无线网络安全协议可以提供加密入侵防护吗_wifi加密方式有哪些

㈠ wifi加密方式有哪些

wifi加密方式：

最常使用的是WEP和WPA两种加密方式。

㈡小区里的无线网络一般都设什么安全协议

WEP协议，其全称为Wired Equivalent Protocol（有线等效协议）。它是为了保证802.11b协议数据传输的安全性而推出的安全协议。该协议可以通过对传输的数据进行加密，这样可以保证无线局域网中数据传输的安全性。目前，在市场上一般的无线网络产品支持64/128甚至256位WEP加密。在无线网络中要体现此项协议，即要在无线路由器及每个无线客户端启用WEP，并输入该密钥，这样就可以保证安全连接。
随着无线通信技术的日益成熟，无线通信产品价格一降再降，无线局域网也逐步走进千家万户。但无线网络的安全问题同时也令人担忧，毕竟在无线信号覆盖范围内，一些“心怀不测”人也有机会接入，甚至偷窥、篡改和破坏用户的重要数据文件，那如何保证无线网络的安全呢？无线加密协议（WEP和WPA）的应用就是一套行之有效的方法。

WEP，让无线网络更安全

在基IEEE 802.11b/g网络标准的无线局域网中，为了增强网络安全，WEP加密协议被普通家庭用户广泛使用。WEP(Wireless Equivalent Privacy)中文全称“无线等效协议”，它使用RC4加密算法，拥有“开放系统和共享密匙”两种身份验证方式，此外，WEP提供的密匙长度也有64位、128位和152位之分，密匙越长，安全性越高。

应用WEP加密协议

在无线网络中应用WEP加密协议非常简单，下面笔者以“TL-WR541G”无线路由器为例，进行详细介绍。

使用客户机的IE浏览器登录到无线路由器管理界面后，依次展开“无线设置/基本设置”，在基本设置窗口中，先要选中“开启安全设置”选项。然后在“安全类型”下拉框中选择“WEP”，接着进行身份验证方式选择，它提供了“自动选择、开放系统和共享密匙”三种方式，为确保安全，建议选择“共享密匙”。

下面设置密匙的长度，它提供了64位、128位和152位，当然密匙长度越长越安全，这里要根据安全需要进行选择，然后在“密匙”框中设置好WEP加密密匙，最后点击“保存”按钮，重新启动无线路由器就完成了WEP加密协议的设置。

修改客户端

在无线网络中应用了WEP加密协议后，这时就必须修改客户端的无线网络参数设置才行，否则就不能接入无线网络，笔者以Windows XP系统的“无线零配置”服务为例。右键单击无线网卡图标，选择“状态”，然后点击“属性”，切换到“无线网络配置”标签页，在“首选网络”框中找到无线网络项目，点击“属性”，切换到“关联”标签页。下面在“网络验证”框中选择“共享式”，“数据加密”框中选择“WEP”，接着在“网络密匙”栏中输入你的WEP密匙，最后点击“确定”按钮即可，就能重新接入无线网络。

虽然WEP加密协议可以保证一般家庭用户的无线安全，但它也有不足，WEP的密钥固定，初始向量仅为24位，算法强度并不强，可以使用WEPCrack、AirSnort工具进行破解，因此对于安全性能要求更高的家庭用户存在一定的隐患，而WPA加密协议的应用，恰好解决这个难题。

WPA，打造无线网络铜墙铁壁

由于WEP存在一定的安全隐患，因此有些家庭用户改用安全性更高的WPA协议。WPA（Wi-Fi Protected Access）全称“无线保护接入”，它改变了密钥的生成方式，加强了密钥的生成算法，采用更频繁地变换密钥方式来获得更高的安全，因此WPA加密就有效的解决了WEP加密应用中的不足。对于家庭用户，采用WPA协议的简化版（WPA-PSK）即可，并且它操作简单，安全性也高，只要一个独立的无线路由器或无线AP即可实现。

应用WPA-PSK加密

在无线路由器的“基本设置”窗口的“安全类型”框中选择“WPA-PSK/WPA2-PSK”，然后设置“安全选项”，它提供了“自动选择、WPA-PSK和WPA2-PSK”三种方式，笔者选择“WPA-PSK”；接着设置加密方法，有“TKIP、AES”两种，笔者选择“TKIP”；下面要设置“PSK密码”，注意，该密码最短为8个字符，完成密码设置后，点击“保存”按钮，重新启动无线路由器。这样就完成了WPA-PSK的设置。

修改客户端

无线网络应用了WPA-PSK加密协议后，当然也要修改客户端设置。在“无线网络配置”标签页的“首选网络”框中选中无线网络项目，点击“属性”，切换到“关联”标签页，在“网络验证”栏中选择“WPA-PSK”，接着将“数据加密”项目修改为“TKIP”，然后在“网络密匙”栏中两次输入你的PSK密码，最后点击“确定”按钮，这样客户机就能重新接入无线网络了。

在你的无线网络中是使用WEP还是WPA加密协议要根据你对网络安全性的要求而定，对于一般的家庭用户，使用WEP协议即可，如果你对网络安全性有特殊的要求，当然要使用WPA协议了

㈢无线局域网安全技术解析

由于无线局域网是以射频方式在开放的空间进行工作的，因而其开放性特点增加了确定无线局域网安全的难度，所以说相对于传统有线局域网而言，无线局域网的安全问题显得更为突出。其安全的内容主要体现在访问控制与信息保密两部分，目前已经有一些针对无线局域网的安全问题的解决方法，但仍须不断改善。下面一起来学习无线局域网安全技术知识。

1无线局域网中不安全因素

无线局域网攻击可分为主动攻击和被动攻击两类。主动攻击是入侵者能够针对数据和通信内容进行修改，主动攻击主要有：

(1)信息篡改：网络攻击者能够针对网络通信数据进行删除、增加或改动。

(2)数据截获：是利用TCP/IP网络通信的弱点进行的，该方法会掠夺合法使用者的通信信道，进而获得系统的操作权限，截获数据。

(3)拒绝服务攻击：网络攻击者通过各种可能的方法使网络管理者无法获得系统资源及服务。

(4)重传攻击：网络攻击者从网络上获取某些通信内容，然后重新发送这些内容，以对服务器认证系统实施欺骗。

被动攻击主要是指网络入侵者取得对通信资源的存取权限，但是并不对数据内容进行篡改。主要有：

(1)非法窃听：入侵者针对通信数据进行侦听。(2)流量分析：入侵者可以得知诸如网络服务器位置及网络通信模式等相关信息。

2IEEE802.11标准的安全性

IEEE802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)认证和有线对等加密(W-EP)。

2.1认证

当一个站点与另一个站点建立网络连接之前，必须首先通过认证，执行认证的站点发送一个管理认证帧到一个相应的站点，IEEE802.11b标准详细定义了两种认证服务:一是开放系统认证是802.11b默认的认证方式，是可用认证算法中简单的一种，分为两步，首先向认证另一站点的站点发送个含有发送站点身份的认证管理帧;然后，接收站发回一个提醒它是否识别认证站点身份的帧。另一是共享密钥认证，这种认证先假定每个站点通过一个独立于802.11网络的安全信道，已经接收到一个秘密共享密钥，然后这些站点通过共享密钥的加密认证，加密算法是有线等价加密(WEP)。

2.2WEP-WiredEquivalentPrivacy加密技术

WEP安全技术源自于名为RC4的RSA数据加密技术，以满足用户更高层次的网络安全需求。

WEP提供一种无线局域网数据流的安全方法，WEP是一种对称加密，加密和解密的密钥及算法相同，WEP的目标是接入控制，防止未授权用户接入网络，他们没有正确的WEP密钥。通过加密和只允许有正确WEP密钥的用户解密来保护数据流。

IEEE802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后，就可以与子系统内所有用户安全通信，缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案是在每个客户适配器建立一个与其他用户联系的密钥表、该方案比第一种方案更加安全，但随着终端数量的增加给每一个终端分配密钥很困难。

2.3IEEE802.11的安全缺陷

无线局域网IEEE802.11的安全缺陷可以从以下几个方面考虑：

(1)WEP的缺陷：密钥管理系统不够健全、安全机制提供的安全级别不高、数据包装算法不完善、认证系统不完善、初始化向量IV的操作存在不足。

(2)RC4加密算法的缺陷：WEP采用RC4密码算法，RC4算法的密钥序列与明文无关，属于同步流密码(SSC)。其弱点是解密丢步后，其后的数据均出错，若攻击者翻转密文中的bit位，解码后明文中的对应比特位也是翻转的，若攻击者截获两个使用相同密钥流加密的密文，可得到相应明文的异或结果，利用统计分析解密明文成为可能。(3)认证安全缺陷：IEEE802.11b标准的默认认证协议是开放式系统认证，实际上它是一个空的认证算法。它的认证机制就已经给黑客入侵打开了方便之门。

(4)访问控制的安全缺陷：封闭网络访问控制机制，因为管理消息在网络里的广播是不受任何阻碍的，因此，攻击者可以很容易地嗅探到网络名称，获得共享密钥;以太网MAC地址访问控制表，一是MAC地址很易被攻击者嗅探到，二是大多数的无线网卡可以用软件来改变MAC地址，伪装一个有效地址，越过防线，连接到网络。

3无线局域网中安全技术

(1)有线对等保密协议WEP：WEP协议设计的初衷是使用无线协议为网络业务流提供安全保证，使得无线网络的安全达到与有线网络同样的安全等级。是为了达到以下两个目的：访问控制和保密。

(2)Wi-Fi保护接入(WPA)：制定Wi-Fi保护接入协议是为了改善或者替换有漏洞的WEP加密方式。WPA提供了比WEP更强大的加密方式，解决了WEP存在的许多弱点。

(3)临时密钥完整性协议(TKIP)：TKIP是一种基础性的技术，允许WPA向下兼容WEP协议和现有的无线硬件。TKIP与WEP一起工作，组成了一个更长的128位密钥，并根据每个数据包变换密钥，使这个密钥比单独使用WEP协议安全许多倍。

(4)可扩展认证协议(EAP)：有EAP的支持，WPA加密可提供与控制访问无线网络有关的更多的功能。其方法不是仅根据可能被捕捉或者假冒的MAC地址过滤来控制无线网络的访问，而是根据公共密钥基础设施(PKI)来控制无线网络的访问。虽然WPA协议给WEP协议带来了很大的改善，它比WEP协议安全许多倍。

(5)访问控制表：在软件开发上采用的另一种保证安全的机制是基于用户以太网MAC地址的访问控制机制。每一个接入点都可以用所列出的MAC地址来限制网络中的用户数。如果用户地址存在于列表中，则允许访问网络，否则，拒绝访问。

4企业无线局域网安全防范建议

无线局域网安全技术可以划分为三种安全策略。多数安全产品提供商在配置安全系统时会采用这三种安全策略的组合。第一种策略是认证。这种策略包括判断客户端是否是授权的无线LAN用户以及确定该用户有什么权限。同时它也包括阻比非授权用户使用无线LAN的机制。第二种策略是在用户得到认证并接入无线LAN后维护会话的保密性机制。一般来说.保密性通过使用加密技术得以实现。最后一种策略是校验信息的完整性。

企业用户必须依据使用环境的机密要求程度，对使用的应用软件进行评估。切入点是从无线局域网的连接上开始，要考虑四个基本安全服务：

(1)经常进行审查：

保护WLAN的每一步就是完成网络审查，实现对内部网络的所有访问节点都做审查，确定欺骗访问节点，建立规章制度来约束它们，或者完全从网络上剥离掉它们;审查企业内无线网络设施及无线覆盖范围内的详细情况。

(2)正确应用加密：首先要选择合适的加密标准。无线网络系统不可能孤立地存在，在企业环境里尤其如此，所以加密方法一定要与上层应用系统匹配。在适用的情况下尽量选择密钥位数较高的加密方法

(3)认证同样重要：加密可以保护信息不被解除，但是无法保证数据的真实性和完整性，所以必须为其提供匹配的认证机制。在使用的无线网络系统带有认证机制的情况下可以直接利用。但是与加密一样，要保证认证机制与其它应用系统能够协同工作，在需要的情况下企业应该增加对WLAN用户的认证功能(如使用RADIUS)，也可配置入侵检测系统(IDS)，作为一种检测欺骗访问的前期识别方式。

(4)及时评估机密性：企业用户要每个季度对网络使用情况进行一次评估，以决定根据网络流量来改变网络中机密性要求，有针对性来分网段传输信息。

(5)将无线纳入安全策略：对于企业应用环境来说，将无线局域网安全问题纳入到企业整体网络安全策略当中是必不可少的。

企业有关信息安全方面的所有内容，包括做什么、由谁来做、如何做等等，应该围绕统一的目标来组织，只有这样才能打造出企业健康有效的网络安全体系。

5结束语

纵观无线网络发展历史，可以预见随着应用范围的日益普及，无线网络将面临越来越多的安全问题。然而，新的安全理论和技术的不断涌现使得我们有信心从容面对众多安全挑战，实现无线网络更广泛的应用。

㈣教你保护无线网络安全连接九大方法

无线网络系统如果没有采取适当的安全措施，无论这个无线系统是安装在家中还是办公室里，都可能引发严重的安全问题。事实上，一些针对住宅区提供互联网服务的提供商已经在他们的服务协议中禁止用户和其它非授权人共享联网服务。一个不安全的无线网络可能造成服务丢失或是被利用来对其他网络发起攻击。为了避免类似的一些无线网络安全漏洞，这里我们介绍几种便捷的无线网络安全技巧。

使用无线加密协议

无线加密协议(WEP)是无线网络上信息加密的一种标准方法。现在出产的无线路由器几乎都向用户提供加密数据的选择，妥善使用此功能就可以避免自己的银行账户的细节信息(包括口令等)不会被居心叵测的人截获。不过，需要注意，Wi-Fi保护访问技术(WPA和WPA2)要比WEP协议更加强健，因此在保障无线通信安全方面作用更大。

使用MAC地址过滤

在正常情况下，无线路由器和访问点都拥有防止未知的无线设备连接到网络的能力。这种功能是通过比较试图连接到路由器的设备MAC地址和路由器所保存设备的MAC地址而实现的。不过，不幸的是，在路由器出厂时这种特性通常是关闭的，因为这需要用户的一些努力才能使其正确工作，否则反而无法连接网络。因此，通过启用这种特性，并且只告诉路由器本单位或家庭中无线设备的MAC地址，我们就可以防止他人盗用自己的互联网连接，从而提升安全性。

但不要完全依赖这条措施，也可以这样说，使用MAC地址过滤并不是对付死心塌地地克隆MAC地址并试图连接到用户无线网络的黑客们的救命良药，但你确实应当采用这项措施来减少网络风险。

设置安全口令

为无线的互联网访问设置一个口令至关重要。选择一个强口令有助于无线网络的安全，但不要使用伴随无线路由器的默认口令，也不要使用可从字典上轻易查出的单词或家人的生日等作为口令。

在不使用网络时将其关闭

如果用户的无线网络并不需要每周的24小时都提供服务，可以通过关闭它而减少被黑客们利用的机会。虽然许多企业并不能离开网络，而且将这条建议付诸实施可能不太现实。但对一个系统安全性的最重大改进措施之一就是直接关闭它。因为没有任何人可以访问一种并不存在或打开的服务。

监视网络入侵者

用户应当一直监视网络活动，并保障跟踪其趋势。用户特别是管理员对恶意的黑客活动了解得越多，就越容易找到应对策略。网管员应当收集有关扫描和访问企图的日志，并利用现有的大量统计数字生成工具，以便于将这些日志变为更有用的信息。还要设置日志服务器，使其在发现确实有恶意活动发生时能够向管理员发送警告或电子邮件。笔者认为，了解危险相当于赢得了斗争胜利的一半。

改变服务集标识符并且禁止SSID广播

服务集标识符(SSID)是无线接入的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。

如果可能的话，还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户，当然这并不是说你的网络不可用，只是它不会出现在可使用网络的名单中。

仅在某些时段允许互联网访问

现在出产的一些最新无线路由器允许用户将对互联网的访问限制在一天的某些时段。例如，如果你不需要从周一到周五的上午8点到下午6点之间访问互联网，那么干脆打开你的路由器设置来禁用这些时段的访问!

使用无线加密协议

使用MAC地址过滤

设置安全口令

在不使用网络时将其关闭

监视网络入侵者

改变服务集标识符并且禁止SSID广播

仅在某些时段允许互联网访问

禁用动态主机配置协议

这好象是一个奇怪的安全策略，但是对于无线网络，它是有道理的。通过这个策略，你将迫使黑客去解除你的IP地址，子网掩码，和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点，他还必需要知道你的IP地址。

禁用或修改SNMP设置

如果你的无线接入点支持SNMP, 那么你需要禁用它或者修改默认的公共和私有的标识符。你如果不这么做的话，黑客将可以利用SNMP获取关于你网络的重要信息。是对于无线网络，它是有道理的。通过这个策略，你将迫使黑客去解除你的IP地址，子网掩码，和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点，他还必需要知道你的IP地址。

禁用或修改SNMP设置

如果你的无线接入点支持SNMP, 那么你需要禁用它或者修改默认的公共和私有的标识符。你如果不这么做的话，黑客将可以利用SNMP获取关于你网络的重要信息。

㈤教你如何加密防止无线网络受到非法攻击

无线网络受到非法攻击?看看你的加密系统有没有启动。还不会配置你的加密协议吗?本文，针对大众用户，详细介绍一下常用的两种加密协议，快来保护你的无线网络吧。希望本文能对大家有所帮助。一、走近无线加密协议在使用无线加密协议防止本地无线网络受到非法攻击之前，这里先向大家介绍无线加密协议，撩开它的神秘面纱。大家知道，数据文件利用无线网络通道进行传输时与普通邮寄有点相同，倘若我们没有对数据文件进行加密就直接让其在无线网络中传输的话，那么本地无线网络周围的无线工作站都有可能将那些没有采取加密保护措施的数据文件截取下来，那么本地向外发送的数据文件就会将隐私信息泄露出去;倘若我们不希望这些数据文件对外泄露隐私信息时，那么我们在将目标数据文件传输出去之前就应该对它们先进行加密或采取其他安全保护措施，确保那些不知道解密方法的工作站用户无法访问具体的数据内容。目前，在使用IEEE802.11b/g通信标准的无线网络中，为了提高网络的安全抵抗能力，普通用户广泛使用的无线网络加密协议主要包括WEP加密协议和WPA加密协议两种，其中WEP协议也称有线等效加密协议，这种无线通信协议常常是那些急于生产销售无线设备的厂家在比较短的时间内拼凑而成的非正规无线加密通信标准，从目前来看这种无线网络加密协议还有相当多的安全漏洞存在，使用该加密协议的无线数据信息很容易使无线网络受到非法攻击;WPA 协议也被称为Wi-Fi保护访问协议，这种加密协议一般是用来改进或替换有明显安全漏洞的WEP加密协议的，这种加密协议可以采用两种技术完成数据信息的加密传输目的，一种技术是临时密钥完整性技术，在该技术支持下WPA加密协议使用128位密钥，同时对每一个数据包来说单击一次鼠标操作就能达到改变密钥的目的，该加密技术可以兼容目前的无线硬件设备以及WEP加密协议;另外一种技术就是可扩展认证技术，WPA加密协议在这种技术支持下能为无线用户提供更多安全、灵活的网络访问功能，同时这种协议要比WEP协议更安全、更高级。二、启用WEP协议进行普通加密在无线网络中传输一些保密性要求不高的数据信息时，我们常常会选用WEP协议，这种协议基本被普通的家庭用户广泛使用，可有效防止无线网络受到非法攻击。启用WEP协议保护本地无线网络的操作非常简单，现在本文就以DI-624+A型号的D-LINK无线路由器为例，来向各位详细介绍一下启用WEP协议的操作步骤：首先从客户机中运行IE浏览器程序，并在浏览窗口中输入无线路由器设备默认的后台管理地址，之后正确输入管理员帐号名称以及密码，进入到该设备的后台管理页面，单击该页面中的“首页”选项卡，并在对应选项设置页面的左侧显示区域单击“无线网络”项目，在对应该项目的右侧列表区域，找到“安全方式”设置选项，并用鼠标单击该设置项旁边的下拉按钮，从弹出的下拉列表中我们可以看到DI-624+A型号的D-LINK无线路由器同时支持“WEP”加密协议和 “WPA”加密协议; 选中最常用的“WEP”加密协议，之后选择好合适的身份验证方式，一般无线路由器都为用户提供了共享密钥、自动选择以及开放系统这三个验证方式，为了有效保护无线网络传输信息的安全，我们应该在这里选用“共享密钥”验证方式。接着在“WEP密码”文本框中正确输入合适的无线网络访问密码，再单击对应设置页面中的“执行”按钮，以便保存好上面的设置操作，最后将无线路由器设备重新启动一下，如此一来我们就在无线路由器中成功地本地无线网络进行了无线加密。在无线路由器设备中启用了WEP密码协议后，我们还必须对无线网络的工作站进行正确地设置，才能保证它们顺利地访问到无线网络中的内容。在对普通工作站配置无线上网参数时，我们可以依次单击“开始”/“设置”/“网络连接”命令，在弹出的网络连接列表窗口中，用鼠标右键单击无线网卡设备对应的网络连接图标，从弹出的快捷菜单中执行“属性”命令，打开无线网络连接属性设置窗口;单击该窗口中的“无线网络配置”选项卡，在对应的选项设置页面中找到“首选网络”设置项，并从中找到目标无线网络节点，再单击对应页面中的“属性”按钮;之后进入到“关联”选项设置页面，选中该页面“网络验证”设置项处的“共享式”选项，最后单击“确定”按钮完成工作站无线上网参数的设置操作。日后，本地无线网络中的无线工作站要访问无线网络时，只要双击对应工作站中的无线网卡设备，在随后出现的登录连接对话框中，正确输入之前设置好的加密密码，再单击登录对话框中的“确定”按钮，如此一来无线网络的访问与传输操作就安全了。即使本地无线网络附近的普通工作站截获到我们通过无线通道传输的数据信息，如果猜不中密码的话他们同样无法看到其中的内容。尽管WEP协议能够确保普通家庭用户进行无线访问的安全，可是该加密协议也有明显的缺憾，因为该协议的密钥固定，采用的算法强度不是很高，初始向量只有24位，一些非法用户可以借助专业工具就能轻松进行破解，所以对于保密性要求非常高的单位用户以及个人用户来说，使用WEP协议往往有一定的安全风险，此时他们不妨选用更加安全的WPA加密协议，来保护重要隐私信息的无线网络传输。三、启用WPA协议进行高级加密我们知道，WEP协议由于有明显安全漏洞，而WPA协议采用了更为“强壮”的生成算法，我们用鼠标单击一次信息包时，它的密钥内容就会自动变化一次，如此一来我们就能享受到更高级别的安全保护，全面防止无线网络受到非法攻击。启用WPA协议保护本地无线网络的操作也很简单，同样我们以DI-624+A型号的D-LINK无线路由器为例，来向各位详细介绍一下启用WPA协议的操作步骤：首先从客户机中运行IE浏览器程序，并在浏览窗口中输入无线路由器设备默认的后台管理地址，之后正确输入管理员帐号名称以及密码，进入到该设备的后台管理页面，单击该页面中的“首页”选项卡，并在对应选项设置页面的左侧显示区域单击“无线网络”项目，在对应该项目的右侧列表区域，找到“安全方式”设置选项，并用鼠标单击该设置项旁边的下拉按钮，从弹出的下拉列表中直接选中“WPA”或“WPA-PSK”加密协议; 之后将“加密方式”设置为“TKIP”，同时将PSK密码设置好，需要提醒各位注意的是，我们尽量将该密码设置得稍微长一些，完成密码输入操作后，再执行保存操作，最后将无线路由器设备重新启动一下，如此一来我们就为本地无线网络成功启用了WPA加密协议。同样地，为了让无线网络中的工作站能够顺利地访问已经加密了的无线网络，我们也需要对工作站的无线上网参数进行合适设置。

㈥无线局域网中的安全措施

摘要：由于在现在局域网建网的地域越来越复杂，很多地方应用了无线技术来建设局域网，但是由于无线网络应用电磁波作为传输媒介，因此安全问题就显得尤为突出。本文通过对危害无线局域网的一些因素的叙述，给出了一些应对的安全措施，以保证无线局域网能够安全，正常的运行。

关键字：WLAN，WEP，SSID，DHCP，安全措施

1、引言

WLAN是Wireless LAN的简称，即无线局域网。所谓无线网络，顾名思义就是利用无线电波作为传输媒介而构成的信息网络，由于WLAN产品不需要铺设通信电缆，可以灵活机动地应付各种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性，在难以重新布线的区域提供快速而经济有效的局域网接入，无线网桥可用于为远程站点和用户提供局域网接入。但是，当用户对WLAN的期望日益升高时，其安全问题随着应用的深入表露无遗，并成为制约WLAN发展的主要瓶颈。[1]

2、威胁无线局域网的因素

首先应该被考虑的问题是，由于WLAN是以无线电波作为上网的传输媒介，因此无线网络存在着难以限制网络资源的物理访问，无线网络信号可以传播到预期的方位以外的地域，具体情况要根据建筑材料和环境而定，这样就使得在网络覆盖范围内都成为了WLAN的接入点，给入侵者有机可乘，可以在预期范围以外的地方访问WLAN，窃听网络中的数据，有机会入侵WLAN应用各种攻击手段对无线网络进行攻击，当然是在入侵者拥有了网络访问权以后。

其次，由于WLAN还是符合所有网络协议的计算机网络，所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机，甚至会产生比普通网络更加严重的后果。

因此，WLAN中存在的安全威胁因素主要是：窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。

IEEE 802.1x认证协议发明者VipinJain接受媒体采访时表示：“谈到无线网络，企业的IT经理人最担心两件事：首先，市面上的标准与安全解决方案太多，使得用户无所适从；第二，如何避免网络遭到入侵或攻击？无线媒体是一个共享的媒介，不会受限于建筑物实体界线，因此有人要入侵网络可以说十分容易。”[1]因此WLAN的安全措施还是任重而道远。

3、无线局域网的安全措施

3.1采用无线加密协议防止未授权用户

保护无线网络安全的最基本手段是加密，通过简单的设置AP和无线网卡等设备，就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品，交付设备时关闭了WEP功能。但一旦采用这种做法，黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换，有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSID)，在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播，除非有特殊理由，否则应该禁用SSID广播，这样可以减少无线网络被发现的可能。[2]

但是目前IEEE 802.11标准中的WEP安全解决方案，在15分钟内就可被攻破，已被广泛证实不安全。所以如果采用支持128位的WEP，解除128位的WEP的是相当困难的，同时也要定期的更改WEP，保证无线局域网的安全。如果设备提供了动态WEP功能，最好应用动态WEP，值得我们庆幸的，Windows XP本身就提供了这种支持，您可以选中WEP选项“自动为我提供这个密钥”。同时，应该使用IPSec，，SSH或其他

WEP的替代方法。不要仅使用WEP来保护数据。

3.2 改变服务集标识符并且禁止SSID广播

SSID是无线接人的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM 的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的 SSID。如果可能的话。还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户．当然这并不是说你的网络不可用．只是它不会出现在可使用网络的名单中。[3]

3.3 静态IP与MAC地址绑定

无线路由器或AP在分配IP地址时，通常是默认使用DHCP即动态IP地址分配，这对无线网络来说是有安全隐患的，“不法”分子只要找到了无线网络，很容易就可以通过DHCP而得到一个合法的IP地址，由此就进入了局域网络中。因此，建议关闭DHCP服务，为家里的每台电脑分配固定的静态IP地址，然后再把这个IP地址与该电脑网卡的MAC地址进行绑定，这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因为还要验证绑定的MAC地址，相当于两重关卡。[4]设置方法如下：

首先，在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能，把各电脑的“名称”(即Windows系统属陆里的“计算机描述”)，以后要固定使用的IP地址，其网卡的MAC地址都如实填写好，最后点“执行”就可以了。

3.4 技术在无线网络中的应用

对于高安全要求或大型的无线网络，方案是一个更好的选择。因为在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。

对于无线商用网络，基于的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中，在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议，包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样，技术可以应用在无线的安全接入上，在这个应用中，不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网)，但是无线接入网络VLAN (AP和服务器之问的线路)从局域网已经被服务器和内部网络隔离出来。服务器提供网络的认征和加密，并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同，方案具有较强的扩充、升级性能，可应用于大规模的无线网络。

3.5 无线入侵检测系统

无线入侵检测系统同传统的入侵检测系统类似，但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说，是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者，还能加强策略。通过使用强有力的策略，会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。他是通过一种顺序分析，找出那些伪装WAP的无线上网用户无线入侵检测系统可以通过提供商来购买，为了发挥无线入侵检测系统的优良的性能，他们同时还提供无线入侵检测系统的解决方案。[1]

3.6 采用身份验证和授权

当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时，他们可以尝试建立与AP关联。目前，有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于，如果您没有其他的保护或身份验证机制，那么您的无线网络将是完全开放的，就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制。STA向AP发送申请，然后AP发回口令。接着，STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的，因此如果有人能够同时截取口令和响应，那么他们就可能找到用于加密的密钥。采用其他的身份验证／授权机制。使用 802.1x，或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。

[5]

3.7其他安全措施

除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术，例如设置附加的第三方数据加密方案，即使信号被盗听也难以理解其中的内容；加强企业内部管理等等的方法来加强WLAN的安全性。

4、结论

无线网络应用越来越广泛，但是随之而来的网络安全问题也越来越突出，在文中分析了WLAN的不安全因素，针对不安全因素给出了解决的安全措施，有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段，但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样，所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样，但是安全措施的思路是正确的，能够保证无线网络内的用户的信息和传输消息的安全性和保密性，有效地维护无线局域网的安全。

参考文献

[1]李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007, (5):91-94.

[2]王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息.2005, (17):18.

[3]边锋.不得不说无线网络安全六种简单技巧[J].计算机与网络.2006, (20):6.

[4]冷月.无线网络保卫战[J].计算机应用文摘.2006,(26)：79-81.

[5]宋涛.无线局域网的安全措施[J]. 电信交换.2004, (1):22-27.

无线网络安全协议可以提供加密入侵防护吗

与无线网络安全协议可以提供加密入侵防护吗相关的内容