本站小編為你精心準備了無線網絡構建及其安全防范參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要介紹了無線網絡主要的幾種構建方式及其主要的的安全威脅，以現有的安全防范技術為基礎，較為系統地建議了在構架、無線接入點、接入終端等層面應采取的安全措施。

關鍵詞無線網絡；網絡安全；安全防范

1引言

隨著信息技術的飛速發展，人們對網絡通信的需求不斷提高，對Internet訪問的持續性、移動性和適應性等方面取得很大進展，近年來無線網絡已經成為一種較為普及的網絡訪問方式，并且在一些領域已經占據了主流的地位。這表明無線網絡有著傳統網絡不能比擬的優勢，但是將無線網絡接入傳統的Internet中存在許多技術問題和安全問題。

2無線局域網的結構及其運行方式

無線局域網所涉及的主要設備包括：無線AP、無線路由器、無線網橋等。無線AP(ACCESSPOINT)即無線接入點，相當于一個無線集線器(HUB)，接在有線交換機或路由器上，為跟它連接的無線網卡從路由器那里分得IP。它主要是提供無線工作站對有線局域網的訪問和從有線局域網對無線工作站的訪問，在訪問接入點覆蓋范圍內的無線工作站可以通過它進行相互通信；無線路由器：無線路由器就是AP、路由功能和集線器的集合體，支持有線無線組成同一子網，直接連接上層交換機或ADSL貓等，因為大多數無線路由器都支持PPOE撥號功能；無線網橋又叫橋接器，它是一種在鏈路層實現局域網互連的存儲轉發設備。網橋有在不同網段之間再生信號的功能，它可以有效地連接兩個LAN(局域網)，使本地通信限制在本網段內，并轉發相應的信號至另一網段。網橋通常用于連接數量不多的、同一類型的網段。

無線局域網一般采取以下的幾種網絡結構來實現互聯。以適應不同的需要：

(1)基站接入型：當采用移動蜂窩通信網接入方式組建無線局域網時，各站點之間的通信是通過基站接入、數據交換方式來實現互聯的。各移動站不僅可以通過交換中心自行組網，還可以通過廣域網與遠地站點組建自己的工作網絡。如圖1。

(2)網橋連接型：不同的局域網之間互聯時，如果不便采取有線方式，則可利用無線網橋的方式實現二者的點對點連接，比如距離比較遠的兩棟或更多建筑物之間的互聯互通。無線網橋不僅提供二者之間的物理與數據鏈路層的連接，還為兩個網的用戶提供較高層的路由與協議轉換。如圖2。圖1基站接入型圖2網橋連接型(3)Infrastructure接入型：計算機通過無線網卡與AP或橋接器進行通訊，AP或橋接器起到了有線網絡中HUB的作用。可以組建星型結構的無線局域網，所有傳輸的數據均需通過AP或橋接器，由橋接器進行網絡的控制管理。不同橋接器可以相互串聯以形成更大規模的網絡。在該結構基礎上的WLAN，可采用類似于交換型以太網的工作方式，要求HUB具有簡單的網內交換功能。實現了無線網絡與有線網絡的無縫連接。

(4)無中心結構(Ad-hoc)：即不通過AP，各計算機通過無線網卡自行進行通訊。網絡管理分散到各個計算機中。是一種點對點的應用方式。要求網中任意兩個站點均可直接通信。此結構的無線局域網一般使用公用廣播信道，MAC層采用CSMA類型的多址接入協議。圖3Infrastructure圖4Ad-hoc3無線局域網的運行方式

無線局域網采用的標準是IEEE802.11。該標準定義了物理層和媒體訪問控制(MAC)規范，允許無線局域網及無線設備制造商建立互操作網絡設備。后來又相繼公布了802.11a和802.11b，IEEE802.11b使用開放的2.4GHz直接序列擴頻，最大數據傳輸速率為108Mbps，也可根據信號強弱把傳輸率調整為54Mbps、11Mbps、5.5Mbps、2Mbps和1Mbps帶寬。直線傳播傳輸范圍為室外最大300m，室內有障礙的情況下最大100m，是現在使用的最多的傳輸協議。2000年，IEEE成立專門工作組對802.11g進行標準化工作，目的是為了用戶獲得更高的數據速率服務，后向兼容802.11b，前向兼容802.11a。

4無線局域網絡主要的安全威脅

由于無線網絡的傳輸方式和物理結構等原因，導致其在安全問題上較有線網絡更容易受到威脅，主要表現在：

(1)容易泄漏，無線局域網絡主要采用無線通信方式，其數據包更容易被截獲，由于不能在物理空間上的嚴格界定，所以傳輸的信息很容易被泄漏，任何能接受到信號的人，都可進入并解碼破譯。而事實上很多無線局域網絡在默認狀態下是沒有加密的。

(2)易受干擾，由于目前802.1lb協議規定的工作頻段的開放性，廣泛用于很多電子產品，因此容易互相干擾，造成無法通信或者通信中斷，如果惡意用戶通過干擾器對特定無線網絡進行拒絕服務攻擊或者干擾，那么這個干擾源不是很容易就能查出來的。

(3)入侵容易，無線網絡的接入點在設計上要求其具有公開、易獲取的特性，以方便合法接入者，但這也為入侵者提供了必要的信息，利用這些信息，入侵者可以在能夠接受信號的任何地方進入網絡或發起攻擊，即使被入侵檢測系統發現也很難定位，在不改變原有安全配置的情況下，難以阻止入侵的繼續。雖然，802.11在安全方面規定了WEP加密，但是WEP加密是不安全的，WEP的脆弱可能使整個網絡受到更大的威脅。

(4)地址欺騙與會話攔截，由于802.11無線局域網對數據幀不進行認證操作，通過非常簡單的方法就可以獲得網絡中站點的MAC地址，然后通過欺騙幀改變ARP表，進行地址欺騙攻擊。同時，攻擊者還可以通過截獲會話幀發現AP中存在的認證缺陷，裝扮成AP進入網絡，進一步獲取認證身份信息從而進入網絡。

5無線局域網中主要的安全防范技術

經過業界幾年的努力，現在已經有一些較為有效的安全防范技術應用于無線網絡中，比較通行的有以下一些技術：

(1)服務集標識符(SSID)：ServiceSetIdentifier相當于一個局域網的簡單標志或口令，它設置于無線接入點AP(AccessPoint)上，無線工作站要與AP連接必須要有一個和AP一致的SSID，無線工作站可以籍此來選擇想要來連接的網絡，從安全的角度來看，SSID提供一個較低級別的安全認證。

(2)物理地址過濾(MAC)：在小規模的網絡中，每一個被允許訪問AP無線工作站的網卡的物理地址被登記下來，設置在AP中作為允許訪問的過濾條件，在AP中沒有登記的網卡無法訪問AP。

(3)連線對等保密(WEP)：WEP是WiredEquivalentPrivacy的簡稱，是802.11b標準里定義的一個用于無線局域網(WLAN)的安全性協議。WEP被用來提供和有線LAN同級的安全性。WEP的目標就是通過對無線電波里的數據加密提供安全性，如同端對端發送一樣。由于在WLAN中，無需物理連接就可以連接到網絡，因此IEEE選擇在數據鏈路層使用加密，采用RC4對稱加密技術，用戶的加密密鑰必須與AP的密鑰相同時才能獲準存取網絡的資源，從而防止非授權用戶的監聽以及非法用戶的訪問。

(4)Wi-Fi保護接入(WPA)：WPA(Wi-FiProtectedAccess)繼承了WEP的基本原理，通過使用一種名為TKIP(暫時密鑰完整性協議)的新協議，使用的密鑰與網絡上每臺設備的MAC地址及一個更大的初始化向量合并，來確保每一節點均使用一個不同的密鑰流對其數據進行加密。隨后TKIP會使用RC4加密算法對數據進行加密，由于加強了生成加密密鑰的算法，因此即便收集到分組信息并對其進行解析也幾乎無法計算出通用密鑰，解決[本文由網站公文大全收集整理]了WEP的缺陷，WPA還包含了認證、加密和數據完整性校驗三個組成部分，是一個完整的安全性方案。

(5)端口訪問控制技術(802.1x)：802.1x協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的無線工作站通過接入端口訪問LAN/WAN。在通過AP獲得各種業務之前，802.1x對連接到AP端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL(基于局域網的擴展認證協議)數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。該技術是一種增強型的網絡安全解決方案，特別適合于公共無線接入解決方案。

利用這些技術，我們在下節中提出了一系列具有實用意義的安全防范措施。

6無線局域網安全防范措施

6.1建立更安全的網絡構架

采用何種網絡構架對于無線網絡的安全具有決定性的作用，隨著人們對無線網絡的安全問題越來越重視，許多新的技術被集成到無線局域網上，我們這里僅給出一種采用典型端口訪問技術和VPN技術相結合的范例，見圖5。

(1)采用端口訪問技術(802.1x)進行控制，防止非授權的非法接入和訪問。802.1x在端口上實現基于MAC地址的認證方式。做到IP與MAC地址的綁定，防止了用戶的假冒。通過EAP協議可以與RADIUS服務器進行通信，提供便捷的認證方式。

(2)對于密度等級高的網絡采用VPN進行連接，目前廣泛應用于局域網絡及遠程接入等領域的虛擬專用網(VPN)安全技術。與802.11b標準所采用的安全技術不同，在IP網絡中，VPN主要采用IPSec技術來保障數據傳輸的安全。對于安全性要求更高的用戶，將現有的VPN安全技術與802.11b安全技術結合起來，是目前較為理想的無線局域網絡的安全解決方案。圖5一個安全的無線局域網構架6.2無線接入點的安全措施

(1)在有條件的情況下，可以采用支持WPA規范的設備，WPA標準作為一種可替代WEP的無線安全技術，考慮到了不同的用戶和不同的應用安全需要，在企業模式下，通過使用認證服務器和復雜的安全認證機制來保護無線網絡通信安全。家庭模式(包括小型辦公室)下，在AP(或者無線路由器)以及連接無線網絡的無線終端上輸入共享密鑰來保護無線鏈路的通信安全。

(2)如果只能選擇WEP加密技術，則最好采用128位WEP加密，并不要使用設備自帶的WEP密鑰。

(3)禁止AP向外廣播其SSID，并設置復雜的SSID，由于一般情況下，用戶自己配置客戶端系統，所以很多人都知道該SSID，很容易共享給非法用戶。而且目前有的客戶端跳過SSID安全功能，自動連接到AP。所以這些措施是比較脆弱的，但如果配置AP向外廣播其SSID，那么安全程度還將下降。

(4)設置MAC過濾，在AP中可以設定哪些MAC地址不能與AP通信，這樣可防止非法網卡登錄到AP上，也可以防止非法客戶機訪問AP下的無線網客戶機。但應該知道，實際上MAC是很容易被假冒的。

(5)注意對AP的管理，修改缺省的AP密碼，各種主流AP產品的默認管理密碼已為人們熟知，應修改缺省的密碼，以防非法闖入。

6.3無線終端上的安全措施

系統管理員如果需要防止無線終端上的網絡設置泄漏，可以選用支持修改屬性需要密碼的網卡，要開啟該功能，防止網卡屬性被修改和信息泄漏。

與在傳統網絡中相比，無線終端更應當注意安裝防火墻等安全軟件，并及時更新系統漏洞補丁。

6.4管理與培訓

安全與管理是兩個需要同等重視的問題，而且是互相影響互相推動的。

對于大型網絡，我們應該制定周密的計劃，支持多種安全策略應對不同的情況、，從而提高無線局域網的性能，并能在企業無線局域網內支持新的移動模式。

可以采用第三方的軟件公司提供的軟件解決方案，在一個統一的平臺和界面上管理多種策略和各種類型的無線網絡，實施監控和記錄歷史數據，從而實現一個安全、可靠的無線網絡。

制定無線網絡管理的相關規定，包括使用無線網絡的指導性規定和特別的禁則，比如，規定員工不得把網絡設置信息告訴公司外部人員，禁止設置P2P的Adhoc網絡結構等。

對網絡管理人員進行知識培訓。普及無線網絡的安全知識，加深員工的安全意識，明白違規使用無線網絡的危害性。

7結語

無線網絡在很大程度上突破了統有線網絡的限制，使用戶獲得了可移動性和方便性，但正因如此無線網絡也面臨更大的安全威脅，要求我們有更高一級的安全防范意識和防范措施，不可掉以輕心。當然也沒有必要“談無線而色變”，因為其安全上的風險而不敢采用，事實上，根據不同的安全需要，對無線網絡的固有物理特性和組網結構進行透徹的分析，在不同的層面采取恰當的措施，保障無線網絡的安全可用是完全可行的。

參考文獻

[1]蔡一郎.Windows2000Server網絡技術與構架管理[M]北京：清華大學出版社，2002：302-378

[2]何軍.無線通信與網絡.北京：清華大學出版社，2004，6

[3]孫利民，李建中.無線局域網絡.北京：清華大學出版社，2005：4～22

[4]AspinwallJ.Installing，TroubleshootingandRepairingWirelessNetworks[M].北京：電子工業出版社，2004

[5]湛成偉.網絡安全技術發展趨勢淺析[J].重慶工學院學報，2006，20(8)：119-121

[6]佚名.無線網絡攻防實戰：WEP密鑰如何被攻破的http：//2006/12/7

[7].無線局域網802.11探