个主AP，笔者将放到书房那台无线路由器设置为WDS中的主AP，而在客厅中部放置的设备是WDS中的副AP。首先我们来看看主AP的设置。由于我们已经将主AP刷新成DD-WRT固件，所以他是支持WDS功能的。我们首先登录他的管理地址，找到“系统信息”标签，查看主AP自身的无线MAC地址。一般来说一个无线设备会有三个MAC地址，依次是LAN MAC，WAN MAC以及无线MAC，这里用到的是无线MAC。从图中可以看出主AP的无线MAC为000CE54CDDD6。之后我们到DD-WRT的“无线”标签基本设置处修改几个参数，其中无线模式设置为访问点AP，无线网络模式为混合，SSID号随便起一个，例如MOTOROLA，发射无线信号的频率也选择一个，感受范围ACK时序设置一个值即可，建议为2000，这样可以更顺利的接收和发送无线信号。接下来就是最关键的WDS设置了，我们来到DD-WRT中的无线标签，找到WDS功能选项，在这里可以看到主AP的无线MAC，然后在下面的下拉菜单中选择“LAN局域网络”，将副AP的无线MAC地址输入到这里即可，保存后我们就完成了主AP的全部设置。三、副AP的设置：从上面的主AP设置内容我们已经了解了如何配置WDS，副AP的设置是类似的。首先查看副AP的无线MAC地址，然后将副AP的无线标签下无线模式设置为和主AP一样，SSID号也要一致，发射频率，ACK时序设置为同一个值。最后再到副AP的无线标签，找到WDS功能选项，在这里可以看到副AP的无线MAC，然后在下面的下拉菜单中选择“LAN局域网络”，将主AP的无线MAC地址输入到这里即可，保存后我们就完成了副AP的全部设置。由于设置上类似这里就不详细说明了。总之配置好副AP后我们就可以将无线信号覆盖到全屋的各个角落了，即使主AP信号无法到达的地方只要副AP信号到达就可以利用副AP及WDS功能连接到主AP上，完成网络接入的目的和工作。四、总 结：WDS是一个非常不错的功能，他帮助我们将两个AP通过无线信号互连到一起，对于信号发射功率不足以及需要无线网络中继的情况最为适用。不过大家在使用WDS中继时要特别注意，很多无线路由器都不具备WDS功能，具体在购买时一定要仔细查询说明书或者询问商家。巧用无线路由器 让有线、无线网络互通(组图)现在不少局域网正从传统的星形以太网向现在的有线、无线混合组网环境过渡。那么在有线、无线混合组网环境中，我们该如何使用无线宽带路由器，让通过无线连接的工作站既能访问无线网络，又能通过无线网络访问有线网络，同时又能与有线网络中的工作站进行互访呢? 现在不少局域网正从传统的星形以太网向现在的有线、无线混合组网环境过渡。那么在有线、无线混合组网环境中，我们该如何使用无线宽带路由器，让通过无线连接的工作站既能访问无线网络，又能通过无线网络访问有线网络，同时又能与有线网络中的工作站进行互访呢?混合网基本状况：假设，某局域网的组网结构图如下图所示：所有工作站通过有线网络和无线网络连接到交换机中，交换机再与Cable Modem之类的设备连接，实现局域网直接访问Internet网络的目的。有线网络采用传统的星形以太网作为拓扑结构，该网络的IP段假设为，位于该子网中工作站3、工