無線網路安全性的設計策略

⑴ 無線區域網中的安全措施

摘要：由於在現在區域網建網的地域越來越復雜，很多地方應用了無線技術來建設區域網，但是由於 無線網路 應用電磁波作為傳輸媒介，因此安全問題就顯得尤為突出。本文通過對危害無線區域網的一些因素的敘述，給出了一些應對的安全 措施 ，以保證無線區域網能夠安全，正常的運行。

關鍵字：WLAN，WEP，SSID，DHCP，安全措施

1、 引言

WLAN是Wireless LAN的簡稱，即無線區域網。所謂無線網路，顧名思義就是利用無線電波作為傳輸媒介而構成的信息網路，由於WLAN產品不需要鋪設通信電纜，可以靈活機動地應付各種網路環境的設置變化。WIAN技術為用戶提供更好的移動性、靈活性和擴展性，在難以重新布線的區域提供快速而經濟有效的區域網接入，無線網橋可用於為遠程站點和用戶提供區域網接入。但是，當用戶對WLAN的期望日益升高時，其安全問題隨著應用的深入表露無遺，並成為制約WLAN發展的主要瓶頸。[1]

2、 威脅無線區域網的因素

首先應該被考慮的問題是，由於WLAN是以無線電波作為上網的傳輸媒介，因此無線網路存在著難以限制網路資源的物理訪問，無線網路信號可以傳播到預期的方位以外的地域，具體情況要根據建築材料和環境而定，這樣就使得在網路覆蓋范圍內都成為了WLAN的接入點，給入侵者有機可乘，可以在預期范圍以外的地方訪問WLAN，竊聽網路中的數據，有機會入侵WLAN應用各種攻擊手段對無線網路進行攻擊，當然是在入侵者擁有了網路訪問權以後。

其次，由於WLAN還是符合所有網路協議的計算機網路，所以計算機病毒一類的網路威脅因素同樣也威脅著所有WLAN內的計算機，甚至會產生比普通網路更加嚴重的後果。

因此，WLAN中存在的安全威脅因素主要是：竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等。

IEEE 802.1x認證協議發明者VipinJain接受媒體采訪時表示：「談到無線網路，企業的IT經理人最擔心兩件事：首先，市面上的標准與安全解決方案太多，使得用戶無所適從；第二，如何避免網路遭到入侵或攻擊？無線媒體是一個共享的媒介，不會受限於建築物實體界線，因此有人要入侵網路可以說十分容易。」[1]因此WLAN的安全措施還是任重而道遠。

3、無線區域網的安全措施

3.1採用無線加密協議防止未授權用戶

保護無線網路安全的最基本手段是加密，通過簡單的設置AP和無線網卡等設備，就可以啟用WEP加密。無線加密協議(WEP)是對無線網路上的流量進行加密的一種標准 方法 。許多無線設備商為了方便安裝產品，交付設備時關閉了WEP功能。但一旦採用這種做法，黑客就能利用無線嗅探器直接讀取數據。建議經常對WEP密鑰進行更換，有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外一個必須注意問題就是用於標識每個無線網路的服務者身份(SSID)，在部署無線網路的時候一定要將出廠時的預設SSID更換為自定義的SSID。現在的AP大部分都支持屏蔽SSID廣播，除非有特殊理由，否則應該禁用SSID廣播，這樣可以減少無線網路被發現的可能。[2]

但是目前IEEE 802.11標准中的WEP安全解決方案，在15分鍾內就可被攻破，已被廣泛證實不安全。所以如果採用支持128位的WEP，解除128位的WEP的是相當困難的，同時也要定期的更改WEP，保證無線區域網的安全。如果設備提供了動態WEP功能，最好應用動態WEP，值得我們慶幸的，Windows XP本身就提供了這種支持，您可以選中WEP選項「自動為我提供這個密鑰」。同時，應該使用IPSec，，SSH或其他

WEP的替代方法。不要僅使用WEP來保護數據。

3.2 改變服務集標識符並且禁止SSID廣播

SSID是無線接人的身份標識符，用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設備製造商設置的，並且每個廠商都用自己的預設值。例如，3COM 的設備都用「101」。因此，知道這些標識符的黑客可以很容易不經過授權就享受你的無線服務。你需要給你的每個無線接入點設置一個唯一並且難以推測的 SSID。如果可能的話。還應該禁止你的SSID向外廣播。這樣，你的無線網路就不能夠通過廣播的方式來吸納更多用戶．當然這並不是說你的網路不可用．只是它不會出現在可使用網路的名單中。[3]

3.3 靜態IP與MAC地址綁定

無線路由器或AP在分配IP地址時，通常是默認使用DHCP即動態IP地址分配，這對無線網路來說是有安全隱患的，「不法」分子只要找到了無線網路，很容易就可以通過DHCP而得到一個合法的IP地址，由此就進入了區域網絡中。因此，建議關閉DHCP服務，為家裡的每台電腦分配固定的靜態IP地址，然後再把這個IP地址與該電腦網卡的MAC地址進行綁定，這樣就能大大提升網路的安全性。「不法」分子不易得到合法的IP地址，即使得到了，因為還要驗證綁定的MAC地址，相當於兩重關卡。[4]設置方法如下：

首先，在無線路由器或AP的設置中關閉「DHCP伺服器」。然後激活「固定DHCP」功能，把各電腦的「名稱」(即Windows系統屬陸里的「計算機描述」)，以後要固定使用的IP地址，其網卡的MAC地址都如實填寫好，最後點「執行」就可以了。

3.4 技術在無線網路中的應用

對於高安全要求或大型的無線網路，方案是一個更好的選擇。因為在大型無線網路中維護工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務。

對於無線商用網路，基於的解決方案是當今WEP機制和MAC地址過濾機制的最佳替代者。方案已經廣泛應用於Internet遠程用戶的安全接入。在遠程用戶接入的應用中，在不可信的網路(Internet)上提供一條安全、專用的通道或者隧道。各種隧道協議，包括點對點的隧道協議和第二層隧道協議都可以與標準的、集中的認證協議一起使用。同樣，技術可以應用在無線的安全接入上，在這個應用中，不可信的網路是無線網路。AP可以被定義成無WEP機制的開放式接入(各AP仍應定義成採用SSID機制把無線網路分割成多個無線服務子網)，但是無線接入網路VLAN (AP和伺服器之問的線路)從區域網已經被伺服器和內部網路隔離出來。伺服器提供網路的認征和加密，並允當區域網網路內部。與WEP機制和MAC地址過濾接入不同，方案具有較強的擴充、升級性能，可應用於大規模的無線網路。

3.5 無線入侵檢測系統

無線入侵檢測系統同傳統的入侵檢測系統類似，但無線入侵檢測系統增加了無線區域網的檢測和對破壞系統反應的特性。侵入竊密檢測軟體對於阻攔雙面惡魔攻擊來說，是必須採取的一種措施。如今入侵檢測系統已用於無線區域網。來監視分析用戶的活動，判斷入侵事件的類型，檢測非法的網路行為，對異常的網路流量進行報警。無線入侵檢測系統不但能找出入侵者，還能加強策略。通過使用強有力的策略，會使無線區域網更安全。無線入侵檢測系統還能檢測到MAC地址欺騙。他是通過一種順序分析，找出那些偽裝WAP的無線上網用戶無線入侵檢測系統可以通過提供商來購買，為了發揮無線入侵檢測系統的優良的性能，他們同時還提供無線入侵檢測系統的解決方案。[1]

3.6 採用身份驗證和授權

當攻擊者了解網路的SSID、網路的MAC地址或甚至WEP密鑰等信息時，他們可以嘗試建立與AP關聯。目前，有3種方法在用戶建立與無線網路的關聯前對他們進行身份驗證。開放身份驗證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗證的問題在於，如果您沒有其他的保護或身份驗證機制，那麼您的無線網路將是完全開放的，就像其名稱所表示的。共享機密身份驗證機制類似於「口令一響應」身份驗證系統。在STA與AP共享同一個WEP密鑰時使用這一機制。STA向AP發送申請，然後AP發回口令。接著，STA利用口令和加密的響應進行回復。這種方法的漏洞在於口令是通過明文傳輸給STA的，因此如果有人能夠同時截取口令和響應，那麼他們就可能找到用於加密的密鑰。採用其他的身份驗證／授權機制。使用 802.1x，或證書對無線網路用戶進行身份驗證和授權。使用客戶端證書可以使攻擊者幾乎無法獲得訪問許可權。

[5]

3.7其他安全措施

除了以上敘述的安全措施手段以外我們還要可以採取一些其他的技術，例如設置附加的第三方數據加密方案，即使信號被盜聽也難以理解其中的內容；加強企業內部管理等等的方法來加強WLAN的安全性。

4、 結論

無線網路應用越來越廣泛，但是隨之而來的網路安全問題也越來越突出，在文中分析了WLAN的不安全因素，針對不安全因素給出了解決的安全措施，有效的防範竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等的攻擊手段，但是由於現在各個無線網路設備生產廠商生產的設備的功能不一樣，所以現在在本文中介紹的一些安全措施也許在不同的設備上會有些不一樣，但是安全措施的思路是正確的，能夠保證無線網路內的用戶的信息和傳輸消息的安全性和保密性，有效地維護無線區域網的安全。

參考文獻

[1]李園,王燕鴻,張鉞偉,顧偉偉.無線網路安全性威脅及應對措施[J].現代電子技術.2007, (5):91-94.

[2]王秋華,章堅武.淺析無線網路實施的安全措施[J].中國科技信息.2005, (17):18.

[3]邊鋒.不得不說無線網路安全六種簡單技巧[J].計算機與網路.2006, (20):6.

[4]冷月.無線網路保衛戰[J].計算機應用文摘.2006,(26)：79-81.

[5]宋濤.無線區域網的安全措施[J]. 電信交換.2004, (1):22-27.

⑵ 請問怎樣加強無線網路的安全管理

從簡單的強制網路門戶和防火牆過濾到流量整形和唯一的來賓登錄，這類產品都可以不用IT協助自動生成。 舉例說明，我們看下Meraki的企業級WLAN雲控制器提供的來賓管理功能。為了創建一個Meraki來賓無線區域網，我們需要開始指令配置一個SSID，比如一次點擊或者登入開始頁面。如果選擇了開始頁面，用戶會被重定向到一個定製的入口，通過輸入用戶名和密碼登錄。 來賓開始創建有三種選擇。第一，管理員配置來賓賬號。第二，來賓代表可以增加和刪除來賓賬號但是不能做其他改動，第三，允許來賓在入口提示頁使用他們自己的賬戶，以管理員批准為准。 控制用戶活動實現來賓無線區域網的安全性 下一步便是控制登錄用戶的活動。考慮強制網路門戶是否要求用戶運行防毒軟體。然後設置允許的目的地，埠和URL，選擇性的添加帶寬限制和有線/無線屬性。最後，考慮在允許或不允許本地區域網訪問時，來賓流量是否需要橋接到一個VLAN或路由到Internet。雲控制器可以分析流量來查看無線來賓網路的使用情況。 這些功能通常適用於未加密的來賓無線網路，但是也可以結合WPA2-PSK實現加密。設置PSK可以降低拒絕服務攻擊和防止外部探測。然而傳統的PSK是共享給每個用戶的，他們沒法跟蹤或對單獨的來賓取消跟蹤。不過一些產品提供動態PSK給每個用戶，如Ruckus DPSK和Aerohive PPSK可以解決這類問題。 例如，Ruckus無線區域網可以設置給每個來賓一個唯一的DPSK。任何有企業網路訪問權的用戶都可以通過一個Web表格來申請Ruckus來賓許可權，每個發布的來賓許可權都提供了他們可列印的說明，包括來賓姓名，來賓SSID，來賓唯一的DPSK和有效期限。這些設置甚至可以自動安裝到Windows系統、OS X和iPhone客戶端上，有效避免手工設置和可能出現的錯誤。一旦生效，DPSK會自動過期或被廢除，不用中斷其他的使用。 來賓無線網路上的設備完整性檢查 這些來賓管理策略可以在無線區域網上提供很好的可視性和可控制行，包括來賓可以訪問什麼以及他們可以使用什麼資源。然而，要預防被感染病毒的來賓所帶來的破壞還需要更多的措施。據Gartner所述，網路准入控制部署中有四分之三就是為了應對這類威脅的。 雖然阻止被感染的無線客戶端不是來賓無線區域網所需要做的事，但是來賓設備會造成更大的危險，因為他們不被IT部門所管理，一般不能強行安裝IT部門要求的軟體或者配置，甚至不能進行臨時地完整性檢查。例如，一個強制網路入門可能會使用ActiveX控制來快速查看來賓是否運行著授權的殺毒軟體。然而，ActiveX控制不能查看非Windows的來賓設備或者被鎖的瀏覽器。 對一些企業，針對使用windows的來賓進行完整性檢查已經足夠了，畢竟，病毒在Windows下比較普通。但是其他企業可能傾向於阻止那些不能檢查的來賓或者對他們進行限制(如，只能HTTP，不能訪問內網)。第三種可能是使用NAC或者IDS產品，比如ForeScout，CounterACT或Bradford Network Sentry，他們可以運行基於網路的檢查。NAC設備可以整合到現有的無線網路設施中給來賓管理者提供訪問控制策略，如果檢測到客戶端有病毒威脅或者策略違反就立即切斷。 總之，企業級來賓網路必須有高效的用戶管理控制，使其符合企業規范。而且他們必須提供突發事件的解決方案和有效的跟蹤方案。有了這些策略，企業可以放心安全的提供網路給承包商，合作夥伴，客戶，和其他授權的來賓，而不用擔心什麼情況都不知道了。

⑶ 網路系統安全性設計原則有哪些

根據防範安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素，參照SSE-CMM("系統安全工程能力成熟模型")和ISO17799(信息安全管理標准)等國際標准，綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統均衡性等方面，網路安全防範體系在整體設計過程中應遵循以下9項原則：

1．網路信息安全的木桶原則

網路信息安全的木桶原則是指對信息均衡、全面的進行保護。「木桶的最大容積取決於最短的一塊木板」。網路信息系統是一個復雜的計算機系統，它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性，尤其是多用戶網路系統自身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的「最易滲透原則」，必然在系統中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統的安全漏洞和安全威脅進行分析，評估和檢測（包括模擬攻擊）是設計信息安全系統的必要前提條件。安全機制和安全服務設計的首要目的是防止最常用的攻擊手段，根本目的是提高整個系統的"安全最低點"的安全性能。

2．網路信息安全的整體性原則

要求在網路發生被攻擊、破壞事件的情況下，必須盡可能地快速恢復網路信息中心的服務，減少損失。因此，信息安全系統應該包括安全防護機制、安全檢測機制和安全恢復機制。安全防護機制是根據具體系統存在的各種安全威脅採取的相應的防護措施，避免非法攻擊的進行。安全檢測機制是檢測系統的運行情況，及時發現和制止對系統進行的各種攻擊。安全恢復機制是在安全防護機制失效的情況下，進行應急處理和盡量、及時地恢復信息，減少供給的破壞程度。

3．安全性評價與平衡原則

對任何網路，絕對安全難以達到，也不一定是必要的，所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設計要正確處理需求、風險與代價的關系，做到安全性與可用性相容，做到組織上可執行。評價信息是否安全，沒有絕對的評判標准和衡量指標，只能決定於系統的用戶需求和具體的應用環境，具體取決於系統的規模和范圍，系統的性質和信息的重要程度。

4．標准化與一致性原則

系統是一個龐大的系統工程，其安全體系的設計必須遵循一系列的標准，這樣才能確保各個分系統的一致性，使整個系統安全地互聯互通、信息共享。

5．技術與管理相結合原則

安全體系是一個復雜的系統工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現。因此，必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。

6．統籌規劃，分步實施原則

由於政策規定、服務需求的不明朗，環境、條件、時間的變化，攻擊手段的進步，安全防護不可能一步到位，可在一個比較全面的安全規劃下，根據網路的實際需要，先建立基本的安全體系，保證基本的、必須的安全性。隨著今後隨著網路規模的擴大及應用的增加，網路應用和復雜程度的變化，網路脆弱性也會不斷增加，調整或增強安全防護力度，保證整個網路最根本的安全需求。

7．等級性原則

等級性原則是指安全層次和安全級別。良好的信息安全系統必然是分為不同等級的，包括對信息保密程度分級，對用戶操作許可權分級，對網路安全程度分級（安全子網和安全區域），對系統實現結構的分級（應用層、網路層、鏈路層等），從而針對不同級別的安全對象，提供全面、可選的安全演算法和安全體制，以滿足網路中不同層次的各種實際需求。

8．動態發展原則

要根據網路安全的變化不斷調整安全措施，適應新的網路環境，滿足新的網路安全需求。

9．易操作性原則

首先，安全措施需要人為去完成，如果措施過於復雜，對人的要求過高，本身就降低了安全性。其次，措施的採用不能影響系統的正常運行。

⑷ 如何保護自家WiFi無線網路安全

周圍鄰居也可能利用您的WiFi網路上網，降低您的網速。增強家中網路的安全性不但能夠在您進行無線上網時保護您的信息安全，還有助於保護連接到網路的各類設備。 如果您希望提升家中WiFi網路的安全性，採取下列步驟可以有所幫助。 當您的朋友第一次到您家做客，使用您家WiFi網路時，是否需要輸入密碼?如果不需要，那麼您的網路就不夠安全。即便他們需要輸入密碼，您也有多種不同的方式來保護自家網路，而這些方法之間也有優劣之分。您可以通過查看WiFi網路設置來了解自家的網路已有哪些保護措施。您的網路可能是不安全的，也可能已經添加了有線等效加密(WEP)，無線網路安全接入(WPA)或二代無線網路安全接入(WPA2)等保護措施。其中WEP是最早的無線安全協議，效果不佳。WPA優於WEP，不過WPA2才是最佳選擇。 2、將您的網路安全設置改為WPA2 WiFi信號是由家中的無線路由器產生的。如果您的網路沒有WPA2保護，需要訪問路由器設置頁面進行更改。您可以查閱路由器用戶手冊，了解如何訪問設置頁面，或在線搜索針對自己路由器的使用指導。所有在2006年後發售的擁有WiFi商標的路由器都支持WPA2。如果您購買的是早期型號，我們建議您購買支持WPA2的新型路由器。因為它更安全，速度也更快。 3、為您的WiFi網路設置高強度密碼 要想使用WPA2保護網路，您需要創建密碼。選擇獨特的密碼十分重要，最好使用由數字，字母和符號組成的長密碼，這樣不易被別人猜出。如果您是在家中這樣的私人場所，也可以將密碼記錄下來以免忘記，並安全保管，以免遺失。另外，您的密碼還需要方便使用，以便朋友來訪時可以連接您家的WiFi網路。正如您不會將自家鑰匙交給陌生人一樣，家中的WiFi密碼也只能告訴信得過的人。 4、保護您的路由器，以免他人更改您的設置 您的路由器需要設置單獨的密碼，要與保護WiFi網路的密碼有所區別。新買的路由器一般不設密碼，或者只設有簡單的默認密碼，很多網路犯罪分子都已經知道這個密碼。如果您不重設路由器密碼，世界上任何地方的犯罪分子都可以輕易入侵您的網路，截取您通過網路分享的數據，並對連接到該網路的電腦發起攻擊。許多路由器都可以在設置頁面重設密碼。這組密碼不要告訴其他人，並需要與WiFi密碼加以區分 (如步驟三所述)。如果您為兩者設置相同的密碼，任何擁有您家WiFi密碼的人便都能夠更改您家無線路由器的設置。 5、如果您需要幫助，請查閱使用說明 如果您遺失了路由器手冊，還可以在搜索引擎中查找家中使用的基站或路由器的型號，許多設備的信息都能在網上查到。

⑸ 如何確保家庭無線網路安全

方法/步驟

1
進入TP無線路由的WEB管理界面，瀏覽器輸入192.168.1.1即可，輸入用戶名和密碼，進入無線路由的web管理界面，選擇「無線設置」標簽，

END
方法/步驟2

在「無線設置」標簽的「基本設置」下，在右側取消「開啟SSID廣播」的勾選，保存。該操作是吧無線路由的SSID廣播取消，通常所說的隱藏SSID，隱藏後當無線連接此路由時，需要手動輸入正確的SSID號，不知道SSID號的人是無法和此路由器建立聯系的

在「無線設置」標簽下切換到「無線安全設置」，此頁面設置無線網路的安全密碼，根據系統提示，選擇WPA-PSK/WPA2-PSK加密類型，在PSK密碼處設置密碼（不少於8位)，確定。
此操作是為了加密無線網路，提高安全性，不知道密碼的用戶，即是知道了SSID也不能和路由建立連接

經過以上步驟的設置，你的無線網路已經很安全了，但為了絕對的安全，下面將啟用終極設置，MAC過濾。
在「無線設置」標簽下切換到「無線mac地址過濾」，選擇「啟用過濾」，「過濾規則」選擇」禁止「，然後選擇「添加新條目」，彈出一個警告框，確定後進入下一個頁面，開始手動設置「無線網路MAC地址過濾設置」，在「mac地址」裡面手動輸入你打算可以連接到本無線網路的設備的mac（網卡地址，相當於身份證號碼，全球唯一性），狀態選擇「生效」，保存，返回，即可以將可以加入到本無線網路的設備添加進來，多次重復該步驟，可以添加多個設備，然後，保存路由。
PS：此步驟是將設備的mac和路由進行綁定，在允許列表的設備才可以上網，不在列表的設備，即使知道前2個步驟的SSID和無線密碼，也無法通過無線路由的安全認證，也不能加入本無線網路，這對於提高無線網路的安全有著極高的作用。
該步驟可以和前2步驟分離，也即是僅設置該步驟，將設備的mac進行綁定，這樣可讓有心蹭網的人抓狂，明明是無加密，信號很強的，為嘛不能連接？呵呵，這點是不是很強大呢？

⑹ 無線網路安全防護措施有哪些

針對網路安全中的各種問題，我們應該怎樣去解決，這里就告訴我們一個真理，要從安全方面入手，這才是解決問題的關鍵。公司無線網路的一個突出的問題是安全性。隨著越來越多的企業部署無線網路，從而將雇員、專業的合夥人、一般公眾連接到公司的系統和互聯網。人們對增強無線網路安全的需要變得日益迫切。幸運的是，隨著越來越多的公司也越來越清楚無線網路面臨的威脅和對付這些威脅的方法，有線網路和無線網路面臨的威脅差距越來越小。 無線網路威脅 無線網路安全並不是一個獨立的問題，企業需要認識到應該在幾條戰線上對付攻擊者，但有許多威脅是無線網路所獨有的，這包括： 1、插入攻擊：插入攻擊以部署非授權的設備或創建新的無線網路為基礎，這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置，要求客戶端接入時輸入口令。如果沒有口令，入侵者就可以通過啟用一個無線客戶端與接入點通信，從而連接到內部網路。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。 2、漫遊攻擊者：攻擊者沒有必要在物理上位於企業建築物內部，他們可以使用網路掃描器，如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網路，這種活動稱為“wardriving ” ; 走在大街上或通過企業網站執行同樣的任務，這稱為“warwalking”。 3、欺詐性接入點：所謂欺詐性接入點是指在未獲得無線網路所有者的許可或知曉的情況下，就設置或存在的接入點。一些雇員有時安裝欺詐性接入點，其目的是為了避開公司已安裝的安全手段，創建隱蔽的無線網路。這種秘密網路雖然基本上無害，但它卻可以構造出一個無保護措施的網路，並進而充當了入侵者進入企業網路的開放門戶。 當然，還有其它一些威脅，如客戶端對客戶端的攻擊(包括拒絕服務攻擊)、干擾、對加密系統的攻擊、錯誤的配置等，這都屬於可給無線網路帶來風險的因素。 實現無線網路安全的三大途徑和六大方法 關於封閉網路，如一些家用網路和單位的網路，最常見的方法是在網路接入中配置接入限制。這種限制可包括加密和對MAC地址的檢查。 正因為無線網路為攻擊者提供了許多進入並危害企業網路的機會，所以也就有許多安全工具和技術可以幫助企業保護其網路的安全性： 具體來說，有如下幾種保護方法： 1、防火牆:一個強健的防火牆 可以有效地阻止入侵者通過無線設備進入企業網路的企圖。 2、安全標准：最早的安全標准WEP已經被證明是極端不安全的，並易於受到安全攻擊。而更新的規范，如WPA、WPA2及IEEE802.11i是更加強健的安全工具。採用無線網路的企業應當充分利用這兩種技術中的某一種。 3、加密和身份驗證：WPA、WPA2及IEEE802.11i支持內置的高級加密和身份驗證技術。WPA2和802.11i都提供了對AES(高級加密標准)的支持，這項規范已為許多政府機構所採用。 4、漏洞掃描：許多攻擊者利用網路掃描器不斷地發送探查鄰近接入點的消息，如探查其SSID、MAC等信息。而企業可以利用同樣的方法來找出其無線網路中可被攻擊者利用的漏洞，如可以找出一些不安全的接入點等。 5、降低功率：一些無線路由器 和接入點准許用戶降低發射器的功率，從而減少設備的覆蓋范圍。這是一個限制非法用戶訪問的實用方法。同時，仔細地調整天線的位置也可有助於防止信號落於賊手。 6、教育用戶：企業要教育雇員正確使用無線設備，要求雇員報告其檢測到或發現的任何不正常或可疑的活動。

⑺ 在無線網路通信系統中,如何從軟體當中保證數據傳送的正確和可靠

涉及到無線網路安全性設計時，通常應該從以下幾個安全因素考慮並制定相關措施。
（1）身份認證：對於無線網路的認證可以是基於設備的，通過共享的WEP密鑰來實現。
它也可以是基於用戶的，使用EAP來實現。無線EAP認證可以通過多種方式來實現，比如EAP－TLS、EAP－TTLS、LEAP和PEAP。在無線網路中，設備認證和用戶認證都應該實施，以確保最有效的無線網路安全性。用戶認證信息應該通過安全隧道傳輸，從而保證用戶認證信息交換是加密的。因此，對於所有的網路環境，如果設備支持，最好使用EAP－TTLS或PEAP。
（2）訪問控制：對於連接到無線。
網路用戶的訪問控制主要通過AAA伺服器來實現。這種方式可以提供更好的可擴展性，有些訪問控制伺服器在802．1x的各安全埠上提供了機器認證，在這種環境下，只有當用戶成功通過802．1x規定埠的識別後才能進行埠訪問。此外還可以利用SSID和MAC地址過濾。服務集標志符（SSID）是目前無線訪問點採用的識別字元串，該標志符一般由設備製造商設定，每種標識符都使用默認短語，如101即指3COM設備的標志符。倘若黑客得知了這種口令短語，即使沒經授權，也很容易使用這個無線服務。對於設置的各無線訪問點來說，應該選個獨一無二且很難讓人猜中的SSID並且禁止通過天線向外界廣播這個標志符。由於每個無線工作站的網卡都有唯一的物理地址，所以用戶可以設置訪問點，維護一組允許的MAC地址列表，實現物理地址過濾。這要求AP中的MAC地址列表必須隨時更新，可擴展性差，無法實現機器在不同AP之間的漫遊；而且MAC地址在理論上可以偽造，因此，這也是較低級的授權認證。但它是阻止非法訪問無線網路的一種理想方式，能有效保護無線網路安全。
（3）完整性：通過使用WEP或TKIP，無線網路提供數據包原始完整性。
有線等效保密協議是由802．11標準定義的，用於在無線區域網中保護鏈路層數據。WEP使用40位鑰匙，採用RSA開發的RC4對稱加密演算法，在鏈路層加密數據。WEP加密採用靜態的保密密鑰，各無線工作站使用相同的密鑰訪問無線網路。WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發出一個Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密後送回存取點以進行認證比對，如果正確無誤，才能獲准存取網路的資源。現在的WEP也一般支持128位的鑰匙，能夠提供更高等級的無線網路安全加密。在IEEE 802．11i規范中，TKIP：Temporal Key Integrity Protocol（暫時密鑰集成協議）負責處理無線網路安全問題的加密部分。TKIP在設計時考慮了當時非常苛刻的限制因素：必須在現有硬體上運行，因此不能使用計算先進的加密演算法。TKIP是包裹在已有WEP密碼外圍的一層「外殼」，它由WEP使用的同樣的加密引擎和RC4演算法組成。TKIP中密碼使用的密鑰長度為128位，這解決了WEP的密鑰長度過短的問題。
（4）機密性：保證數據的機密性可以通過WEP、TKIP或VPN來實現。
前面已經提及，WEP提供了機密性，但是這種演算法很容易被破解。而TKIP使用了更強的加密規則，可以提供更好的機密性。另外，在一些實際應用中可能會考慮使用IPSec ESP來提供一個安全的VPN隧道。VPN（Virtual Private Network，虛擬專用網路）是在現有網路上組建的虛擬的、加密的網路。VPN主要採用4項安全保障技術來保證無線網路安全，這4項技術分別是隧道技術、密鑰管理技術、訪問控制技術、身份認證技術。實現WLAN安全存取的層面和途徑有多種。而VPN的IPSec（Internet Protocol Security）協議是目前In－ternet通信中最完整的一種無線網路安全技術，利用它建立起來的隧道具有更好的安全性和可靠性。無線客戶端需要啟用IPSec，並在客戶端和一個VPN集中器之間建立IPSec傳輸模式的隧道。
（5）可用性：無線網路有著與其它網路相同的需要，這就是要求最少的停機時間。
不管是由於DOS攻擊還是設備故障，無線基礎設施中的關鍵部分仍然要能夠提供無線客戶端的訪問。保證這項功能所花費資源的多少主要取決於保證無線網路訪問正常運行的重要性。在機場或者咖啡廳等場合，不能給用戶提供無線訪問只會給用戶帶來不便而已。而一些公司越來越依賴於無線訪問進行商業運作，這就需要通過多個AP來實現漫遊、負載均衡和熱備份。
當一個客戶端試圖與某個特定的AP通訊，而認證伺服器不能提供服務時也會產生可用性問題。這可能是由於擁塞的連接阻礙了認證交換的數據包，建議賦予該數據包更高的優先順序以提供更好的QoS。另外應該設置本地認證作為備用，可以在AAA伺服器不能提供服務時對無線客戶端進行認證。
（6）審計：審計工作是確定無線網路配置是否適當的必要步驟。
如果對通信數據進行了加密，則不要只依賴設備計數器來顯示通信數據正在被加密。就像在VPN網路中一樣，應該在網路中使用通信分析器來檢查通信的機密性，並保證任何有意無意嗅探網路的用戶不能看到通信的內容。為了實現對網路的審計，需要一整套方法來配置、收集、存儲和檢索網路中所有AP及網橋的信息，有效保護無線網路安全。

我管不住別人的嘴，我只管做好我自己。

⑻ 簡述網路安全策略的概念及制定安全策略的原則

網路的安全策略1.引言

隨著計算機網路的不斷發展，全球信息化已成為人類發展的大趨勢。但由於計算機網路具有聯結形式多樣性、終端分布不均勻性和網路的開放性、互連性等特徵，致使網路易受黑客、怪客、惡意軟體和其他不軌的攻擊，所以網上信息的安全和保密是一個至關重要的問題。對於軍用的自動化指揮網路、C3I系統和銀行等傳輸敏感數據的計算機網路系統而言，其網上信息的安全和保密尤為重要。因此，上述的網路必須有足夠強的安全措施，否則該網路將是個無用、甚至會危及國家安全的網路。無論是在區域網還是在廣域網中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網路的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網路信息的保密性、完整性和可用性。

2.計算網路面臨的威脅

計算機網路所面臨的威脅大體可分為兩種：一是對網路中信息的威脅；二是對網路中設備的威脅。影響計算機網路的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網路系統資源的非法使有，歸結起來，針對網路安全的威脅主要有三：

(1)人為的無意失誤：如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。

(2)人為的惡意攻擊：這是計算機網路所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬於這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網路正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網路造成極大的危害，並導致機密數據的泄漏。

(3)網路軟體的漏洞和「後門」：網路軟體不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現過的黑客攻入網路內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。另外，軟體的「後門」都是軟體公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦「後門」洞開，其造成的後果將不堪設想。

3.計算機網路的安全策略

3.1 物理安全策略

物理安全策略的目的是保護計算機系統、網路伺服器、列印機等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用許可權、防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。

抑制和防止電磁泄漏（即TEMPEST技術）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發射的防護，主要採取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是採用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽雜訊向空間輻射來掩蓋計算機系統的工作頻率和信息特徵。

3.2 訪問控制策略

訪問控制是網路安全防範和保護的主要策略，它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網路安全最重要的核心策略之一。下面我們分述各種訪問控制策略。 3.2.1 入網訪問控制

入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源，控制准許用戶入網的時間和准許他們在哪台工作站入網。

用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的預設限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網路。

對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，伺服器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續驗證用戶輸入的口令，否則，用戶將被拒之網路之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少於6個字元，口令字元最好是數字、字母和其他字元的混合，用戶口令必須經過加密，加密的方法很多，其中最常見的方法有：基於單向函數的口令加密，基於測試模式的口令加密，基於公鑰加密方案的口令加密，基於平方剩餘的口令加密，基於多項式共享的口令加密，基於數字簽名方案的口令加密等。經過上述方法加密的口令，即使是系統管理員也難以得到它。用戶還可採用一次性用戶口令，也可用攜帶型驗證器（如智能卡）來驗證用戶的身份。

網路管理員應該可以控制和限制普通用戶的帳號使用、訪問網路的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令，但系統管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。

用戶名和口令驗證有效之後，再進一步履行用戶帳號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時，網路還應能對用戶的帳號加以限制，用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。

3.2.2 網路的許可權控制

網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽（IRM）可作為其兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器，可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類：（1）特殊用戶（即系統管理員）；（2）一般用戶，系統管理員根據他們的實際需要為他們分配操作許可權；（3）審計用戶，負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用一個訪問控製表來描述。

3.2.3 目錄級安全控制

網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種：系統管理員許可權（Supervisor）、讀許可權（Read）、寫許可權（Write）、創建許可權（Create）、刪除許可權（Erase）、修改許可權（Modify）、文件查找許可權（File Scan）、存取控制許可權（Access Control）。用戶對文件或目標的有效許可權取決於以下二個因素：用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路系統管理員應當為用戶指定適當的訪問許可權，這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對伺服器資源的訪問 ，從而加強了網路和伺服器的安全性。

3.2.4 屬性安全控制

當用文件、目錄和網路設備時，網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表，用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網路的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、、執行修改、顯示等。

3.2.5 網路伺服器安全控制

網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊，可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

3.2.6 網路監測和鎖定控制

網路管理員應對網路實施監控，伺服器應記錄用戶對網路資源的訪問，對非法的網路訪問，伺服器應以圖形或文字或聲音等形式報警，以引起網路管理員的注意。如果不法之徒試圖進入網路，網路伺服器應會自動記錄企圖嘗試進入網路的次數，如果非法訪問的次數達到設定數值，那麼該帳戶將被自動鎖定。

3.2.7 網路埠和節點的安全控制

網路中伺服器的埠往往使用自動回呼設備、靜默數據機加以保護，並以加密的形式來識別節點的身份。自動回呼設備用於防止假冒合法用戶，靜默數據機用以防範黑客的自動撥號程序對計算機進行攻擊。網路還常對伺服器端和用戶端採取控制，用戶必須攜帶證實身份的驗證器（如智能卡、磁卡、安全密碼發生器）。在對用戶的身份進行驗證之後，才允許用戶進入用戶端。然後，用戶端和伺服器端再進行相互驗證。

3.2.8 防火牆控制

防火牆是近期發展起來的一種保護計算機網路安全的技術性措施，它是一個用以阻止網路中的黑客訪問某個機構網路的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路，以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型；

(1)包過濾防火牆：包過濾防火牆設置在網路層，可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表，信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型（TCP、UDP、ICMP等）、協議源埠號、協議目的埠號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時，則允許數據包通過，否則禁止通過。這種防火牆可以用於禁止外部不合法用戶對內部的訪問，也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包，無法實施對應用級協議的處理，也無法處理UDP、RPC或動態的協議。

(2)代理防火牆：代理防火牆又稱應用層網關級防火牆，它由代理伺服器和過濾路由器組成，是目前較流行的一種防火牆。它將過濾路由器和軟體代理技術結合在一起。過濾路由器負責網路互連，並對數據進行嚴格選擇，然後將篩選過的數據傳送給代理伺服器。代理伺服器起到外部網路申請訪問內部網路的中間轉接作用，其功能類似於一個數據轉發器，它主要控制哪些用戶能訪問哪些服務類型。當外部網路向內部網路申請某種網路服務時，代理伺服器接受申請，然後它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內部網路轉發這項請求。代理防火牆無法快速支持一些新出現的業務（如多媒體）。現要較為流行的代理伺服器軟體是WinGate和Proxy Server。

(3)雙穴主機防火牆：該防火牆是用主機來執行安全控制功能。一台雙穴主機配有多個網卡，分別連接不同的網路。雙穴主機從一個網路收集數據，並且有選擇地把它發送到另一個網路上。網路服務由雙穴主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的共享數據區傳遞數據，從而保護了內部網路不被非法訪問。

4.信息加密策略

信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數據提供保護；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網路情況酌情選擇上述加密方式。

信息加密過程是由形形 色色的加密演算法來具體實施，它以很小的代價提供很大的安全保護。在多數情況下，信息加密是保證信息機密性的唯一方法。據不完全統計，到目前為止，已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類，可以將這些加密演算法分為常規密碼演算法和公鑰密碼演算法。

在常規密碼中，收信方和發信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼演算法有：美國的DES及其各種變形，比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA；日本的FEAL－N、LOKI－91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。

常規密碼的優點是有很強的保密強度，且經受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統安全的重要因素。

在公鑰密碼中，收信方和發信方使用的密鑰互不相同，而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼演算法有：RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的演算法、橢園曲線、EIGamal演算法等等。最有影響的公鑰密碼演算法是RSA，它能抵抗到目前為止已知的所有密碼攻擊。

公鑰密碼的優點是可以適應網路的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現數字簽名和驗證。但其演算法復雜。加密數據的速率較低。盡管如此，隨著現代電子技術和密碼技術的發展，公鑰密碼演算法將是一種很有前途的網路安全加密體制。

當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用，比如：利用DES或者IDEA來加密信息，而採用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密演算法分為序列密碼和分組密碼。前者每次只加密一個比特而後者則先將信息序列分組，每次處理一個組。 密碼技術是網路安全最有效的技術之一。一個加密網路，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟體的有效方法之一。

5. 網路安全管理策略

在網路安全中，除了採用上述技術措施之外，加強網路的安全管理，制定有關規章制度，對於確保網路的安全、可靠地運行，將起到十分有效的作用。

網路的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關網路操作使用規程和人員出入機房管理制度；制定網路系統的維護制度和應急措施等。

6. 結束語

隨著計算機技術和通信技術的發展，計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。因此，認清網路的脆弱性和潛在威脅，採取強有力的安全策略，對於保障網路的安全性將變得十分重要。

⑼ wifi低安全性怎麼辦

出現這種提示，一般是兩種情況，一是在路由器的無線網路設置上，下面的WPS加密選項沒有勾選，也就是傳輸處於未加密狀態，二是沒有設置密碼或者密碼過於簡單。第一種情況只要進入路由器，在無線網路設置中把那個加密選項勾選，就可以。第二種情況就是設置一個相對復雜的密碼，最好數字、字母混合，如果支持符號，填入符號，安全性更好。還有就是隱藏SSID，讓別人根本就搜不到你的無線網路名稱，不過，你自己一定要記住，不然，你自己也無法使用的。

⑽ 路由器怎麼設置安全性

無線網路WiFi安全的設置方法：

1.打開電腦的wifi，搜索路由器默認wifi名（路由器背面銘牌有寫），連接wifi網路。