任务3.4 无线局域网的安全配置

计算机网络安全管理技术项目三任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置

子任务2无线路由器的安全配置局域网的安全管理【任务目标】

1．学会设置无线路由器，组建无线局域网的方法2．能合理配置无线路由器的安全技术，保障无线局域网的安全项目三任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置

子任务2无线路由器的安全配置局域网的安全管理【任务环境】1、主流PC机一台2、PacketTracer软件

任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置【网络拓扑图】【网络IP地址分配表】

设备名接口IP地址/子网掩码默认网关R1Fa0/01.1.1.1/24——Fa0/1192.168.1.1/24——WR1WAN口192.168.1.2/24192.168.1.1LAN口192.168.10.1/24——PC1无线接口自动获取自动获取PC2无线接口自动获取自动获取S1Fa01.1.1.2/241.1.1.1任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置

【知识支撑】

1、无线局域网的概念无线局域网是指应用无线通信技术将计算机设备互联起来，构成可以互相通信和实现资源共享的网络体系。无线局域网本质是不再使用通信电缆将计算机与网络连接起来，而是通过无线的方式连接，从而使网络的构建和终端的移动更加灵活。它是相当便利的数据传输系统，它利用射频的技术，使用电磁波，在空中进行通信连接。

任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置

2、无线局域网的特点1）优点（1）灵活性和移动性。

（2）安装便捷

（3）易于进行网络规划和调整

（4）故障定位容易

（5）易于扩展任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置2）不足无线局域网的不足之处体现在以下几个方面：（1）性能。

无线局域网是依靠无线电波进行传输的。这些电波通过无线发射装置进行发射，而建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输，所以会影响网络的性能。任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置（2）速率。

无线信道的传输速率与有线信道相比要低得多。无线局域网的最大传输速率为1Gbit/s，只适合于个人终端和小规模网络应用。任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置（3）安全性。本质上无线电波不要求建立物理的连接通道，无线信号是发散的。从理论上讲，很容易监听到无线电波广播范围内的任何信号，造成通信信息泄漏。因此必须大力加强无线局域网的安全防护。任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置

【任务实施】1、绘制网络拓扑图2、根据网络IP地址分配表配置路由器R1和服务器S1的IP地址等参数任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置3、无线路由器的登录单击工作区内的无线路由器WR1，在弹出的对话框中选择GUI选项便可登录到无线路由器上，如下图所示。任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置4、无线路由器接口的配置首先在无线路由器登录主界面的InternetSetup选项的InternetConnectionType中选择StaticIP，根据网络IP地址分配表输入WAN接口的IP地址、子网掩码和默认网关等参数，然后在NetworkSetup选项的RouterIP中输入LAN接口的IP地址，配置结束后保存。任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置5、配置无线路由器的DHCP服务如下图所示配置无线路由器的DHCP服务，首先开启DHCP服务，然后设置初始IP地址和IP地址的数量，配置结束后保存。

任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置6、配置SSID在无线路由器的配置主界面上选择Wireless选项，然后选择BasicWirelessSettings选项，在其中将SSID更改为wireless，其余设置默认，配置结束后保存，如下图所示。

任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置7、将PC1和PC2连接到无线网络中，并验证各PC间以及到S1的连通性。单击PC，选择Desktop选项，然后选择PCWireless选项，在弹出的画面上选择Connect选项，在左侧找到刚才设置的SSID，最后单击Connect按钮，如下图所示，就可以连接到无线网络中。任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置8、在PacketTracer环境下保存文件，至此无线路由器的基本配置就完成了。

下一个任务-无线路由器的安全配置将在此网络拓扑的基础上进行。任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置项目三任务3.4无线局域网的安全配置

子任务1无线路由器的基本配置

子任务2无线路由器的安全配置局域网的安全管理【任务环境】1、主流PC机一台2、PacketTracer软件【网络拓扑图】同上一个任务

任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置

【知识支撑】

一、无线局域网的安全技术1、服务集标识符（SSID）通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令，从而提供一定的安全，但如果配置AP向外广播其SSID，那么安全程度还将下降。由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置

2、MAC地址过滤由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必须随时更新，目前都是手工操作，如果用户增加，则扩展能力很差，而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证，只适合于小型网络规模。任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置

3、连线对等保密（WEP）采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失密钥将使整个网络不安全，而且40位的密钥现在很容易被破解，密钥是静态的，要手工维护，扩展能力差。目前为了提高安全性，建议采用128位加密钥匙。任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置

4、Wi-Fi保护接入（WPA）WPA的原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥，然后与WEP一样将此密钥用于RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。作为802.11i标准的子集，WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置

5、国家标准（WAPI）WAPI即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEERegistrationAuthority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端与无线接入点间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游，方便用户使用。任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置

6、端口访问控制技术（802.1x）该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。

802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置二、无线局域网安全防范措施1、采用端口访问技术（802.1x）进行控制，防止非授权的非法接入和访问。2、采用128位WEP加密技术，并不使用自带的WEP密钥。3、对于密度等级高的网络采用VPN进行连接。4、对AP和网卡设置复杂的SSID，并根据需求确定是否需要漫游来确定是否需要MAC绑定。5、禁止AP向外广播其SSID。任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置6、修改缺省的AP密码。7、布置AP的时候要在公司办公区域以外进行检查，防止AP的覆盖范围超出办公区域，同时要让保安人员在公司附近进行巡查，防止外部人员在公司附近接入网络。8、禁止员工私自安装AP，通过便携机配置无线网卡和无线扫描软件可以进行扫描。9、如果网卡支持修改属性需要密码功能，要开启该功能，防止网卡属性被修改。任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置10、配置设备检查非法进入公司的电磁波发生器，防止被干扰和DoS攻击。11、制定无线网络管理规定，规定员工不得把网络设置信息告诉公司外部人员，禁止设置P2P的Adhoc网络结构。12、跟踪无线网络技术，特别是安全技术，对网络管理人员进行知识培训。任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置

【任务实施】1、打开上次任务-无线路由器的基本配置的文件2、无线路由器密钥的配置

1）进入无线路由器的配置主界面，选择Wireless选项，然后选择WirelessSecurity选项，将SecurityMode设置为WPA2Personal，加密算法为AES，密钥设置为P@ssw0rd，配置结束后保存，如下图所示。任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置2）配置完成后，PC1和PC2必须输入无线网络的密钥才可以连接到无线网络中，也可以成功连通S1，如下图所示。任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置3、无线路由器MAC地址过滤的配置

1）查看PC1的MAC地址单击PC1，选择Desktop选项，在其中选择CommandPrompt选项，使用ipconfig/all命令可以查看其MAC地址，如下所示。C:\>ipconfig/allWireless0Connection:(defaultport)Connection-specificDNSSuffix..:

PhysicalAddress................:0001.635E.684A……//以上地址就是MAC地址，由于其唯一性的特点，所有每个设备的MAC地址都不相同任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置2）配置MAC地址过滤

进入无线路由器的配置主界面，选择Wireless选项，然后选择WirelessMACFilter选项，首先开启MAC地址过滤服务，然后选择PermitPCslistedbelowtoaccesswirelessnetwork选项，最后将PC1的MAC地址写入下面的文本框内，配置结束后保存，如图所示。任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置配置完成后，此时可以发现只有PC1可以连接到无线网络中，也可以成功连通S1，而PC2则不可以。任务3.4无线局域网的安全配置

子任务2

无线路由器的安全配置4、禁用SSID广播

1）进入无线路由器的配置主界面，选择Wireless选项，然后选择BasicWirelessSettings选项，将SSID广播功能关闭，配置结束后保存，如下图所示。任务3.4无线局域网的安全配置

子