[精品]小型無線局域網(wǎng)的組建與安全策略應(yīng)用

1、無線局域網(wǎng)(w lan)技術(shù)是繼計算機、互聯(lián)網(wǎng)z后發(fā)展最為快速的技術(shù)z, a 前已經(jīng)在數(shù)據(jù)通信領(lǐng)域得到長足發(fā)展和廣泛應(yīng)用。無線局域網(wǎng)是無線網(wǎng)絡(luò)的基本組成單 元，無線網(wǎng)絡(luò)有著傳統(tǒng)的有線網(wǎng)絡(luò)無法比擬的優(yōu)點，如:可移動性強、安裝簡單、靈活 性高和擴展能力好等。無線局域m(w lan)傳輸數(shù)據(jù)采用的是無線電信號，因此可以不 受布線條 件的限制，非常適合移動辦公用戶的需要，具有較高的實用價值。作為對傳統(tǒng)有線網(wǎng)絡(luò) 的延仲，無線網(wǎng)絡(luò)在許多特殊環(huán)境中得到了廣泛的應(yīng)用。電影中經(jīng)常出現(xiàn)的在智能人廈 里任意地方移動辦公，隨時隨地下載資料的片斷，如今都已經(jīng)成為現(xiàn)實。隨著無線通信技術(shù)的i益成熟，無線局域網(wǎng)不再是高不可攀

2、的一種奢望，無線電波 正逐步仲入到t家萬八，小型無線局域網(wǎng)正慢慢地走向我們的生活。正是由于無線網(wǎng)絡(luò) 的應(yīng)用范圍逐步擴大，與之相關(guān)的無線局域網(wǎng)的組建、配置和女全策略等問題逐漸顯現(xiàn)。 1家用小型無線局域網(wǎng)的組建所謂的家庭局域網(wǎng)是指在某個家庭內(nèi)部有至少兩臺以上的計算機，包括pc和筆記 木，通過某種方式聯(lián)系起來，并能與互聯(lián)網(wǎng)相連。目前，計算機已經(jīng)成為家屮的一種普 通家用電器，有時為了工作或娛樂需耍，耍把兩臺以上的計算機互聯(lián)起來，這就形成了 家庭小型局域網(wǎng)。早期的家庭局域網(wǎng)就是傳統(tǒng)的有線網(wǎng)絡(luò)，所用的網(wǎng)絡(luò)設(shè)備也是傳統(tǒng)的 貓、集線器、交換機，各種網(wǎng)絡(luò)設(shè)備與計算機之問通過網(wǎng)線進行連接。這種傳統(tǒng)的有線 連接方式

3、，對于普通的家庭用戶而言有著諸多弊端。一方面是網(wǎng)絡(luò)的組建需耍專業(yè)人員 的輔助才能完成;另一方面是網(wǎng)線的鋪設(shè)和網(wǎng)絡(luò)設(shè)備的安放會影響家庭裝修或布局的美 觀。隨看無線局域網(wǎng)的問世，這些問題都得到了完美的解決。家用小型無線局域網(wǎng)即滿 足了用戶的聯(lián)網(wǎng)要 求，還解決了諸如網(wǎng)絡(luò)布線、組網(wǎng)、維護和影響家庭環(huán)境等許多問題。非專業(yè)人員組建 一個屬于自己的無線局域網(wǎng)不再是夢想，把辦公室搬回家的美好藍圖也已實現(xiàn)。l1無線設(shè)備的選擇無線局域網(wǎng)是在有線局域網(wǎng)的基礎(chǔ)上發(fā)展而來的，是一種通過無線網(wǎng)絡(luò)通訊設(shè)備進 行數(shù)據(jù)傳輸?shù)男滦途W(wǎng)絡(luò)，與傳統(tǒng)的有線局域網(wǎng)最大的區(qū)別就是傳輸介質(zhì)采用電磁波信號 在空屮輻射傳播。組建一個完善的無線局域

4、網(wǎng)通常需要用到的碩件設(shè)備有無線ap、無 線寬帶路由器和無線網(wǎng)卡等。無線網(wǎng)卡在有些筆記本電腦中已經(jīng)配備，所以就無需再考 慮。無線ap(access point)即無線接入點，包括單純型ap和擴展型ap。單純型ap相 當于一個無線hub,僅起到連接作用，不具備路由功能，其少傳統(tǒng)集線器唯一的區(qū)別就 是有無線連接作用。擴展型p在功能上有了很大拓展，增加了路由、數(shù)據(jù)交換、dh cp 服務(wù)等功能。無線寬帶路山ireless router)就是無線ap、寬帶路由器和交換機的結(jié)介體，是 -種帶有路由功能的無線ap,支持有線丿力線組成同一了網(wǎng)，能直接與m odem或小區(qū) lan相連，它主要用于家庭或小型辦公用戶

5、上網(wǎng)、組建局域網(wǎng)使用。日前市場上主流 的無線寬帶路由器都支持adsl,lan等常用接入方式，而a_還具有dh cp服務(wù)、防 火墻、ssid廣播、mac地址過濾等網(wǎng)絡(luò)管理功能。無線寬帶路由器借助于路曲功能， 可實現(xiàn)家庭無線網(wǎng)絡(luò)屮的h-temet連接共享，實現(xiàn)ad sl或小區(qū)寬帶的無線共享接入。 另外，大多數(shù)無線寬帶路由器都帶有一個4口交換機，通過這4個接口可以進行有線和無 線混接，把無線和有線連接的終端都分配到一個了網(wǎng)，這種連接方式尤其適用于時卜即 有筆記木又有臺式機的家庭用戶，因為筆記本已經(jīng)有了無線網(wǎng)卡可以通過無線路由器連 入網(wǎng)絡(luò)，而臺式機通過rj45接口用雙絞線與路由器的交換接口進行有線連接

6、。無線網(wǎng)卡也是組建無線局域網(wǎng)的必需設(shè)備之一，與普通網(wǎng)卡的區(qū)別在于它是通過無 線方式少無線ap取得聯(lián)系，進行數(shù)據(jù)接收、發(fā)送，從而組成無線局域網(wǎng)。目前主流的 無線網(wǎng)卡分為兩大類:一類是適用于臺式機的pc i,u sb接口類型的無線網(wǎng)卡，另一類是 面向筆記本的pcjuicia ,m in i pc i,m in i pc i e接口類型的無線網(wǎng)卡。其中u sb 類型的無線網(wǎng)卡以其體積小、重量輕、支持熱插拔、攜帶方便等優(yōu)勢成為大多數(shù)無線用 戶首選。l2組網(wǎng)方案選擇組網(wǎng)方案的選擇要根據(jù)用八的需求以及互聯(lián)網(wǎng)的接入方式來決定，另外還要考慮家 中屆室布局等。h前在家庭或小型辦公無線局域網(wǎng)中較為常用的組網(wǎng)結(jié)構(gòu)有

7、兩種，一種 是無屮心點組網(wǎng)結(jié)構(gòu)，主要是指ad- h oc結(jié)構(gòu);另一種是有屮心點組網(wǎng)結(jié)構(gòu)。ad-hoc結(jié)構(gòu)也稱為對等網(wǎng)絡(luò)，其組網(wǎng)方式相對簡單，只要電腦安裝了無線網(wǎng)卡, 彼此之問便可以進行互聯(lián)，無論多少臺都可以動態(tài)加入。這種結(jié)構(gòu)的網(wǎng)絡(luò)適用于小范圍 內(nèi)、臨時性的無線聯(lián)網(wǎng)要求，尤其是對于一些熱衷于網(wǎng)絡(luò)游戲的玩家更是一種方便、經(jīng) 濟的解決方案。冇屮心點組網(wǎng)結(jié)構(gòu)主要是指路由器丿力線ap+無線網(wǎng)卡的結(jié)構(gòu)，路中器丿力線ap就是 整個局域網(wǎng)的中心點所有的連接終端都是通過路由器歷線ap接入互聯(lián)網(wǎng)。這種結(jié)構(gòu)的 網(wǎng)絡(luò)有如下兒種接入方式:普通電話線撥號上網(wǎng)、adslmovl二寬帶接入、局域網(wǎng)+虛 擬撥號和以太網(wǎng)寬帶接入

8、方式，用戶可以根據(jù)白己的上網(wǎng)條件和需求而做出選擇。電話 撥號上網(wǎng)因為其傳輸率低、速度慢等原因作為 個歷史發(fā)展階段的過渡已經(jīng)漸漸退出了 互聯(lián)網(wǎng)舞臺。目前在一般家庭中所采用的是后三種主流接入方iol2 1 adslmo<l -寬帶接入型無線局域網(wǎng)adslmovl二接入方式是目前最為普及的寬帶接入方式，在這種方式卜組建一個 無線府線混合模式的局域網(wǎng)，只要在原來的adslmovl二和主機之問增加一個無線寬 帶路山器(無線ap)即可。其連接結(jié)構(gòu)如圖1所示。無線寬帶路山器作為網(wǎng)絡(luò)的“總管"， 不僅具冇數(shù)據(jù)交換、dh cp服務(wù)等功能，還具冇pppne虛擬撥號功能，直接在路山器 上進行配 置就

9、可以方便的連入互聯(lián)網(wǎng)，其一般配置如圖2所示。用戶只需要在這個界而中輸入網(wǎng) 絡(luò)運營商(isp)所提供的用戶名和密碼等信息即可。internetbbt冋卡的級豈adsl m(xlem寬帶接入型無線局域網(wǎng)pppul2人由« nrwavaa.1ew昔鉀1uacttue.甘 ispttm 2：手jiwiadwmtu<*mf乖 ii simrjivpoe虛擬撥號設(shè)置l 2 2虛擬撥號+局域網(wǎng)這種方式一般是指的通過小區(qū)局域網(wǎng)接入互聯(lián)網(wǎng)的上網(wǎng)類型，這種網(wǎng)絡(luò)的優(yōu)點是速度一般較快。在這種方式卜組建小型無線局域網(wǎng)其實相對簡單了 一些，只需要把局域網(wǎng)入戶的主網(wǎng)線接入無線寬帶 路由器即完成了破件連接，如

10、圖3所示由二通過 局域網(wǎng)要進行虛擬撥號才能獲得一個公有ip地址 而連入互聯(lián)網(wǎng)，所以在路由器配置時還是耍進行pppoe撥號虛擬設(shè)置，其配置與adsl寬帶接入型無線局域網(wǎng)的操作類似。internet(農(nóng)多4臺入intemel為每個用戶均呢備一個靜態(tài)指定或動態(tài)分配的私有ip地址。此種方式卜紐建 無線局域網(wǎng)時，用八可通過雙絞線將路由器的htemet接口與所提供的接入端口相連，然 后通過路由器配置程序設(shè)置好小區(qū)所分配的ip地址、網(wǎng)關(guān)以及dns后即可連入interneto 其實這種連接和“虛擬撥號+局域網(wǎng)”方式差不多，所以完全可以采用圖3所示的硬 件連接方式，只不過不再需要虛擬撥號。如果網(wǎng)絡(luò)ip是自動分配

11、的，這種接入方式的 過程就變得更為簡單了，一般情況f只需將internet接入端插入ap中，然后配置一下 無線路由器的安全設(shè)置即可。2小型無線局域網(wǎng)的安全策略無線局域網(wǎng)摒棄了傳統(tǒng)的雙絞線連接方式，采用開放式的電磁波信號進行輻射式的 數(shù)據(jù)傳輸。電磁波信號能夠穿透墻壁、家具、天花板和玻璃等阻擋物，只要該無線信號 能到達的地方，任何無線接收終端那能夠接收到信息，加入由該無線ap組成的wlano 所以，無線局域網(wǎng)在給人們帶來方便的同時，也帶來了無線局域網(wǎng)的安全問題。小型無線局域網(wǎng)的安全問題主要表現(xiàn)在兩個方面:一是未經(jīng)授權(quán)的非法接入用戶的 入侵訪問，甚至包括黑客借助無線安全漏洞進行的網(wǎng)絡(luò)攻擊，竊取用戶資

12、料和機密信息 等;二是由于無線開放狀態(tài)下，由非法接入終端帶來的病毒攻擊，嚴重時甚至造成網(wǎng)絡(luò) 堵塞導致wlan不能正常使用。為了保護wlan用戶的個人信息，保證wlan的正 常運行，wlan用戶必須采取必耍的安全技術(shù)策略。目前無線網(wǎng)絡(luò)的安全技術(shù)主耍體現(xiàn)在兩個 方面:一是w lan用戶的身份認證，采用一定的認證策略,只允許授權(quán)用戶接入w lan, 非法用八盡可能的拒之門外;另一方|何是進行數(shù)據(jù)加密，保證網(wǎng)絡(luò)中傳送的數(shù)據(jù)不被非 法用戶所接收和破解。作為小型無線局域網(wǎng)的用八，主要釆用的安全策略包括:禁用ss id廣播、啟用wep 保密協(xié)議、啟用mac地址過濾等。21禁用ss id廣播ssid( ser

13、vice set identifier)服務(wù)區(qū)標識符,相當丁- w lan的名稱,是無線ap進行 區(qū)域標識的一個最基本的安全策略。每個無線ap都有一個屬于自己的ss肚用來區(qū)分 不同的網(wǎng)絡(luò)，ss id最多可以有32個字符。ss id通常rh無線ap廣播出來，被處于無線 ap服務(wù)區(qū)域內(nèi)的無線接收終端掃描到，如果無線接收終端能夠止確提供該無線ap訪 問的密鑰 則能夠接入w lan止常上網(wǎng)。ss >d 一般是由無線ap 口動廣播出來的，出于安全考慮可以禁用ss>d廣播，這樣即 便有非法接入端處于無線ap的服務(wù)區(qū)內(nèi)也掃描不到該無線a只除非通過英它渠道獲得 了 ap的止確ss >d標識。

14、所以禁用ss>d廣播是wlan安全的第一道屏障。如果禁用了 ss>d廣播，授權(quán)用戶 在接入wlan時可以由用八手動設(shè)置ss皿輸入正確的標識符和密鑰則可以順利的進 入w lano 一般無線ap設(shè)備都有口己默認的ss皿這些名稱基本是以自己品牌的名稱 命名的，相對較為簡單，女u:3cvm的無線路由器默認ss>d是3c<m, linksys的無線路 山器默認ss>d是linksyso建議用戶在進行無線配置時把這些默認的名稱改成校復雜一 些的其它名稱，這樣不容易被非法用戶借助黑客軟件進行破解。22啟用wep保密協(xié)議wep(w fired equivalent privacy

15、)有線等效保密協(xié)議，是由 ieee 制定的 ieee 802 11 標準屮定義的種可選的無線加密方案，是最基本的無線安全加密措施，用丁在wlan中保護鏈路 層數(shù)據(jù)，防止非法用戶竊聽或侵入無線網(wǎng)絡(luò)。wep為使用無線協(xié)議的網(wǎng)絡(luò)通信提供數(shù) 據(jù)機密性、完整性和認證功能，其目的是要提供為有線網(wǎng)絡(luò)具有相同安全級別的防護。w ep采用r sa開發(fā)的rc4對稱加密算法，在鏈路層對數(shù)據(jù)進行加密。wep加密 采用靜態(tài)密鑰，加密和解密采用相同的密鑰和算法，各wlan終端使用相同的密鑰訪 問無線網(wǎng)絡(luò)。wep提供認證功能，當加密功能啟用，客戶端要連接無線ap時，ap會 發(fā)出一個challenge packet給客戶端，

16、客戶端再利用共享密鑰將此值加密后送冋存取點 進行認證。如 果正確無誤，才能獲準進入網(wǎng)絡(luò)?，F(xiàn)在wep最高提供128位密鑰，能提供更高等級的 安全加密。為了保證wlan用戶的數(shù)據(jù)安全，在組建無線局域網(wǎng)時建議啟用wep保密|辦議, 把安全模式設(shè)為“啟用wep無線安全”，然后在wep密鑰中輸入5位或13位的asii字 符(文本字符串)即密碼，系統(tǒng)會轉(zhuǎn)換成相應(yīng)的64位或128位十六進制數(shù)字進行w ep加 密。而獲得授權(quán)的wlan用戶在接入網(wǎng)絡(luò)時只需提供正確的5位或13位的文本字符串密 鑰 即可。23啟用mac地址過濾mac(m ediaaccess control)地址即網(wǎng)卡的物理地址，由48位二進制數(shù)

17、組成，其中前 24位表示廠商標識符，不同的廠商會有不同的標識，后24位表示序號，一般是依據(jù)各個 廠商的牛產(chǎn)順序而排列的。從這種編排機制可以看出，每個網(wǎng)卡的mac地址是絕對不 會重復的，所以每個網(wǎng)卡都會有一個與z相對應(yīng)的唯一標識d即mac地址。mac地 址在實 際運用中是以六個十六進制數(shù)來表示的，如:00 -e0 -4c 一(x)57 fso不論是lan還是wlan用八，只要終端接入網(wǎng)絡(luò)，它的網(wǎng)卡就會有一個護地址, 而每個護對應(yīng)都會有mac地址，護地址可能會隨時變化，但mac地址是相對穩(wěn)定的, 一般不會自動的發(fā)生變化。在wlan屮完全可以借助這一特性對所有使用或欲加入網(wǎng) 絡(luò)的用戶進行限制，即啟用

18、mac地址過濾。具體做法是將合法用戶的mac地址添加 到無線af允許訪問的列表中，這樣只有客戶機的mac地址與允許訪問地址列表中的 mac地址相匹配時，無線ap才允許其加入網(wǎng)絡(luò)。mac地址過濾類似于簡單的網(wǎng)絡(luò)防火墻，可以基本杜絕一般軟件的攻擊，相當于 給wlan加了一把安全鎖。mac地址過濾對wlan設(shè)備的耍求并不高，并目對網(wǎng) 絡(luò)性能沒有妊毫影響，配置也較為簡單，適合小型無線局域網(wǎng)和家庭網(wǎng)絡(luò)的使用。 2 4其它措施小型無線局域網(wǎng)除了以上三種常用的安全策略外，還有其它一些扌晉施，如修改無線 ap設(shè)備的管理密碼，控制無線ap的信號強度等。每個無線ap基本都有網(wǎng)絡(luò)管理功能，我們進行的以上安全策略的應(yīng)用也是通過ap 管理進行配置的。-般來說，每個無線ap設(shè)備都有一個默認的初始管理密碼，這些密 碼大