WLAN無線局域網防護技巧總結

 　　無線局域網WLAN安全防護淺析無線局域網的安全技術在不斷地發展，研究人員正在將各種已有的和新出現的安全技術嘗試應用於WLAN環境，力求找到安全高效的解決方案。 無論是WEP、WPA還是WAPI與802.11i，想必都不能單獨解決無線局域網的安全問題，如何與現有的安全技術結合應用，最大限度地確保WLAN的安全勢在必行。

　　合理配置是前提

　　合理配置無線局域網是確保安全的首要前提，主要包括：

　　*改變ESSID的缺省值，使用不易被猜到的ESSID號;

　　*關閉對ESSID的定期廣播，這樣設置之後，雖然客戶機必須發送探測幀以詢問ESSID，但入侵者則需借助一些無線數據包捕獲及分析工具，增加了難度;

　　*改變缺省密鑰並定期更換;

　　*在網絡規模較小且用戶相對固定的場合使用MAC地址過濾來控制客戶的訪問。

　　加強客戶端的防御

　　客戶端的數據同樣是不法分子觊觎的對象，加強防御也是保證WLAN安全的有效措施之一。在客戶端可以通過以下三種方法保證數據的安全：

　　*使用口令及個人防火牆，防止對客戶機的驅動器和文件夾的非授權訪問;

　　*通信過程使用一次一密的會話密鑰，因為密鑰頻繁改變，者難以獲得足夠的數據以破解密鑰;

　　*選擇具有強加密算法的、基於應用層的第三方加密軟件，可以繞過對Wi-Fi的各種攻擊，保證數據不被解密。

　　抵御對內部網的攻擊

　　在無線局域網與內部有線局域網相連通的環境，由於WLAN的不安全會殃及內部有線網，因此采取相應的抵御策略也是不可忽視的環節。使用企業級防火牆將 AP(接入點)置於防火牆之外，只讓IP或MAC地址合法的用戶進入內部網，再配以VPN(VirtualPrivateNetworking虛擬專網)功能，既可使出差在外和在家辦公的員工通過Internet訪問內部有線網，又可以阻止通過WLAN對內部網的非授權訪問。在這種應用中，通過無線訪問內部網的企圖被防火牆及VPN服務器隔離，同時，VPN服務器提供鑒別服務，而支持完全加密且基於VPN的方案易於擴展，能夠做到支持大量用戶。

　　加強檢測與鑒別

　　在網絡中加入RADIUS(RemoteAuthenticationDial-inUser Service，遠程鑒定撥入用戶服務)服務器，實現客戶與AP間的相互鑒別，進而做到檢測和隔離欺詐性AP。RADIUS服務器可以同時承擔VPN服務器的任務，同時使用基於端口的鑒定標准802.lx，通過訪問中心數據庫對多種服務客戶(如VPN客戶及普通無線客戶)進行鑒別。

　　網絡管理不可忽視

　　除解決好上述安全策略之外，網絡管理也是確保安全的有效措施。對於網絡管理者而言，如果知道所有合法用戶的MAC和IP地址，使用入侵檢測工具(也是黑客常用的工具)定期掃描搜索便可發現非法用戶。此外，使用靜態IP地址在一定程度上也可以防止對無線網的非授權訪問。因為使用DHCP服務器動態配置IP地址的網絡會給一個“偷來”的ESSID配置一個合法的IP地址。

　　綜上所述，由於無線局域網安全機制本身固有的安全脆弱性及無線傳輸介質特有的開放性和穿透性，如果再加上安裝實施或使用過程中的疏漏，其安全性將變得十分脆弱。為了保證無線局域網的數據安全，除了安裝配置和管理上應加強防范之外，用戶端同樣要加強防范。使用口令及個人防火牆可防止數據被非授權訪問;對於安全級別要求較高且無線網又與內部有線網相連的場合，可以使用企業級防火牆並配以VPN和RADIUS;對高度敏感的數據使用第三方的、基於應用層的強加密算法對數據進行加密，可以繞過各種對無線網的有效攻擊。只有確保無線網應用各環節的安全，才能充分發揮無線網的優越性