无线局域网的组建与安全设计

通常计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在某些场合要受到布线的：布线、改线工程量大；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点联接起来时，架设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的连网需求形成了严重的瓶颈阻塞。WLAN就是解决有线网络以上问题而出现的， WLAN为Wireless LAN的简称，即无线局域网。无线局域网是利用无线技术实现快速接入以太网的技术。与有线网络相比，WLAN最主要的优势在于不需要布线，可以不受布线条件的。

　　无线局域网与传统有线局域网相比优势不言而喻，它可实现移动办公、架设与维护更容易等。面对如此巨大的应用与市场面前，无线局域网络安全问题就显得尤为重要。人们不禁要问：通过电波进行数据传输的无线局域网的安全性有保障吗? 

实际上，无线局域网比大多数有线局域网的安全性更高。一直以来，安全性问题在无线局域网设备开发及解决方案设计时，都得到了充分的重视。目前，无线局域网络产品主要采用的是IEEE(美国电气和电子工程师协会)802.11b国际标准，大多应用DSSS（Direct Sequence Spread Spectrum，直接序列扩频）通信技术进行数据传输，该技术能有效防止数据在无线传输过程中丢失、干扰、信息阻塞及破坏等问题。802.11标准主要应用三项安全技术来保障无线局域网数据传输的安全。第一项为SSID（Service Set Identifier）技术。该技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络；第二项为MAC（Media Access Control）技术。应用这项技术，可在无线局域网的每一个接入点（Access Point）下设置一个许可接入的用户的MAC地址清单，MAC地址不在清单中的用户，接入点（Access Point）将拒绝其接入请求；第三项为WEP（Wired Equivalent Privacy）加密技术。因为无线局域网络是通过电波进行数据传输的，存在电波泄露导致数据被截听的风险。WEP安全技术源自于名为RC4的RSA数据加密技术，以满足用户更高层次的网络安全需求。

关键词： 无线局域网，WLAN，安全性

Abstract

Computer network transmission medium is usually rely mainly on copper or fiber to form a wired LAN. But the cable network cabling in some cases be limited to: cabling, altered large projects; line easily damaged; each node in the network can not be moved. Especially when far away from the phase node should join up, set up dedicated communication line wiring construction difficult, costly, time-consuming, the needs of the rapidly expanding Internet has become a serious bottleneck congestion.WLAN over wired networks is the solution to problems, WLAN is short for Wireless LAN, that wireless LAN. Wireless LAN is the use of wireless technology for fast access to Ethernet technology. Compared with the wired network, WLAN does not require wiring the main advantage is, you can not wiring conditions.

Wireless LAN with obvious advantages compared to traditional wired LAN, which enables mobile office, set up and maintenance easier and so on. Faced with such a huge market in front of the application, the wireless LAN security is particularly important. People ask: data transfer via radio WLAN security safe? In fact, the wireless LAN than most wired LAN security. All along, the security issues in the development of wireless LAN equipment and solutions for design, have been sufficient attention.At present, wireless local area network products are mainly used in the IEEE (American Institute of Electrical and Electronics Engineers) 802.11b international standards, most of the application of DSSS (Direct Sequence Spread Spectrum, Direct Sequence Spread Spectrum) communication techniques for data transmission, the technology can effectively prevent data lost during wireless transmission, interference, obstruction and destruction of information issues. 802.11 standard three main application security technology to protect wireless LAN data transmission security.The first is SSID (Service Set Identifier) ​​technology. The technology can be a wireless local area network is divided into several different authentication needs of sub-networks, each sub-network requires a separate authentication, only authenticated users can access the corresponding sub-networks, to prevent unauthorized users access to the network; the second for the MAC (Media Access Control) technology. Application of this technology, each wireless LAN access point (Access Point) to set up a license under the user's MAC address access list, MAC addresses not on the list of users, access point (Access Point) to refuse access request;The third is WEP (Wired Equivalent Privacy) encryption technology. Because the wireless local area network for data transmission by radio waves, and there is data to be intercepted radio leak led to the risk. WEP security technology derived from the name of the RSA RC4 encryption technology to meet user demand for higher level of network security.

Key word : Wireless LAN, WLAN, security

前 言

在这个“网络就是计算机”的时代，伴随着有线网络的广泛应用，以快捷高效，组网灵活为优势的无线网络技术也在飞速发展。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲，无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说，无线局域网（Wireless local-area network，WLAN）就是在不采用传统缆线的同时，提供以太网或者令牌网络的功能。 通常计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在某些场合要受到布线的：布线、改线工程量大；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点连接起来时，敷设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是解决有线网络以上问题而出现的。

另外在享受到家庭上网带给我们的乐趣的同时，我们也了解到在网络的背后还潜在着很多看不见的安全问题，例如家庭中计算机上的文件和其他数据安全么?会不会遭到黑客攻击?还有网络上的信息良莠不齐，精华与糟粕并存，怎么让我的家人远离这些垃圾信息?也就是说，如何打造一个安全、健康的家庭网络成为每一个家庭上网的用户所关心的问题。

对于家庭中是无线上网的用户，无线网络比有线网络更容易受到入侵，因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接，他只要在你无线宽带路由器或无线AP的有效范围内，就可以进入你的内部网络，访问你的资源。

因此，为了让每个家庭都能够方便快捷地享受上网，而且不用考虑在网络背后潜伏的安全问题，我们有必要组建一个既便捷又安全的无线局域网。

第一章 　组建无线局域网的准备工作

1.1  现有设备统计

一个普通的3人家庭，现有2台PC机，1台Notebook，以及1个ADSL Modem。

1.2  网络接入方式

这个家庭是的上网方式是中国电信ADSL 2M 包月套餐。换句话说，就是以PPPoE协议来进行拨号上网。

1.3  无线路由的安放位置

如图，房屋的面积约为75㎡，而且墙体的厚度不大，因此对无线信号的覆盖和质量的影响也不大，故决定将无线路由器安放在ADSL Modem附近。

1.4  设备选购

因为无线网络的覆盖范围不大，所以设备的要求也相应较低，一方面可以使组建变得简单，另一方面也可以节省成本。要购买的设备有：无线路由器TP-LINK WR542G、无线网卡 TP-LINK TL-WN322G+、超五类网线 百通0.514。详细设备参数如下：

一个普通家庭，即使在搞派对的是时候，人数也只会在15人左右。所以将接入点的最大值定为20个，相信应该足够家庭使用了。而能够使用无线网络的设备，预计有这些：NoteBook（膝上电脑）、带无线网卡的PC、PDA（个人数字助理）、手机（如N95）、掌上娱乐设备（如PSP、NDSL）。

第二章  如何组建无线局域网

     由于时间的关系，我已经预先准备好要用的设备了。现在就让我简单地说说他们的用处。首先，要将无线路由和ADSL Modem 放在一齐；而无线网卡就拿到房间2，与该房的PC联合使用；至于网线就要做2条，1条1m，1条3m。好了，简要介绍到此为止，下面我们开始动手组建无线局域网。预计组建的无线局域网拓扑图1：

                                     图1

2.1  设备的连接

（1）将ADSL Modem 与 TP-LINK WR542G分贝放好，并预留一定空间散热，两台设备最好不要叠放。

（2）ADSL Modem接上电话线，并用1m长的网线将 ADSL Modem的任一LAN端口与TP-LINK WR542G的WAN端口相连。

（3）用2m长的网线将TP-LINK WR542G的任一LAN端口与房间1里面的PC 100M网卡相连。

（4）确认所有线路都插好后接通电源，启动房间1的PC、ADSL Modem和TP-LINK WR542G。

2.2  无线局域网的配置

当所有设备都连接好并启动之后，接下来就只剩配置了。其实配置一点都不难，不需要像cisco那些高级路由器一条条命令输入。我想这就是SOHO式路由器的优势――简单、方便、快捷的配置系统――Web管理系统。

废话不多说了，马上进行配置。快则5分钟，慢的就半小时，配置就可以完成了。

首先要登录路由器。打开浏览器，在地址栏上输入“192.168.1.1”。如图2。

图2

然后会有一个登录界面弹出，输入用户名和密码“admin”，如图3。之后就可以顺利登录到Web管理系统的页面了。

                     图3

如果人品问题不能登录成功的话，给几个建议：

（1）检查物理设备的连接情况；（2）在房间1的PC上使用Ping命令检查连通性；（3）重新找再做一条超五类网线；（4）更换一线LAN的接口；（5）在路由器的背部有一个“reset”的小口，先按着它3秒，然后启动路由器，把路由还原成出厂的设置。把这些都做了的话，应该可以正常登录的了；如果还不行，就去更换一个新的路由器好了。

对了，插一段闲话――你有没有想过为什么路由器的默认IP地址是“192.168.1.1”呢，为什么不是“172.16.X.X”呢，如果想知道为什么，配置好之后看“个人体会”就会知道了。

好了，言归正道，当你第一次成功登录时，Web管理系统会默认代开一个向导程序，在那里几步就可以将路由器配好。如果你没有兴趣将路由器配置得更好的话，你就按着向导提示，将相关信息填好，然后“下一步、下一步”就行了，如图4、5、6、7、8。下面的内容也不用看好了。

                                 图4

                                 图5

                                 图6

                                  图7

                                  图8

这样就把路由器基本配置好了，如果想更好的配置路由器，就请继续看下去吧～～

2.2.1  配置上网的方式

如图9，在WAN端口的页面理，先选择使用的协议，由于我们使用的是ADSL，所以我们选择PPPoE协议（如果上网方式不同，则根据实际情况选择），然后就将中国电信提供的帐号密码，分别填到“上网帐号”和“上网口令”，如图10。

之后把目光下移，就可以发现几个选项，分别是“按需连接”、“自动连接”、“定时连接”、“手动连接”，如图11。根据自己的上网情况，来决定选那个好了。这里我们选择“自动连接”好了，包月就是方便，不用担心上网超时，总能保持网络连接。

对了，相信大家都发现有3项叫“XX拨号模式”的选项，说实话，我也不是到那个干吗的，反正我每项都试过，每项都很正常，网络速度也没有影响，所以这几项随便选就好了，不用太认真考虑。

                                  图9

                                  图10

                                  图11

到这里，我们就完成了第一步，也是最基础的一步了，这步也做不好的话就别上网好了。

2.2.2   配置DHCP服务

如图12，来到DHCP服务的配置界面。按规范来说，接入量只有20个的话，填一个C类的地址就足够有余了。但是这只是家庭局域网，用这么讲究吗？只要是1～254之间，填一些自己喜欢的数字在“地址池开始地址”与“地址池结束地址”里，填写格式是“XXX.XXX.XXX.XXX”；至于“地址租期”的意思就是指在地址池的范围里，每个被使用的IP的有效时间是多少。

                                  图12

另外，那些“网关”、“缺省域名”、“主DNS服务器”、“备有DNS服务器”，家庭ADSL用户是根本不用理的，因为那些东西都是由中国电信的服务器提供。

2.2.3  配置无线网路

到这里，一个最普通的局域网算是完成了，只要用网线连接到路由器里，PC就可以上网了。但是这些都只是前奏而已，真正的核心还在后面吖～～

2.2.3.1  使用何种无线标准

如图13，在无线网络的页面了。首先我们要选择无线网络要应用的标准，也就是模式那里。

在此说明一下，由于设备的问题，这里只能在802.11b和802.11g这两种标准，其实常用的标准还有802.11a和802.11n两种 ，它们都是IEEE所订立的标准。在这里我们选802.11g，如图14。为什么选它呢？请看“个人体会”。

                                   图13

                       图14

接着，下面有两个选项，如图15。一个是无线功能开启的开关，这个一定要选上，不选的话如下的组建就边的没有意义了；另外一个就是是否广播SSID信息，我们也把这个选上，至于为什么，还是那句好了“请看个人体会”吧～～

                          图15

2.2.3.2  选择加密方式与设置密码

之后，就是安全设置了，如图16。对了，问一下各位“你为人慷慨大方，而且对网络速度要求不高，再加上对自己的电脑安全有绝对的自信吗？”如果YES，那就跳到下一节吧。

为了避免因为完全开放无线网络在空气中，从而带来不必要损失的危机，安全设置是必须的。这里只需要选择无线网络的加密类型、密钥的格式就可以给你一个较安全的无线网络了。

另外为了达到方便而且安全的目的，我们就选择最简单的WEP好了，密钥的格式是位。补充一下，16进制与ASCII制在不同数位上，对密码的长度要求是不同的，详细要求如何，看图16就会清楚了。

                         图16

到此为止把一切都设置好之后，将设置保存一下，无线网络就算基本配置好了。现在就可以用Notebook来测试一下了。不过，回过头一想，应该会有这样的疑问吧“为什么要选择最简单的WEP呢？”还是老规矩――请看个人体会吧。

对了，假如你同时搜索到多个无线网络，那怎样才能识别那个是自家用的呢？还记得无线网络设置那里不是有一个SSID的栏目吗，就在那里为自家用的无线网络改个容易识别的名字吧，但是不能用中文字体哦～～

另外，还有信道的问题，其实不用刻意去选一个的，因为选择信道只是为了避免信号的重叠，影响信号的质量。但是现在只不过是家庭内使用，覆盖范围不大，所以让它默认就好。

2.3  测试无线网络

下面，我们就看看无线网络的连接测试情况吧，如图17、18、19、20。我已经预先把路由设好了，SSID是Fox-Basaka，选用WEP，16进制位密钥，IP地址范围在“198.6.7.30～254”，IP地址范围只要符合规则就行，我就用了自己的生日来作地址段的开头了。

                                     图17

                图18                                   图19

看，顺利地在路由器里的DHCP服务中得到了IP地址，也成功接受到SSID，当然也顺利地在多个无线网络中找到自家用的无线网络，一句到未，测试成功！！

对了，如果日后无线网络的验证密码变更的话，客户端可以在图17中的“更改首选网络的顺序”中，然后对已变更的无线网络进行编辑，从而更换验证密码，如图20。

                         图20

第三章  无线局域网的安全配置

     你对网络质量有要求吗？想在有限的设备下改善网络吗？想更好地管理无线局域网吗？现在就来看看如何进行优化无线局域网吧！！

3.1  更改默认配置

为什么要改默认配置呢？道理很简单，就是因为它是默认。凡是默认的东西，就意味着差不多每个人都知道，也就是每个进入局域网的用户，都有可能进入路由器随意修改。我们不用去想这样会对你的局域网带来何种危机，光是想到有限的带宽被人莫名其妙地占据一部分，这样多少也会感到不爽吧。你想这样的网络会稳定吗，你想要这样的网络吗？所以还是建议改改默认的设置吧。方法也很简单，只要到Web管理系统里面，将LAN端口设置、登录口令这两个地方改改就好了，如图21、22。

                              图21

                                 图22

3.2  IP与MAC的相互绑定

绑了网络就会更稳定，绑了就可以减少遭受ARP攻击之苦，我这样说会有理由不做吗？方法可能有点麻烦，因为IP绑MAC与MAC绑IP的步骤有点不同。不过前提条件都是一样的，就是要得到要进行绑定的MAC地址。如果是PC、NoteBook这类可以使用“ipconfig”这类命令行的设备还好，要是不能使用的设备（如PSP、手机等）该怎办呢，告诉你一个办法吧，可以查看DHCP服务的客户端列表，就如图23，这样就一目了然了。

                              图23

看，这样前期工作就完成了。接下来我们就开始绑定的步骤。先是IP绑MAC吧，到DHCP服务的“静态地址分配”，如图24。

                                   图24

然后选择“添加新条目”，如图25。

                                图25

把要绑定的MAC和IP填入之后保存即可添加成功。

下一步就反过来，将MAC绑IP，这次我们要到“静态ARP绑定设置”，如图26.

                                  图26

然后就像IP绑MAC那样，点击“增加单个条目”，如图27。

                                图27

如果操作正确的话就会在“ARP映射表”中，看到刚才设置的信息，如图28。

                               图28

到此为止，IP与MAC的相互绑定就完成了，相信经过这样配置之后，无线局域网的稳定性和安全性都会有一定程度的提高。

3.3  防火墙

由于设备的原因，直接影响着防火墙的性能。但是对以普通家庭来说，这种程度的防御也是足够的。我先来介绍一下路由器的防火墙性能好了。它的主要功能有3个“IP地址过滤”、“域名过滤”和“MAC地址过滤”。

先从“IP地址过滤”开始吧，在配置界面上点击“添加新条目”，如图29。

                                   图29

然后就是设定过滤的生效时间；局域网的IP地址以及端口过滤范围；在广域网上的某些地址端口的过滤；还有就协议的过滤，如图30。但是要警告的是，如果这里设置不当的话，有可能会影响某些IP范围的正常访问，所以没有一定网络基础的人不要随便设定。

                            图30

接下来这个配置就相对简单很多，那就是“域名过滤”，如图31。在这里，我们只需要知道要进行过滤的域名地址，然后填写到相应的位置就行了，如图32。不用理会IP地址是什么，最适合用来阻止浏览一些不良网站。

                             图31

                            图32

最后就是介绍“MAC地址过滤”，顾名思义就是对列表中的MAC地址进行过滤操作，而且过滤只有允许访问Internet和禁止访问Internet两个，如图33。这样就可以有效防止非法盗链的现象，因为即使你攻破了验证密码，得到了IP地址，但是没有符合过滤条件，路由器都一律禁止访问Internet，这样一刀切的方法真是简单方便快捷有效吖！

                                图33

3.4  增强无线路由的安全性

说到这里其实已经没有什么可以说的了，因为前面那些防火墙、IP与MAC的相互绑定、更改默认配置、选择加密方式以及密钥的长度，这些都可以算是增强无线路由的安全性的一部分。但是这一切都是建立于管理权的唯一性上面。如果管理权不唯一，那么谁都可以修改配置，那配置还有吗？光改密码还是不够的，要将唯一进行到底的话就要连管理的设备也要唯一，也就是说关闭远程管理功能，要管理路由器的，就必须同果网线来配置。因此，我们就要改改，如图34，将端口改变，而地址就不改，这样要登录路由器的话，就必须加上端口号，而且必须是局域网内的设备才行。

                                     图34

好了好了，来到这里配置应该告一段落了，相信这种程度的配置，虽然不能说是最好最安全，但是我相信足够保障局域网安全稳定的，因为我深信没有人会花费大量的时间，从外部破解一个已经加密，而且已经尽可能做好安全配置的无线局域网吧。

第四章  日常维护

终于到了最后一章了，到了这里首先恭喜你，因为你应该已经成功组建了一个安全的无线局域网了，接下来要做的就是定期对路由器等设备进行维护而已，不要小看日常维护的重要性吖，它可以令你在遭到毁灭性攻击后，将损失降到最低吖。

4.1  备份

这个是最简单，只要在图35那里按一下“备份配置文件”，之后就会弹出一个备份程序，只要选择好路径就可以了，如图36。之后如果要恢复设置，直接选择备份好的文件后，点击“载入配置文件”就行了。

                                  图35

                          图36

4.2  密码变更

养成定期更换密码的习惯，可以有效保障网络的安全。至于是改登录路由器的登录口令，还是无线网络的验证密码呢？这个就自己决定好了。

4.3  无线网络的优与缺

来一个赛后检讨先。经过了上述一系列的配置之后，可以说该做的可以做的事都做了，但是基于硬件的局限，无线局域网还是不够完美的。

先从优点开始，这次组建的无线局域网，不仅组建简单，而且管理也比较方便；另外，还能够很好的防止非法盗链无线网络；对于家长来说，一定程度的网络监控，有助于防止浏览一些不良网站。

至于缺点就是防毒防攻击的性能不强，尤其是对与来至局域网内部的攻击，所以要将防御的工作落实到每一个客户端设备上面。

4.4  设备维护

这里的设备维护不单单是指路由器的维护，而是全网络的维护。刚才也说，这个无线局域网的最大缺点就是对来自局域网内部攻击的防御缺陷，因此除了必要的路由器安全设置外，客户端设备也要就行维护。就好像定期对操作系统的更新，防病毒软件的升级，对系统优化配置，定期查杀病毒等，这些工作都可以有效减少局域网内部攻击的发生。对了，如果有一定基础的话，当感觉网络质量突然严重下降的话，可以查看一下进程，可能会有以外的“收获”哦。

个人体会

总算把无线局域网组建起来了。总的来说，组建还真的方便快捷简单，只是连连网线，点几下鼠标，填一些信息就完成了。但是如果真的要把无线局域网变得更安全，就的确要下一点功夫才行。对了，还记得前面我插入的那些闲话吗？其实那些是我在组建过程中的突发奇想来的，在组建完成后，我不断地想着那些问题，到底答案是什么呢？最后经过自己在网上搜索以及听一些权威人士的讲解，终于找到了自己满意的答案了，下面就由我来说说吧。

首先，就是为什么绝大多数的路由器默认的IP地址都是“192.168.1.1”呢？据我了解，“192.168.1.1”是C类内部私有地址，是免费使用的IP地址段。另外私有地址有A、B、C三类，它们的范围分别是“A类 10.0.0.0～10.255.255.255”、“B类 172.16.0.0～172.31.255.255”、“C类 192.168.0.0～192.168.255.255”。既然这样，那为什么一定要默认地址选用C类的呢，而不用A类或者B类呢？这个问题，相信会有很多人答不上或者说“人家喜欢！”真的是这样回事吗？为此，我请教了一些CCIE，答案终于出来了。原来这是与路由器的启动速度有关的。因为路由器每次启动都会接受同一网段内所有广播信息，想一下A类B类网段的IP地址数量有多大，就可以想象到路由器启动时要处理的信息量是多少了。因此，为了减少路由器的负担，从而选择C类地址。这就是我找到的答案，还算满意吧。对了，在找答案的时候，我又听到一个未经证实但又有几分可信的答案，就让我再说说吧。大家都知道IPV4的地址是有限的，如今就所剩无几，但是地址的需求还是很大，故一些厂商就向IANA（互联网编号分配机构，Internet Assigned Numbers Authority）提出申请，将A类B类也开放注册，并承诺每年投放多少千亿美金作为IP使用权费用以及IPV6研究经费，因此，能免费的地址就只剩C类了。倘若有厂家要使用A类B类地址作为某产品的默认地址的话，就要向IANA一次性上缴0.001美元/台的作为租用费，虽然费用不多，只是0.001美元/台，但是厂家生产的设备不只一台吖，小数怕长计，所以绝大部分厂家都使用免费的C类地址。怎么样，这个答案有趣吧，可惜还没有官方的证实吖。

接下来，我们来想想为什么要用802.11g标准，而不使用802.11b标准呢？还有它们与同系列的标准区别在那呢？详细的对比资料，请参考附录1。由于802.11a受到了自身的缺点（如传输距离短，容易被吸收等），加上部分地区的，使它得不到普及；随之而来的是802.11b的性能卓越，条件也较少，因而得到广泛的应用；而802.11g更是802.11b的升级，最大特点就是全面兼容使用802.11b设备，加上我们选购的设备也只支持802.11b和802.11g两种标准，为了能够更好地支持设备，所以选择使用802.11g标准。

最后，就让我来说说为什么要允许SSID广播吧。其实理由很简单，就是为了日后使用方便，古语说的好“针，没有两头锋利”,代价就是减少了一条安全防线。其实SSID广播的功能，就是给网络取名，用于标识在有多个无线网络时，能够找到自家用的无线网络。倘若把SSID广播的功能关闭，安全性的确会提高，因为搜索网络时，自家用的会表示为隐性WLAN，而每次登录时都要将SSID号输入一次，然后再按正常程序进入。但是这只是在当前只搜索到一个隐性WLAN前提下，如果同时搜索到多个或者全部都是的话，你就要逐个去试，这样使用起来就会变得不灵活、不方便了。所以将这一条安全防线放弃，而换来方便快捷的使用还是值得的。宁愿在防火墙方面下多一点苦功，将MAC地址过滤、IP地址过滤、域名过滤三者都配置好，使用好。这样总比加多一条麻烦的防线要好吧，我就这样认为了，你呢？

到此为止，整编《无线局域网的组建与完全设计――组建安全的无线局域网》就到此结束，希望你能顺利组建好属于自己的无线局域网，还有享受组建的过程，研究组建时遇到的问题。

参考文献 & 附录

参考文献1――《家庭无线网络 保证安全七点小技巧》[Z]

　  现在，多数家庭通过组建无线网络来访问因特网已经成为一个趋势。然而又有多少人知道在这个趋势的背后隐藏着许许多多的网络安全问题。原则上，无线网络比有线网络更容易受到入侵，因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接，他只要在你无线路由器或中继器的有效范围内，就可以进入你的内部网络，访问的的资源，如果你在内部网络传输的数据并未加密的话，更有可能被人家窥探你的数据隐私。此外，无线网络就其发展的历史来讲，远不如有线网络长，其安全理论和解决方案远不够完善。所有的这些都讲导致无线网络的安全性教有线网络差。在这篇文章里，让我来告诉你如何通过一些安全措施来让你的无线网络变的更安全、更可靠。 

　　1.修改用户名和密码(不使用默认的用户名和密码)

　　一般的家庭无线网络都是通过通过一个无线路由器或中继器来访问外部网络。通常这些路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络，都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及帐号等信息。为了保证只有设备拥有者才能使用这个管理页面工具，该设备通常也设有登陆界面，只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时，制造商给每一个型号的设备提供的默认用户名和密码都是一样，不幸的是，很多家庭用户购买这些设备回来之后，都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面，如果成功则立即取得该路由器/交换机的控制权。

　　2.使用加密

　　所有的无线网络都提供某些形式的加密。之前我跟大家提过，攻击端电脑只要在无线路由器/中继器的有效范围内的话，那么它很大机会访问到该无线网络，一旦它能访问该内部网络时，该网络中所有是传输的数据对他来说都是透明的。如果这些数据都没经过加密的话，黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密，这样即使你在无线网络上传输的数据被截取了也没办法(或者是说没那么容易)被解读。目前，无线网络中已经存在好几种加密技术。通常我们选用能力最强的那种加密技术。此外要注意的是，如果你的网络中同时存在多个无线网络设备的话，这些设备的加密技术应该选取同一个。

　　3.修改默认的服务区标识符(SSID)

　　通常每个无线网络都有一个服务区标识符(SSID)，无线客户端需要加入该网络的时候需要有一个相同的SSID，否则将被“拒之门外”。通常路由器/中继器设备制造商都在他们的产品中设了一个默认的相同的SSID。例如linksys设备的SSID通常是“linksys”。如果一个网络，不为其指定一个SSID或者只使用默认SSID的话，那么任何无线客户端都可以进入该网络。无疑这为黑客的入侵网络打开了方便之门。

　　4.禁止SSID广播

　　在无线网络中，各路由设备有个很重要的功能，那就是服务区标识符广播，即SSID广播。最初，这个功能主要是为那些无线网络客户端流动量特别大的商业无线网络而设计的。开启了SSID广播的无线网络，其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号，无线网络客户端接收到这个SSID号后，利用这个SSID号才可以使用这个网络。但是，这个功能却存在极大的安全隐患，就好象它自动地为想进入该网络的黑客打开了门户。在商业网络里，由于为了满足经常变动的无线网络接入端，必定要牺牲安全性来开启这项功能，但是作为家庭无线网络来讲，网络成员相对固定，所以没必要开启这项功能。

　　5.设置MAC地址过滤

　　众所周知，基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址，当然无线网络设备也不例外。所有路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC地址。通常，许多这类设备都提供对MAC地址的操作，这样我们可以通过建立我们自己的准通过MAC地址列表，来防止非法设备(主机等)接入网络。但是值得一提的是，该方法并不是绝对的有效的，因为我们很容易修改自己电脑网卡的MAC地址，笔者就有一篇文章专门介绍如何修改MAC地址的。

　　6.为你的网络设备分配静态IP

　　由于DHCP服务越来越容易建立，很多家庭无线网络都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患，那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。然而在成员很固定的家庭网络中，我们可以通过为网络成员设备分配固定的IP地址，然后再再路由器上设定允许接入设备IP地址列表，从而可以有效地防止非法入侵，保护你的网络。

　　7.确定位置，隐藏好你的路由器或中继器

　　大家都知道，无线网络路由器或中继器等设备，都是通过无线电波的形式传播数据，而且数据传播都有一个有效的范围。当你的设备覆盖范围，远远超出你家的范围之外的话，那么你就需要考虑一下你的网络安全性了，因为这样的话，黑客可能很容易再你家外登陆到你的家庭无线网络。此外，如果你的邻居也使用了无线网络，那么你还需要考虑一下你的路由器或中继器的覆盖范围是否会与邻居的相重叠，如果重叠的话就会引起冲突，影响你的网络传输，一旦发生这种情况，你就需要为你的路由器或中继器设置一个不同于邻居网络的频段(也称Channel)。根据你自己的家庭，选择好合适有效范围的路由器或中继器，并选择好其安放的位置，一般来讲，安置再家庭最中间的位置是最合适的。

http://www.hacker.cn/Get/wxwl/0691909540335409.shtml

参考文献2――《无线局域网是如何进行安全防护》[Z]

    近来，无线局域网发展的势头越来越猛，它接入速率高，组网灵活，在传输移动数据方面尤其具有得天独厚的优势。但是，随着无线局域网应用领域的不断拓展，其安全问题也越来越受到重视。在有线网络中，您可以清楚辨别哪台电脑连接在网线上。无线网络与此不同，理论上无线电波范围内的任何一台电脑都可以监听并登录无线网络。如果企业内部网络的安全措施不够严密，则完全有可能被窃听、浏览甚至操作电子邮件。为了使授权电脑可以访问网络而非法用户无法截取网络通信，无线网络安全就显得至关重要。 

★两大基本安全防护手段 

在这个道高一尺，魔高一丈的环境里，怎样保卫这些数据的安全？致力于无线局域网 ＷＬＡＮ　发展的各厂家及国际 Ｗｉ － Ｆｉ 联盟都纷纷提出新的方法来加固无线局域网，以使其广泛应用。２００４年 ６ 月２４日， ＩＥＥＥ 通过了 ８０２．１１ｉ 基于 ＳＩＭ 卡认证和 ＡＥＳ 加密的方法为无线局域网提供了安全保障，使得无线局域网拥有了更为广阔的应用空间。 

安全性主要包括访问控制和加密两大部分。访问控制保证只有授权用户能访问敏感数据，加密保证只有正确的接收者才能理解数据。目前使用最广泛的 ＩＥＥＥ ８０２．１１ｂ 标准提供了两种手段来保证 ＷＬＡＮ 的安全—— ＳＳＩＤ 服务配置标示符　和 ＷＥＰ  无线加密协议　。ＳＳＩＤ提供低级别的访问控制，ＷＥＰ是可选的加密方案，它使用ＲＣ４加密算法，一方面用于防止没有正确的ＷＥＰ密钥的非法用户接入网络，另一方面只允许具有正确的ＷＥＰ 密钥的用户对数据进行加密和解密包括软件手段和硬件手段　。 

另外，８０２．１１ｂ标准定义了两种身份验证的方法：开放和共享密钥。在缺省的开放式方法中，用户即使没有提供正确的 ＷＥＰ密钥也能接入访问点，共享式方法则需要用户提供正确的ＷＥＰ密钥才能通过身份验证。 

★针对不同用户的三种安全措施 

很显然，基本的安全手段只能提供基本的安全性。对于不同的用户，有必要为他们提供不同级别的安全手段。Ａｖａｙａ 公司的技术顾问刘海舰指出，Ａｖａｙａ公司为其ＷＬＡＮ设备提供了３种级别的安全措施。第一种是链路层的安全，也就是标准的 ＷＥＰ 加密。第二种则是用户身份验证层次的安全，代表性做法是利用８０２．１ｘ 。第三种是利用ＶＰＮ手段。刘海舰认为，这三种级别的安全手段，适用于不同要求的用户，ＶＰＮ 方法是最安全的。不过，在实际应用中，目前用得最多的还是ＷＥＰ方式。 

★WEP 的缺陷和解决之道 

ＷＥＰ加密是存在固有的缺陷的。由于它的密钥固定，初始向量仅为 ２４ 位，算法强度并不算高，于是有了安全漏洞。 ＡＴ＆Ｔ 的研究员最先发布了ＷＥＰ的解密程序，此后人们开始对ＷＥＰ质疑，并进一步地研究其漏洞。现在，市面上已经出现了专门的破解ＷＥＰ加密的程序，其代表是ＷＥＰＣｒａｃｋ和ＡｉｒＳｎｏｒｔ 。 

英特尔公司通讯事业部赵伟明指出， ＷＥＰ 加密方式本身无问题，问题出在密钥的传递过程中——密钥本身容易被截获。为了解决这个问题，ＷＰＡ（ Ｗｉ－Ｆｉ Ｐｒｏｔｅｃｔｅｄ Ａｃｃｅｓｓ）作为目前事实上的行业标准，改变了密钥的传递方式。ＩＥＥＥ ８０２．１１ＴＧｉ   任务组 ｉ已经制订了临时密钥完整性协议 ＴＫＩＰ　，ＴＫＩＰ像ＷＥＰ 一样基于ＲＣ４加密，但它提供了快速更新密钥的功能。ＷＰＡ利用ＴＫＩＰ协议传递密钥，它在密钥管理上采用了类似于 ＲＳＡ 的公钥、私钥方式。利用ＴＫＩＰ，以及各个厂商计划推出ＴＫＩＰ固件补丁，用户在 ＷＬＡＮ硬件上的投资将得到保护。例如， Ｅｎｔｅｒａｓｙｓ公司最近便宣布了对ＷＰＡ的支持。Ｅｎｔｅｒａｓｙｓ将在其ＲｏａｍＡｂｏｕｔ系列的各种室内室外ＷＬＡＮ产品中支持ＷＰＡ ，对现有的产品进行固件和硬件更新。

    思科公司的具体做法是：ＲＡＤＩＵＳ 服务器与客户机进行双向的身份验证，验证完成后，ＲＡＤＩＵＳ与客户机确定一个 ＷＥＰ 密钥（这意味着，这个密钥不是与客户机本身物理相关的静态密钥，而是由身份验证动态产生的密钥）。此后， ＲＡＤＩＵＳ 服务器通过有线网发送会话密钥到ＡＰ，ＡＰ利用会话密钥对广播密钥加密，把加密后的密钥送到客户机，客户机利用会话密钥解密。然后，客户机与ＡＰ激活ＷＥＰ，利用密钥进行通信。Ａｖａｙａ的做法称作ＷＥＰ Ｐｌｕｓ，它的机理是针对初始向量的缺点，以随机方式生成初始向量，使得上述的ＷＥＰＣｒａｃｋ和ＡｉｒＳｎｏｒｔ程序无法破解ＷＥＰ密钥。 

★综合预防五大建议 

一、许多安全问题都是由于无线访问点没有处在一个封闭的环境中造成的。所以，首先就应注意合理放置访问点的天线。以便能够信号在覆盖区以外的传输距离。别将天线放在窗户附近，因为玻璃无法阻挡信号。你最好将天线放在需要覆盖的区域的中心，尽量减少信号泄露到墙外。 

二、将信号天线问题处理好之后，再将其加一层“保护膜”，即一定要采用无线加密协议（ＷＥＰ）。 

三、建议禁用ＤＨＣＰ和ＳＮＭＰ设置。从禁用ＤＨＣＰ对无线网络而言，这很有意义。 

如果采取这项措施，黑客不得不破译你的ＩＰ地址、子网掩码及其它所需的ＴＣＰ／ＩＰ参数（无疑也就增加了难度）。无论黑客怎样利用你的访问点，他仍需要弄清楚ＩＰ地址。而关于ＳＮＭＰ设置，要么禁用，要么改变公开及专用的共用字符串。如果不采取这项措施，黑客就能利用ＳＮＭＰ获得有关你方网络的重要信息。 

四、使用访问列表（也称之为访问控制列表）。为了进一步保护你的无线网络，建议选用此项特性，但请注意，并不是所有的无线访问点都支持。 

因为此项特性可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议 ＴＦＴＰ　，定期下载更新的列表，非常有用。 

五、综合使用无线和有线策略。无线不是单独网络安全的网络架构，它需要各种不同的程序和协议配合。制定结合有线和无线网络安全的策略能够最大限度提高安全水平。 

http://www.hacker.cn/Get/wxwl/0662715412548668.shtml

附录1

下面就是我从网上搜索到的资料，由于资料太多就以最常用的802.11a、802.11b、802.11g来作比较吧。