推薦系統(tǒng)下載分類: 最新Windows10系統(tǒng)下載 最新Windows7系統(tǒng)下載 xp系統(tǒng)下載 電腦公司W(wǎng)indows7 64位裝機萬能版下載
WLAN無線局域網(wǎng)防護(hù)技巧匯總
發(fā)布時間:2022-07-25 文章來源:xp下載站 瀏覽:
|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 無線局域網(wǎng)WLAN安全防護(hù)淺析無線局域網(wǎng)的安全在不斷地發(fā)展,研究人員正在將各種已有的和新出現(xiàn)的安全嘗試應(yīng)用于WLAN環(huán)境,力求找到安全高效的解決方案。 無論是WEP、WPA還是WAPI與802.11i,想必都不能單獨解決無線局域網(wǎng)的安全問題,如何與現(xiàn)有的安全技術(shù)結(jié)合應(yīng)用,最大限度地確保WLAN的安全勢在必行。 合理配置是前提 合理配置無線局域網(wǎng)是確保安全的首要前提,主要包括: *改變ESSID的缺省值,使用不易被猜到的ESSID號; *關(guān)閉對ESSID的定期廣播,這樣設(shè)置之后,雖然客戶機必須發(fā)送探測幀以詢問ESSID,但入侵者則需借助一些無線數(shù)據(jù)包捕獲及分析工具,增加了難度; *改變?nèi)笔∶荑并定期更換; *在網(wǎng)絡(luò)規(guī)模較小且用戶相對固定的場合使用MAC地址過濾來控制客戶的訪問。 加強客戶端的防御 客戶端的數(shù)據(jù)同樣是不法分子覬覦的對象,加強防御也是保證WLAN安全的有效措施之一。在客戶端可以通過以下三種方法保證數(shù)據(jù)的安全: *使用口令及個人防火墻,防止對客戶機的驅(qū)動器和文件夾的非授權(quán)訪問; *通信過程使用一次一密的會話密鑰,因為密鑰頻繁改變,者難以獲得足夠的數(shù)據(jù)以破解密鑰; *選擇具有強加密算法的、基于應(yīng)用層的第三方加密軟件,可以繞過對Wi-Fi的各種攻擊,保證數(shù)據(jù)不被解密。 抵御對內(nèi)部網(wǎng)的攻擊 在無線局域網(wǎng)與內(nèi)部有線局域網(wǎng)相連通的環(huán)境,由于WLAN的不安全會殃及內(nèi)部有線網(wǎng),因此采取相應(yīng)的抵御策略也是不可忽視的環(huán)節(jié)。使用企業(yè)級防火墻將 AP(接入點)置于防火墻之外,只讓IP或MAC地址合法的用戶進(jìn)入內(nèi)部網(wǎng),再配以VPN(VirtualPrivateNetworking虛擬專網(wǎng))功能,既可使出差在外和在家辦公的員工通過Internet訪問內(nèi)部有線網(wǎng),又可以阻止通過WLAN對內(nèi)部網(wǎng)的非授權(quán)訪問。在這種應(yīng)用中,通過無線訪問內(nèi)部網(wǎng)的企圖被防火墻及VPN服務(wù)器隔離,同時,VPN服務(wù)器提供鑒別服務(wù),而支持完全加密且基于VPN的方案易于擴展,能夠做到支持大量用戶。 加強檢測與鑒別 在網(wǎng)絡(luò)中加入RADIUS(RemoteAuthenticationDial-inUser Service,遠(yuǎn)程鑒定撥入用戶服務(wù))服務(wù)器,實現(xiàn)客戶與AP間的相互鑒別,進(jìn)而做到檢測和隔離欺詐性AP。RADIUS服務(wù)器可以同時承擔(dān)VPN服務(wù)器的任務(wù),同時使用基于端口的鑒定標(biāo)準(zhǔn)802.lx,通過訪問中心數(shù)據(jù)庫對多種服務(wù)客戶(如VPN客戶及普通無線客戶)進(jìn)行鑒別。 網(wǎng)絡(luò)管理不可忽視 除解決好上述安全策略之外,網(wǎng)絡(luò)管理也是確保安全的有效措施。對于網(wǎng)絡(luò)管理者而言,如果知道所有合法用戶的MAC和IP地址,使用入侵檢測工具(也是黑客常用的工具)定期掃描搜索便可發(fā)現(xiàn)非法用戶。此外,使用靜態(tài)IP地址在一定程度上也可以防止對無線網(wǎng)的非授權(quán)訪問。因為使用DHCP服務(wù)器動態(tài)配置IP地址的網(wǎng)絡(luò)會給一個“偷來”的ESSID配置一個合法的IP地址。 綜上所述,由于無線局域網(wǎng)安全機制本身固有的安全脆弱性及無線傳輸介質(zhì)特有的開放性和穿透性,如果再加上安裝實施或使用過程中的疏漏,其安全性將變得十分脆弱。為了保證無線局域網(wǎng)的數(shù)據(jù)安全,除了安裝配置和管理上應(yīng)加強防范之外,用戶端同樣要加強防范。使用口令及個人防火墻可防止數(shù)據(jù)被非授權(quán)訪問;對于安全級別要求較高且無線網(wǎng)又與內(nèi)部有線網(wǎng)相連的場合,可以使用企業(yè)級防火墻并配以VPN和RADIUS;對高度敏感的數(shù)據(jù)使用第三方的、基于應(yīng)用層的強加密算法對數(shù)據(jù)進(jìn)行加密,可以繞過各種對無線網(wǎng)的有效攻擊。只有確保無線網(wǎng)應(yīng)用各環(huán)節(jié)的安全,才能充分發(fā)揮無線網(wǎng)的優(yōu)越性 網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項技術(shù)都需要適時應(yīng)勢,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。 |