无线网络安全性的设计策略

⑴ 无线局域网中的安全措施

摘要：由于在现在局域网建网的地域越来越复杂，很多地方应用了无线技术来建设局域网，但是由于 无线网络 应用电磁波作为传输媒介，因此安全问题就显得尤为突出。本文通过对危害无线局域网的一些因素的叙述，给出了一些应对的安全 措施 ，以保证无线局域网能够安全，正常的运行。

关键字：WLAN，WEP，SSID，DHCP，安全措施

1、 引言

WLAN是Wireless LAN的简称，即无线局域网。所谓无线网络，顾名思义就是利用无线电波作为传输媒介而构成的信息网络，由于WLAN产品不需要铺设通信电缆，可以灵活机动地应付各种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性，在难以重新布线的区域提供快速而经济有效的局域网接入，无线网桥可用于为远程站点和用户提供局域网接入。但是，当用户对WLAN的期望日益升高时，其安全问题随着应用的深入表露无遗，并成为制约WLAN发展的主要瓶颈。[1]

2、 威胁无线局域网的因素

首先应该被考虑的问题是，由于WLAN是以无线电波作为上网的传输媒介，因此无线网络存在着难以限制网络资源的物理访问，无线网络信号可以传播到预期的方位以外的地域，具体情况要根据建筑材料和环境而定，这样就使得在网络覆盖范围内都成为了WLAN的接入点，给入侵者有机可乘，可以在预期范围以外的地方访问WLAN，窃听网络中的数据，有机会入侵WLAN应用各种攻击手段对无线网络进行攻击，当然是在入侵者拥有了网络访问权以后。

其次，由于WLAN还是符合所有网络协议的计算机网络，所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机，甚至会产生比普通网络更加严重的后果。

因此，WLAN中存在的安全威胁因素主要是：窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。

IEEE 802.1x认证协议发明者VipinJain接受媒体采访时表示：“谈到无线网络，企业的IT经理人最担心两件事：首先，市面上的标准与安全解决方案太多，使得用户无所适从；第二，如何避免网络遭到入侵或攻击？无线媒体是一个共享的媒介，不会受限于建筑物实体界线，因此有人要入侵网络可以说十分容易。”[1]因此WLAN的安全措施还是任重而道远。

3、无线局域网的安全措施

3.1采用无线加密协议防止未授权用户

保护无线网络安全的最基本手段是加密，通过简单的设置AP和无线网卡等设备，就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准 方法 。许多无线设备商为了方便安装产品，交付设备时关闭了WEP功能。但一旦采用这种做法，黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换，有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSID)，在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播，除非有特殊理由，否则应该禁用SSID广播，这样可以减少无线网络被发现的可能。[2]

但是目前IEEE 802.11标准中的WEP安全解决方案，在15分钟内就可被攻破，已被广泛证实不安全。所以如果采用支持128位的WEP，解除128位的WEP的是相当困难的，同时也要定期的更改WEP，保证无线局域网的安全。如果设备提供了动态WEP功能，最好应用动态WEP，值得我们庆幸的，Windows XP本身就提供了这种支持，您可以选中WEP选项“自动为我提供这个密钥”。同时，应该使用IPSec，，SSH或其他

WEP的替代方法。不要仅使用WEP来保护数据。

3.2 改变服务集标识符并且禁止SSID广播

SSID是无线接人的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM 的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的 SSID。如果可能的话。还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户．当然这并不是说你的网络不可用．只是它不会出现在可使用网络的名单中。[3]

3.3 静态IP与MAC地址绑定

无线路由器或AP在分配IP地址时，通常是默认使用DHCP即动态IP地址分配，这对无线网络来说是有安全隐患的，“不法”分子只要找到了无线网络，很容易就可以通过DHCP而得到一个合法的IP地址，由此就进入了局域网络中。因此，建议关闭DHCP服务，为家里的每台电脑分配固定的静态IP地址，然后再把这个IP地址与该电脑网卡的MAC地址进行绑定，这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因为还要验证绑定的MAC地址，相当于两重关卡。[4]设置方法如下：

首先，在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能，把各电脑的“名称”(即Windows系统属陆里的“计算机描述”)，以后要固定使用的IP地址，其网卡的MAC地址都如实填写好，最后点“执行”就可以了。

3.4 技术在无线网络中的应用

对于高安全要求或大型的无线网络，方案是一个更好的选择。因为在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。

对于无线商用网络，基于的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中，在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议，包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样，技术可以应用在无线的安全接入上，在这个应用中，不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网)，但是无线接入网络VLAN (AP和服务器之问的线路)从局域网已经被服务器和内部网络隔离出来。服务器提供网络的认征和加密，并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同，方案具有较强的扩充、升级性能，可应用于大规模的无线网络。

3.5 无线入侵检测系统

无线入侵检测系统同传统的入侵检测系统类似，但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说，是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者，还能加强策略。通过使用强有力的策略，会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。他是通过一种顺序分析，找出那些伪装WAP的无线上网用户无线入侵检测系统可以通过提供商来购买，为了发挥无线入侵检测系统的优良的性能，他们同时还提供无线入侵检测系统的解决方案。[1]

3.6 采用身份验证和授权

当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时，他们可以尝试建立与AP关联。目前，有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于，如果您没有其他的保护或身份验证机制，那么您的无线网络将是完全开放的，就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制。STA向AP发送申请，然后AP发回口令。接着，STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的，因此如果有人能够同时截取口令和响应，那么他们就可能找到用于加密的密钥。采用其他的身份验证／授权机制。使用 802.1x，或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。

[5]

3.7其他安全措施

除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术，例如设置附加的第三方数据加密方案，即使信号被盗听也难以理解其中的内容；加强企业内部管理等等的方法来加强WLAN的安全性。

4、 结论

无线网络应用越来越广泛，但是随之而来的网络安全问题也越来越突出，在文中分析了WLAN的不安全因素，针对不安全因素给出了解决的安全措施，有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段，但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样，所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样，但是安全措施的思路是正确的，能够保证无线网络内的用户的信息和传输消息的安全性和保密性，有效地维护无线局域网的安全。

参考文献

[1]李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007, (5):91-94.

[2]王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息.2005, (17):18.

[3]边锋.不得不说无线网络安全六种简单技巧[J].计算机与网络.2006, (20):6.

[4]冷月.无线网络保卫战[J].计算机应用文摘.2006,(26)：79-81.

[5]宋涛.无线局域网的安全措施[J]. 电信交换.2004, (1):22-27.

⑵ 请问怎样加强无线网络的安全管理

从简单的强制网络门户和防火墙过滤到流量整形和唯一的来宾登录，这类产品都可以不用IT协助自动生成。 举例说明，我们看下Meraki的企业级WLAN云控制器提供的来宾管理功能。为了创建一个Meraki来宾无线局域网，我们需要开始指令配置一个SSID，比如一次点击或者登入开始页面。如果选择了开始页面，用户会被重定向到一个定制的入口，通过输入用户名和密码登录。 来宾开始创建有三种选择。第一，管理员配置来宾账号。第二，来宾代表可以增加和删除来宾账号但是不能做其他改动，第三，允许来宾在入口提示页使用他们自己的账户，以管理员批准为准。 控制用户活动实现来宾无线局域网的安全性 下一步便是控制登录用户的活动。考虑强制网络门户是否要求用户运行防毒软件。然后设置允许的目的地，端口和URL，选择性的添加带宽限制和有线/无线属性。最后，考虑在允许或不允许本地局域网访问时，来宾流量是否需要桥接到一个VLAN或路由到Internet。云控制器可以分析流量来查看无线来宾网络的使用情况。 这些功能通常适用于未加密的来宾无线网络，但是也可以结合WPA2-PSK实现加密。设置PSK可以降低拒绝服务攻击和防止外部探测。然而传统的PSK是共享给每个用户的，他们没法跟踪或对单独的来宾取消跟踪。不过一些产品提供动态PSK给每个用户，如Ruckus DPSK和Aerohive PPSK可以解决这类问题。 例如，Ruckus无线局域网可以设置给每个来宾一个唯一的DPSK。任何有企业网络访问权的用户都可以通过一个Web表格来申请Ruckus来宾权限，每个发布的来宾权限都提供了他们可打印的说明，包括来宾姓名，来宾SSID，来宾唯一的DPSK和有效期限。这些设置甚至可以自动安装到Windows系统、OS X和iPhone客户端上，有效避免手工设置和可能出现的错误。一旦生效，DPSK会自动过期或被废除，不用中断其他的使用。 来宾无线网络上的设备完整性检查 这些来宾管理策略可以在无线局域网上提供很好的可视性和可控制行，包括来宾可以访问什么以及他们可以使用什么资源。然而，要预防被感染病毒的来宾所带来的破坏还需要更多的措施。据Gartner所述，网络准入控制部署中有四分之三就是为了应对这类威胁的。 虽然阻止被感染的无线客户端不是来宾无线局域网所需要做的事，但是来宾设备会造成更大的危险，因为他们不被IT部门所管理，一般不能强行安装IT部门要求的软件或者配置，甚至不能进行临时地完整性检查。例如，一个强制网络入门可能会使用ActiveX控制来快速查看来宾是否运行着授权的杀毒软件。然而，ActiveX控制不能查看非Windows的来宾设备或者被锁的浏览器。 对一些企业，针对使用windows的来宾进行完整性检查已经足够了，毕竟，病毒在Windows下比较普通。但是其他企业可能倾向于阻止那些不能检查的来宾或者对他们进行限制(如，只能HTTP，不能访问内网)。第三种可能是使用NAC或者IDS产品，比如ForeScout，CounterACT或Bradford Network Sentry，他们可以运行基于网络的检查。NAC设备可以整合到现有的无线网络设施中给来宾管理者提供访问控制策略，如果检测到客户端有病毒威胁或者策略违反就立即切断。 总之，企业级来宾网络必须有高效的用户管理控制，使其符合企业规范。而且他们必须提供突发事件的解决方案和有效的跟踪方案。有了这些策略，企业可以放心安全的提供网络给承包商，合作伙伴，客户，和其他授权的来宾，而不用担心什么情况都不知道了。

⑶ 网络系统安全性设计原则有哪些

根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下9项原则：

1．网络信息安全的木桶原则

网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的"安全最低点"的安全性能。

2．网络信息安全的整体性原则

要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。

3．安全性评价与平衡原则

对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。

4．标准化与一致性原则

系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。

5．技术与管理相结合原则

安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

6．统筹规划，分步实施原则

由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根本的安全需求。

7．等级性原则

等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。

8．动态发展原则

要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。

9．易操作性原则

首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。

⑷ 如何保护自家WiFi无线网络安全

周围邻居也可能利用您的WiFi网络上网，降低您的网速。增强家中网络的安全性不但能够在您进行无线上网时保护您的信息安全，还有助于保护连接到网络的各类设备。 如果您希望提升家中WiFi网络的安全性，采取下列步骤可以有所帮助。 当您的朋友第一次到您家做客，使用您家WiFi网络时，是否需要输入密码?如果不需要，那么您的网络就不够安全。即便他们需要输入密码，您也有多种不同的方式来保护自家网络，而这些方法之间也有优劣之分。您可以通过查看WiFi网络设置来了解自家的网络已有哪些保护措施。您的网络可能是不安全的，也可能已经添加了有线等效加密(WEP)，无线网络安全接入(WPA)或二代无线网络安全接入(WPA2)等保护措施。其中WEP是最早的无线安全协议，效果不佳。WPA优于WEP，不过WPA2才是最佳选择。 2、将您的网络安全设置改为WPA2 WiFi信号是由家中的无线路由器产生的。如果您的网络没有WPA2保护，需要访问路由器设置页面进行更改。您可以查阅路由器用户手册，了解如何访问设置页面，或在线搜索针对自己路由器的使用指导。所有在2006年后发售的拥有WiFi商标的路由器都支持WPA2。如果您购买的是早期型号，我们建议您购买支持WPA2的新型路由器。因为它更安全，速度也更快。 3、为您的WiFi网络设置高强度密码 要想使用WPA2保护网络，您需要创建密码。选择独特的密码十分重要，最好使用由数字，字母和符号组成的长密码，这样不易被别人猜出。如果您是在家中这样的私人场所，也可以将密码记录下来以免忘记，并安全保管，以免遗失。另外，您的密码还需要方便使用，以便朋友来访时可以连接您家的WiFi网络。正如您不会将自家钥匙交给陌生人一样，家中的WiFi密码也只能告诉信得过的人。 4、保护您的路由器，以免他人更改您的设置 您的路由器需要设置单独的密码，要与保护WiFi网络的密码有所区别。新买的路由器一般不设密码，或者只设有简单的默认密码，很多网络犯罪分子都已经知道这个密码。如果您不重设路由器密码，世界上任何地方的犯罪分子都可以轻易入侵您的网络，截取您通过网络分享的数据，并对连接到该网络的电脑发起攻击。许多路由器都可以在设置页面重设密码。这组密码不要告诉其他人，并需要与WiFi密码加以区分 (如步骤三所述)。如果您为两者设置相同的密码，任何拥有您家WiFi密码的人便都能够更改您家无线路由器的设置。 5、如果您需要帮助，请查阅使用说明 如果您遗失了路由器手册，还可以在搜索引擎中查找家中使用的基站或路由器的型号，许多设备的信息都能在网上查到。

⑸ 如何确保家庭无线网络安全

方法/步骤

1
进入TP无线路由的WEB管理界面，浏览器输入192.168.1.1即可，输入用户名和密码，进入无线路由的web管理界面，选择“无线设置”标签，

END
方法/步骤2

在“无线设置”标签的“基本设置”下，在右侧取消“开启SSID广播”的勾选，保存。该操作是吧无线路由的SSID广播取消，通常所说的隐藏SSID，隐藏后当无线连接此路由时，需要手动输入正确的SSID号，不知道SSID号的人是无法和此路由器建立联系的

在“无线设置”标签下切换到“无线安全设置”，此页面设置无线网络的安全密码，根据系统提示，选择WPA-PSK/WPA2-PSK加密类型，在PSK密码处设置密码（不少于8位)，确定。
此操作是为了加密无线网络，提高安全性，不知道密码的用户，即是知道了SSID也不能和路由建立连接

经过以上步骤的设置，你的无线网络已经很安全了，但为了绝对的安全，下面将启用终极设置，MAC过滤。
在“无线设置”标签下切换到“无线mac地址过滤”，选择“启用过滤”，“过滤规则”选择”禁止“，然后选择“添加新条目”，弹出一个警告框，确定后进入下一个页面，开始手动设置“无线网络MAC地址过滤设置”，在“mac地址”里面手动输入你打算可以连接到本无线网络的设备的mac（网卡地址，相当于身份证号码，全球唯一性），状态选择“生效”，保存，返回，即可以将可以加入到本无线网络的设备添加进来，多次重复该步骤，可以添加多个设备，然后，保存路由。
PS：此步骤是将设备的mac和路由进行绑定，在允许列表的设备才可以上网，不在列表的设备，即使知道前2个步骤的SSID和无线密码，也无法通过无线路由的安全认证，也不能加入本无线网络，这对于提高无线网络的安全有着极高的作用。
该步骤可以和前2步骤分离，也即是仅设置该步骤，将设备的mac进行绑定，这样可让有心蹭网的人抓狂，明明是无加密，信号很强的，为嘛不能连接？呵呵，这点是不是很强大呢？

⑹ 无线网络安全防护措施有哪些

针对网络安全中的各种问题，我们应该怎样去解决，这里就告诉我们一个真理，要从安全方面入手，这才是解决问题的关键。公司无线网络的一个突出的问题是安全性。随着越来越多的企业部署无线网络，从而将雇员、专业的合伙人、一般公众连接到公司的系统和互联网。人们对增强无线网络安全的需要变得日益迫切。幸运的是，随着越来越多的公司也越来越清楚无线网络面临的威胁和对付这些威胁的方法，有线网络和无线网络面临的威胁差距越来越小。 无线网络威胁 无线网络安全并不是一个独立的问题，企业需要认识到应该在几条战线上对付攻击者，但有许多威胁是无线网络所独有的，这包括： 1、插入攻击：插入攻击以部署非授权的设备或创建新的无线网络为基础，这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置，要求客户端接入时输入口令。如果没有口令，入侵者就可以通过启用一个无线客户端与接入点通信，从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。 2、漫游攻击者：攻击者没有必要在物理上位于企业建筑物内部，他们可以使用网络扫描器，如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络，这种活动称为“wardriving ” ; 走在大街上或通过企业网站执行同样的任务，这称为“warwalking”。 3、欺诈性接入点：所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下，就设置或存在的接入点。一些雇员有时安装欺诈性接入点，其目的是为了避开公司已安装的安全手段，创建隐蔽的无线网络。这种秘密网络虽然基本上无害，但它却可以构造出一个无保护措施的网络，并进而充当了入侵者进入企业网络的开放门户。 当然，还有其它一些威胁，如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等，这都属于可给无线网络带来风险的因素。 实现无线网络安全的三大途径和六大方法 关于封闭网络，如一些家用网络和单位的网络，最常见的方法是在网络接入中配置接入限制。这种限制可包括加密和对MAC地址的检查。 正因为无线网络为攻击者提供了许多进入并危害企业网络的机会，所以也就有许多安全工具和技术可以帮助企业保护其网络的安全性： 具体来说，有如下几种保护方法： 1、防火墙:一个强健的防火墙 可以有效地阻止入侵者通过无线设备进入企业网络的企图。 2、安全标准：最早的安全标准WEP已经被证明是极端不安全的，并易于受到安全攻击。而更新的规范，如WPA、WPA2及IEEE802.11i是更加强健的安全工具。采用无线网络的企业应当充分利用这两种技术中的某一种。 3、加密和身份验证：WPA、WPA2及IEEE802.11i支持内置的高级加密和身份验证技术。WPA2和802.11i都提供了对AES(高级加密标准)的支持，这项规范已为许多政府机构所采用。 4、漏洞扫描：许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息，如探查其SSID、MAC等信息。而企业可以利用同样的方法来找出其无线网络中可被攻击者利用的漏洞，如可以找出一些不安全的接入点等。 5、降低功率：一些无线路由器 和接入点准许用户降低发射器的功率，从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。同时，仔细地调整天线的位置也可有助于防止信号落于贼手。 6、教育用户：企业要教育雇员正确使用无线设备，要求雇员报告其检测到或发现的任何不正常或可疑的活动。

⑺ 在无线网络通信系统中,如何从软件当中保证数据传送的正确和可靠

涉及到无线网络安全性设计时，通常应该从以下几个安全因素考虑并制定相关措施。
（1）身份认证：对于无线网络的认证可以是基于设备的，通过共享的WEP密钥来实现。
它也可以是基于用户的，使用EAP来实现。无线EAP认证可以通过多种方式来实现，比如EAP－TLS、EAP－TTLS、LEAP和PEAP。在无线网络中，设备认证和用户认证都应该实施，以确保最有效的无线网络安全性。用户认证信息应该通过安全隧道传输，从而保证用户认证信息交换是加密的。因此，对于所有的网络环境，如果设备支持，最好使用EAP－TTLS或PEAP。
（2）访问控制：对于连接到无线。
网络用户的访问控制主要通过AAA服务器来实现。这种方式可以提供更好的可扩展性，有些访问控制服务器在802．1x的各安全端口上提供了机器认证，在这种环境下，只有当用户成功通过802．1x规定端口的识别后才能进行端口访问。此外还可以利用SSID和MAC地址过滤。服务集标志符（SSID）是目前无线访问点采用的识别字符串，该标志符一般由设备制造商设定，每种标识符都使用默认短语，如101即指3COM设备的标志符。倘若黑客得知了这种口令短语，即使没经授权，也很容易使用这个无线服务。对于设置的各无线访问点来说，应该选个独一无二且很难让人猜中的SSID并且禁止通过天线向外界广播这个标志符。由于每个无线工作站的网卡都有唯一的物理地址，所以用户可以设置访问点，维护一组允许的MAC地址列表，实现物理地址过滤。这要求AP中的MAC地址列表必须随时更新，可扩展性差，无法实现机器在不同AP之间的漫游；而且MAC地址在理论上可以伪造，因此，这也是较低级的授权认证。但它是阻止非法访问无线网络的一种理想方式，能有效保护无线网络安全。
（3）完整性：通过使用WEP或TKIP，无线网络提供数据包原始完整性。
有线等效保密协议是由802．11标准定义的，用于在无线局域网中保护链路层数据。WEP使用40位钥匙，采用RSA开发的RC4对称加密算法，在链路层加密数据。WEP加密采用静态的保密密钥，各无线工作站使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个Challenge Packet给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。现在的WEP也一般支持128位的钥匙，能够提供更高等级的无线网络安全加密。在IEEE 802．11i规范中，TKIP：Temporal Key Integrity Protocol（暂时密钥集成协议）负责处理无线网络安全问题的加密部分。TKIP在设计时考虑了当时非常苛刻的限制因素：必须在现有硬件上运行，因此不能使用计算先进的加密算法。TKIP是包裹在已有WEP密码外围的一层“外壳”，它由WEP使用的同样的加密引擎和RC4算法组成。TKIP中密码使用的密钥长度为128位，这解决了WEP的密钥长度过短的问题。
（4）机密性：保证数据的机密性可以通过WEP、TKIP或VPN来实现。
前面已经提及，WEP提供了机密性，但是这种算法很容易被破解。而TKIP使用了更强的加密规则，可以提供更好的机密性。另外，在一些实际应用中可能会考虑使用IPSec ESP来提供一个安全的VPN隧道。VPN（Virtual Private Network，虚拟专用网络）是在现有网络上组建的虚拟的、加密的网络。VPN主要采用4项安全保障技术来保证无线网络安全，这4项技术分别是隧道技术、密钥管理技术、访问控制技术、身份认证技术。实现WLAN安全存取的层面和途径有多种。而VPN的IPSec（Internet Protocol Security）协议是目前In－ternet通信中最完整的一种无线网络安全技术，利用它建立起来的隧道具有更好的安全性和可靠性。无线客户端需要启用IPSec，并在客户端和一个VPN集中器之间建立IPSec传输模式的隧道。
（5）可用性：无线网络有着与其它网络相同的需要，这就是要求最少的停机时间。
不管是由于DOS攻击还是设备故障，无线基础设施中的关键部分仍然要能够提供无线客户端的访问。保证这项功能所花费资源的多少主要取决于保证无线网络访问正常运行的重要性。在机场或者咖啡厅等场合，不能给用户提供无线访问只会给用户带来不便而已。而一些公司越来越依赖于无线访问进行商业运作，这就需要通过多个AP来实现漫游、负载均衡和热备份。
当一个客户端试图与某个特定的AP通讯，而认证服务器不能提供服务时也会产生可用性问题。这可能是由于拥塞的连接阻碍了认证交换的数据包，建议赋予该数据包更高的优先级以提供更好的QoS。另外应该设置本地认证作为备用，可以在AAA服务器不能提供服务时对无线客户端进行认证。
（6）审计：审计工作是确定无线网络配置是否适当的必要步骤。
如果对通信数据进行了加密，则不要只依赖设备计数器来显示通信数据正在被加密。就像在VPN网络中一样，应该在网络中使用通信分析器来检查通信的机密性，并保证任何有意无意嗅探网络的用户不能看到通信的内容。为了实现对网络的审计，需要一整套方法来配置、收集、存储和检索网络中所有AP及网桥的信息，有效保护无线网络安全。

我管不住别人的嘴，我只管做好我自己。

⑻ 简述网络安全策略的概念及制定安全策略的原则

网络的安全策略1.引言

随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统和银行等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因此，上述的网络必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。

2.计算网络面临的威胁

计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有三：

(1)人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

(2)人为的恶意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

(3)网络软件的漏洞和“后门”：网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。

3.计算机网络的安全策略

3.1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

3.2 访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。 3.2.1 入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。

对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密，基于测试模式的口令加密，基于公钥加密方案的口令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。

网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全角式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。

用户名和口令验证有效之后，再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的帐号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。

3.2.2 网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类：（1）特殊用户（即系统管理员）；（2）一般用户，系统管理员根据他们的实际需要为他们分配操作权限；（3）审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。

3.2.3 目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）、存取控制权限（Access Control）。用户对文件或目标的有效权限取决于以下二个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问 ，从而加强了网络和服务器的安全性。

3.2.4 属性安全控制

当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、、执行修改、显示等。

3.2.5 网络服务器安全控制

网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

3.2.6 网络监测和锁定控制

网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该帐户将被自动锁定。

3.2.7 网络端口和节点的安全控制

网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器（如智能卡、磁卡、安全密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。

3.2.8 防火墙控制

防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。目前的防火墙主要有以下三种类型；

(1)包过滤防火墙：包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型（TCP、UDP、ICMP等）、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问，也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，也无法处理UDP、RPC或动态的协议。

(2)代理防火墙：代理防火墙又称应用层网关级防火墙，它由代理服务器和过滤路由器组成，是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连，并对数据进行严格选择，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务（如多媒体）。现要较为流行的代理服务器软件是WinGate和Proxy Server。

(3)双穴主机防火墙：该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡，分别连接不同的网络。双穴主机从一个网络收集数据，并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据，从而保护了内部网络不被非法访问。

4.信息加密策略

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

信息加密过程是由形形 色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。

在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较着名的常规密码算法有：美国的DES及其各种变形，比如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA；日本的FEAL－N、LOKI－91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。

常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。

在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。比较着名的公钥密码算法有：RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。

公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。

当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。 密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

5. 网络安全管理策略

在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。

网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。

6. 结束语

随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。

⑼ wifi低安全性怎么办

出现这种提示，一般是两种情况，一是在路由器的无线网络设置上，下面的WPS加密选项没有勾选，也就是传输处于未加密状态，二是没有设置密码或者密码过于简单。第一种情况只要进入路由器，在无线网络设置中把那个加密选项勾选，就可以。第二种情况就是设置一个相对复杂的密码，最好数字、字母混合，如果支持符号，填入符号，安全性更好。还有就是隐藏SSID，让别人根本就搜不到你的无线网络名称，不过，你自己一定要记住，不然，你自己也无法使用的。

⑽ 路由器怎么设置安全性

无线网络WiFi安全的设置方法：

1.打开电脑的wifi，搜索路由器默认wifi名（路由器背面铭牌有写），连接wifi网络。