企事业单位WLAN的安全防范探析

开篇：润墨网以专业的文秘视角，为您筛选了一篇企事业单位WLAN的安全防范探析范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：WLAN的安全是企事业单位安全管理的一项重要任务。对wlan 的定义、协议标准、特点、威胁因素和防范进行了阐述，对企事业单位加强无线网络安全具有一定的参考价值。

关键词：WLAN；安全；防范；探析

概述

随着计算机网络技术的发展，企事业单位为了办公方便，引入了WLAN。谈到WLAN，企事业单位的网络管理人员最担心两件事：（1）市面上的标准与安全解决方案太多，哪一个更适用于本单位？（2）如何避免网络遭到入侵或攻击？无线媒体是一个共享的媒介，不会受限于建筑物实体界限，所以如果想入侵无线网络是一件很容易的事情。由此可见，解决WLAN的安全问题是一个非常复杂的过程。

1 WLAN协议标准

（1）IEEE802.11 WLAN标准

在1997年，大量的计算机以及网络方面专家汇聚一起，制定并通过了IEEE802.11标准，该协议是WLAN 发展史上的一个重要里程碑。IEEE802.11标准规定了多样的物理层和单一的MAC层，它的物理层标准主要有IEEE802.11b、g和a三种。

（2）蓝牙技术

Bluetooth，也叫蓝牙技术，是一种短距离的无线通讯技术，电子设备可以通过它相互连接一起。装备它的电子设备通过其芯片上的无线接收功能，可以轻松实现在较短距离间的相互连接，其连接传输速度只能到10M/S。蓝牙设备推广的最大阻碍是任何一个蓝牙设备都离不开蓝牙芯片，而这种芯片又不能全面测试且蓝牙模块较难生产，价格昂贵，这就成了其致命的缺陷。

（3）HomeRF标准

HomeRF 是指在个人电脑和其电子产品之间实现无线电磁信号传输的开放化工业标准，它是HomeRF workgroup 研制成功的，一般适合在家庭区域范围内使用。使用对象是对等网络，这是该协议的最大特点，它的工作频段是2.4GHz，能支持视音频传输，并且由于低功耗特征，使其非常适合于用在笔记本电脑上。

（4）HyperLAN/2标准

HiperLAN/2标准，是ETI宽带无线接入网络小组在2002年公布的。它作为一个高性能的局域网标准，在5GHz的频段上运行，OFDM调制是它使用的主要方式，运行频段也在5GHz以上且物理层顶级速率能到54Mbit/s。在HyperLAN/2标准中规定了链路适配、无线小区变换、动态频率调节和多波束天线和功率控制等许多测量方式和信令，可以支撑无线局域网所有功能。它一般用于一个企业局域网的最后那部分网段，这样用户可以在子网间任意切换移动IP地址。

2 WLAN特点

WLAN，也叫无线局域网，是利用无线通信技术在一定的局部范围内建立的网络，是计算机网络与无线通信技术相结合的产物，它以无线传输介质（无线多址信道、微波、卫星等）作为传输媒介，提供传统有线局域网LAN（Local Area Network）的功能，能够使用户真正实现随时、随地、随意地宽带网络接入。

WLAN与有线局域网络比较，有如下优点：（1）组网方便；（2）覆盖面积大；（3）灵活实用和移动快捷；（4）经济实惠还易扩展；（5）传输效速高。但也存在如下缺点：（1）WLAN 是利用无线电波接发信号的，传送中会受到高楼、铁塔等障碍物的阻挡；（2）无线媒介的传输速度比有线媒介还是要低不少，如WLAN 最大传输速率是54Mbit/s，比较适用于小规模局域网或pc 终端；（3）由于无线电磁波不需要形成物理上的通道，且无线信号是向四周发散的，容易被监听到信号，因而易导致信息泄密。

3 威胁WLAN安全的因素

WLAN是符合所有网络协议的计算机网络，所以计算机病毒类的威胁因素同样威胁着所有WLAN内的所有计算机，甚至会产生比有线网络更严重的后果。具体地说，WLAN中存在的安全威胁因素主要有窃听、截取、修改数据、置信攻击和拒绝服务等。

4 WLAN的安全措施

（1）采用无线加密协议防止未授权用户访问

保护无线网络安全的最基本手段是加密，通过简单设置AP和无线网卡等设备，就可以启用WEP加密。WEP是对无线网络上的流量进行加密的一种标准方法，许多无线设备厂商为了方便安装产品，交付设备时关闭了WEP功能。但一旦采用了这种做法，黑客就能利用无线嗅探器直接读取数据。因此要经常对WEP密匙进行修改，如有可能应启用独立的认证服务为WEP自动分配密匙。

（2）改变服务集标识符并且禁止SSID广播

SSID是无线接入的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都有自己规定的默认值。因此，知道这些标识符的黑客可以很容易不经过授权就享受无线服务，这就需要给每一个无线接入点设置一个唯一并且难以推测的SSID。如果可能，还应禁止SSID广播，这样无线网络就不能够通过广播的方式来吸纳更多非法用户。

（3）静态IP地址与MAC地址绑定

无线路由器或AP在分配IP地址时，通常默认使用DHCP服务，即动态分配IP地址，这对无线网络来说是非常不安全的。非法用户只要找到了无线网络，就可以通过DHCP获得一个合法的IP地址，并加入无线局域网中。因此，应关闭DHCP服务，给每台计算机分配固定的IP静态地址，然后再将其与网卡的MAC地址绑定。非法用户即使得到一个IP地址，但还需与网卡的MAC地址进行验证，这就相当于设置了两层关卡，这样就大大提升了无线网络的安全性。

（4）VPN技术在无线网络中的应用

对于安全性要求高的或大型的无线网络，VPN方案就是一个更好的选择。因为对于大型无线网络对说，维护AP的WEP加密密匙、AP的MAC地址列表等都是非常艰巨的任务。

尤其对于无线商用网络，基于VPN的解决方案是当今WEP机制和MAC地址过滤的最佳替代者。VPN方案已经被广泛应用于Internet远程用户的安全接入。在远程用户的接入过程中，VPN在不可信的网络上提供一条安全、专用的通道或隧道。各种隧道协议，包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样，VPN技术可以应用在无线的安全接入上。

（5）无线入侵检测系统

无线入侵检测系统与传统的入侵检测类似，但其增加了无线局域网的检测和对破坏系统反应的特性。如今入侵检测系统已用于在无线局域网中监视和分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。它不但能找出入侵者，还能加强安全策略。通过使用强有力的安全策略，大大提高了无线网络的安全性。

（6）采用身份验证和授权

当攻击者了解网络的SSID、网络的MAC地址或者WEP密匙等信息后，可尝试建立与AP的关联。目前可以使用3种方法在用户建立与无线网络的连接前对其进行身份验证。

开放身份验证通常意味着只需要向AP提供SSID或正确的WEP密匙。开放身份验证的问题在于，如果没有其他的保护或身份验证机制，那么无线网络将是完全开放的。共享密匙身份验证机制类似于“口令—身份”验证。在STA与AP共享同一个WEP密匙时使用这一机制。STA向AP提出一个申请，然后AP发回一个口令。接着，STA利用口令和加密的响应进行回应。该方法的漏洞在于口令是通过明文传输给STA的，因此如果非法用户能够同时截取口令和响应，那么他们就能找到用于加密的密匙。此外，还可以使用其他的身份验证/授权机制，例如，使用IEEE802.1x、VPN或数字证书对无线网络进行身份验证和授权，使用客户端数字证书可以使攻击者几乎无法获得访问权限。

（7）其它安全措施

除了上述的安全措施外，还可以采取其他安全技术。例如，设置第三方数据加密方案，即使信号被非法用户窃听，他们也很难理解其中的内容；还可以通过加强企业内部管理等方法来加强WLAN的安全性。

5 结论

无线网络的应用已越来越广泛，但网络安全问题也越来越突出。以上虽然分析了WLAN的不安全因素，提出了可采用的安全措施，有效地防范窃听、截取或者修改传输数据、拒绝服务等攻击，但是由于各个无线网络设备厂商生产的设备功能不一样，以上的安全措施也有可能不同。总之，通过以上安全措施，能够保证无线网络内的用户信息和传输消息的安全性和保密性，有效地维护无线局域网的安全。

参考文献

[1]吴越，孙皓.下一代无线网络安全技术[M].NEW SECURITY，2007（05）.

[2]王亮，翟乃强.浅析校园网中无线网络的应用[J].信息系统工程，2011（4）：79－80.

[3]张铁斌.浅谈无线校园网络建设[J].福建电脑，2011（2）：95－96.

[4]田淑霞.浅谈无线局域网(WLAN)[J].电脑知识与技术，2009（31）：117 .