无线网络安全论文设计

1、课程设计（论文）说明书题目学院：计算机工程学院专业：学号：指导教师：2017年06月08日目录前言11、无线网概述21.1无线网络的兴起21.2无线网络的开展2无线网络的进化2123无线网络开展的主流31.3无线网络的应用31.4无线网络的优势42、无线网络平安应用环境62.1 DHCP导致易侵入62.2无线网络身份验证欺骗72.3网络接收与篡改72.4有限等价机制的弱点72.5信息泄露威胁82.6拒绝效劳攻击82.7用户设备平安威胁93、无线网络的平安架构设计103.1企业无线网平安设计10绿盟IPS功能说明10防火墙配置说明113.1.3 全面的VPNW决方案12平安可视化-基于角色和应用

2、的管理12全并行处理的平安架构（多核Plus? G2）13可扩展的模块化设计（多核Plus? G2）13企业AP平安防护133.2无线系统的平安机制15网络接入的平安15用户域的平安153.2.3 网络域的平安15应用域的平安15网络的可配置和可视化平安153.3无线网络的平安机制153.4平安措施16网络整体平安分析16网络设计和构造部署163.4.3 启用 WE机制9 163.4.4 MAC地址过滤16进展协议过滤17屏蔽SSID播送17有效管理IP分配方式174、无线网络的平安策略设计184.1效劳区标示符（SSID）184.2物理地址MAC过滤184.3虚拟专用网络VPN 184.4接

3、入限制策略184.5平安标准策略194.6修改路由器密码策略194.7降低无线AP功率策略194.8其他平安策略19定期漏洞扫描19配置防火墙19定期修改密码20不接入陌生无线AP205、无线网络平安的应用研究215.1应用环境215.2背景225.3开展225.4研究意义23辞24参考文献25二十一世纪以来，由于个人数据通信的飞速开展，使得便携式终端设备以及多 媒体终端设备的开展到达了前所未有的地步。而为了满足用户能在任何时间、任何 地点都能完成数据通讯的需求，计算机网络从过去的有线、固定、单一逐渐转变为 无线、移动、多元化，无线网络也得到了飞速开展，在互联网高度兴旺的今天，无 线网络技术也

4、成为了通讯开展的重要领域，它实现了人们使用各种设备在世界上任 何位置都能够访问数据。而任何事物在飞速开展中就会出现许许多多的弊端，这些 弊端在时下应用广泛的无线网络下变得致命。无线网络是把双刃剑，在给我们带来无限便利的同时，也把我们一步一步拖进 了信息外漏的陷阱之中。随着无线技术的不断进步，黑客攻击技术也得到了快速的 开展。为了防止风险我们要用一些措施来保护网络保护信息，例如对无线路由的加 密，启用WPA或PA2对AP和网卡设置无规律的SSID等。让我们有一个更加平安 的无线环境。第1章无线网概述1.1无线网络的兴起无线网络的历史可以追溯到第二次世界大战期间，美国陆军采用无线电信号进 展数据传

5、输。1971年时，夏威夷大学的研究员创造了第一个基于封包式技术的无线 电通讯网络ALOHA网络，可以算是相当早期的无线局域网WLAN。1.2无线网络的开展无线网络的进化所谓无线网络，既包括允许用户建立远距离无线连接的全球语音和数据网络， 也包括为近距离无线连接进展优化的红外线技术及射频技术，与有线网络的用途十 分类似，最大的不同在于传输媒介的不同，利用无线电技术取代网线，可以和有线 网络互为备份。计算机技术的突飞猛进让我们对现实应用有了更高千兆网络技术刚刚与我们会 面，无线网络技术又悄悄地逼近。不可否认，性能与便捷性始终是IT技术开展的两 大方向标，而产品在便捷性的突破往往来得更加缓慢，需要攻

6、克的技术难关更多， 也因此而更加弥足珍贵。历史的脚印说到无线网络的历史起源，可能比各位想象得 还要早。无线网络的初步应用，可以追朔到五十年前的第二次世界大战期间，当时 美国陆军采用无线电信号做资料的传输。他们研发出了一套无线电传输科技，并且 采用相当高强度的加密技术，得到美军和盟军的广泛使用。这项技术让许多学者得 到了一些灵感，在1971年时，夏威夷大学的研究员创造了第一个基于封包式技术的 无线电通讯网络。这被称作 ALOHNE的网络，可以算是相当早期的无线局域网WLAN。它包括了 7台计算机，它们采用双向星型拓扑横跨四座夏威夷的岛屿， 中心计算机放置在瓦胡岛上。从这时开场，无线网络可说是正式

7、诞生了。虽然目前 大多数的网络都仍旧是有线的架构，但是近年来无线网络的应用却日渐增加。在学 术界、医疗界、制造业、仓储业等，无线网络扮演着越来越重要的角色。特别是当 无线网络技术与In ternet相结合时，其迸发出的能力是所有人都无法估计的。其实, 我们也不能完全认为自己从来没有接触过无线网络。从概念上理解，红外线传输也 可以认为是一种无线网络技术，只不过红外线只能进展数据传输，而不能组网罢了。 此外，射频无线鼠标、 WAP手机上网等都具有无线网络的特征。无线网络开展的主流Wi-Fi效劳提供商无线网络部署：公众场所的无线网络建立必要性更是无可否 认的，目前全国各地的无线城市建立就是一个最为有

8、力的例证。作为电信运营商来 说，这是一个扩展业务围，实现应用性创新的战略手段；作为政府机构，这是便民 效劳的新表达；作为机场等场所，那么是提高工作效率、加强业务竞争力的根底设 施建立。新建成的首都国际机场T3航站楼，为了实现全面提升机场运转效率，方便 商旅人士移动办公、提高机场工作人员工作效率等目标，早已将无线局域网建立纳 入规划，并已实施完成。现在就连一些居民小区，也开场部署无线网络。无线校园Wi-Fi网络部署：以无线客户端的高速增长为前提，现在校园学子拥 有笔记本和具有Wi-Fi功能的手机越来越多，同时作为建立周期较长的建筑群体， 很多校园的建筑无法架设或不适于架设有线网络，更者，校园占地

9、面积大，空旷场 所较多等特性也决定了有线网络有不少盲点，因此，架设一个复杂强大的无线网络 能极提高校园信息化的建立，提高学生和教职工的学习、工作效率。同时，还可以 分为免费的校园网接入和付费的广域网运营两个局部来实现双赢。无线酒店Wi-Fi网络部署：越来越多的酒店开场配备无线上网效劳，对于酒店 行业而言这是提升酒店竞争力的一个小手段，如果是免费提供无线上网，就这便是 在酒店业务商品化下采取的客户亲近战略了，如果是付费的话，那也是创造了新的 增值效劳。无线医疗Wi-Fi网络部署：无线技术在医疗上的新应用对于提高医护人员的工 作效率，提高救治生命质量，推动数字化医院建立必将发挥着越来越重要的作用。

10、作为医院有线网络的补充，Wi-Fi网络有效地克制了有线网络的弊端，利用PDA笔 记本电脑或移动诊疗设备随时随地进展生命体征数据，医护数据的查询与录入，医 生查房，床边护理，呼叫通信，护理监控，药物配送和病人标识码识别，语音通讯 应用等等，无线技术将会发挥难以替代的效用。现在甚至能实现EFMC即无论医生在哪里，都可以通过一个来找到他，同时能够实现Wi-Fi与广域无线网络的无缝漫游。医院和医疗中心能够以更低的本钱更有效的采集及管理信息，这不仅节省了时 间，而且在特殊情况下还挽救了生命。1.3无线网络的应用无线网络技术的开展最终需要在应用层面上得到用户的充分认可。时至今日， 无线传输标准可谓百家争鸣

11、，除了最容易想到的无线局域网，用户也将能在不同的 领域应用这些新技术，包括硬件设备与应用软件两方面。目前，有三种方式可供选 择。红外线无线传输利用红外线波段的电磁波来传送数据，通讯距离较短，传输速 率最快可达16Mbps目前广泛使用的电视机或 VCD机等家电遥控器几乎都采用红外 线传输技术，只不过此时是窄带红外技术。蓝牙有着全球开放的自由频段2.4GHz有效传输速度为721kb/s，数据传输速度1Mbps2.0版本的蓝牙技术甚至到达3Mbps人们生活在“移动的世界中，越来越多的移动产品出现，标志着人们对快捷 数据访问的需求在不断增加。近年来计算机局域网得到了很大的开展与普及，局域 网已成为提高

12、工作效率以及生产率不可缺少的工具。通过无线局域网可以实现许多 新的应用，这说明无线局域网的时代已经降临。无线局域网的构造：对于不同局域网的应用环境与需求，无线局域网可采取不 同的网络构造来实现互连。网桥连接型：不同的局域网之间互连时，由于物理上的原因，假设采取有限方 式不方便，那么可以利用无线网桥的方式实现二者之间的物理与数据链路层的连接， 还为两个网的用户提供较高层的路由与协议转换。基站接入型：当采用移动蜂窝通信网接入方式组建无线局域网时，各站点之间 的通信是通过基站接入、数据交换方式来实现互连的。各移动站不仅可以通过交换 中心自行组网，还可以通过广域网与远地站点组建自己的工作为网络。HUE

13、接入型：利用无线Hub可以组建星型构造的无线局域网，具有与有限Hub组网方式相类似的优点。在该构造根底上的 WLAN可采用类似于交换型以太网的工 作方式，要求Hub具有简单的网交换功能。无中心构造：要求网中任意两个站点均可直接通信。此构造的无线局域网一般 使用公用播送信道，MAC!采用CSMAI型的多址接入协议。1.4无线网络的优势安装便捷：在网络的组建过程中，对周边环境影响最大的就是网络布线了。而 无线局域网的组建那么几乎不用考虑它对环境带来的影响，一般只需在该区域安放 一个或多个无线接入(Access Point)设备即可建立网络覆盖。使用灵活：在有线网络中，网络设备的安放位置受网络信息点

14、位置的限制。而 无线局域网一旦建成后，在信号覆盖区域的任何位置都可方便地接入网络，进展数 据通信。经济节约：由于有线网络灵活性的缺乏，设计者往往要尽可能地考虑到未来扩 展的需要，在网络规划时要预设大量利用率较低的接入点，造成资源浪费。而且一 旦网络的开展超出了预期的规划，整体的改造也将是一笔不小的开支。无线局域网 的出现，彻底解决了这一规划上的难题，充分保护了已有的投资，而且改造和维护 起来也十分简便。易于扩展：同有线局域网一样，无线局域网具备了多种配置方式，能根据实际 需要灵活选择、合理搭配，并能提供像漫游等有线网络无法提供的特性。故障定位容易：有线网络一旦出现物理故障，尤其是由于线路连接不

15、良而造成 的网络中断，往往很难查明，而且检修线路需要付出很大的代价。无线网络那么很 容易定位故障，只需更换故障设备即可恢复网络连接。目前，无线局域网的数据传输速率可达 54Mbps已经非常接近有线局域网的传 输速率，而且其远至20km的传输距离也是有线局域网所望尘莫及的。 作为有线局域 网的一种补充和扩展，无线局域网使计算机具有了可移动性，能快速、方便地解决 有线网络不易实现的网络连通问题。第2章无线网络平安应用环境平安威胁是非授权用户对资源的性、 完整性、可用性或合法使用所造成的危险。 无线网络与有线网络相比只是在传输方式上有所不同，所有常规有线网络存在的平 安威胁在无线网络中也存在，因此要

16、继续加强常规的网络平安措施，但无线网络与 有线网络相比还存在一些特有的平安威胁，因为无线网络是采用射频技术进展网络 连接及传输的开放式物理系统。下表所示的是无线网络在各个层会受到的攻击：表2-1协议栈常见的攻击类型协议栈层次无线网络常见的攻击类型应用层淹没攻击、路径 DoS攻击、泛滥攻击、软件漏洞等传输层SYN洪泛、同步失效攻击等网络层欺骗、篡改和重放路由信息、Hello报文洪泛、选择转发、黑洞攻击、冲动攻击等数据链路层碰撞攻击、耗尽攻击、不公平攻击等物理层干扰攻击、节点干预或破坏等无线网络一般受到的攻击可分为两类：一类是关于网络访问控制、数据性保护 和数据完整性保护而进展的攻击；另一类是基于

17、无线通信网络设计、部署和维护的 独特方式而进展的攻击。对于第一类攻击在有线网络的环境下也会发生。可见，无 线网络的平安性是在传统有线网络的根底上增加了新的平安性威胁。总体来说，无 线网络所面临的威胁主要表现下在以下几个方面。2.1 DHCP导致易侵入由于效劳集标识符SSID易泄露，黑客可轻易窃取SSID,并成功与接入点建立 连接。当然如果要访问网络资源，还需要配置可用的IP地址，但多数的 WLA采用的是动态主机配置协议 DHCP自动为用户分配IP，这样黑客就轻而易举的进入了网 络。2.2无线网络身份验证欺骗欺骗这种攻击手段是通过骗过网络设备，使得它们错误地认为来自它们的连接 是网络中一个合法的

18、和经过同意的机器发出的。至y达欺骗的目的，最简单的方法是 重新定义无线网络或网卡的 MAC地址。由于 TCP/IP（TransmissionControlProtocol/lnternetProtocol，传输控制协议/网际协议）的设计原因，几乎无法防止 MAC/IP地址欺骗。只有通过静态定义 MAC 地址表才能防止这种类型的攻击。但是，因为巨大的管理负担，这种方案很少被采 用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接 到网络上的时候，简单地通过让另外一个节点重新向 AP提交身份验证请求就可以很 容易地欺骗无线网身份验证。2.3网络接收与篡改同样因为TCP/IP设计

19、的原因，某些欺骗技术可供攻击者接收为无线网上其他资 源建立的网络连接。如果攻击者接收了某个 AP,那么所有来自无线网的通信量都会 传到攻击者的机器上，包括其他用户试图访问合法网络主机时需要使用的密码和其 他信息。欺诈AP可以让攻击者从有线网或无线网进展远程访问，而且这种攻击通常 不会引起用户的疑心，用户通常是在毫无防的情况下输人自己的身份验证信息，甚 至在接到许多SSL错误或其他密钥错误的通知之后，仍像是对待自己机器上的错误 一样对待它们，这让攻击者可以继续接收连接，而不容易被别人发现。2.4有限等价机制的弱点IEEE（InstituteofElectricalandElectronicsEn

20、gineers，电气与电子工程师学会）制定的802.11标准中，引入 WEP（WiredEquivalentPrivacy，有线）机制，目的 是提供与有线网络中功能等效的平安措施，防止出现无线网络用户偶然窃听的情况 出现。然而，WEP最终还是被发现了存在许多的弱点。? 加密算法过于简单。WEP中的IV（InitializationVector，初始化向量）由于位数太短和初始化复位设计，常常出现重复使用现象，易于被他人破解密钥。而 对用于进展流加密的RC4算法，在其头256个字节数据中的密钥存在弱点，容 易被黑客攻破。此外，用于对明文进展完整性校验的CRC（CyclicRedundancyChe

21、ck循环冗余校验）只能确保数据正确传输，并不能 保证其是否被修改，因而也不是平安的校验码。? 密钥管理复杂。802.11标准指出，WEP使用的密钥需要承受一个外部密钥管理 系统的控制。网络的部署者可以通过外部管理系统控制方式减少IV的冲突数量，使无线网络难以被攻破。但由于这种方式的过程非常复杂，且需要手工进 展操作，所以很多网络的部署者为了方便，使用缺省的WEP密钥，从而使黑客对破解密钥的难度大大减少。? 用户平安意识不强。许多用户平安意识淡薄，没有改变缺省的配置选项，而缺 省的加密设置都是比拟简单或脆弱的，经不起黑客的攻击。2.5信息泄露威胁窃听是指通过非法手段获取未经授权的信息。它借助于技

22、术设备、技术手段， 不仅窃取声音信息，还能窃取文字、数据、图像等信息。窃听的实现主要依赖各种“窃听器，不同的窃听器针对的对象不同， 主要包括会议谈话、有线、无线信号 电磁辐射以及计算机网络等。窃听是指偷听流经网络的计算机通信的电子形式，它是以被动和无法觉察的方 式入侵检测设备的。即使网络不对外播送网络信息，只要能够发现任何明文信息， 攻击者仍然可以使用一些网络工具，如 AiroPeek和TCPDum来监听和分析通信量, 从而识别出可以破解的信息。2.6拒绝效劳攻击无线信号传输的特性和专门使用扩频技术，使得无线网络特别容易受到DOS（DenialofService ，拒绝效劳）攻击的威胁。拒绝效

23、劳是指攻击者恶意占用主机或网 络几乎所有的资源，使得合法用户无法获得这些资源。黑客要造成这类的攻击：1. 过让不同的设备使用一样的频率，从而造成无线频谱出现冲突；2. 攻击者发送大量非法（或合法）的身份验证请求；3. 如果攻击者接收AP,并且不把通信量传递到恰当的目的地，那么所有的网 络用户都将无法使用网络。无线攻击者可以利用高性能的方向性天线，从很远的地方攻击无线网。已经获得有线网访问权的攻击者，可以通过发送多达无线AP无法处 理的通信量进展攻击。2.7用户设备平安威胁由于IEEE802.11标准规定WEP加密给用户分配是一个静态密钥，因此只要得到 了一块无线网网卡，攻击者就可以拥有一个无线

24、网使用的合法MAC地址。也就是说,如果终端用户的笔记本电脑被盗或丧失，其丧失的不仅仅是电脑本身，还包括设备 上的身份验证信息，如网络的 SSID及密钥。第3章无线网络的平安架构设计3.1企业无线网平安设计图3-1企业拓扑图绿盟 IPS1. 绿盟IPS介绍针对日趋复杂的应用平安威胁和混合型网络攻击，绿盟科技提供了完善的平安 防护平安。绿盟网络入侵防护系统以下简称：“NSFOCUSIPS'是绿盟科技拥有 完全自主知识产权的新一代平安产品，作为一种在线部署的产品，其设计目标旨在 准确监测网络异常流量，自动应对各种攻击流量，第一时间将平安威胁阻隔在企业 网络外部。这类产品弥补了防火墙， 入侵检

25、测等产品的缺乏，提供动态的、深度的、 主动的平安防御，为企业提供了一个全新的的入侵防护解决方案。2. 功能说明1入侵防护实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、DOS等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统应用程序损坏或宕机。2WE 平 安基于互联网Web站点的挂马检测结果，结合 URL信誉评价技术，保护用户在访 问被植入木马等恶意代码的时不受侵害，及时、有效地第一时间拦截Wet威胁3流量控制阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天 候畅通无阻，通过保护关键应用带宽来不断提升企业IT产生率和收益率4上网行为监管全面检测和管理IM及时通讯

26、、P2P下载、网络游戏、在线视频，以及在线炒股 等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的平安策略防火墙配置说明防火墙部署：在In ternet 公网出口部署1台Hillsto ne SG-6000-M3100高性能防火墙，实现In ternet公网与其它各平安区域之间，以及对 In ternet的访问控 制和对来自In ternet的各种攻击进展有效的防御。在应用效劳器区部署 1台Hillsto ne SG-6000-M3100 高性能防火墙，实现应用效劳器区与其它各平安区域之 间，以及对In ternet的访问控制，同时可有效保护应用效劳器区不受各种网络攻击。移动用户的

27、接入平安：移动用户可以采用SSL VPN方式，实现对部资源的平安访问。在 In ternet 出口部署的 1 台 Hillsto ne SG-6000-M3100 设备已集成 SSLVPN 功能，用户只需通过In ternet 访问此设备，然后经过认证效劳器的认证后，建立 VPN通道，即可平安地访问被授权的网资源。Hillstone SG-6000-M3100简介：SG-6000 是 Hillstone 山石网科公司全新推 出的新一代多核平安网关系列产品。其基于角色，深度应用的多核Plus?G2平安架构突破了传统防火墙只能基于IP和端口的防限制。处理器模块化设计可以提升整体 处理能力，突破传统

28、UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。 SG-6000-M3100处理能力高达1Gbps,适用于政府机关、企业等机构，可部署在网络 的主要结点、总出口及数据中心，为网络提供基于角色，深度应用平安的访问控制、 IPSec/SSL VPN、应用带宽管理、病毒过滤、入侵防护、上网行为管理等平安效劳。 新一代防火墙-深度应用平安随着网络的快速开展，越来越多的应用都建立在HTTP/HTTP等应用层协议之上。新的平安威胁也随之嵌入到应用之中，而传统基于 状态检测的防火墙只能依据端口或协议去设置平安策略，根本无法识别应用，更谈 不上平安防护。Hillst one山石网科新一代防火墙可以根

29、据应用的行为和特征实现对应用的识别和控制，而不依赖于端口或协议，即使加密过的数据流也能应付自 如。Sto neOSI识别的应用多达几百种，而且跟随着应用的开展每天都在增加；其中包括P2P. IM（即时通讯）、游戏、办公软件以及基于 SIP、H.323、HTTP等协议的 应用。同时，应用特征库通过网络效劳可以实时更新，无须等待新版本软件发布。全面的VPN解决方案SG-6000多核平安网关还通过集成第三代 SSL VPN实现角色访问控制和即插即 用特性，为用户提供方便、快捷的平安远程接入效劳。容平安（UTM Plus?）SG-6000可选UTMPlus?软件包提供病毒过滤，入侵防御，容过滤，上网行

30、为管理和 应用流量整形等功能，可以防病毒，间谍软件，蠕虫，木马等网络的攻击。关键字 过滤和基于超过2000万域名的Wei页面分类数据库可以帮助管理员轻松设置工作时 间制止访问的网页，提高工作效率和控制对不良的访问。病毒库，攻击库，URL库可以通过网络效劳实时下载，确保对新爆发的病毒、攻击、新的URL做到及时响应。平安可视化-基于角色和应用的管理没有能见度就谈不上平安。Sto neOS?勺应用和身份识别，能够满足越来越多 的深度平安需求。基于身份和角色的管理（RBNS让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略。用户访问 的容也可以记录在本机存储模块

31、或专用效劳器中，通过用户的名称审阅相关记录使 查找更简单。基于角色的管理模式主要包含基于“人的访问控制、基于“人的网络资源（效劳）的分配、基于人“的日志审计三大方面。基于角色的管理模式 可以通过对访问者身份审核和确认，确定访问者的访问权限，分配相应的网络资源在技术上可防止IP盗用或者PC终端被盗用引发的数据泄露等问题。全并行处理的平安架构(多核Plus? G2)Hillstone 山石网科自主开发的64位实时平安操作系统StoneOS?具备强大的 并行处理能力。Sto neOS深用专利的多处理器全并行架构，和常见的多核处理器或 NP/ASIC只负责三层包转发的架构不同；StoneOS?现了从网

32、络层到应用层的多核 全并行处理。 因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置 下有多达5倍的性能提升，为同时开启多项防护功能奠定了性能根底，突破了传统 平安网关的功能实用性和性能的无法两全的局限。可扩展的模块化设计(多核Plus? G2)SG-6000-G5150支持三种类型的扩展模块：接口扩展模块，应用处理扩展模块， 存储扩展模块。模块化设计充分保护用户投资。通过增加接口扩展模块提高设备的 连接性，使设备不会因为网络带宽或应用系统的升级而过时；增加应用处理扩展模 块，可以提高本机应用处理能力，让应用处理不再成为性能瓶颈；存储扩展模块可 以实时记录NAT日志，Web

33、访问记录，Web容审计等日志，满足公安部82号令的要 求。在校园网和小区宽带等大流量的场合，也可以使用外置高性能日志效劳器。企业AP平安防护1、授权的AP平安无线热点的统一认证无线ap常见的有WEPWPA.PSK/WPA一 PSK还有就是企业和运营商使用的 WPA Enterprise ，也就是我们常说的基于RADIUS效劳器的EAP认证。为了有效地管理 分散部署在分公司各个办公地点的各种无线AP,我们启用了 Radius效劳器，对所有无线设备进展统一认证、授权，并对每个人 (设备)，都分配实名进展认证记录， 对获取的ip进展绑定，对访问的行为进展审计。无线热点接入(1) 为了确保企业各办公地

34、点的无线 AP,不会被无关的手机、笔记本、IPAD等 终端非授权访问，通过关闭 AP的SSID播送功能，在办公终端设备上以配置文件方 式，通过静默方式连接。如果设备支持，可以通过优化调整AP设备，降低天线增益 或功率，缩小覆盖围。(2) 对各地需要通过无线接入的终端设备， 进展mac过滤，确保只有那些在企业 注册过的硬件设备，才能通过这些 AP进入企业部网络。(3) 对每个地点的AP,规划不同的DHCP地址池，区分同一个在不同的办公地点的访问审计。（4）对每个授权的AP,要限制其可承受管理的设备（MAC或IP），并要求定期修 改其管理密码，对密码复杂度进展限制，并对其修改记录日志，进展统一存储

35、与管 理。3、无线访问的数据加密由于无线AP不管采用 WEPWPA'WPA加密，都可能被不法人员进展无线网络嗅 探，从而轻易完成破解，完成非法入侵、导致信息泄露，因此，我们建立了企业部 网络的IPSECVPN效劳器，在接入层或会聚层通过 ACL限制所有的AP只能访问它， 而不能访问其它任何资源。因此，用户在接入了 AP后，必须通过IPSECVPN客户端， 来完成各项操作，通过这种方式，完成传输数据的可靠加密，防止无线信息被嗅探 后，造成的企业敏感信息丧失。4、平安制度（1）各部门进展无线现状清理，对私自搭建的进展撤除。对已有必须使用的AP进展整合，尽量保持数量最小，并且覆盖合理。 各部

36、门今后使用的无线 AP,必须在企业信息化部门注册，并对硬件设备配 置进展规后，方可联入网络。2、非授权的AP在企业部网络中，必须拒绝非授权的AP接入。要实现这一点，首先，必须能识 别出AP,然后才能判断是否授权。但是，如何在网络中自动识别出私接乱建的 AP, 思科的MSE系统只能解决cisco自己的AP设备，对其它厂家，没法处理。华为等其 他厂商的产品也同样存在这样的问题，针对企业部各种厂家的 AP,目前还缺乏一个 统一的解决方案。因此，我们可以换一种思路来考虑这个问题。在标准的企业网络模型中，AP一般都是接在接入层网络设备上，而接入层主要是负责本地和远程工作组接入的，它 工作在企业网络部，默

37、认的平安策略往往是允许接入。但是，在引入AP设备后，由于AP的特殊性，本来我们认为相对平安的部接入层，开场变得不再可以盲目信任， 要求对每一个接入点进展平安验证。对于主机接入，通过安装的Age nt，将采集的信息发给认证效劳器进展合规判断，以决定是否可以入网，对于那些硬件设备，由 于不能自行安装这类Age nt，必须通知网络管理员，对他们的IP进展例外，以保证 其正常工作。3.2无线系统的平安机制网络接入的平安网络平安的接入，是保证网络平安的第一道屏障，也是网络平安中最重要的平 安措施和架构。网络接入的平安特征是征集提供用户平安接入的业务，接入的平安性能，能起到很好的抗击无线网络攻击的重要手段

38、和方法。322用户域的平安用户域的平安特征，是确保无线网络应用平台的平安。用户域的平安特征，是 能够很好的起到无线网络平台的平安性。网络域的平安网络域的平安特征，是在有线网络的使用中，确保效劳提供者域中的节点的平 安，能够起到很好的平安地交换信令的数据。网络域的平安特征，能够通过保证有 线网络节点平安，从而通过对数据传输的保证措施，起到了很好的保护有线网络平 安的功能，抗击在有线网络的攻击。应用域的平安应用域的平安特征，是为了保证在征集使用在用户域和在提供者域中的应用平 安，确保用户域在提供域中的交换信息的顺畅和平安。应用域的平安特征，是作为 用户域和提供者域中一个很好的联结，起到两者信息交换

39、和传输的平安。网络的可配置和可视化平安网络的可配置和可视性平安特征，它的作用使正在使用网络的用户可以通过可 视化配置，从而能够很好的了解网络是否在正常的运行中。除了能够很好的了解网 络的运行状况以外，而且还能很好的控制业务的应用和设置是否应依赖于该平安网 络。3.3无线网络的平安机制1)无线用户的认证无线用户的认证可以保证只有合法用户接入网络，并可用于识别无线用户的不 同登录身份。(2) 无线数据加密无线数据加密可以保证无线数据在空口传输过程中的数据平安。(3) 基于用户身份的分级策略管理结合用户认证身份实现与用户身份绑定的基于用户身份角色的状态防火墙平安 策略，可以对通过认证的合法用户进展分

40、级平安策略管理。(4) 无线入侵防护无线入侵防护可以保护无线网络不受外来的专门针对无线环境的攻击，使无线 网络可以稳定可靠地运行。3.4平安措施341网络整体平安分析网络整体平安分析是要对网络可能存的平安威胁进展全面分析。当确定有潜在 入侵威胁时，要纳入网络的规划方案，及时采取措施，排除无线网络的平安威胁。342网络设计和构造部署选择比拟有平安保证的产品来部署网络和设置适合的网络构造是确保网络平安 的前提条件，同时还要做到如下几点：修改设备的默认值；把基站看作 RAS（RemoteAccessServer,远程访问效劳器）；指定专用于无线网络的IP协议；在 AP上使用速度最快的、能够支持的平安

41、功能；考虑天线对授权用户和入侵者的影响； 在网络上，针对全部用户使用一致的授权规那么；在不会被轻易损坏的位置部署硬 件。启用WE机制正确全面使用 WEP%制来实现目标与共享密钥认证功能，必须做到五点。一是 通过在每帧中参加一个校验和的做法来保证数据的完整性，防止有的攻击在数据流 中插入文本来试图破解密钥流；二是必须在每个客户端和每个AP上实现WEPt能起 作用；三是不使用预先定义的 WEF密钥，防止使用缺省选项；四是密钥由用户来设 定，并且能够经常更改；五是要使用最巩固的WEP版本，并与标准的最新更新版本保持同步。344 MAC地址过滤MAC（MediaAccessController，物理地

42、址）过滤可以降低大量攻击威胁，对于较 大规模的无线网络也是非常可行的选项。一是把 MAC过滤器作为第一层保护措施； 二是应该记录无线网络上使用的每个 MAC地址，并配置在AP上，只允许这些地址访 问网络，阻止非信任的 MAC访问网络；三是可以使用日志记录产生的错误，并定期 检查，判断是否有人企图突破平安措施。进展协议过滤协议过滤是一种降低网络平安风险的方式，在协议过滤器上设置正确适当的协 议过滤会给无线网络提供一种平安保障。过滤协议是个相当有效的方法，能够限制那些企图通过 SNMP（SimpleNetworkManagementProtocol,简单网络管理协议）访问 无线设备来修改配置的网络

43、用户，还可以防止使用较大的ICMP协议 （InternetControlMessageProtocol，网际控制报文协议）数据包和其他会用作拒绝效劳攻击的协议。346屏蔽SSID播送尽管可以很轻易地捕获 RF（RadioFrequency，无线频率）通信，但是通过防止 SSID从AP向外界播送，就可以克制这个缺点。圭寸闭整个网络，防止随时可能发生 的无效连接。把必要的客户端配置信息平安地分发给无线网络用户。347有效管理IP分配方式分配IP地址有静态地址和动态地址两种方式，判断无线网络使用哪一个分配 IP的方法最适合自己的机构，对网络的平安至关重要。静态地址可以防止黑客自动 获得IP地址，限制

44、在网络上传递对设备的第三层的访问；而动态地址可以简化 WLAN勺使用，可以降低那些繁重的管理工作。第4章无线网络的平安策略设计对于无线网络面临的平安问题和面临的平安威胁，只要采取适当的措施，就能 够在很大程度上提高无线网络的平安强度，减少遭遇攻击和威胁的可能性。4.1效劳区标示符（SSID）无线工作站必需出示正确的 SSID才能访问AP,因此可以认为SSID是一个简单 的口令，从而提供一定的平安。如果配置AP向外播送其SSID,那么平安程序将下降；由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持“任何SSID方式，只要无线工作站在任何A

45、P围，客户端都会自动连接到 AP,这将跳过SSID平安功能。4.2物理地址MAO过滤每个无线工作站网卡都由唯一的物理地址标示，因此可以在AP中手工维护一组允许访问的MAO址列表，实现物理地址过滤。物理地址过滤属于硬件认证，而不 是用户认证。这种方式要求AP中的MAO址列表必须随时更新，目前都是手工操作； 如果用户增加，那么扩展能力很差，因此只适合于小型网络规模。4.3虚拟专用网络VPN虚拟专用网络是指在一个公共 IP网络平台上通过隧道以及加密技术保证专用数据的网络平安性，目前许多企业以及运营商以及采用VPN技术。VPN可以替代连线对等解决方案以及物理地址过滤解决方案。采用VPN技术的另一个好处

46、是可以提供基于Radius的用户认证以及计费。VPN技术不属于802.11标准协议，因此它是 一种增强性网络解决方案。4.4接入限制策略接入限制是指通过设置一定的准许条件来阻止非授权计算机访问的方法。该方 式适宜于网络环境中客户端的计算机数量较少并且较为固定的环境。接入限制通过 设置无线路由器的MAC地址过滤来实现，只有设置准许接入计算机的 MAC地址即可。4.5平安标准策略WEF标准已经被证明是极为不平安的，特别容易受到平安攻击，WPAI然也存在 被破解的可能，但是其平安程度比 WEPeT很多，因此采用 wpa加密方式。4.6修改路由器密码策略为了无线路由器的平安，应当修改路由器所使用的用户

47、名和密码，不要使用默 认的用户名和密码。例如很多路由器的默认用户名和密码都是 “admin，几乎成为 众人所周知的密码，也就毫无平安保障可言。4.7降低无线AP功率策略在无线网络中，无线AP的发射功率越高，其辐射的距离和围越大。当设备覆盖 围远远超出其正常使用围时，用户的无线网络就有可能遭遇盗用。在能够满足用户 对无线网速需要的前提下，应当尽量减少无线AP的功率，降低被他人非法访问的可 能性。4.8其他平安策略定期漏洞扫描许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息，如探查其 SSID MAC等信息。为了无线网络的平安，可以使用同样的方法寻找网络中可能被 利用的漏洞，主动检查并加固无

48、线网络的平安。例如，使用该方法能够找出无线网 络中不平安的接入点等。482配置防火墙对于企业用户，可以通过建立防火墙来提升无线网络的平安性，防火墙能够有 效阻止入侵者通过无线设备进入网络。定期修改密码用户可以通过在不进展网络连接时关闭无线路由器，经常更换无线信号的加密 密码等手段消磨攻击者的耐心、加大攻击者攻击的时间消耗，到达提高无线网络平 安性的目的。不接入陌生无线AP用户原那么上不应当接入陌生无线 AP,当必须接入到陌生无线 AP时，一定要 开启防火墙，减少被攻击和入侵的可能。第5章无线网络平安的应用研究5.1应用环境2014年，全中国可查询到的公共 WiFi热点覆盖已经超过600万个，这

49、里还不 包括某些小型商家企业的公共 WIFI，其中CMC（热点超过400万个，ChinaNet热点 超过100万个，还有麦当劳、星巴克、KFC酒店、餐馆、地铁等商家和政府建立的 公共WiFi热点，目前大城市的公交、地铁都提供免费的公共 WIFI，市已经有10802 个餐馆提供免费上网效劳，市紧随其后到达9495个。表5-1公共WIFI简述WIFI热点名称热点数量CMCC422万Chi ntNet100万商业公共 WIFI餐饮、酒店、景区、联通100万政府公共 WIFI设施地铁、公交、机场超过18万针对国公共 WiFi热点日益严峻的问题，猎豹免费WiFi针对较常见的公共 WiFi 热点制作了平安

50、等级排行榜。将不同的WiFi热点进展了平安等级划分，并罗列出黑 客常用的攻击这类热点的方式，针对用户连入不同类型的 WiFi热点进展了不同的防 御措施。以保护用户使用公共 WiFi热点时能够平安上网。表5-2公共 WIFI平安等级热点类型平安等级易被攻击方式CMCC ChinaNet高假冒热点钓鱼机场WiFi一般假冒热点钓鱼、直接监听大巴、地铁WiFi热点高目前还没有发现攻击案例餐饮、酒店WiFi热点低直接监听、ARP攻击景区、校园WiFi高目前还没有发现攻击案例其他商用WiFi热点低直接监听、ARP攻击5.2背景随着互联网的飞速开展，网络平安逐渐成为一个潜在的巨大问题。网络平安性 是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简 单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收 者的信息。此时，它