局域网与网络安全技术(共11篇)
局域网与网络安全技术 篇1
在应用需求的推动下,近年来网络技术取得了巨大的进步。传统的有线局域网由于受到布线的限制,给移动办公用户带来了很大的不便。因此,高效快捷、组网灵活的无线局域网(Wireless LAN简称WLAN)应运而生。它所提供的“一点对多点接入”、“点对点中继”等工作模式为用户提供了一种替代有线的高效高速的解决方案。无线局域网分为两大阵营:IEEE802.11系列标准和欧洲的HiperLAN。
1 IEEE802.11系列标准
1997年6月,IEEE(电气电子工程师协会)出台了802.11标准,它主要用于解决办公室局域网和校园网中用户终端的无线接入问题,数据速率最高可达2Mbps。802.11标准在速率和传输距离上无法满足日益发展的业务需求,IEEE相继推出802.11b和802.11a两个标准。目前802.11共有九种扩展名,从a到i。下面简要介绍一下其中的几种标准:
1)802.11a标准是应用802.11b无线局域网标准的后续标准。802.11a工作于5GHz频带,它采用的调制方式为正交频分复用(OFDM)。802.11a标准的传输速度可达25 Mbps,完全能满足语音、数据、图像等传输的需要。通过对标准物理层进行扩充,802.11a支持的数据速率最高可达54Mbps。
2)802.11e标准对WLAN MAC层协议提出改进,以支持多媒体传输,以支持所有WLAN无线广播接口的服务质量(QOS),保证QOS机制。
3)802.11f,定义访问节点之间的通讯,支持802.11的接入点互操作协议(IAPP)。
4)802.11i标准是结合IEEE802.1x中的用户端口身份验证和设备验证,对WLANMAC层进行修改与整合,定义了严格的加密格式和鉴权机制,以改善WLAN的安全性。802.11i新修订标准主要包括两项内容:“Wi-Fi保护访问”(Wi-Fi Protected Access:WPA)技术和“强健安全网络”(RSN)。
2 HiperLAN
IEEE在美国及世界其他地区主推802.11x系列标准,而在欧洲,ETSI(欧洲电信标准学会)则主打另一无线局域网系列标准HiperLAN(高性能无线局域网),其地位相当于802.11b,但二者互不兼容,已推出HiperLAN l和HiperLAN2两个版本。
1)HiperLAN1
1996年发布的HiperLAN1工作于5GHz频带,采用的调制方式是高斯滤波最小移频键控(GMSK),GMSK广泛应用于GSM系统和蜂窝数字分组数据网络(CDPD),HiperLAN1提供的数据速率最高可达25Mbps。
2)HiperLAN2
HiperLAN2是HiperLAN1的第二代版本,于2000年底通过ETSI批准成为标准。它对应于IEEE的802.11a,工作在5GHz频带,采用的调制技术也是正交频分复用,和802.11a在物理层兼容。
HiperLAN2在物理层使用了全新的MAC协议,为了高效地利用无线资源,它使用一种动态时分双工技术,使数据速率可高达54Mbps,并且还能在高吞吐率下支持QoS,从而为视频流、话音等实时应用提供支持。
3 无线局域网络安全性问题
无线网络是利用空气当作资料传输的媒介,因此无线局域网的安全问题显得尤为突出。为了保证安全通信,无线局域网中应采取必要的安全技术,包括访问控制、认证、加密、数据完整性及不可否认性等。
3.1 访问控制
访问控制的目标是防止任何资源进行非授权的访问。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。它通过访问BSSID(业务组标识符)、MAC地址过滤、控制列表(ACL)等技术实现对用户访问网络资源的限制。要想实现对无线网络的控制,所有的机器上仅能使用授权的SSID(服务设置身份器)。同时,为了自动断开不安全的连接,在每一台客户端上安全基于主机的无线网络入侵防御系统。主机无线网络入侵系统可以监视无线局域网,采取必要的措施执行已定义的无线网络安全政策。同时要规定哪些人可以使用无线局域网,哪些人既能使用企业内部网,也能使用互联网。无线局域网通常并不会限制对整个网络和互联网的访问。需要考虑有的局域网是为客户提供服务的,就需要禁止自己的雇员使用这一部分的网络。有的公司甚至会阻断企业内部网和互联网之间的无线子网。因此,无论是否选择允许访问,确定访问的范围都是至关重要的。
3.2 认证
认证提供了关于用户的身份的保证,这意味着当用户声称具有一个特别的身份时,认证将提供某种方法来证实这一声明是正确的。用户在访问无线局域网之前,首先需要经过认证验证身份以决定其是否具有相关权限,再对用户进行授权,允许用户接入网络,访问权限内的资源。目前无线局域网中采用的认证方式主要有PPPoE认证、WEB认证和802.1X认证。
PPPoE认证是出现最早也是最为成熟的一种接入认证机制,现有的宽带接入技术多数采用这种接入认证方式。在无线局域网中,采用PPPoE认证,只需对原有的后台系统增加相关的软件模块,就可以到达认证的目的,从而大大节省投资,因此使用较为广泛。
WEB认证相比于PPPoE认证,一个非常重要的特点就是客户端除了IE浏览器外不需要安装认证客户端软件,给用户免去了安装、配置与管理客户端软件的烦恼,也给运营维护人员减少了很多相关的维护压力。同时,WEB认证配合Portal服务器,还可在认证过程中向用户推送门户网站,有助于开展新的增值业务。
802.1X认证是采用IEEE802.1X协议的认证方式的总称。在一个802.1X的无线局域网认证系统中,认证不是由接入点AP完成,而是由一个专门的中心服务器完成。如果服务器使用Radius(远程用户拨号认证系统)协议时,则称为Radius服务器。用户可以通过任何一台PC登陆到网络上,而且很多AP可以共享一个单独的Radius服务器来完成认证,这使得网络管理者能更容易地控制网络接入。
3.3 加密
加密就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。加密又可细分为两种类型:数据保密业务和业务流保密业务。根据密码算法所使用的加密密钥和解密是否相同,由加密过程能否推导出解密过程(或是由解密过程推导出加密过程),可将密码体制分为单钥密码体制和双钥密码体制。当然,在无线局域网中,打开无线加密,强制使用WPA协议或者WPA-AES,也就是WAP2协议。这两种加密机制都采用了强悍的加密模型。而AES因为使用了Rijindal加密则更为可靠,并被公认为是可用于机密数据系统的安全标准。一旦开始部署无线网络,就应当料到有人会丢失无线设备。当这些无法避免的丢失现象发生时,必须立刻改变网络中所有的安全设置(包括SSID以及加密密钥),安全策略必须要涵盖这点。应当将任何设备丢失事件都看作是对网络安全的威胁,在策略中定义各个步骤来规避未来可能出现的损害。
3.4 数据完整性
所谓数据完整性,是使接收方能够确切地判断所接收到的消息有没有在传输过程中遭到插入、篡改、重排序等形式的破坏。完善的数据完整性业务不仅能发现完整性是否遭到破坏,还能采取某种措施从完整性中恢复出来。与有线网络相比,无线网络更加缺乏实体保护。在无线网络数据传输的时候,我们需要新的防御方法防止网络诈骗。现在WPA应用在无线局域网很多产品中。WPA(无线网络保护连接)使用TKIP(临时密钥整合协议)防范网络窃听、欺诈及网络数据的复制。这一协议填补了以前WEP协议的一些缺陷,但是速度比WPA2慢。WPA版本2(WPA2),从2004年以来,所有的无线网络产品都支持这一协议。使用802.11i和AES(高级加密标准)保证数据更加安全地传输。
总之,只要在实际应用中,合理组合安全机制,用户就可以回避无线网络的风险而享受到无线接入的便捷。
参考文献
[1]张新刚,刘妍.防火墙技术及其在局域网络安全中的应用[J].网络安全技术与应用,2006(5).
[2]张志华.局域网的安全策略及其实现[J].肇庆学院学报,2006(2).
[3]王竹林.局域网组建与管理[M].北京:清华大学出版社,2005.
局域网网络安全及防范技术 篇2
【关键词】局域网;安全;防范
【中图分类号】TP393.08【文献标识码】A【文章编号】1672-5158(2013)02-0136-02
全球化时代的到来,信息技术的日新月异,这已是人类社会不可回避的现实,计算机网络正是在这个背景下应运而生。伴随着计算机网络的发展,其具有开放性、自由性、互联性特点的同时,也容易遭受病毒、黑客等形式的攻击。因此,计算机网络的安全与否已成为了一个亟待解决的重要问题。
不论是企事业的内部局域网或者广域网,都会存在人为的和网络本身的安全隐患。随着越来越多的内部局域网投入运行和接入Internet, 内部局域网的安全管理问题越来越突出。作为开放网络的组成部分,它也面临着病毒泛滥、非法攻击、未授权访问、盗用网络资源、内部信息非法窃取等一系列安全问题。本文结合笔者几年来在网络管理上的实践和经验, 针对内部局域网网面临的安全威胁以及应对的手段进行了探讨。
一、对内部局域网网络安全的威胁因素
目前, 对内部局域网络安全构成威胁的因素很多, 归结起来,主要有以下几点。
1、病毒危害
一旦计算机感染上病毒之后,一般都会造成系统速度变慢,如蠕虫病毒和木马程序等,会使计算机的运行速度大幅降低。而有些严重的病毒甚至会造成系统的崩溃,导致存储在计算机内的部分重要文件丢失,更严重的是可能还会导致计算机的硬件损坏。病毒已经成为了计算机网络安全的最大隐患。病毒是程序编制人员在计算机网络程序中所插入的一些具有破坏功能的程序,它可以使计算机网络丧失部分功能和数据,并影响计算机网络的运行。病毒具有自我繁殖性,它可以复制程序的代码和指令,通过更改这些代码和指令达到破坏计算机网络的目的。病毒如果不依靠反病毒软件或防火墙是很难发现的,它具有隐秘性、传染性、破坏性等特点。所以,采取有力措施防止其危害,对于计算机网络的安全有着极其重要的作用。
2、窃取和干扰网络传输媒介上承载的信号
这种威胁主要是以窃听和干扰正常通信为目的, 主要表现方式有:局域网内一些恶意用户在网内接入非法终端或在传输线路上非法安装接收/转发设备, 对网络传输媒介上的电磁信号进行截收、窃听和分析, 对其传播进行人为干扰。
3、网络协议安全漏洞
网络协议的漏洞分为两种:一是自身协议的漏洞;二是协议服务上的漏洞。网络协议分为数据链路层、网络层、传输层和应用层四个层次结构。攻击者会寻找这四个层次的漏洞进行攻击。在数据链路层中,网络中的计算机,每一台机器都处于一个网络节点上,它们所发送的数据包都占用同一个通信通道,攻击者可以通过对信道的修改,把错误的数据包发往信道中的每个节点。数据包在发送的过程中,攻击者可以替换原来的数据包,先伪装起来看似和平常的数据包没有区别,没有立刻进行破坏活动,而是隐藏了起来。攻击者通过匿名的方式,耗用系统中的资源,通过电子邮件服务的方式,传播病毒,在TFTP 服务中,盗用用户名和口令,对计算机进行各种破坏活动;攻击者还可以通过防火墙的漏洞或者在它关闭时,对系统进行破坏。
4、网络管理员的技术水平和防范意识不高
现在许多网络管理员并没有进过正规的教育,他们的职责感和技术水平都没有达到一个合格网络管理员所应具备的素质,这往往表现在实际的工作中,会出现许多不合理的人为管理失误。如有的管理员不能及时对潜在的安全隐患加以预防和限制,对于网络用户给予了过大的权限,这些做法都极易给计算机网络带来巨大的危害。还有一些网络管理员他们不对网络系统进行调试和检测,缺乏实时的监控机制,即使在已运行多年的网络系统中,也经常会出现各种低级的错误,导致网络系统漏洞百出,极易受到攻击。
二、针对内部局域网安全威胁的防范技术措施
内部局域网网络安全风险来源于内部脆弱性和外部威胁。针对内部脆弱性风险的防范属于主动控制范畴, 针对外部威胁的防范属于被动控制范畴, 因此, 必须全方位解析网络的脆弱性和威胁, 才能构建网络的安全防范措施, 保证内网的安全。
1、防火墙系统
防范来自外部网络攻击最常用的方法是在网络的入口部署防火墙。防火墙是指设置在不同网络 ( 如可信任的移动客户自动服务系统内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口, 能根据移动客户自动服务系统网络的安全政策控制( 允许、拒绝、监测) 出入网络的信息流, 防火墙可以确定哪些内部服务允许外部访问, 哪些外人被许可访问所允许的内部服务, 哪些外部服务可由内部人员访问。并且防火墙本身具有较强的抗攻击能力。它是提供信息安全服务, 实现网络和信息安全的基础设施。
2、入侵检测系统部署
据统计大部分的攻击事件来自网络内部, 也就是说内部人员作案,而这恰恰是防火墙的盲区。入侵检测系统( IDS) 可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段, 如记录证据用于跟踪、恢复、断开网络连接等。
3、建立集中式网络防病毒系统
早期的内部网用户习惯于使用单机版防病毒系统, 但是随着计算机网络的发展, 病毒的危害和传播已经脱离了单机的模式, 原有的单机版防病毒系统已经不能适应新的要求, 最突出的表现就是, 即便被证明是有效的单机版防病毒系统也仅能对本机进行防杀, 而无法阻止病毒在网络上的传播, 一旦本机防病毒系统出现问题, 将不能避免病毒的侵害。
目前, 集中式防病毒系统是有效防杀内部网病毒的最有效措施之一, 其具有防护范围广、病毒库更新及时、系统稳定、投资效益高等特点。在内部网中建立病毒防杀中心, 既可以对网内的联网计算机进行管理,进行统一的病毒扫描和清除,而且可以对终端进行自动更新和病毒库升级, 及时对病毒防杀信息进行公告, 还可以对位于网外的特定联网用户提供在线杀毒功能, 更重要的是, 集中式防病毒系统可以提供电子邮件病毒网关, 与电子邮件系统相结合, 对邮件实施病毒过滤。
4、加强内部网的监控和对用户的管理
在内部网出口处采用高性能硬件防火墙, 可以有效地阻止大部分来自外网的网络攻击,然而,在网内部,虽然在各节点仍有各种防火墙产品安装,并采用VPN技术,但来自内网的攻击仍有可能对内网的正常工作造成极大的威胁。来自内网的攻击主要表现为网络病毒和一些恶意用户使用非法手段窃取用户信息, 实施危害活动, 前者可以通过建立内部网集中式网络防病毒系统加以解决,后者除使用防火墙技术以外, 还需管理员加强对网络的监控以及对用户的管理。
内部网管理员可以通过使用网络管理系统对网内部进行安全管理、安全检测、安全控制,需要建立严格的网络安全日志和审查系统, 建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等, 并定时对其进行审查分析, 一方面可以及时发现和解决网络中发生的安全事故, 另一方面可以便于查找网络安全事故的原因及事故的责任人。
三、加强校园网网络安全建设的建议
如何建设一个高速高效、资源丰富、应用广泛的内部网是一个非常复杂的问题, 需要综合考虑各方面的因素。
首先, 在规划过程中, 需要从实际需求出发, 制定功能实现目标,根据所制定目标在拓扑结构、主干技术、网络施工、软硬件平台选型等方面进行周密的前期设计;
第二, 在建设过程中,一方面,要根据前期设计严格施工, 另一方面, 针对新出现的新情况灵活进行调整, 但必须根据规划过程中拟定的安全原则, 确保网络的整体安全性;
第三, 在管理过程中, 需要建立强力有效的多层次网络管理机构, 制定详细科学的网络管理规范, 实施严格的网络管理。
[1] 胡世昌.计算机安全隐患分析与防范措施探讨[J].信息与电脑,2010,(10)
[2] 雷峥嵘,吴为春.校园网的安全问题及策略[J].广州大学学报(社会科学版),2001,11
[3] 葛秀慧.计算机网络安全管理(第2版)[M]. 北京:清华大学出版社,2008
无线局域网安全技术与安全策略 篇3
1 无线局域网安全技术相关简介
无线局域网作为信息化技术发展的产物, 满足了人们愈加复杂化和多样化的通信需求, 与有线网络相搭配, 为用户提供了更加便捷的信息服务体验。在这样的环境下, 无线局域网技术逐步迈入了快速发展轨道。
1.1 技术发展背景
信息化时代背景下, 随着电子政务及电子商务的快速发展, 越来越多的人选择网络传输和处理数据信息。在此过程中, 无线局域网安全问题不断暴露出来, 安全技术成为了无线局域网发展的关键因素。与有线网络传输相同的是, 安全性能亦是广大用户对无线局域网效果的最高追求, 而且缘于其本身特性, 它还面临着更大、更多的安全风险。例如, 有线网络的线缆作为一种物理防御屏障, 当攻击者无法连接网络线路时, 则切断了其窃取网络信息的路径。然而, 无线局域网则有所不同, 它是通过无线电波实现信息传播的, 任何人都可能成为攻击者。除此之外, 一般连接无线局域网的设备计算能力、存储能力以及蓄电能力等都较弱, 容易造成数据传输中断或丢失, 因而无线局域网的安全问题具有很强的特殊性和复杂性。在现实生活中, 人们为了追求信息数据传输便利, 对无线局域网的依赖性越来越高, 同时也面临着严重的安全威胁。因此, 无线局域网安全技术发展备受社会各界关注, 同时面临着机遇和挑战。
1.2 接入认证技术
在无线局域网的应用过程中, 合法用户可以通过无线连接的方式共享计算机资源信息。因此, 如何确认合法用户身份, 是保证无线局域网安全的重要基础。以IEEE 802.11标准支撑的无线局域网系统, 可支持对用户开放式以及共享密钥的认证服务。其中, 开放式认证技术只要求用户提供正确的SSID, 但是根据系统默认值设置, 该SSID会在AP信标力广播, 即使面临关闭的情况, 黑客或入侵者依然可以探测到SSID的相关信息, 从而危险无线局网安全。相比于前者, 共享密钥认证技术的应用较为安全, 用户需要正确使用AP发送的challenge包, 并返回给AP, 进而进入无线局域网络, 但这种虽然操作较为复杂, 但依然存在黑客攻击的危险。在此基础上, EAP认证技术在一定程度上弥补了上述认证技术的不足, 并由此衍生出的SIM、AKA等认证协议满足了3G、4G互通的需求, 在无线局域网领域的应用更为广泛。
1.3 密钥管理技术
认证技术确认安全后就会产生密钥并对密钥进行管理, 无线数据传输保密工作因为密钥管理的参与将会更加安全。密钥管理最初是建立在静态WEP密钥基础之上的, 静态WEP密钥是所有的设备拥有一样的WEP密钥, 这不仅需要管理员耗时耗力地将WEP密钥输入到每一个设备中, 而且如果带有WEP密钥的设备丢失或者被盗时, 黑客可能会通过这个设备侵入无线局域网, 这时管理员是很难发现的。即使管理员发现了并想要阻止, 就需要具有一样的WEP密钥设备并对WEP密钥进行更新。在面对庞大数量的用户时, 这项工作将是对管理员工作的严重考验。而且如果黑客解密出一个新的静态WEP密钥, 管理员也毫不知情。在现行更安全的方案中采取的是动态密钥, 动态密钥是在EAP认证时, RADIUS服务器将与客户生成会话密钥并将密钥发送给AP, 客户和AP同时激活密钥开始会话直到超时, 超时后将会重新发送认证生成新的会话密钥。
2 无线局域网面临的安全威胁因素
由于传输介质的开放性, 无线局域网本身就具有更大的脆弱性, 同时还侵受着外部的恶意威胁。从某种意义上而言, 无线局域网面临的安全威胁取决于其承载的信息资产价值, 大致可以分为以下几种因素, 具体表述如下:
2.1 非法介入
对于广大用户而言, 内部无线局域网上流转的数据包含着十分宝贵的信息资产, 关系到自己的切身利益, 一旦泄露或被窃势必会造成物质或精神上的损伤。对于电信通讯来说, 无线局域网非法介入可能会导致客户信息泄露, 有损自身品牌信誉, 同时还给客户带来了不可挽回的经济损失。近年来, 关于电信诈骗的案件报道比比皆是, 为社会大众所恐慌。以现有的技术条件和水平, 无线局域网的电磁辐射还很难精准地控制在某一范围之内, 攻击者只需架设一座天线即可截获部分数据信息, 而且用户很难发现。在现实生活中, 某些恶作剧者常常热衷于寻找“免费”无线网络资源, 并通过带有无线网卡的笔记本将这些信息在网上公开。在带宽有限的无线局域网上, 所有AP用户共享, 攻击者可产生大量数据包, 从而耗尽网络资源, 导致网络中断或瘫痪, 影响了合法用户的正常网络体验。此外, 与有线网络相比, 无线局域网还容易受到IP重定向及TCP响应等攻击。
2.2 伪造网络
在无线局域网中伪造的AP和网络带来的威胁非常严重, 攻击者可能会通过在计算机上安装Sniffer、ethereal等软件捕获显示网络上的数据包对合法用户的数据进行窃听。其主要是窃听合法用户的业务数据。无线局域网其传输介质是共享的这一原因造成无线局域网上面收发的数据很容易被窃听。另外, 攻击者往往利用这些假冒的网络诱使合法的用户进入访问, 进而骗取合法用户的账号口令对其平时工作用到的业务数据进行篡改造成合法用户的困扰或者将一些合法网络的数据加以篡改以达到欺骗合法用户的目的。甚至利用伪造或者篡改的数据造成系统或者设备无法正常运转或者瘫痪。伪造的AP和网络还可能让攻击者伪造一些网络设备如 (DNS或DHCP服务器) 引导用户进入到其不想进入的网络, 比如一些收费网站或者色情网站等从而对合法用户造成一定的损失或者影响。
2.3 拒绝服务
拒绝服务攻击又被成为Dos攻击, 与其他形式的攻击差异体现为, 它的目的在于破坏计算机或无线局域网络正常服务。目前, 802.11b已经成为了无线局域网市场的主流标准, 在各类用户中的应用十分广泛, 适用于家庭、车站、办公等多个场所。但是, 这种无线局域网络安全技术也存在一定的弊端, 即它与微波炉、无线电话和蓝牙芯片等都使用2.4GHz的ISM开放频段, 而且没有限制授权, 因而很容易受其他生活设备的干扰, 其中存在很大的潜在威胁。在合适的设备和工具支持下, 攻击者完全可以对无线局域网发起flooding攻击, 实现非法业务在无线网络有效频段上的覆盖, 进而阻止用户正常接收合法业务数据, 最终导致整个网络系统瘫痪。在实际的运行系统中, 拒绝服务攻击是最难做好预控和处理的, 既要求全面考虑设计构成要素, 又要有针对性地采取科学的本地策略。
3 提高无线局域网安全性能的策略
时至今日, 无线局域网安全关乎国计民生, 是和谐社会主义构建的重要历程。作者结合上文的分析, 有针对性地提出了以下几种提高无线局域网安全性能的策略, 以供参考和借鉴。
3.1 资源保护
在无线局域网应用中, 两个及以上的设备可以实现多种方式的数据通信, 可以通过对链路层加密的方法提高无线局域网安全性能。虽然无线信号还存在被窃听的危险, 但是如果把无线信号承载的数据信息转化成密文, 并且保证其强度够高的情况下, 这种安全威胁发生的几率则会大大降低。除却这些, 无线局域网还时刻面临着传输信号被伪造或篡改的安全隐患。对此, 用户可以在无线局域网承载的数据中, 融入部分只有内部人员才得以掌握的冗余数据, 从而精准地检测这些数据是否被更改, 在这种情况下基本可以确定无线信号的安全性。同时, 值得肯定的是独有秘密势必会降低伪造数据被认为合法的可能性, 为无线局域网提供了类似于有线网络物理安全的保护屏障。
3.2 密钥管理
密码是接入无线局域网的重要屏障, 通常可由数字、字母及特殊符号共同组成。在无线局域网的应用中, 密码设置强度一般分为三个等级, 并且保证在八个字符以上。根据无线局域网密码破解测试结果显示, 用户应适当提高密码破解难度, 如增加字符长度或增加特殊字符等, 并按照需求定时进行更换。关于无线局域网密钥管理, 现行的还有一种WEP标准方法, 通过动态变化来避免密钥重用。但是, WEP本身对无线局域网的加密保护作用是非常脆弱的, 很容易被黑客攻击和破解, 基于此Wi-Fi联盟开发了WPA新加密标准。根据用户需求的不同, WAP又分为个人版、企业版, 它采用TKIP协议, 使用预共享密钥, 解决了小型无线局域网环境安全威胁。与之相对应的, WAP/WAP2-Enterprise则更加适用于大型无线局域网环境。
3.3 地址绑定
用来定义网络设备位置的MAC地址, 存在于每一台主机当中, 它是一种采用十六进制数标示, 由六个48位字节构成的物理地址, 例如00-28-4E-DA-FC-6A。在OSI模型中, 数据链路层负责MAC地址, 第三层网络层则负责IP地址。为了进一步提高无线局域网的安全性能, 可以在接入设备中进行MAC地址过滤设置, 只准许特定合法MAC地址接入无线局域网, 从而防护攻击者的非法侵入。现阶段, 地址绑定已然成为了无线局域网常用的安全策略之一。此外, 在每一个无线局域网创建中, 都存在专属的服务集标识符即SSID, 它是帮助区分不同无线局域网的重要手段。为了防止黑客攻击, 应将SSID修改成难以被外人辨识的字符串, 同时对其进行隐藏处理, 降低被黑客检测到的几率, 保护无线局域网安全。
3.4 安装软件
随着无线局域网安全技术的进步与发展, 市场上流通的很多软件都可以实现对无线局域网一定程度的安全防护。因此, 用户可以在主机系统上加装合适的查杀软件或病毒卡, 实时检测系统异常, 并对木马数据及非法AP等进行清理, 以免给自身造成更大的经济损害。对于拒绝服务攻击, 用户可以在无线局域网运行的系统上增加一个网关, 使用数据包过滤或其他路由设置有效拦截恶意数据, 隐藏无线局域网接入设备IP地址, 降低安全风险。事实表明, 无线局域网安全威胁不仅仅存于外界, 还可能受到内部攻击, 针对此类状况, 应加强审计分析, 通过有效安全检测手段确定内部攻击来源, 并辅以其他管理机制, 防治无线局域网安全。此外, 对于硬件丢失威胁, 应基于用户身份完成认证, 并通过某种生物或秘密特征将硬件设备与用户紧密联系在一起。
4 结语
总而言之, 无线局域网安全技术发展势在必行。由于个人能力有限, 加之无线局域网环境复杂多变, 本文作出的相关研究可能存在不足之处。因此, 作者希望业界更多学者和专家持续关注无线局域网技术发展, 全面解析无线局域网应用中存在的安全隐患, 并充分利用无线局域网安全技术, 有针对性地提出更多提高无线局域网安全性能的策略, 从而净化无线局域网应用环境, 为广大用户提供更加方便快捷、安全高效的网络服务体验。
参考文献
[1]原锦明.无线局域网常见漏洞及安全策略[J].电脑编程技巧与维护, 2014 (02) :68-69.
[2]郭建峰.无线局域网安全技术研究[J].科技风, 2014 (15) :190.
[3]颜军, 田祎.探析无线局域网的安全技术及应用[J].福建电脑, 2013 (01) :36-37.
[4]刘艳丽.无线局域网安全技术及标准发展探究[J].电脑迷, 2016 (04) :35.
局域网与网络安全技术 篇4
教学内容:局域网的主要技术。教学目的:掌握局域网的主要技术。教学重难点:介质访问控制方法。教学课时:4课时 教学过程:
一、引入课题。
局域网的主要技术有哪些?
二、定义。
决定局域网特征的主要技术有: 连接各种设备的网络拓扑结构 传输介质与传输形式
介质访问控制方法
三、局域网的拓扑结构。
1、总线型
总线型网络采用单根传输线作为传输介质,所有的站点都通过相应的硬件接口直接连接到传输介质或称总线上。使用一定长度的电缆将设备连接在一起。设备可以在不影响系统中其他设备工作的情况下从总线中取下。任何一个站点发送的信号都可以沿着介质传播,而且能被其他所有站点接收。总线拓扑的优点是:电缆长度短,易于布线和维护;结构简单,传输介质又是无源元件,从硬件的角度看,十分可靠。总线拓扑的缺点是:因为总线拓扑的网不是集中控制的,所以故障检测需要在网上的各个站点上进行;在扩展总线的干线长度时,需重新配置中继器、剪裁电缆、调整终端器等;总线上的站点需要介质访问控制功能,这就增加了站点的硬件和软件费用。
这种网络拓扑结构中所有设备都直接与总线相连,它所采用的介质一般也是同轴电缆(包括粗缆和细缆),不过现在也有采用光缆作为总线型传输介质的,如后面我们将要讲的ATM网、Cable Modem所采用的网络等都属于总线型网络结构。
特点
这种结构具有以下几个方面的特点:(1)组网费用低:
从示意图可以这样的结构根本不需要另外的互联设备,是直接通过一条总线进行连接,所以组网费用较低;
(2)这种网络因为各节点是共用总线带宽的:
所以在传输速度上会随着接入网络的用户的增多而下降;(3)网络用户扩展较灵活:
需要扩展用户时只需要添加一个接线器即可,但所能连接的用户数量有限;
(4)维护较容易:
单个节点失效不影响整个网络的正常通信。但是如果总线一断,则整个网络或者相应主干网段就断了。
(5)可靠性不高:
如果总线出了问题,则整个网络都不能工作,网络中断后查找故障点也比较困难。
2、环形
由连接成封闭回路的网络结点组成的,每一结点与它左右相邻的结点连接。环形网络的一个典型代表是令牌环局域网,它的传输速率为4Mbps或16Mbps,这种网络结构最早由IBM推出,但现在被其他厂家采用。在令牌环网络中,拥有“ 令牌” 的设备允许在网络中传输数据。这 样可以保证在某一时间内网络中只有一台设备可以传送信息。在环形网络中信息流只能是单方向的,每个收到信息包的站点都向它的下游站点转发该信息包。信息包在环网中“旅行”一圈,最后由发送站进行回收。
这种结构的网络形式主要应用于令牌网中,在这种网络结构中各设备是直接通过电缆来串接的,最后形成一个闭环,整个网络发送的信息就是在这个环中传递,通常把这类网络称之为“令牌环网”。实际上大多数情况下这种拓扑结构的网络不会是所有计算机真的要连接成物理上的环型,一般情况下,环的两端是通过一个阻抗匹配器来实现环的封闭的,因为在实际组网过程中因地理位置的限制不方便真的做到环的两端物理连接。
特点
这种拓扑结构的网络主要有如下几个特点:
(1)这种网络结构一般仅适用于IEEE 802.5的令牌网(Token ring network),在这种网络中,“令牌”是在环型连接中依次传递。所用的传输介质一般是同轴电缆。
(2)这种网络实现也非常简单,投资最小。
可以从其网络结构示意图中看出,组成这个网络除了各工作站就是传输介质--同轴电缆,以及一些连接器材,没有价格昂贵的节点集中设备,如集线器和交换机。但也正因为这样,所以这种网络所能实现的功能最为简单,仅能当作一般的文件服务模式;
(3)传输速度较快:
在令牌网中允许有16Mbps的传输速度,它比普通的10Mbps以太网要快许多。当然随着以太网的广泛应用和以太网技术的发展,以太网的速度也得到了极大提高,目前普遍都能提供100Mbps的网速,远比16Mbps要高。
(4)维护困难:
从其网络结构可以看到,整个网络各节点间是直接串联,这样任何一个节点出了故障都会造成整个网络的中断、瘫痪,维护起来非常不便。另一方面因为同轴电缆所采用的是插针式的接触方式,所以非常容易造成接触不良,网络中断,而且这样查找起来非常困难,这一点相信维护过这种网络的人都会深有体会。
(5)扩展性能差:
也是因为它的环型结构,决定了它的扩展性能远不如星型结构的好,如果要新添加或移动节点,就必须中断整个网络,在环的两端作好连接器才能连接。
3、星形 星形网通过点到点链路接到中央结点的各站点组成的。通过中心设备实现许多点到点连接。在数据网络中,这种设备是主机或集线器。在星形网中,可以在不影响系统其他设备工作 的情况下,非常容易地增加和减少设备。星型拓扑的 优点是:利用中央结点可方便地提供服务和重新配置网络;单个连接点的故障只影响一个设备,不会影响全网,容易检测和隔离故障,便于维护;任何一个连接只涉及到中央结点和一个站点,因此控制介质访问的方法很简单,从而访问协议也十分简单。星型拓扑的缺点是:每个站点直接与中央结点相连,需要大量电缆,因此费用较高;如果中央结点产生故障,则全网不能工作,所以对中央结点的可靠性和冗余度要求很高。
这种结构是目前在局域网中应用得最为普遍的一种,在企业网络中几乎都是采用这一方式。星型网络几乎是Ethernet(以太网)网络专用,它是因网络中的各工作站节点设备通过一个网络集中设备(如集线器或者交换机)连接在一起,各节点呈星状分布而得名。这类网络目前用的最多的传输介质是双绞线,如常见的五类线、超五类双绞线等。
特点
这种拓扑结构网络的基本特点主要有如下几点:(1)容易实现:
它所采用的传输介质一般都是采用通用的双绞线,这种传输介质相对来说比较便宜,如目前正品五类双绞线每米也仅1.5元左右,而同轴电缆最便宜的也要2.00元左右一米,光缆那更不用说了。这种拓扑结构主要应用于IEEE 802.2、IEEE 802.3标准的以太局域网中;
(2)节点扩展、移动方便:
节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可,而要移动一个节点只需要把相应节点设备移到新节点即可,而不会像环型网络那样“牵其一而动全局”;
(3)维护容易;
一个节点出现故障不会影响其它节点的连接,可任意拆走故障节点;
(4)采用广播信息传送方式:
任何一个节点发送信息在整个网中的节点都可以收到,这在网络方面存在一定的隐患,但这在局域网中使用影响不大;
(5)网络传输数据快:
这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。
其实它的主要特点远不止这些,但因为后面我们还要具体讲一下各类网络接入设备,而网络的特点主要是受这些设备的特点来制约的,所以其它一些方面的特点等我们在后面讲到相应网络设备时再补充。
(6)重新配置灵活:
通过集线器连成的星型结构,若移去、增加或改变一个设备,仅涉及被改变的那台设备与集线器某个端口的链接,因此改变起来比较容易,适应性强。(7)故障隔离和检测容易:
由于各分节点都直接连向集线器,因此故障检测和隔离比较容易,可以很方便的将有故障的节点从系统中删除。
(8)依赖中心节点:
如果处于连接中心的集线器出现故障,则全网瘫痪,故要求集线器的可靠性和冗余度都很高,如应注意采用中心系统的双机热备份。
四、传输介质与传输形式
1、传输速率与误码率
2、传输介质:
双绞线、同轴电缆、光纤
五、介质访问控制方法
1、CSMA/CD
CSMA/CD(Carrier Sense Multiple Access/Collision Detect)即载波监听多路访问/冲突检测机制。在传统的共享以太网中,所有的节点共享传输介质。如何保证传输介质有序、高效地为许多节点提供传输服务,就是以太网的介质访问控制协议要解决的问题。
CSMA/CD是一种争用型的介质访问控制协议。它起源于美国夏威夷大学开发的ALOHA网所采用的争用型协议,并进行了改进,使之具有比ALOHA协议更高的介质利用率。主要应用于现场总线Ethernet中。另一个改进是,对于每一个站而言,一旦它检测到有冲突,它就放弃它当前的传送任务。换句话说,如果两个站都检测到信道是空闲的,并且同时开始传送数据,则它们几乎立刻就会检测到有冲突发生。它们不应该再继续传送它们的帧,因为这样只会产生垃圾而已;相反一旦检测到冲突之后,它们应该立即停止传送数据。快速地终止被损坏的帧可以节省时间和带宽。
CSMA/CD控制方式的优点是:
原理比较简单,技术上易实现,网络中各工作站处于平等地位,不需集中控制,不提供优先级控制。但在网络负载增大时,发送时间增长,发送效率急剧下降。
CSMA/CD应用在 OSI 的第二层数据链路层
它的工作原理是: 发送数据前 先侦听信道是否空闲 ,若空闲,则立即发送数据。若信道忙碌,则等待一段时间至信道中的信息传输结束后再发送数据;若在上一段信息发送结束后,同时有两个或两个以上的节点都提出发送请求,则判定为冲突。若侦听到冲突,则立即停止发送数据,等待一段随机时间,再重新尝试。
其原理简单总结为:先听后发,边发边听,冲突停发,随机延迟后重发
CSMA/CD采用IEEE 802.3标准。
它的主要目的是:提供寻址和媒体存取的控制方式,使得不同设备或网络上的节点可以在多点的网络上通信而不相互冲突。
有人将CSMA/CD的工作过程形象的比喻成很多人在一间黑屋子中举行讨论会,参加会议的人都是只能听到其他人的声音。每个人在说话前必须先倾听,只有等会场安静下来后,他才能够发言。人们将发言前监听以确定是否已有人在发言的动作成为“载波侦听”;将在会场安静的情况下每人都有平等机会讲话成为“多路访问”;如果有两人或两人以上同时说话,大家就无法听清其中任何一人的发言,这种情况称为发生“冲突”。发言人在发言过程中要及时发现是否发生冲突,这个动作称为“冲突检测”。如果发言人发现冲突已经发生,这时他需要停止讲话,然后随机后退延迟,再次重复上述过程,直至讲话成功。如果失败次数太多,他也许就放弃这次发言的想法。通常尝试16次后放弃。
2、令牌环网
令牌环网(Token Ring)是一种 LAN 协议,定义在 IEEE 802.5 中,其中所有的工作站都连接到一个环上,每个工作站只能同直接相邻的工作站传输数据。通过围绕环的令牌信息授予工作站传输权限。
令牌环上传输的小的数据(帧)叫为令牌,谁有令牌谁就有传输权限。如果环上的某个工作站收到令牌并且有信息发送,它就改变令牌中的一位(该操作将令牌变成一个帧开始序列),添加想传输的信息,然后将整个信息发往环中的下一工作站。当这个信息帧在环上传输时,网络中没有令牌,这就意味着其它工作站想传输数据就必须等待。因此令牌环网络中不会发生传输冲突。
与以太网 CSMA/CD 网络不同,令牌传递网络具有确定性,这意味着任意终端站能够传输之前可以计算出最大等待时间。该特征结合另一些可靠性特征,使得令牌环网络适用于需要能够预测延迟的应用程序以及需要可靠的网络操作的情况。
3、令牌总线 令牌总线是一种在总线拓扑结构中利用“令牌”(token)作为控制节点访问公共传输介质的确定型介质访问控制方法。在采用令牌总线方法的局域网中,任何一个结点只有在取得令牌后才能使用共享总线去发送数据。
与CSMA/CD方法相比,令牌总线方法比较复杂,需要完成大量的环维护工作,包括环初始化、新结点加入环、结点从环中撤出、环恢复和优先级服务。
当所有站都有报文要发送,则最坏的情况下等待取得令牌和发送报文的时间应该等于全部传送时间和报文发送时间的总和。另一方面,如果只有一个站点有报文要发送,则最坏情况下等待时间只是全部令牌传递时间之总和,实际等待时间在这一区间范围内。对于应用于控制过程的局域网,这个等待访问时间是一个很关键的参数,可以根据需求,选定网中的站点数及最大的报文长度,从而保证在限定的时间内,任一站点可以取得令牌权。
六、总结。
利用无线网络技术建设局域网方案 篇5
关键词:无线局域网;网络技术;建设方案
中图分类号:G 434 文献标识码:A 文章编号:1673-8454(2007)12-0066-02
目前,我国城市大多数教育机构已经建立起了性能先进、应用广泛的有线局域网络,但是随着计算机技术和通信技术的迅猛发展,传统的有线网络也逐渐暴露出种种问题:难以解决远距离信息传递、无法铺设线缆环境中的网络建设、移动办公等等。随着无线局域网技术标准、无线产品的不断推出,无线局域网的应用和普及已发展到了一个新阶段。无线局域网技术的发展对局域网网络的建设有何影响,如何将无线局域网技术应用到教育机构局域网络中去,这已成为业界人士日益关注的焦点,拥有安全、便捷、高质量、高效率的局域网网络已经成为各个教育管理信息化建设的迫切需求。
一、无线局域网的发展现状及其优点
IEEE定义了Wireless LAN (无线局域网)标准——IEEE802.11,在随后的几年中,各家厂商也纷纷推出了商用化无线产品。1999年10月,美国卡内基·梅隆大学在世界上率先启动了局域网无线网络,尽管当初采用了2M传输技术,但是无线网络技术注入局域网,无疑是IT技术在信息化中应用的又一次重要的突破。随着无线互联网技术的飞速发展和商业化普及,“宽带无线”正在取代“宽带”,成为局域网基础建设的热点。
1. 无线网的两个发展阶段
无线网的发展可分为两个阶段。第一阶段,主要采用无线局域网这样的低成本宽带无线技术,这个阶段的主要特征是对现有的有线网络基础设施进行延展和补充,很多无线网络仅仅应用于网络中心等局部区域,部分人员实现基本的无线接入、组网和应用。上网终端主要依靠笔记本电脑,成本较高,增加了无线局域网络方案应用普及的难度。
鉴于这些原因,第二阶段无线局域网络在日益成熟的宽带无线IP技术标准推动下应运而生。这个阶段的主要特征是:移动性已经从局部扩展至全局,从多个数字孤岛走向融合,从笔记本电脑扩展到台式机、掌上电脑等多种设备,以及所有局域网络上的其它终端设备。
2.无线局域网的优点
与有线局域网相比,无线局域网具有很大的优势:
(1)移动性强:受环境条件的限制小,摆脱了线缆的约束,教育工作者在办公场所内可以直接使用带有WLAN接口的终端设备 “随时随地”访问局域网和互联网。
(2)灵活性高:无线网组网灵活,易于扩展,能满足具体的应用和安装需要,系统结构可以适用于小数量用户的对等网络,既可以适用于最大数目移动用户的完整基础网络。
(3) 传输速率高:适合进行大量双向和多向多媒体信息的传输,带宽最高可达11Mbps,可以大幅度提高网络效率,能充分满足局域网用户对网络速度的要求。
(4) 维护成本低:由于后期维护方便,维护成本比有线网络可减少50%左右,而且对于经常移动、增加和变更的动态环境,无线网络的长远投资收益就更加明显。同时,无线网络设备可以随办公环境的变化而轻松转移和布置,有效的提高了设备的利用率。
二、无线网络关键技术
利用无线局域网主要涉及以下几项应用技术:
1. 蜂窝覆盖及漫游
无线微蜂窝覆盖,就是将多个无线接入点AP(Access Point)形成的各自的无线信号覆盖区域进行交叉覆盖,各覆盖区域之间无缝连接。所有AP通过双绞线与有线骨干网络相连,形成以固定有线网络为基础,无线覆盖为延伸的大面积服务区域。所有无线终端通过就近的AP接入网络。微蜂窝覆盖突破了无线网络覆盖半径的限制,大大的扩展了单个AP的覆盖范围,用户可以在AP群覆盖的范围内漫游,通讯不会中断。
安装在室内的AP由于受建筑物本身的影响,AP的发射功率也要严格控制,因此单个AP所覆盖的面积可能无法满足无线覆盖的规划,例如覆盖整个教学楼,因此可以采用多个AP进行合理分布和配置,将单个覆盖区域扩大成较大的覆盖区域。在整个覆盖区域中,无线终端设备将自动检测信号的强度,建立最高质量的无线链路。
2.无线中继点
由于微蜂窝覆盖技术中,每个AP需要与有线网络相连,教育机构的一些面积较大的场所如大礼堂、阶梯教室等可能无法全面覆盖,这时就需要采用无线中继的方式,通过无线中继点来进行网络接力,进一步扩大无线网络的覆盖范围。中继点的构建,只需要将两个AP互联,接收前一AP的无线信号,并形成新的覆盖区域,从而达到无线信号覆盖全场的目的。
3.覆盖开阔区域
有了无线覆盖技术,网络就不仅仅局限于室内狭小的空间,更广阔的学习空间被利用起来,草坪、树荫下不再是网络的终点站,连接了放大器和天线的AP完全可以将无线信号覆盖到局域网的任何角落,每一寸土地都被利用起来,整个局域网变成了一个巨大的办公空间。
4.无线网桥
利用 AboveCable 无线桥接设备,可以为两个或者多个独立的局域网络建立带宽高达11Mbps的空中连接。AboveCable对于无线链路具有很强大的管理功能,不仅具有链路质量检测、数据安全加密、带宽控制等功能,而且AboveCable无线桥接网桥具有非常成功的应用经验,桥接距离从几百米到几十公里均有不同的全套方案以及配套设备。无线网桥的构成包括:IEEE802.11b无线桥接器、2.4GHz WLAN专用天线、信号放大器以及分配器和避雷器等附件设备。AboveCable无线网桥支持点对点方式以及单点对多点的方式。
5.无线网络设备集中管理
AboveCable 无线网络还为构建局域网无线网络提供了多种有效的管理手段,包括Telnet、SNMP、Web等管理界面,网络管理员可以随时随地的对无线网络进行配置、监测、控制,大大地提高了工作效率,使无线网络的运行更加有效可靠。
三、无线局域网组建方案
本方案在原有的有线局域网基础上构建无线局域网络,可以分为室内和室外两个部分进行。
1. 室内
指原先没有安装有线网络的教室、会议室、临时移动办公室等房间。在室内部署WLAN的第一步是要确定AP的数量和安装位置,可以根据实际环境(如培训教室的面积等)、办公环境对网络带宽、速度的要求、覆盖频率、信道使用和吞吐量需求等来确定AP的数量和安装位置。采用无线微蜂窝覆盖技术,将多个AP形成的无线信号覆盖区域进行交叉覆盖,确保了各覆盖区域之间无缝连接。所有AP通过线缆与有线骨干网络相连,无线终端通过就近的AP接入网络,访问整个网络资源。
通常情况下,一个AP最多可以支持多达80台计算机的接入,数量为20-30台时工作站的工作状态最佳,AP的典型室内覆盖范围是30-100m。根据培训教室和会议厅的大小,可配置1个或多个无线接入点。例如,可在培训教室中放置4台AP,使这个培训教室最多可容纳80-120个无线网络用户。
2.室外
指其他公共场所。在办公室区域外的情况要比室内复杂一些,在该方案中采用的设备主要有:AP、无线全向天线、无线定向天线,全向天线在所有水平方位上信号的发射和接收都相等,而定向天线在一个方向上发射和接收大部分的信号。
室外无线架设的关键是通过配置无线接入点,把具有一定距离的单栋楼房局域网连接起来。具体的实施过程是:在网络的每一端即每一栋楼房或建筑物上接入AP,并在距离远或信号弱的地方外接高增益天线,这样就可以实现几公里以内的两个网段之间的互联了。
例如该方案中,我们在中心机房架设一个全向室外天线和一个室外定向天线,全向天线覆盖办公楼、教学楼等;在办公楼上架设定向天线,将信号传递给办公楼A;办公楼A上也要架设定向天线,将信号传递给办公楼B;在办公楼B上可架设全向天线,可以覆盖草坪,同时也可以将信号传递给办公楼C。其它楼依此类推。
具体操作时,要根据实际情况(如各栋楼之间的实际距离以及障碍物等)来考虑选择设备(如设备型号、是否要加用全向、定向天线,以及增减设备数量等)。在楼房上架设无线网络设备时还需加装避雷器、防潮箱等设备,以防止无线网络设备的损坏。
虽然无线网络有诸多优势,但是我们也应该清楚的看到它的不足:无线网络速率较慢、价格较高。无线局域网还不能完全脱离有线网络,只能作为有线网络的补充和完善,二者并不是技术竞争,而是技术互补。近年来,适用于无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。相信在未来,无线网络技术在各级教育机构局域网络建设中会有广泛的应用前景,对广大中小学也可有参考价值。
参考文献:
[1] 许建东.基于无线技术校园网建设方案[J].信息技术教育.2005,(6):10-12.
[2] 李奕.无线数字校园网、无线网络无限应用[J].中小学信息技术教育.2004,(11):29-30.
无线局域网络技术与应用 篇6
无线网络(wireless network)是利用无线电射频或红外线等无线传输媒体与技术构成的通信网络系统,与有线网络的用途类似,可以和有线网络互为备份。主流应用的无线网络分为无线局域网和通过公众移动通信网实现的无线广域网两种方式。
无线局域网,也被称为WLAN,指通过无线通信技术将各种终端设备连接起来,实现信息传递和资源共享的网络系统。按照国际相关标准,目前的无线局域网产品的单小区(CELL)覆盖直径在几十米到二、三百米,特殊情况下加功率放大和外接天线可增大覆盖范围,一般用于宽带家庭,大楼内部以及园区内部。
无线广域网络,就是中移动、中联通、中电信提供的无线上网方式,有中移动的GPRS(2G)、EDGE(2.75G)、TD-SCDMA(3G)。中电信的CDMA 1X,中联通的WCDMA。
2有线网络和无线网络的区别
无线局域网与有线局域网络的主要区别在于其传输媒体以及与之有关的媒体访问控制(MAC)协议。
有线网络的连接是通过网线与网卡及交换机等设备相连接,其优点是抗干扰能力强,传输速度快,缺点是组网繁琐,需要穿墙打洞提前布线。无线网络利用无线电技术取代网线,通过无线网卡与无线AP相连接;其优点是组网简便,不需要事先布线,缺点是抗干扰能力差,传输速度慢。相对于有线网络,无线网网络具有移动性强,组网灵活,安装快捷和低成本的特点。
3无线局域网技术
3.1无线局域网的协议标准
和有线局域网协议标准是IEEE802.3一样,IEEE 802.11标准称为无线局域网(WLAN)介质访问控制和物理层规范,由无线网卡和接入点(AP)提供标准的功能。IEEE 802.11b是目前最常用的无线局域网的一个标准,也是所有无线局域网标准中最著名、普及最广的标准,其载波的频率为2.4GHz,传送速度为11Mbit/s。IEEE 802.11b是所有WLAN标准演进的基石,未来许多的系统大都需要与IEEE 802.11b相兼容,它有时也被错误地标为Wi-Fi,实际上Wi-Fi是无线局域网联盟(WLANA)的一个商标,该商标仅保障使用该商标的商品互相之间可以合作,与标准本身实际上没有关系,Wi-Fi是WLAN的重要组成部分。IEEE 802.11b的后续标准中常用的是IEEE 802.11g,它的传送速率为54Mbit/s。
IEEE802.11b标准含有访问控制和保密两个部分,即服务配置标识符(SSID)和有线等效保密(WEP),还有一种加密的机制是在无线网络的虚拟专网(VPN)上来进行的。简单说,SSID就是自己给组建的局域网起的名字,必须将SSID的名称设置为相同的电脑才能互相传递信息。该访问控制技术用于在本地分割子系统,它可以将一个无线局域网分成若干子网,每个子网需要不同身份验证信息,只有通过身份验证的合法用户才能够进入相应的子网络,为网络的安全性提供保障。 WEP被用来提供和有线网络同级的安全性,保障无线传输过程中数据的安全性。WEP能够提供和有线网络相同级别的安全性。
3.2无线局域网络接入设备
在组建无线局域网时,常用到的设备主要包括无线网卡、无线AP、无线网桥、无线天线等。
3.2.1无线网卡
无线网卡根据接口类型的不同,主要分为三种类型,即PCI无线网卡、PCMCIA无线网卡和USB无线网卡。
PCI无线网卡适用于普通的台式计算机,无线网卡插在主板的PCI插槽上,无需外置电源。实际上PCI无线网卡只是在PCI插槽上插入一块普通的PCMCIA卡。
PCMCIA无线网卡只用于笔记本电脑,支持热插拔,可以非常方便地实现移动无线接入,同时也可以使用外部天线来加强PCMCIA无线网卡的信号强度。
USB接口无线网卡同时适用于笔记本和台式机,只要安装了驱动程即可使用,支持热插拔。在选择时要注意的一点就是,只有采用USB2.0接口的无线网卡才能满足802.11g无线产品或802.11g+无线产品的需求
3.2.2无线AP
无线AP是无线网络接入点,是无线网络的核心。其作用是把该设备接入有线网络后,它可以把有线信号转为无线网络,笔记本或电脑通过接受它发射的信号接入无线局域网,通俗地讲,无线AP是无线网和有线网之间沟通的桥梁。无线AP可分为两类,单纯型AP和扩展型AP;单纯型AP就是一般所说的无线AP,扩展型AP就是我们常说的无线路由器。
单纯性无线AP,就是一个无线的交换机,功能相对比较简单,缺少路由功能。根据不同的功率,可以实现不同程度、不同范围的网络覆盖,目前大多数的无线AP都支持多用户接入、数据加密、多速率发送等功能,在家庭、办公室内,一个无线AP便可实现所有电脑和移动设备的无线接入。
无线路由器,好比将单纯性无线AP和宽带路由器合二为一的扩展型产品,从外形上讲,单纯性无线AP和无线路由器几乎一样,但功能上相差很多;无线路由器一般具备Firewall 、DHCP、VPN、及支持WEP加密等功能,还包括NAT功能等。无线路由器实际是AP、路由功能和交换机的结合体,可以直接接上MODEM,将有线和无线组成同一子网,这样子网内的各种设备交换数据就非常方便。其内置有虚拟拨号软件,可以存储用户名和密码拨号上网,实现为拨号接入Internet的ADSL、CM等提供自动拨号功能。此外,无线路由器一般还具备相对更完善的安全防护功能。
3.2.3 无线网桥
无线网桥也是无线AP的一种,通常是用于室外,无线网桥具有功率大,抗干扰能力强,可进行远距离传输(最大可达约50km)等特点,特别适用于城市中的远距离通讯。无线网桥有三种工作方式,点对点,点对多点,中继桥接。
3.2.4 无线天线
无线局域网天线可以扩展无线网络的覆盖范围,把不同的办公大楼连接起来。当计算机与无线AP或其他计算机距离较远的时候,随着信号的减弱,传输速率会明显下降,或者根本无法搜索到无线信号,这时可借助无线天线对所信号进行增益放大。无线天线有多种类型,常见的有两种,一种是室内天线,优点是使用方便,摆放灵活,缺点是信号增益倍数小,传输距离短;一种是室外天线,室外天线的类型比较多,适合远距离传输。
4 无线局域网的组建应用
本文以组建一个家庭无线局域网的应用为例,需要设备是无线路由器和无线网卡。
4.1无线路由器的配置
无线路由器配置之前,要做好以下三点准备工作,第一是将无线路由器与PC用网线连接起来,网线的一端接到无线路由器的LAN口上,另一端接到计算机网卡口。第二是弄清楚两个参数,一个是无线路由器的登录IP地址,另一个是登录无线路由器的用户名和密码,可在路由器上附带的说明书中找到,一般情况下无线路由器默认登录IP地址是192.168.1.1 或者192.168.0.1,登录用户名和密码都是admin。第三设置PC的IP地址与无线路由器的管理IP在同一网段,子网掩码用系统默认的即可,网关无须设置。
目前多是通过WEB方式进行路由器的设置,打开浏览器,在址栏输入无线路由器的管理IP,如192.168.1.1 ,桌面会弹出一个登录界面,输入正确用户名和口令后,即进入无线路由器配置界面,这时系统会自动弹出一个“设置向导”。在“设置向导”中,系统只提供WAN口的设置,只需要基本配置的用户可在向导的提示下操作完成路由器的配置。
这里建议用户不要理会“设置向导”,直接进入“网络参数设置”选项,最好对LAN口、WAN口两个接口的参数设置;很多用户只对WAN口进行了设置,LAN口的设置保持无线路由器的默认状态;这样无线路由器成了一个公开的网络接入点,其他用户都可以共享,这种情况之下,用户的网络速度会受到极大的影响。为了无线路由器的安全,用户必须清除无线路由器的默认LAN设置。 例如有一无线路由器,默认LAN口地址是192.168.1.1,为了防止他人入侵,可以把LAN地址更改成为192.168.1.254,子网掩码不做任何更改。LAN口地址设置完毕之后,点击“保存”后会弹出重新启动的对话框。
WAN口网络参数设置:对WAN口进行配置之前,先要搞清楚自己的宽带属于哪种接入类型(固定IP、动态IP,PPPo E虚拟拨号,PPTP,L2TP等)。根据自身情况进行选择,本文用的家庭ADSL虚拟拨号(PPPo E)拔号方式为例,因此WAN口连接类型选择“PPPo E虚拟拨号”,点击“下一步”,输入已经获得的帐户名和密码,如不知道,可与当地的IP服务商联系。点击“下一步”,进入无线设置界面,路由器默认为无线打开,如果此设置界面的无线功能没有打开,选择打开;此时可以设置自己的无线用户名和密码,SSID框输入自己的用户名,PSK是设置无线网络密码的地方,点击“下一步”,即可完成路由器设置。
4.2无线网卡设置
无论是哪种无线网卡,首先正确安装驱动程序,通过控制面板,打开“无线网络连接”,右键选择属性,在选择“配置”,将“AD Hoc信道”的值选择6,这个值应与路由器无线设置频段的值一致,点击“确定”。一般情况下,无线网卡的频段不需要设置的,但当无线路由设置好后,无线网卡无法搜索到无线网络信号,一般多是频段设置不正确,请按上面设置正确的频段即可。
4.3路由器串联
路由器单独使用时,仅仅需要将路由器与网线连接,并设置密码账号。但在某些时候,需要把路由串联起来使用,这时则需要以下步骤的设置才可以正常使用。首先把路由器的LAN端接口通过网线接入电脑,WAN不接线(很重要);然后登入路由器(具体按以上方法);再将路由器的WAN端设为192.168.x.1(x代表任意少于225 的数字,目的是不跟其他路由IP冲突,x不要跟其他路由器的x相同);最后插入wan端的外线,可以正常上网了。
摘要:该文对无线网络的概念及特点进行了介绍,重点针对无线局域网的协议标准、无线局域网接入设备进行了详细阐述,最后结合实际应用,对局域网组建中常用用到的无线路由器和无线网卡的配置做了操作性的讲解描述,便于一般用户能掌握无线局域网的应用。随着计算机通信技术的不断发展,“网络”一词以为大家所熟悉,将多台计算机连接起来,数据交换快捷方便,能够极大地提高工作效率;目前伴随着网络技术的广泛应用,互联网宽带的发展以及移动设备的普及,无线网络应运而生,网络分为了有线网络和无线网络。现在无线路由器已经成为许多家庭的基本配置之一。
关键词:无线网络,无线网络技术,WLAN无线AP
参考文献
[1]朱晓荣.无线网络技术原理与应用[M].北京:电子工业出版社,2008:86-119.
[2]张振川.无线局域网技术与协议[M].沈阳:东北大学出版社,2003:51-168.
无线局域网安全技术研究 篇7
关键词:WLAN,802.11,标准,安全机制
随着Internet的发展和以快捷方便、组网灵活为特点的无线网络技术的普及, 无线网络的安全问题越来越受到人们的关注。无线局域网的安全最大问题是在于传输信道采用公用的电磁波作为载体在自由空间中进行传输, 而不像有线网络那样是在一定的物理电缆上进行传输, 因此无法对传输媒介的控制来保证数据会被未经授权的用户窃取[1]。所以, 无线网络面临一系列问题, 而许多问题在有线网络中并不存在。
1、无线网络安全面临的问题
无线局域网采用公共的电磁波作为载体, 电磁波能够穿过天花板、玻璃、楼层等物体, 因此在一个无线局域网接入点 (Access Point) 所服务的区域中, 任何一个无线客户端都可以接受到此接入点的电磁波信号, 这样就可能包括一些非法用户也能接收到其他无线数据信号。这样非法用户在无线局域网中相对于在有线局域网当中, 去窃听或干扰信息就来得容易得多。
WLAN所面临的安全威胁主要有以下几类:
1.1 窃听报文
通常, 大多数网络通信都是以明文 (非加密) 格式出现的, 攻击者使用报文获取设备, 从传输的数据流中获取数据并进行分析, 以获取用户名/口令或者是敏感的数据信息。因而这类攻击是企业管理员面临的最大安全问题。如果没有基于加密的强有力的安全服务, 数据就很容易在空气中传输时被非法用户读取并利用。
1.2 AP中间人欺骗
在没有足够的安全防范措施的情况下, 是很容易受到利用非法AP进行的中间人欺骗攻击。解决这种攻击的通常做法是采用双向认证方法 (即网络认证用户, 同时用户也认证网络) 。
1.3 WEP破解
在Internet上有一些程序能够捕捉位于AP信号覆盖区域内的数据包, 收集到足够的WEP密钥加密的包, 并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量, 以及由于802.11帧冲突引起的IV重发数量, 最快可以在两个小时内攻破WEP密钥。
1.4 MAC地址欺骗
在无线局域网中即使AP起用了MAC地址过滤, 使未授权的黑客的无线网卡不能连接AP, 但这不意味着能阻止黑客进行无线信号侦听。通过某些软件分析截获的数据, 能够获得AP允许通信的STA MAC地址, 这样黑客就能利用MAC地址伪装等手段入侵网络。
2、无线网络安全的基本技术
2.1 访问控制
利用ESSID、MAC限制, 防止非法无线设备入侵。其主要利用ESSID的认证和MAC地址一一对应性来限制非法用户访问, 起到了在网络入口处把关的作用[2]。其原理利用IEEE802.11协议。在IEEE802.11b协议中包含了一些基本的安全措施, 包括:无线网络设备的服务区域认证ID (ESSID) 、MAC地址访问控制以及WEP加密等技术。
(1) IEEE802.11b利用设置无线终端访问的ESSID来限制非法接入。在每一个AP内都会设置一个服务区域认证ID, 每当无线终端设备要连上AP时, AP会检查其ESSID是否与自己的ID一致, 只有当AP和无线终端的ESSID相匹配时, AP才接受无线终端的访问并提供网络服务, 否则拒绝给予接通服务。利用ESSID, 可以很好地进行用户群体分组, 避免任意漫游带来的安全和访问性能的问题。
(2) 另一种限制访问的方法就是限制接入终端的MAC地址以确保只有经过注册的设备才可以接入无线网络。由于每一块无线网卡拥有唯一的MAC地址, 在AP内部可以建立一张"MAC地址控制表" (Access Control) , 只有在表中列出的MAC才是合法可以连接的无线网卡, 否则将会被拒绝连接。MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。
以上两种安全措施适用于组建小型无线局域网。使用上述方法组建网络简单、快捷, 网络管理员只需要通过简单的配置就可以完成访问权限的设置, 十分经济有效。
2.2 数据加密
数据加密是基于WEP的安全解决方案。可以通过WEP Wired Equivalent Privacy) 协议来进行[3]。WEP是IEEE802.11b协议中最基本的无线安全加密措施。WEP是所有经过Wi Fi-TM认证的无线局域网络产品所支持的一项标准功能, 由国际电子与电气工程师协会 (IEEE) 制定, 其主要用来:
(1) 提供接入控制, 防止未授权用户访问网络。
(2) WEP加密算法对数据进行加密, 防止数据被攻击者窃听;防止数据被攻击者中途恶意更改。
(3) WEP加密采用静态的保密密钥, 各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能, 当加密机制功能启用, 客户端要尝试连接上AP时, AP会发出一个Challenge Packet给客户端, 客户端再利用共享密钥将此值加密后送回存取点以进行认证对比, 如果正确无误, 才能获准存取网络的资源。Above Cable所有型号的AP都支持64位或 (与) 128位的静态WEP加密, 有效地防止数据被窃听盗用。
由于WEP密钥必须通过人工手动设置, 因此Above Cable建议在无线覆盖范围不是很大, 终端用户数量不是很多, 且对安全要求不是很高的应用环境下使用。该技术是最经济且方便的。
无线安全基本技术特别适合一些小型企业、家庭用户等无线网络应用, 无需额外的设备支出, 配置方便, 且安全防护性好从终端的访问控制到数据链路中的数据加密都提供了了有效的解决方案。有了这些技术, 用户可以快速地建立起一个安全的无线网络环境, 即节约了成本又可达到预计的安全目标, 使无线网络的使用价值大大提高。
3、WLAN安全的增强性技术
为了提高无线局域网的安全性, 必须引入更加安全的认证机制、加密机制以及控制机制。
3.1 虚拟专用网络 (VPN)
目前已广泛应用于广域网络及远程接入等领域的VPN (Virtual Private Networking) 安全技术也可用于无线局域网。与IEEE802.11b标准所采用的安全技术不同, VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户, 将现有的VPN安全技术与IEEE802.11b安全技术结合起来, 是目前较为理想的无线局域网络的安全解决方案之一。与WEP机制和MAC地址过滤接入不同, VPN方案具有较强的扩充、升级性能, 可应用于大规模的无线网络。
3.2 802.1x扩展认证协议
IEEE 802.1x使用标准安全协议 (如RADIUS) 提供集中的用户标识、身份验证、动态密钥管理[4]。基于802.1x认证体系结构, 其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。IEEE 802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理, 可将无线网络安全风险减小到最低程度。在此执行下, 作为RADIUS客户端配置的无线接入点将连接请求发送到中央RADIUS服务器。中央RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求, 根据所选身份验证方法, 该客户端获得身份验证, 并且为会话生成唯一密钥。然后, 客户机与AP激活WEP, 利用密钥进行通信。
为了进一步提高安全性, IEEE 802.1x扩展认证协议采用了WEP2算法, 即将启动源密钥由64位提升为128位。
移动节点可被要求周期性地重新认证以保持一定的安全级。
3.3 WPA保护机制
Wi-Fi Protected Access (WPA, Wi-Fi保护访问) 是Wi-Fi联盟提出的一种新的安全方式, 以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制, 方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验三个部分组成。
(1) 认证
WPA要求用户必须提供某种形式的证据来证明它是合法用户, 才能拥有对某些网络资源的访问权, 并且这是是强制性的。WPA的认证分为两种:第一种采用802.1x+EAP (Extensible Authentication Protocol) 的方式, 用户提供认证所需的凭证, 如用户名密码, 通过特定的用户认证服务器来实现。另一种为WPA预共享密钥方式, 要求在每个无线局域网节点 (AP、STA等) 预先输入一个密钥, 只要密钥吻合就可以获得无线局域网的访问权。
(2) 加密
WPA采用TKIP (Temporal Key Integrity Protocol, 临时密钥完整性协议) 为加密引入了新的机制, 它使用一种密钥构架和管理方法, 通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增加到128位等方法增强安全性[5]。而且, TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后, 使用802.1x产生一个唯一的主密钥处理会话。然后, TKIP把这个密钥通过安全通道分发到AP和客户端, 并建立起一个密钥构架和管理系统, 使用主密钥为用户会话动态产生一个唯一的数据加密密钥, 来加密每一个无线通讯数据报文。
(3) 消息完整性校验
除了保留802.11的CRC校验外, WPA为每个数据分组又增加了一个8个字节的消息完整性校验值, 以防止攻击者截获、篡改及重发数据报文。
4、结束语
无线网络安全是一个不断改善和升级的过程, 当前WLAN所使用的主要安全机制包括SSID、物理地址 (MAC) 过滤、有线对等保密机制 (WEP) 都已经在实际使用中显露出弊端。将802.1x端口控制技术、EAP认证机制和AES加密算法相结合, 可以使WLAN安全性能得到较大提高。随着无线技术迅猛发展, 无线通信安全尚待进一步发展和完善, 将用户的认证和传输数据的加密等多种措施结合起来, 才能构筑安全的无线局域网。
参考文献
[1].蒋先华.校园网络组建与应用[M].北京:科学出版社, 2003.
[2].孙锐.信息安全原理及应用[M].北京:清华大学出版社, 2003.
[3].潘爱民.计算机网络[M].北京:清华大学出版社, 2004.
[4].王群.无线局域网[M].北京:人民邮电出版社, 2001.
局域网与网络安全技术 篇8
1 交换机的作用
交换机最重要的作用就是转发数据, 在黑客攻击和病毒侵扰下, 交换机要能够继续保持其高效的数据转发速率, 不受到攻击的干扰, 是交换机所需要的最基本的安全功能。同时, 交换机作为整个网络的核心, 应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是, 交换机还应该配合其他网络安全设备, 对非授权访问和网络攻击进行监控和阻止。
2 交换机技术增强局域网网络安全策略
2.1 划分虚拟局域网VLAN
2.1.1 VLAN概念
虚拟局域网 (VLAN) 是一组逻辑上的设备和用户, 这些设备和用户并不受物理位置的限制, 可以根据功能、部门及应用等因素将它们组织起来, 相互之间的通信就好像它们在同一个网段中一样, 由此得名虚拟局域网。VLAN是一种比较新的技术, 工作在OSI参考模型的第2层和第3层, 一个VLAN就是一个广播域, VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较, VLAN技术更加灵活。
2.1.2 VLAN划分方法
VLAN的划分可依据不同原则, 主要有3种划分方法:
基于端口的划分:此种方法是利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。以交换机端口来划分网络成员, 其配置过程简单明了。从目前来看, 这种根据端口来划分VLAN的方式仍然是最常用的一种方式。
基于MAC地址划分:这种划分VLAN的方法是根据每个主机的MAC地址来划分, 即对每个MAC地址的主机配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时, 即从一个交换机换到其他的交换机时, VLAN不用重新配置。
基于网络层划分:此种划分VLAN的方法是根据每个主机的网络层地址或协议类型划分的, 虽然这种划分方法是根据网络地址, 比如IP地址, 但它不是路由, 与网络层的路由毫无关系。
2.1.3 VLAN的作用
VLAN是为解决以太网的广播问题和安全性而提出的, 它在以太网帧的基础上增加了VLAN头, 用VLAN ID把用户划分为更小的工作组, 限制不同工作组间的用户二层互访, 每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围, 并能够形成虚拟工作组, 动态管理网络。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中, 即使是两台计算机有着同样的网段, 但是它们却没有相同的VLAN号, 它们各自的广播流也不会相互转发, 从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN隔离了广播风暴, 同时也隔离了各个不同的VLAN之间的通讯, 所以不同的VLAN之间的通讯是需要有路由来完成的。
2.2 802.1x加强安全认证
在传统的局域网环境中, 只要有物理的连接端口, 未经授权的网络设备就可以接入局域网, 或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样就造成了局域网内潜在的安全威胁。IEEE 802.1x正是解决这个问题的良药, 目前已经被集成到二层智能交换机中, 完成对用户的接入安全审核。
802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性, 实现了LAN端口上的设备认证。在认证过程中, LAN端口要么充当认证者, 要么扮演请求者。在作为认证者时, LAN端口在需要用户通过该端口接入相应的服务之前, 首先进行认证, 如若认证失败则不允许接入;在作为请求者时, LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃, 从而确保最大限度的安全性。802.1X允许访问端口的动态配置并在端口级别实施共同的安全策略, 一个802.1Xsupplicant (恳请者) 代表了一个需要从网络系统获得服务的用户或设备。它需要通过网络接入设备向认证服务器请求对其认证。802.1X还能提供多级别的用户访问控制, 这使之成为网络安全的第一要素。由于其对逻辑网络的覆盖以及对网络安全性的推动, 802.1X有助于减少整体风险, 提升价值以及提升削减业务运营成本。依赖于访问控制的公司安全战略必须包括802.1X。
2.3 利用Net Flow应用程序增强网络安全性
局域网一旦遭到大规模分布式拒绝服务攻击, 会影响大量用户的正常网络使用, 严重的甚至造成网络瘫痪, 会给企业带来一定的损失, 如何检测网络中的异常行为和可疑行为, 例如, 传播中的蠕虫或Do S攻击。交换机在网络中总是“星罗棋布”, 因而可以方便地利用他们来探测拒绝服务攻击, 甚至蠕虫病毒, 不失为是一种好方法。在Cisco路由器以及某些高端交换机上使用Net Flow, 通过Cisco Net Flow Collector (NFC) 采集Net Flow数据, 对异常流量的种类、流向、产生后果、数据包类型、地址、端口等多个方面进行分析。
一个Netflow系统包括三个主要部分:探测器, 采集器, 报告系统。探测器是用来监听网络数据的。采集器是用来收集探测器传来的数据的。报告系统是用来从采集器收集到的数据产生易读的报告的。Netflow常与流量监控管理软件联合使用, 通过流量大小变化的监控, 可以帮助我们发现异常流量, 特别是大流量异常流量的流向, 从而进一步查找异常流量的源、目的地址, 及时处理异常问题。
2.4 访问控制列表
访问控制是网络安全防范和保护的主要策略, 它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广, 包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。采用了访问控制列表ACL来实现包过滤防火墙的安全功能, 增强安全防范能力。访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或MAC地址来实现。
ACL不但可以让网络管理者用来制定网络策略, 针对个别用户或特定的数据流进行允许或者拒绝的控制, 也可以用来加强网络的安全屏蔽, 让黑客找不到网络中的特定主机进行探测, 从而无法发动攻击。
2.5 交换机端口安全
最常用的端口安全就是根据MAC地址来做对网络流量的控制和管理, 即MAC地址与交换机端口绑定。MAC地址与端口绑定后, 当发现主机的MAC地址与交换机上指定的MAC地址不同时, 交换机相应的端口将down掉。当给端口指定MAC地址时, 端口模式必须为access或者Trunk状态。也可以通过MAC地址来限制端口流量, 此配置允许一TRUNK口最多通过100个MAC地址, 超过100时, 但来自新的主机的数据帧将丢失。通过MAC地址绑定在一定程度上可保证内网安全。
3 结束语
交换机在现代信息社会中以其优越的性能, 在网络中扮演重要的角色, 各种不同型号的交换机功能不尽相同, 如何利用交换机相关协议、特性、功能来增加局域网网络安全应根据各单位具体情况进行规划。该文就作者经验对交换机增强局域网网络安全进行了探讨, 当然, 局域网的安全不仅依靠交换机, 还要依靠其他网络设备及软件的配合。
摘要:随着信息技术的发展, 信息资源的保密性和完整性越来越受到人们的重视, 传统的防火墙用于阻止外网计算机对内部网络的恶意攻击已无法确保网络的安全性。综上, 作为整个网络核心所在的交换机, 理所当然地承担起网络安全的一部分责任, 该文就基于交换机技术增强局域网网络安全策略方面进行了阐述。
关键词:交换机技术,局域网,网络安全
参考文献
[1]孟莉.基于交换机技术构建局域网的安全策略[J].网络安全技术与应用, 2011 (6) .
[2]维恩克, 培根.局域网交换机安全[M].孙余强, 孙剑, 译.北京:人民邮电出版社, 2011.
[3]巴正喜.基于交换机技术及防病毒系统的局域网安全策略[J].福建电脑, 2011 (6) :90-91.
[4]吴江, 陈万, 杨明, 等.浅析黑客对局域网攻防策略[J].电脑知识与技术, 2011 (6) .
无线局域网的安全技术分析 篇9
关键词:无线局域网,安全技术,措施
1无线局域网的发展现状及技术问题
以往的有线局域网在特定的场合会受到很大的限制, 如布线以及改线, 且设计的工程量相当大, 线路容易受到人为损坏, 以及网络中的节点不能够轻易移动。无线局域网 (WLAN) 就是在这种情况下应运而生的, 主要为了解决有限局域网的各种技术缺陷。无线局域网能够在无线技术的支持下快速连入以太网, 不需要特别布线, 也可以不用受到布线的限制, 十分适合用于移动办公客户, 发展的市场前景非常广阔。主要应用的领域有医疗保健行业、库存管理与控制等特殊的行业领域, 近几年已经逐渐普及到家庭网络和相关教育机构。
无线局域网主要利用的载体是电磁波, 它能够穿过天花板、楼板、玻璃、强等阻隔物体, 在任何一个无线局域网覆盖的服务范围内, 用户都能接收到电磁波, 并实现自由上网。所以, 没有经过授权的客户端用户也能够接收到这种电磁波信号, 很容易实现对无线局域网的干扰以及窃听。因此, 加强无线局域网的安全技术问题就显得尤为重要。
事实上, 无线局域网的应用比普通的有线局域网在安全性上来的更高, 在第二次世界大战的时候, 无线局域网就被应用于军方的信号传输。目前世界上主要使用的无线局域网产品参考IEEE国际标准, 绝大多数产品都使用DSSS通讯技术来传输信号数据, 这项技术能够信号在无线传输的途中以外丢失或者干扰破坏等问题。无线局域网的技术安全保障主要来自于三项特定技术:第一种是SSID技术, 它能够将无线局域网划分成不同身份的子网络, 每一个子网络都有不同的身份验证, 用户只有通过了身份验证才能够连入该项子网络;第二项是MAC技术, 此技术能够在无线局域网的每个接入点上设置一个特定的用户地址清单, 对于MAC地址无法通过的用户, 则会被拒绝连入网络;第三种是WEP技术, 即一种加密技术, 由于无线局域网的信号传播主要依靠电磁波, 电磁波泄露就会增加被窃听的风险, 运用加密技术能够降低此项风险。
2无线局域网的安全技术发展
2.1防止未授权客户端接入
无线局域网应该使用各种科学化的身份验证手段, 防止没有经过授权的用户随意接入网络。由于无线的电磁波信号能够在空气中进行传播, 信号很可能会在非预定的范围内传播自如, 在较大范围的信号范围之内, 一些非法的客户端不需要任何线路连接就能无线网络的信号数据。因此, 必须要加强阻止非法入侵的客户端, 防止网络数据信号的泄露。
2.2利用MAC地址清单
每个无线局域网的网卡都有一个特定的MAC地址, 这个地址是唯一不变的, 保证只有注册过的客户才能够连入该局域网。采用802.1x的端口认证方式进行客户身份验证, 并结合后台运行的认证服务设备, 对所有连入用户的身份进行精确认证, 将非法入侵者拒绝在网络门槛之外, 保证数据信息的安全性。
2.3利用加密技术, 拦截非法用户
利用WEP的加密来阻止非法用户进行拦截或窃听无线局域网络中的数据信号。WEP是世界标准网络协议, 能够通过对传输过程的信号进行加密提供网络保护, 经过简单便利的安装和启用便可以设置密钥, 达到保护的目的。
2.4防止非法AP接入
把无线的AP接入到有限的集线器时, 可能会遭遇到来自非法AP的入侵和攻击。这些非法的AP会扰乱网络的正常秩序, 浪费宝贵的资源, 只有加强对每个AP的合法验证, 才能保证无线局域网的安全技术问题。AP支持的互联网技术将客户主机与局域网络互相连接起来, 并进行相互的验证。在此过程中, 不仅仅是AP要被确认合法性, 无限的终端数据也要认证该AP是否真实, 只有验证通过之后才能继续访问。这种双向验证的手段可以在极大程度上防止非法的AP入侵。对于一些不支持特定端口的AP, 需要进一步通过周期性的站点审核。赶在非法入侵的AP进入网络之前, 利用接收天线寻找未经授权的用户, 使用物理监测系统发现未授权站点的所在, 并选用小型的检测设备进行扫描, 确定网络各个角落的非法入侵AP。
2.5限制非授权跨部门联网
ESSID技术是一项可以进行部门分组的安全保障技术, 有够在极大程度上避免任意连接带来的安全风险。使用MAC地址设置能够有效控制各个连接入网的部门AP终端, 防止未经授权的非法用户跨部门连入无线局域网, 避免泄露数据的同时能够保护网络资源。此外, 利用特定的检测器和分析设备能够监测无线局域网的各项数据流情况, 一旦发现未经授权的端口, 就能阻止该客户端非法入侵。
以上就是主要的无线局域网安全技术保障措施。由于网络安全在现今社会的地位越来越重要, 加强安全保障措施也显得意义非凡。绝大部分的局域网络都必须配备有一定的安全保障措施。相对于有限网络来说, 无线网路在安全性能方面要高出一截。但是值得关注的一点是:无线局域网并不能完全替代有限局域网, 智能是对有限局域网的提高与弥补, 使用无线局域网并不代表最终我们将消灭所有的有限设备和有限网络, 主要目的还是减少布线和断线发生的概率, 使得有限网络与无线网络能够和睦相处, 共同取得进步。
参考文献
无线局域网络技术浅析 篇10
【关键词】无线局域网(WiFi)技术;IEEE802.11标准;网络安全
根据摩尔定律:当价格不变时,集成电路上可容纳的元器件的数目,约每隔18~24个月便会增加一倍,性能也将提升一倍,我们身边的电子设备在飞速的发展着。从最早的大哥大,到小巧的彩屏手机,到现在的平板电脑、智能手机。这些电子设备都离不开网络。可是我们又不能把粗大的RJ45接口做到这些电子设备里,还要让它们能访问internet,这就应运而生了无线局域网(WiFi)技术。
无线局域网(WiFi)技术是一种全新的通过无线网络协议组网的网络技术。它摒弃掉了传统网络必须依赖的网线,你可以在单位、家里或这种公共场所随时随地、随心所欲的使用无线终端通过无线局域网(WiFi)技术畅游网络。
无线局域网(WiFi)技术基于IEEE802.11标准。
IEEE802.11a:工作频率5GHz,最大传输速率54Mbps,不能与802.11b兼容。
IEEE 802.11b:工作频率2.4GHz,最大传输速率 11Mbps。
IEEE802.11g:工作频率2.4GHz最大传输速率108Mbps,能够兼容802.11b。
SSID ,简单的来理解SSID就是一个网络的标识,用于区分不同的无线局域网。在无线路由器上,一般可以控制SSID的广播。当路由器关闭了SSID广播,在终端的就无法通过搜索来找到这个无线局域网,必须通过手动添加SSID,来加入无线局域网。这样的好处是增加了无线局域网的安全性,弊端就是牺牲了部分便利性。
简单的家庭无线WLAN:家里组建无线局域网最实用的例子,一台无线路由器作为网络防火钱,简单路由器,交换机及无线终端接入设备。
网络防火墙可以简单的阻断外界的攻击。它可以通过设置局域网中可以执行WEB操作的计算机MAC地址,来控制那台内网计算机可以操作这台路由器,也可以设置远程WEB管理IP地址,来实现局域网外计算机的操作控制。
静态ARP绑定设置,可以把某一个IP地址通过ARP绑定固定分配给一个MAC地址,这样这个IP地址就不会在DHCP中分配给其它机器,如果家里又网络打印机的话,就应该用这一功能把某一个IP地址固定分配给打印机。
IP带宽控制功能,可以限制某一个IP地址的上行带宽和下行带宽。当局域网中某一台机器流量过大时,可以应用此功能限制带宽,以免影响局域网内其它机器。
上网控制功能。这是一个非常实用的功能,通过规则的建立管理,可以控制局域网内哪些机器可以上网,在什么时段上网。严格控制了终端的网络访问。
开启WDS功能,家用无线路由器中的WDS功能,就是简单的通过WDS把路由器之间进行桥接(中继)。通过这一功能我们可以把无线覆盖范围扩展到原来的一倍。WDS工作模式可以为点对点、点对多点等。每个家庭都多多少少有几道墙,这就会大大的减弱无线路由器的信号,最好的解决办法就是通过WDS多设置几台路由器,一起工作。解决信号不足的问题,达到增强信号强度的目的。
无线局域网的接入方式:
根据具体应用不同,无线局域网采用的拓扑方式有网桥型、终端节点连接型、交换机接入型、无中心型结构。
主要应用的协议有:
DHCP协议。
动态主机分配协议(DHCP),使用UDP协议工作,主要功能是能够为内部计算机自动分配IP地址,而无需手动分配,减少网络接入时间,增加了网络接入的便利性。能够为网络管理员提供便利的终端控制手段。一般建议用默认的地址池即可,无须重新设置。有效的控制IP地址冲突。
保障无线局域网安全的几点措施:
1.高强度的密码。
一个高强度的密码,会增加暴力破解的难度、延长暴力破解的时间。这个密码需要包括字母的大小写、数字、特殊符号。密码至少要求十位。一个一位的密码,如果是数字的话,10次就能破解,如果加入小写字母的话,36次就可以破解,在加入大写字母,62次才可以破解,如果在加入特殊符号,密码在变为10为,破解难度会成几何数量级增加。
2.SSID。
刚才说到的SSID广播。很多的初级破解技术,都是通过扫描SSID来寻找系统漏洞。虽然隐藏了SSID 不是什么真正的网络安全手段,但是也可以减少外界的威胁。
SSID的命名,不要用默认的无线网络名字,WPA2加密技术把SSID作为密码的一部分来使用。如果不对其进行修改,那么黑客就会利用这一漏洞加快无线局域网的密码破解速度。
3.采用WPA2加密方式。
旧的WEP加密方式,破解难度太低,对破解设备也没有特殊要求,加单的web插件就可以破解。WPA2是目前比较安全的加密方式,对破解要求非常高,难度大。建议采用这种加密方式。
4.MAC地址访问控制。
在底层限制了能够访问这台路由器的计算机MAC地址,路由器不会处理MAC地址池外的数据,大大的增加的无线局域网的完全性。
5.网络不用时关闭网络。
如果网络不需要7*24工作,就可以在不用的时候关闭它。找不到、看不见就无法攻击它,也就是最安全的。
6.终端安全。
确保终端设备的安全,关闭不必要的服务,及时安装系统补丁,开启windows防火墙。即使网络被攻破,也不会丢失终端数据。
7.定时定期的更改网络密码。
一个定时定期更改的高强度密码对于无线局域网络来说至关重要。
故障问题分析:
1.无线客户端接收不到信号。
检测无线终端与无线路由器之间距离是否太远,中间是否有墙体遮挡。检测无线信号强度。必要时增加桥接无线路由器,增强无线信号。检测无线路由器是否加电,工作状态灯是否正常。无线客户端是否正常设置IP地址。如果设置了MAC地址过滤,请检测终端设备的MAC地址是否在路由器的MAC地址池内。
2.无线终端能够正常接收信号但无法接入无线局域网。
检测无线路由器的DHCP服务是否工作正常。DHCP的地址池是否用完。无线终端是否是自动获取IP地址方式。如果是手动分配方式,请检测手动分配的地址是否与路由器同一网段。
3.无线局域网内部访问正常,但无法访问因特网。
无线局域网的安全技术浅析 篇11
关键词:无线局域网,局域网,信息安全
1 无线局域网的概念
随着全球通信技术的飞速发展, 人们对网络通信的需求越来越大, 要求越来越高。相对电缆、铜绞线、光纤等传统有线方式而言, 无线局域网是一种全新的组网方式, 是一种利用无线信道作为传输媒介的计算机局域网络, 它不需要通过具体的可接触到的传输介质, 凡是有无线网络的地方, 都可以在其覆盖范围内上网。
2 无线局域网的特点
无线局域网主要有以下特点:
安装比较方便, 通过有限的接入点以及线路就可以布置出一个局域网;
不受环境的限制, 虽然传输环境会给传输带来些许影响, 但是仍然不影响正常使用;
无线局域网利用率高, 比较经济, 使用有限的花销就可以完成改造;
不受集线器、中继器等设备以及布线问题的限制, 可以容许多个用户同时进行联网, 容量比较大;
用户可以根据不同的需求配置不同需求的局域网, 可以提供多种有线网络无法提供的便捷;
因为无线局域网络是通过无线信道作为传输媒介的, 网络传输的范围十分广泛, 可以进行大范围传输, 所以无线局域网用户可以用自己的终端随时随地上网。
3 无线局域网的安全问题以及改进目标
随着网络的不断发展, 用户对网络安全的要求越来越高, 关于无线局域网的安全问题已经受到了广泛的关注。无线局域网存在的安全问题主要有:
因为无线局域网是通过无线信道作为传输媒介的, 所以很容易被恶意窃听;
用户在与网络连接时不一定需要进行具体的操作, 很多网络可以自动接入, 所以被攻击的风险比较大;
无线网络是通过基站发射的无线电波来实现传播的, 在受到电磁波辐射或者其他因素影响的时候, 很可能导致信息丢失。
针对无线局域网络的改进措施, 应该主要考虑以下几点:
数据能被正确的用户准确的读取, 这通常需要一个比较好的数据加密措施来保障。拥有秘钥的用户在接收到信息的时候可以通过秘钥翻译出密文, 从而获得所需的信息。这种通过秘钥来实现网络安全的措施可移植性比较高, 可以应用于多种无线网络标准中;
无线局域网在进行传输时如果受到恶意攻击或者篡改, 就很容易出现数据丢失的现象, 所以在终端接收数据的时候应该采取信息认证等措施, 以保障数据的, 完整准确性, 在进行信息认证的同时还要保障数据接收的效率。要同时保障数据的机密性以及完整性, 可以构建一个比较健全的秘钥管理系统, 设计一个动态的密钥机制, 尽量避免密钥的重复性, 然后尽可能减少密钥的通讯量, 提高密钥的管理效力。
4 分析具体安全隐患并提出改进方案
我们知道, 在无线局域网的物理安全中已经有了很多有价值的措施。譬如:扩频技术、跳频技术、SSID访问控制、访问列表控制等技术都可以进一步加强无线局域网的安全, 但是这些措施本身却仍然存在着些许缺陷。
相对而言, SSID访问控制技术是一种比较低级的安全认证机制, 是以明文的形式进行传输的, 直接就将传输的信息公开了。从理论上来说, 介质访问层 (MAC) 的地址很容易获得, 所以很容易被伪造, 很难保障用户的信息安全。总之现有的物理安全措施很难确切的保障无线局域网的安全。
无线局域网络的安全保障既需要依靠局域网本身就具有的安全保障措施, 还需要借助一些专用的安全产品来实现, 还要有一套行之有效的专用安全管理规范和制度。
对于无线局域网中存在的物理安全问题, 我们主要通过以下几种途径来实现改进:
首先要确定无线局域网在整个网络中的用途, 根据其用途选择相应的安全策略, 从人员的分配以及各种设施的安排都要进行周密的计划;
可以充分利用无线局域网自身的优势做一些简单的设置, 进而实现无线局域网的安全保障。譬如我们可以更改出厂密码, 利用MAC的方式对终端进行验证;
最好取消终端设置的自动连接设置, 每一次连接无线局域网的时候都进行认证, 这样可以有效地避免手机、电脑等接入一些非法的无线网络中, 避免信息被窃取;
一定要采用防火墙进行安全隔离, 必要时还要对终端设备采用一些物理手段进行强力隔离, 避免内部网络出现安全隐患。
5 结语:
无线局域网作为一种利用基站发出的无线电波作为传输媒介的计算机局域网络, 有着很多传统网络传输方式无法媲美的优点。但是在传输过程中, 无线局域网也存在很多安全问题, 不过又有更多更先进的技术被提出来, 以改进这些安全缺陷, 为人们的网络安全提供坚实有力的屏障, 为人们提供更安全的网络环境。
参考文献
[1]陈群.无线局域网安全技术及选择策略[D].合肥工业大学, 2008.
[2]刘琦.无线局域网安全技术的分析与改进[D].中国人民解放军国防科学技术大学, 2002.
【局域网与网络安全技术】推荐阅读:
无线局域网安全技术10-08
局域网中网络监听技术06-21
无线局域网及安全技术08-21
无线局域网安全与防范05-08
局域网安全分析与策略09-07
中小型局域网的组建与维护基本网络方案按照网络的规模07-08
无线局域网技术06-10
无线局域网组建技术07-06
局域网故障排除技术08-02
局域网安全10-27