无线网络安全基础和风险介绍

这次小编给大家整理了无线网络安全基础和风险介绍，本文共13篇，供大家阅读参考。本文原稿由网友“禅房花木”提供。

篇1：无线网络安全基础和风险介绍

无线网络安全问题越来越多的被各方各界所关注，不论是家庭还是企业，关于蹭网，攻击无线网络等等的文章不在少数。好像我们的无线网络岌岌可危。那么到底如何确保我们的无线网络安全呢？

随便穿过一个本地的商业公园，我就筏县乐大约15个向公公开发的无线接入点，而其中几个不需要认证就可以访问公司的网络。如果你用无线网络接口打开你的笔迹本，并在城市里面走动，也没有什么太奇怪的。为了确保你的无线网络安全，以及保住你的无线网络不受那些查找接入点的war-driver（译者注：War Driver就是携带着一台标准的手提电脑、无线NIC卡驾车在城市商业区四处游逛。这样就可以准确地确定所在地区内所有802.11网络的位置及它们是否使用WEP。）的影响，利用认证和加密等基础方法提高无线访问点的安全性非常重要。

无线访问点可以通过配置实现访问点SSID和域名的广播，而通常这是不需要的。通过关闭广播，你可以在很大程度上停止对外界公开你的网络。是的，SSID是在无线节点连接到无线网络的时候传输的，但是相比较之先它还是不常见的。SSID应该设置为不能描述企业信息，从而使 了解无线网络的所有者更加困难。

无线网络安全加密可以防御有人在数据传播的时候读取到，而且可以和有线等效保密（Wired Equivalent Privacy，WEP）、WPA、EAP-TLS或者虚拟专用网软件一起使用，

WEP缺少真正的认证，而是使用静态加密密钥。而静态加密密钥只需要用免费软件在很短的时间内就可以获取到，对不断地 者提供的防护也很少。WPA要求认证，并使用较长的动态加密密钥，而它被攻击的可能也降低了。但是WPA确实要求兼容的客户端硬件和软件。EAP-TLS使用数字证书验证和加密使用SSL的无线流量，但是要求某种程度的复杂的PKI架构。

无线天线通常有电力设置，可以允许调整信号的传输强度。最好把天线调整为他们正好可以覆盖需要无线访问的范围，而不要进入可能潜伏了 的地方。

大多数的无线访问点还允许限制媒体存取控制（MAC）地址的访问。MAC地址是只 用于识别每个网络节点的硬件地址。但是要警惕，它也可以被攻击，使用的是可以捕获网络上允许的设备的MAC地址的被动无线嗅探器攻击。一旦获取到了， 就可以伪装他的MAC地址，而且也不会只限制在那一层了。限制MAC地址可以增加必须攻破的层，值得考虑使用。

这是对无线网络安全基础和风险的简要介绍，但是它可以让你全面地查看管理无线网络安全和无线访问点安全策略的时候肯定会面对的一些真实问题。

篇2：无线网络安全

提示：在建造无线网络时，保障企业网络安全比其他任何时候都要重要，以下给出了五种必须避免的情况，由此保证网络安全。保护无线网络安全首先需要采取与保护传统网络相同的安全措施，然后才是其他的一些特别措施。在非无线网络领域中需要考虑的问题，在面对无线网络和设备时同样需要你加以考虑：足够强度的加密，妥善保存证书，以及保证操作安全。

相对于有线网络，无线网络安全并不是另一种网络安全，而是更为全面可靠的网络安全。

以下给出了在安全方面最为常见的疏忽以及如何避免的方法：

1、不要破坏自己的防火墙

几乎可以肯定无论对于有线还是无线网络，你都已经安装了防火墙，这绝对是正确的。然而，如果你没有将无线系统接入点放置在防火墙之外，则防火墙的配置无济于事。应当确保不会出现这样的情况，否则你不仅不能为网络创建一道必要的屏障，相反还从已有的防火墙上打开了一条便利的通道。

2、不要小看介质访问控制

介质访问控制（Media Access Control 即MAC）常常被忽略，原因是它并不能防止欺骗行为。但对于整个保护系统的壁垒来说，它无疑是一块重要的砖。从本质上它是另一种地址过滤器，并且能够阻止潜在的 的入侵行动。它所做的是根据你所确定的基于地址的访问控制列表来限制对特定设备的网络访问。

MAC同样提供了针对潜在入侵者来调整访问控制列表的能力。它的原理和入侵者在被拒之门外之前必须被先敲门一样。

如果已经有了MAC，入侵者一定会在进入系统之前一头撞在上面，然后只能卷土重来试图穿过它。现在你的网络就已经可以知道入侵者的模样了。所以你的MAC列表中包括了三类访问者：首先，存在于访问者列表中的友好访问者；其次，没有在列表中的访问者以及无意中进入的访问者；第三，没有在列表中但是可以确信之前曾经不请自来并试图闯入的访问者。如果他们还将试图闯入，现在就可以立即确定了。

简而言之，如果在你检测无线网络并且发现未在MAC列表上的访问者多次尝试发起访问的时候，你已经受到潜在攻击者的窥视了，并且他不会知道你已经发现了他。

3、不要忽略WEP

有线等效加密（Wired Equivalent Privacy，WEP）是一种符合802.11b标准的无线网络安全协议，

它在无线数据发送时对数据进行加密，加密范围覆盖了你使用的任何数据。一定要使用它。但是必须强调它是基于密钥的，因此不要一直使用默认密钥。对于初次访问系统的个人用户你甚至应当创建单独的WEP密钥。当然也不能认为有了WEP就万事大吉。即使是多重加密也不会保证你万无一失，因此应当把WEP与其他无线安全措施相结合。

4、禁止未经认证的访问接入点

接入点目前已经可以很方便的进行设置，对于一个任务繁重的IT部门来说，或许常常会只是采取简单的访问规则并按照按需访问的策略（as-needed basis）以允许用户设置接入点。但请不要被这种便利所诱惑。接入点是入侵者的头号目标。应当详细研究配置策略和过程，并且严格遵从他们。

这些策略和过程中都应当包括那些内容？首先，你必须仔细制定出关于放置接入点的正确指导方针，并且确保任何人在配置AP时手边有这样一份方针。其次，必须有一份安装说明以指示在无线网络配置中已存在的AP（以便今后进行参考），以及正确发布配置和允许复查配置的具体过程。并且无论是谁设置了AP，都应当立即指定另外一人对安装进行复查。很麻烦么？的确如此。但由于AP欺骗或漏网之鱼造成的安全事故会更加让你头疼。

5、拒绝笔记本ad-hoc方式接入

在任何企业中都应当采取这一严厉的措施。Ad-hoc模式将允许Wi-Fi用户直接连接到另一台相邻的笔记本，这将构成你完全不能想象的恐怖的网络环境。

作为802.11标准的一部分，Ad hoc模式允许你的笔记本网络接口卡运行在独立基础服务集（Independent Basic Service Set，IBSS）模式。这就意味着它可以通过RF与另一台笔记本进行P2P的连接。当你用Ad-hoc模式时，自然会想通过无线网络连接到其他笔记本。从表面价值角度看，这将是很吸引人的把戏，因为没有人能将连接拒之门外。但必须意识到它允许了对笔记本整个硬盘的访问。如果你设置其为允许状态，并且忘了这一点，那么你的一切都将毫无保留的放在整个世界面前。

并且危险并不仅仅限于你不设防的机器。一名入侵者可以将联网的笔记本作为入侵网络的大门。如果将机器置于Ad hoc模式并且有人暗中入侵，你所暴露在危险之中的不仅仅是自己的计算机，而是整个网络。必须避免这样危险的习惯，即从首次使用开始就永远不要尝试允许处于Ad hoc模式。接受这种模式所承担的风险远远大于它所提供的便利。

篇3：如何强化无线网络安全？

方法/步骤

1修改路由器登陆账号和密码。这是最基本的，这样做即使别人暴力解除了你的wifi密码，也不能登陆你路由器修改你的设置。

2设置安全加密方式为WPA-PSK/WPA2-PSK AES加密方法。千万不要使用WEP方式加密，这种方式已经众所周知可以在几分钟之内被解除。而如果要解除WPA-PSK/WPA2-PSK，需要花费的时间需要数天乃至数月。

3隐藏无线网络(关闭SSID广播)。这样别人使用无线设备搜索wifi时，就搜索不到你的无线路由器。而你需要连接的时候，只需要在设备上手动添加网络SSID和密码就可以了。

4启用MAC地址过滤。将自己设备的MAC地址添加到允许的列表中并启用过滤功能，这样即使别人知道你的网络SSID和密码，也是无法连接的。添加MAC地址方法很简单，自己的设备先连上wifi，点“主机状态”，就可以看到自己设备的MAC地址，复制MAC地址过去添加就可以了。

篇4：无线传感器网络安全

无线 传感器网络平安机制

平安是系统可用的前提 , 需要在保证通信平安的前提下 , 降低系统开销 , 研究可行的平安算法。由于无线传感器网络受到平安威胁和移动 ad hoc 网络不同 , 所以现有的网络平安机制无法应用于本领域 , 需要开发专门协议。

目前主要存在两种思路简介如下 :

一种思想是从维护路由安全的角度动身 , 寻找尽可能平安的路由以保证网络的平安。如果路由协议被破坏导致传送的消息被篡改 , 那么对于应用层上的数据包来说没有任何的平安性可言。

一种方法是有安全意识的路由 ” SA R , 其思想是找出真实值和节点之间的关系 , 然后利用这些真实值去生成安全的路由。该方法解决了两个问题 , 即如何保证数据在平安路径中传送和路由协议中的信息平安性。这种模型中 , 当节点的平安等级达不到要求时 , 就会自动的从路由选择中退出以保证整个网络的路由安全。可以通过多径路由算法改善系统的稳健性 ( robust , 数据包通过路由选择算法在多径路径中向前传送 , 接收端内通过前向纠错技术得到重建。

另一种思想是把着重点放在平安协议方面 , 此领域也出现了大量的研究效果。假定传感器网络的任务是为高级政要人员提供平安维护的 , 提供一个平安解决方案将为解决这类安全问题带来一个合适的模型，

具体的技术实现上 , 先假定基站总是正常工作的 , 并且总是平安的 , 满足必要的计算速度、存储器容量 , 基站功率满足加密和路由的要求 ; 通信模式是点到点 , 通过端到端的加密保证了数据传输的平安性 ; 射频层总是正常工作。

基于以上前提 , 典型的无线 传感器网络平安 问题：

a 信息被非法用户截获 ;

b 一个节点遭破坏 ;

c 识别伪节点 ;

d 如何向已有传感器网络添加合法的节点。

此方案是不采用任何的路由机制。此方案中 , 每个节点和基站分享一个唯一的 64 位密匙 Keyj 和一个公共的密匙 KeyBS, 发送端会对数据进行加密 , 接收端接收到数据后根据数据中的地址选择相应的密匙对数据进行解密。

无线 传感器网络平安 中的两种专用安全协议 :

平安网络加密协议 SNEP SensorNetwork Encryp tion Protocol 和基于时间的高效的容忍丢包的流认证协议μ TESLA SNEP 功能是提供节点到接收机之间数据的鉴权、加密、刷新 , μ TESLA 功能是对广播数据的鉴权。因为无线传感器网络可能是安排在敌对环境中 , 为了防止供给者向网络注入伪造的信息 , 需要在无线传感器网络中实现基于源端认证的平安组播。但由于在无线传感器网络中 , 不能使用公钥密码体制 , 因此源端认证的组播并不容易实现。传感器网络平安协议 SP INK 中提出了基于源端认证的组播机制 uTESLA , 该方案是对 TESLA 协议的改进 , 使之适用于传感器网络环境。其基本思想是采用 Hash 链的方法在基站生成密钥链 , 每个节点预先保管密钥链最后一个密钥作为认证信息 , 整个网络需要坚持松散同步 , 基站按时段依次使用密钥链上的密钥加密消息认证码 , 并在下一时段公布该密钥。

篇5：如何捍卫无线网络安全

无线安全话题，日渐引起网名关注，以前由于各家都使用有线网络，而随着房屋装修问题的出现，有线网络被无线网络所代替，随之而来的问题是无线网络的安全问题该如何实现?

安装一个无线路由器，像大多数人一样，按照产品的安装说明和安装向导架起了路由器并做了初始化。按照安装向导，通过改变管理员口令来保护路由器。不管怎样，尽管通过路由器的配置软件设置一个管理员口令是一个好的开端，但它仅仅能提供一个基本的安全保护。

如果像这样，无线网络保持大开状态，那么，你的无线路由器范围内的任何人都可以通过你的网络访问互联网和你的家庭PC。如果你正处于这样的境地，那么你需要做一些事情。你只要按照下面的五个步骤就可以为你的家庭无线网络提供保护了。

步骤1：改变路由器的缺省管理员口令

基本上所有的路由器都提供一个缺省的用户ID和口令。因为这个口令是众所周知的，你必须更改这个缺省的口令。你可以通过运行路由器安装和配置向导来更改它，这个操作很简单。

如果你使用的路由器没有提供这样的向导，你可以通过使用浏览器连接到路由器来改变它。比如说，要连接到Linksys路由器，在路由器加电并且连接以太网网线之后，打开一个Web浏览器，在地址栏中键入192.168.1.1，使用缺省的用户ID和口令就可以登录到路由器中，然后就可以更改缺省的口令。

步骤2：改变缺省的SSID，禁止SSID广播

所有的路由器都绑定了一个由制造商提供的SSID，也就是服务设置识别码。SSID是由32位字母或者数字组合成的，包含了一个无线局域网的ID或名字，

例如，Linksys路由器的缺省SSID名字就是Linksys。缺省的SSID是众所周知并且公开发布的。因此，无线路由器的制造商建议你更改缺省的SSID以便它是唯一的。此外，他们还建议尽可能的经常更改你的SSID，因为 们知道，为了加入一个无线网络，无线网络产品都首先监听周期性广播信标消息(beacon messages)，这些消息是不加密的，并且，这些消息包含了网络的信息，比如网络的SSID和访问网络的IP地址等。

同样的，一个路由器广播它的路由器SSID。你需要禁止掉这个属性。尽管这样做并不能提供级别很高的保护(一些常用的工具，比如NetStumbler 就能够探测隐藏的SSID)，禁止掉SSID广播能够为你增加一层保护措施。不过，如果你禁止了SSID广播，可能会引起一些设备的使用不便，比如HP Palmtops，可能就不能连接网络或者经常断线。

步骤3：更改IP地址设置

路由器制造商为每一个路由器都设置了相同的IP地址。比方说Linksys路由器的初始化IP地址为192.168.1.1。这些地址是公开的，众所周知的，这样，不怀好意的用户如果知道了你所使用的路由器的制造商和类型，他们就可以轻易地获取你的IP地址。因而，你应该把更改IP地址作为配置过程的一部分。我们继续以Linksys为例，你可以把缺省的IP地址192.168.1.1更改为192.168.10.1。尽管更改IP地址并不能保护路由器，但它能够使偷听者不容易猜到IP地址。

DHCP在每一个路由器上缺省状态也是激活的。DHCP提供客户机器的IP地址信息。通常， DHCP服务器分发2-254范围内的IP地址。所以，有253个客户机可以从你的路由器得到IP地址。你在家里可能没有那么多的系统，所以，最好缩减 DHCP的范围为你所期望你的网络中所包含机器的数量。根据经验，设置路由器处理的地址数量为网络中机器的数量，在额外加上两个为来访的亲朋好友准备的地址。

篇6：浅析：家庭无线网络安全

家庭无线网络安全是比较容易管理和实现的，那么具体如何操作呢？下面将为大家详细介绍一下，内容并不是很难理解，对于安全问题，还望广大网民提高警惕，做到全面的保护。

一般的家庭无线网络安全都是通过通过一个无线路由器或中继器来访问外部网络。通常这些路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络，都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及帐号等信息。为了保证只有设备拥有者才能使用这个管理页面工具，该设备通常也设有登陆界面，只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时，制造商给每一个型号的设备提供的默认用户名和密码都是一样，不幸的是，很多家庭用户购买这些设备回来之后，都不会去修改设备的默认的用户名和密码。这就使得 们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去陆管理页面，如果成功则立即取得该路由器交换机的控制权。

使用加密

所有的无线网络都提供某些形式的加密。之前我跟大家提过，攻击端电脑只要在无线路由器/中继器的有效范围内的话，那么它很大机会访问到该无线网络，一旦它能访问该内部网络时，该网络中所有是传输的数据对他来说都是透明的。如果这些数据都没经过加密的话， 就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密，这样即使你在无线网络上传输的数据被截取了也没办法(或者是说没那么容易)被解读。目前，无线网络中已经存在好几种加密技术。通常我们选用能力最强的那种加密技术。此外要注意的是，如果你的网络中同时存在多个无线网络设备的话，这些设备的加密技术应该选取同一个。

修改默认的服务区标识符(SSID)

通常每个无线网络都有一个服务区标识符(SSID)，无线客户端需要加入该网络的时候需要有一个相同的SSID，否则将被“拒之门外”。通常路由器/中继器设备制造商都在他们的产品中设了一个默认的相同的SSID。例如linksys设备的SSID通常是“linksys”。如果一个网络，不为其指定一个SSID或者只使用默认SSID的话，那么任何无线客户端都可以进入该网络。无疑这为 的入侵网络打开了方便之门，

禁止SSID广播

在无线网络中，各路由设备有个很重要的功能，那就是服务区标识符广播，即SSID广播。最初，这个功能主要是为那些无线网络客户端流动量特别大的商业无线网络而设计的。开启了SSID广播的无线网络，其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号，无线网络客户端接收到这个SSID号后，利用这个SSID号才可以使用这个网络。但是，这个功能却存在极大的安全隐患，就好象它自动地为想进入该网络的 打开了门户。在商业网络里，由于为了满足经常变动的无线网络接入端，必定要牺牲安全性来开启这项功能，但是作为家庭无线网络安全来讲，网络成员相对固定，所以没必要开启这项功能。

设置MAC地址过滤

众所周知，基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址，当然无线网络设备也不例外。所有路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC地址。通常，许多这类设备都提供对MAC地址的操作，这样我们可以通过建立我们自己的准通过MAC地址列表，来防止非法设备(主机等)接入网络。但是值得一提的是，该方法并不是绝对的有效的，因为我们很容易修改自己电脑网卡的MAC地址，笔者就有一篇文章专门介绍如何修改MAC地址的。

为你的网络设备分配静态IP

由于DHCP服务越来越容易建立，很多家庭无线网络安全都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患，那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。然而在成员很固定的家庭网络中，我们可以通过为网络成员设备分配固定的IP地址，然后再再路由器上设定允许接入设备IP地址列表，从而可以有效地防止非法入侵，保护你的网络。

确定位置，隐藏好你的路由器或中继器

大家都知道，无线网络路由器或中继器等设备，都是通过无线电波的形式传播数据，而且数据传播都有一个有效的范围。当你的设备覆盖范围，远远超出你家的范围之外的话，那么你就需要考虑一下你的网络安全性了，因为这样的话， 可能很容易再你家外登陆到你的家庭无线网络安全。此外，如果你的邻居也使用了无线网络，那么你还需要考虑一下你的路由器或中继器的覆盖范围是否会与邻居的相重叠，如果重叠的话就会引起冲突，影响你的网络传输，一旦发生这种情况，你就需要为你的路由器或中继器设置一个不同于邻居网络的频段(也称Channel)。根据你自己的家庭，选择好合适有效范围的路由器或中继器，并选择好其安放的位置，一般来讲，安置再家庭最中间的位置是最合适的。

篇7：无线网络安全技巧

无线网络的简化及方便性是许多企业选择使用的优点，但无线网络安全设置则让人担忧，一些基本的无线网络安全设置技巧给您介绍，

一、无线网络适配器

在用户不使用网络时，建议用户关闭无线网络适配器，之所以这样做，有两个原因。首先，延长电池寿命;其次，防范使用“ Microsoft Windows silent ad hoc network advertisement”渗透攻击的最好方法。微软的自组网使用的是零默认设置访问，这就给攻击者以可乘之机，

二、校验无线网络SSID

校验SSID(Service Set Identifier或ESSID，用来区分不同的网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同网络)有助于防止evil twin。evil twin即使攻击者利用攻击产生错误的无线网络。简单点说，用户根本不知道连接的是错误的网络，这样 就可以获取用户接受和发送的任何流量了。

三、关闭Windows的文件和打印机共享功能

四、操作系统需实时升级

五、使用加密技术进行网上冲浪

这些都是最常用保护措施，可以应付一般的无线网络状况。

篇8：无线网络安全行业应该如何遵守十大基础规则

金融服务提供商受到为数众多的客户资料安全保障规则的制约其他一些规定如著名的支付卡行业数据安全标准(PCI DSS)，明确包含了在WLAN范围内必须执行的标准，例如检测异常操作，对无线传输的数据进行安全加密，虽然每种规则的具体情况不同，但金融服务机构通过采取以下的无线网安全最佳做法可以建立一个被全行业遵守的规则基础：

1、了解你的敌人

要可靠保障无线网络的安全，你必须了解你所面临的威胁。例如，PCI DSS要求每一个处理持卡人数据的组织必须对未授权的无线接入点(AP)所造成的威胁进行评估，包括那些没有WLAN的公司。你需要从审核无线网络安全威胁着手，找出你业务中可能会遇到的威胁，并且评估敏感数据(比如个人财务信息，持卡人信息)所面临的风险。

2、了解你自己

许多用于减少无线网络安全威胁的保障措施是否有成效，取决于是否准确理解了网络的拓扑结构(包括有线和无线)，和识别已验证设备的能力。为了制定WLAN安全审核和执行的标准，你必须维护那些已被认可的接入点和客户的清单、它们的用户及其地址，以及各自预期实施的安全措施。

3、减少暴露

当WLAN的使用已被授权且数据流量通过一个敏感的网段时，一些规则如PCI DSS将会全力保证用户的安全。你可以通过对流量进行分割以减少暴露来降低风险。具体来说，就是使用防火墙对数据包进行检查，以防止数据包进入到不需相应权限即可访问的网段中，并实现时序同步的日志功能以记录那些被允许和被阻止的无线通信流量。作为一项规则，那些需要无线访问权限的网段需被看作是“隔离区”(DMZ) ：默认和否认一切，只允许必要的服务和特殊目的的流量通过。

4、堵住漏洞

使用传统的网络安全最佳做法，可以对所有暴露在无线网络中的基础设施(如接入点、控制器、DNS / DHCP服务器)的安全性进行强化。例如，更改出厂默认值、设置强度很高的管理员密码、关闭不使用的服务、应用补丁和对系统进行渗透测试。在这一步中，你需要解决无线传输特有的漏洞问题，比如说你需要选择非默认的网络名称(SSID)以防止意外的入侵，并通过动态频率选择(dynamic frequency selection)来规避射频干扰。同时，你还可以采取措施，防止公众场合的接入点受到物理干扰(例如，移除电缆，重置为默认设置)。

5、确保传输安全

目前的接入点都支持WPA2 (AES-CCMP)空中(over-the-air)加密，你需要尽可能多地使用它。如果传统的客户端要求的是WPA(TKIP/MIC)标注，请谨慎使用该密码，最好是在同其他用户隔离开的无线局域网(SSID)条件下使用。请避免WEP加密，因为更新的安全规定将不再允许使用这一冗长零碎的加密协议，

此外，使用高层加密(例如，SSLv3/TLS，IPSec)可以有选择地对敏感应用程序流和交易进行保护，同时也请不要忘了对所包含的服务器和网关的安全性进行加强。

6、限制访问

无线网打开了一个外人可以入侵的窗口，要想避免出现这种情况除非你能对其进行控制。选择并实施一个强有力的WLAN身份验证措施，最好选择有相互身份验证的WPA2企业标准 (802.1X)。如果你所在的组织缺乏这方面的技能、基础设施或对802.1X的客户端支持，你还可以使用WPA2个人标准(PSK)，但请至少使用含有13个字符长度并定期更改的随机密码。永远不要依靠MAC地址过滤器作为你唯一的访问控制措施。如果你的WLAN提供guest级的互联网访问权限，请限制它所能访问的内容，并对那部分网络通信做日志，从而减少对公司业务造成的风险。

7、无线监测

虽然许多规则强烈建议采用全天候分布式无线入侵检测或防御系统(WIDS/WIPS)，但也允许在那些处理受控数据的站点上进行周期

性的扫描。前者效率更高，效果也更加明显，特别适用于大规模的无线局域网。无论选择哪种方式，你都需要知道你监测的对象不仅仅是无线接入点欺诈，还包括未经授权的客户、配置错误的设备、意义不明确的安全策略、安全侦查、攻击通信流量，以及彼此相连或连到外部WLAN的异常客户端。

8、做好准备

监测只是某种手段，你需要安装一个WLAN事件响应程序。例如，你如何暂时屏蔽掉异常的AP?您如何找它，并从物理上移除它?你需要审查所有的扫描结果、无线入侵检测或入侵防御系统的警报和流量日志，从而及时评估潜在的威胁。实际上，利用自动化的工具(如无线入侵检测或入侵防御系统)对网络连接进行跟踪和隔离，可以实时地制止入侵。请确保监测工具能够收集充足数据，使得事件响应和取证调查更加精确。

9 、保护终端

一台被盗的销售点终端或一台被黑了的笔记本电脑可以轻易获得授权并使用加密的连接，由此侵入具有严密保护措施的无线网络。这时，你可以采用远程访问安全的最佳做法，使得无线终端相互隔绝，阻止丢失和被盗的移动设备对无线网络进行未授权的访问。如果您的组织实施了网络访问控制(NAC)，那么你可以对无线连接设备的完整性进行检查，并使用主机入侵检测或防御手段阻止终端的异常行为(如，同时对有线网络和无线网络进行连接)。

10、评估和改进

永远不要认为安全措施会像预期那样，你的安全审计人员就不会这么认为。你需要对无线连接的网络和设备进行渗透测试，它会有意触发WIDS/WIPS警报，捕获通无线信流量并对其进行分析。你可以尝试着从不同的位置去连接未经授权的设备和用户，记录下会发生的情况，然后通过对已发现的漏洞打上补丁来提高安全标准。你需要定时或不定时进行安全评估，以找到并修复新发现的漏洞，比如你可以通过对接入点、控制器或客户端打上安全补丁，阻止新型的 攻击。

综上所述，如果金融企业肯花时间评估无线安全威胁、管理访问权限、保障传输安全、对无线数据进行强有力的安全加密以及采取其他一些重要措施，其自身的安全性甚至可以超过审计人员的预期。

篇9：怎样保证无线网络安全

(1)使用多组WEP密钥，使用一组固定WEP密钥，将会非常不安全，使用多组WEP密钥会提高安全性，但是请注意 WEP密钥是保存在Flash中，所以某些黑客取得您的网络上的任何一个设备，就可以进入您的网络;

(2)如果你使用的是旧型的路由器，且只支持WEP，你可以使用128位的WEP Key，这样会让你的无线网络更安全 。

(3)定期更换你的WEP密钥。

(4)你可以去制造商的网站下载一个固件升级，升级后就能添加WPA支持。

WPA(Wi-Fi保护接入)能够解决WEP所不能解决的安全问题。简单来说，WEP的安全性不高的问题来源于网络上各 台设备共享使用一个密钥。该密钥存在不安全因素，其调度算法上的弱点让恶意黑客能相对容易地拦截并破坏WEP 密码，进而访问到局域网的内部资源。

WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其原理为根据通用密钥，配合表示电脑MAC地址和分组信 息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。

通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据，要想解除出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于 具备这些功能，WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法，而且有更为 丰富的内涵。作为802.11i标准的子集，WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。

无线路由器或AP在出厂时，数据传输加密功能是关闭的，如果你拿来就用而不作进一 步设置的话，那么你的无线网络就成为了一个“不设防”的摆设，这是大家需要注意的。我们给出的建议是：采用WPA加密方式。

篇10：无线局域网的网络安全

WLAN无线网技术的安全性由下面4级定义：

1. 扩频、跳频无线传输技术本身使盗听者难以捕捉到有用的数据；

2. 设置严密的用户口令及认证措施，防止非法用户入侵；

3. 设置附加的第三方数据加密方案，即使信号被盗听也难以理解其中的内容，

4. 采取网络隔离及 措施；

1. 扩展频谱技术

扩展频谱技术在50年前第一次被军方公开介绍，它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去，与窄带射频相反，它将所有的能量集中到一个单一的频点。扩展濒谱的实现方式有多种，最常用的两种是直接序列和跳频序列。

2. 用户认证---口令控制

我们推荐在无线网的站点上使用口令控制----当然未必要局限于无线网。诸如Novell NetWare和Microsoft NT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户要包括移动用户，而移动用户倾向于把他们的笔记本电脑移来移去，因此，严格的口令策略等于增加了一个安全级别，它有助于确认网站是否正被合法的用户使用。

3. 数据加密

假如您的数据要求极高的安全性，譬如说是商用网或军用网上的数据，那么您可能需要采取一些特殊的措施，

最后也是最高级别的安全措施就是在网络上整体使用加密产品。数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密。只有那些拥有正确密钥的站点才可以恢复，读取这些数据。如果需要全面的安全保障，加密是最好的方法。一些网络操作系统具有加密能力。基于每个用户或服务器、价位较低的第三方加密产品也可以胜任，象McAfeeAssicoate的NetCrypto或Captial Resour-ces Snare等加密产品能够确保唯有授权用户可以进入网络、读取数据，而每个用户只须为此支付大约50美元。鉴于第三方加密软件开发商致力于加密事务，并可为用户提供最好的性能、质量。服务和技术支持，WLAN赞成使用第三方加密软件。

4. 其他无线网络方面的考虑

无线局域网还有些其他好的安全特性。首先无线接人点会过滤那些对相关无线站点而言毫无用处的网络数据，这就意味着大部分有线网络数据根本不会以电波的形式发射出去；其次，无线网的节点和接入点有个与环境有关的转发范围限制，这个范围一般是几英尺。这使得 者必须处于节点或接人点的附近。最后，无线用户具有流动性，他们可能在一次上网时间内由一个接人点移动至另一个接人点，与之对应，他们进行网络通信所使用的跳频序列也会发生变化，这使得 几乎毫无可能。

结论

无论是否有无线网段，大多数的局域网都必须要有一定级别的安全措施。在内部好奇心。外部攻击和电线 面前，甚至有线网都显得很脆弱。没有人愿意冒险将局域网上的数据暴露于不速之客和恶意攻击之前。而且，如果您的数据相当机密，比如是银行网和军用网上的数据，那么，为了确保机密，您必须采取特殊措施。我们希望您能从上述讨论中了解到保障您的整个网络安全的重要性，并且认识到您的局域网无线网段即或不能提供比有线段更多的保护，也至少和它相同。

篇11：无线网络安全的论文

1Wi-Fi技术本身的缺陷

Wi-Fi技术是上世纪末由Wi-Fi联盟提出来的技术标准，属于在办公室和家庭中使用的短距离无线技术，主要应用于局域网中。除个别版本使用5GHz附近频段外，Wi-Fi技术主要使用2.4GHz或5GHz附近频段。当前应用的802.1la/b/g/n协议版本。Wi-Fi技术的定义其实只涉及数据链路层的MAC子层和物理层，上层协议和802.3的定义都遵守802.2。对于数据安全性，Wi-Fi技术中更多使用的是WEP或WPA加密方法来实现对网络访问的验证和数据的加密，而这两种加密方式都存在一定的安全风险，尤其是WEP协议。在WEP协议中，使用的RC4算法本身就有缺陷，同时协议没有密钥管理机制，缺少对数据包的身份认证。针对WEP的各种漏洞缺陷已经出现多种解密的工具，这些工具都能在拦截到足够多的数据信息的前提下，很快解析出WEP的用户密钥，信息量越大，解密速度越快。虽然WPA和WPA2的加密技术有很大的提高，但是仍有一定的安全风险。在WPA协议的4次握手包中包含和密码有联系的信息，可以依靠这个信息来进行字典攻击。在这里成功破解出信息，关键依赖良好的字典和运算速度。

篇12：无线网络安全的论文

虽然Wi-Fi具有传输速度高、覆盖范围广、建设成本低、辐射更小等特点，但其本身在安全性方面存在缺陷，故采用Wi-Fi技术的工业无线网络也面临着不少安全威胁。

2.1容易被入侵

工业无线网络的无线信号是广播的状态，即在特定范围内的用户都可以发现Wi-Fi信号的存在，任何恶意的入侵者都可以通过无线设备和破解工具对侦测AP并对无线网络发起攻击。Wi-Fi在对网络访问的验证和数据传输方面也采用了加密方式，如WEP、WPA和WPA2协议等，但是入侵者仍然可以通过破解WEP/WPA/WPA2协议来入侵Wi-Fi网络，一些无线网络分析仪可以轻松破解Wi-Fi网络的认证密码，一些有目的的入侵者除了通过技术破解方式非法接入工业无线网络之外，还有可能利用社会工程学的入侵手段进行接入，如入侵者向合法用户套近乎或采取有偿的方式获得接入用户名和密码也能达到目的。

2.2有限带宽容易被恶意攻击占用和地址欺骗

入侵者在接入Wi-Fi网络后发送大量的ping流量，或者向无线AP发送大量的服务请求，无线AP的消息均由入侵者接收，而真正的移动节点却被拒绝服务，严重的可能会造成网络瘫痪；入侵者同时发送广播流量，就会同时阻塞多个AP；攻击者在与无线网络相同的无线信道内发送信号，而被攻击的网络就会通过CSMA/CA机制进行自动使用，这样同样会影响无线网络的传输；恶意传输或下载较大的数据文件也会产生很大的网络流量。这种情况在无线城区应用中较少见，入侵者恶意堵塞网络，极有可能是要故意破坏生产环境，造成一定的损失。在工业生产中可用性应该是第一位的，对工业网络安全来说，保证网络的可用性也是第一位的`。所以这种威胁对工业无线网络来说威胁是比较大的。

2.3数据在传输的过程中很容易被截取

通过监听无线通信，入侵者可从中还原出一些敏感信息；当工业无线网络传输数据被截取后，入侵者甚至可能伪造某些指令给工业生产造成损失。

2.4伪造AP入侵者

可以自己购买AP并将AP的ID设置为正规的AP的SSID来欺骗用户接入并窃取敏感资料。这种危害主要是使新接入用户会误接入到伪造AP中，无法正常工作。

2.5高级入侵

只要是入侵者采用合法或者非法手段接入无线城区，他就可以以此作为入侵其它系统的跳板，采用黑客手段攻击其它系统或网络，而他的行踪则很难被追寻；或者通过劫持身份验证会话、伪造认证服务器及验证回复等步骤，攻击者不但能够获取无线账户及密码，遭遇到更深层面的欺诈等。

3结束语

在面临的网络安全隐患中，对普通领域来说危害最大的就是入侵者通过对无线网络的入侵造成的数据泄漏，其次才是可用性。但是在工业领域恰恰相反，最看重的是可用性，可用性永远是第一位的，保证生产永远是第一位的。

篇13：企业网络安全基础

毫无疑问，网络安全一直是一个热门话题，并且在未来几年里仍将是一个热门话题，这个基本的思想保护你的网络不受外部世界的影响。然而，你也不能忘记从内部保护你的网络的安全。现在，有各种各样为中小企业提供的服务，然而，很难确定把重点放在哪个方面才能达到充分的网络安全。

关于网络安全基础的这一期指南旨在帮助你把重点放在你的网络和服务的策略领域，确保在不超出你的预算(尽管有时候超出预算是不可避免的)的前提下获得最佳的安全效果。我将介绍网络基础设施、活动目录、蜜罐(honey pots)和一些能够帮助你解决网络安全问题的资源。

网络基础设施:你的网络的核心

随着本地网络用户数量的不断增长，你的网络进行适当的分段是不可避免的。如果你的局域网有50个以上的用户，这就是开始考虑建立VLAN(虚拟局域网)的时候了。使用VLAN，你可以通过创建不同的广播域来为你的网络分段，并且同时提供增强水平的安全。敏感的部门和重要的服务可以很容易地与网络的其它部分隔离开来，有控制的访问你的网络资源在可能发生的内部或者外部攻击中将发挥重要的作用。

你还可以配置一个来宾VLAN(Guest VLAN)，这对大多数企业来收都是一个很普通的要求。来宾VLAN是限定访问互连网的来访者可以访问的网络，这个网络不会暴露我们的网络的其它内容。你可以按照你喜欢的任何方式配置来宾VLAN，如，是否规定只能有限地访问互联网或者严格限制访问内部资源和服务。

如果你需要在VLAN之间传送数据包，就需要一台3层交换机。这种交换机的起始价格为几千美元，是比较经济的选择。如果你的预算确实紧张，你可以考虑购买3550/3560或者3750型思科Catalyst系列交换机。这种交换机采用了合适的互联网操作系统，能够提供这种功能。然而，如果有可能增加一点预算，Catalyst 4500系列产品将是你最好的朋友。有些型号的交换机，如4507R，提供了全面的“监控引擎冗余”(Supervisor Engine Redundancy)功能，因此，在你的网络核心不会出现任何一点故障，深受工程师的喜爱。

活动目录:释放Windows的力量

Windows操作系统最近在服务器市场肯定占统治地位。你肯定有一些服务器至少安装了Windows 2000操作系统。通过安装活动目录，你能够自动地把你的网络资源连接在一起，提供一个管理的重心点。虽然这个规划和实施是一个很耗费时间的过程，不过，从活动目录提供的好处和安全性来看，耗费这些时间是值得的。

使用活动目录简单地点击几下鼠标，在用户级限制对工作站的修改、安装程序、改变网络设置和强制执行安全策略等工作就可以很容易地完成了。包括操作系统补丁和杀毒软件更新等在内的应用程序更新不再是令人担心的需要耗费很长时间的任务了，因为这些任务通过设置可以由活动目录自动完成。

如果你到目前为止还没有使用过活动目录，你可以花点时间研究一下这个课题。这肯定能够使你大开眼界。

网络备份:如果你没有测试，你就不要用

目前，每个人肯定都使用一种备份技术，

如果你还没有使用，那么，现在就是你认真考虑这个问题的时候了。

无论你如何进行你的备份，一些简单的做法被证明是非常有用的，并且能够帮助你节省很多时间，缓解紧张，甚至在某种情况下还能挽救你的工作。如果你正在使用最新的技术进行备份，你必须进行一次全面的恢复工作以确保这种最新的备份技术能够正常工作。

每一周或者两周进行一次全面的恢复工作是必要的，这可以根据工作量和你要处理的数据类型而定。由于存储介质出现故障，一个公司最近的备份不能恢复了。这是非常尴尬的事情。我确认你一定不会愿意陷入这样的窘境。

如果由于敏感性的原因你不相信传统的备份磁带方式，你可以选择能够满足你的备份需求的RAID解决方案“RAID 10”。这个解决方案包括了两台RAID 5磁盘阵列，能够提供多个硬盘故障的冗余。当然，不利的因素是这些设备的成本高一些。

有付出就有回报。因此，你需要问自己(或者你的经理):你的数据确实值多少钱?

蜜罐:抓住坏蛋

我们都知道，防火墙是设计用来保护网络不受攻击和阻止非法访问的。这就是我们把防火墙称作保护/防御技术的原因。入侵检测系统是用来监控和检测网络突破企图的设备。入侵防御系统是以预防技术为基础的，主要是采取措施阻止非法的访问。

蜜罐是一个相当新的概念，然而遗憾的是没有广泛应用。虽然蜜罐还不能确切地定义为哪一类产品，但是，蜜罐是介于入侵检测和防御技术之间的一种技术。正如名称解释的那样，蜜罐是运行特别的检测和审计程序的没有使用补丁的机器，装扮成包含重要数据的服务器，等待 的攻击。正如你了解的那样，蜜罐很容易吸引到非法的访问。

蜜罐通常放在重要的区域，如公共服务器或者内部服务器群，能够迅速发现试图攻破这些系统的 。然后，从这些攻击中收集到的信息将用于防御 对真正的服务器的攻击。由于蜜罐确实没有防御攻击或者 的安全措施，蜜罐连接到互联网上之后通常是最先受到扫描和攻击的机器。

恢复和安全监控

最后，监控你的资源。你通过简单地监控你工作中正在使用的资源就可以防御可能造成灾难的攻击是很神奇的。好消息是有一些开源软件工具能够完全满足你监控的需求，如监控你的服务器资源、主干网络连接以及公共网络服务器等各种需求。这些工具包括Nessus、Snort、MRTG、Nagios和Cacti等。

网络安全显然并不只是处理防火墙的问题。网络安全包含努力的工作以及根据复杂性、规模和你的网络的需求提供的不同层次的保护措施。没有一种具体策略能够适用于所有的网络。每一个网络都是独特的，必须要采取那种方式对待才能产生理想的结果。

如果你对网络安全还是一个新手，或者仅仅是为了获得一个包罗万象的指南，你可以查看“Firewall.cx”网站并且阅读“网络安全介绍”部分。这部分内容包括:对企业的威胁、入侵检测系统、攻击者使用的工具、入侵测试等内容。

跟上最新的技术和了解网络安全领域各个不同方面的新闻报道。互联网上有很多极好的资源。你要做的所有的事情就是搜索这些资源。

如何捍卫无线网络安全

风险分析网络安全论文

无线网络安全疑问切忌不可片面看待

建设工程类合同风险控制和防范措施介绍

零基础学习英语语法介绍

无线网络安全基础和风险介绍.doc

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档