局域网安全问题

局域网安全问题（精选12篇）

局域网安全问题 第1篇

随着社会经济的飞速发展, 人们对生活质量的要求也越来越高。互联网的迅速普及, 使广域网应用和局域网应用成为企事业发展中不可缺少的一部分。然而, 在感受网络所带来的便利的同时, 也面临着各种各样的进攻和威胁:机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵等等。目前在广域网中已有了相对完善的安全防御体系, 防火墙、防毒墙、IDS等重要的安全设施大致集中在机房或网络入口处, 在这些设备的严密监控下, 来自网络外部的安全威胁大大减小。但在局域网中, 虽然有些企业也建立了相应的局域网络安全系统, 并制定了相应的网络安全使用制度, 但在实际使用中, 并未起到较好的效果。由于用户对操作系统安全使用策略的配置及各种技术选项意义不明确, 各种安全工具得不到正确的使用, 导致系统漏洞、违规软件、病毒、恶意代码入侵等现象层出不穷。针对来自网络内部的计算机客户端缺乏必要和有效的安全管理措施, 导致未经授权的网络设备或用户就可能通过局域网的网络设备自动进入网络, 形成极大的安全隐患。目前局域网的安全隐患正是来自网络系统本身存在的安全弱点, 而系统在使用和管理过程的疏漏则增加了安全问题的严重程度, 局域网安全形势十分严峻, 不可忽视。

2 局域网安全隐患分析

由于局域网的结构和采用的技术比较简单, 仅包括少数网络设备, 安全措施相对较少, 这给病毒传播提供了有效的通道, 为数据信息的安全埋下了隐患。通常局域网的安全威胁有以下几类:

2.1 漏洞和黑客攻击

由于局域网的主要功能就是资源共享, 而正是由于共享资源的“数据开放性”, 导致系统存在很多漏洞, 黑客就是利用了这些系统漏洞对系统进行攻击, 对数据信息进行篡改和删除。最常用的手段就是冒充一些真正的网站来骗取用户的敏感数据, 如用户名、口令、账号ID或信用卡详细信息等。由于用户缺乏数据备份和系统管理等方面的安全意识和安全手段, 因此经常会造成数据丢失、信息泄漏等问题。

2.2 病毒威胁

由于网络用户不及时安装防病毒软件和操作系统补丁, 或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。病毒和恶意代码攻击电脑后, 轻则使系统工作效率下降, 重则造成系统死机或瘫痪, 使部分文件或全部数据丢失, 甚至造成计算机硬件设备的损坏, 严重影响正常工作。

2.3 用户安全意识不强

许多用户使用移动存储设备来进行数据传递, 经常将外部数据不经过必要的安全检查就通过移动存储设备带入内部局域网, 同时将内部数据带出局域网, 这给木马、蠕虫等病毒的进入提供了方便, 同时也增加了数据泄密的可能性。另外一机两用甚至多用情况普遍, 笔记本电脑在内外网之间频繁切换使用, 许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用, 造成病毒的传入和机密信息的泄露。

3 局域网安全控制分析

3.1 人员网络安全培训

网络安全是个系统, 它是一个汇集了硬件、软件、网络、人员、协议等诸多元素的系统。从行业和组织的业务角度看, 主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行, 必须注重把每个环节落实到每个层次上。而进行这种具体操作的是人, 人正是网络安全中最薄弱的环节, 然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理, 注意管理方式和实现方法, 从而加强工作人员的安全培训, 增强内部人员的安全防范意识, 提高内部管理人员整体素质。对于局域网内部人员可以从以下几方面进行培训:

3.1.1 加强安全意识培训, 让每个工作人员

明白数据信息安全的重要性, 理解保证数据信息安全是所有计算机使用者共同的责任。

3.1.2 加强安全知识培训, 使每个计算机使

用者掌握一定的安全知识, 至少能够掌握如何备份本地数据, 保证本地数据信息的安全可靠。

3.1.3 加强网络知识培训, 通过培训掌握一

定的网络知识, 能够掌握IP地址的配置、数据的共享等网络基本知识, 树立良好的计算机使用习惯。

3.2 局域网安全技术和防控措施

网络安全管理是指保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作最重要的部分是客户端安全, 对网络安全运行威胁最大的也是客户端安全。只有解决网络内部的安全问题, 才可以排除网络中最大的安全隐患, 对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全问题的关键所在。

3.2.1 控制用户访问。

入网访问控制是保证网络资源不被非法使用, 是网络安全防范和保护的主要策略, 它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源, 控制用户入网的时间和在哪台工作站入网。用户被赋予一定的权限, 网络控制用户可以访问的目录、文件和其他资源, 指定用户对这些文件、目录、设备能够执行的操作。启用密码策略, 强制计算机用户设置符合安全要求的密码, 包括设置口令锁定服务器控制台, 以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据, 提高系统安全行, 对密码不符合要求的计算机在多次警告后阻断其连网。

3.2.2 采用防火墙技术。

防火墙可以是硬件也可以是软件, 与网络的其余部分隔开, 使内部网络与互联网或是其他外部网络之间相互隔离, 用来保护内网资源免遭非法使用者的侵入。它能够执行安全管制措施, 记录所有可疑事件。在防火墙上可以通过设置访问控制列表来限制网络互访, 它实际上是一个在两个网络之间实行控制策略的系统, 是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。

3.2.3 严控IP地址的使用。

在网络中启动IP地址绑定, 采用IP地址与MCA地址唯一对应、网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略, 可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。

3.2.4 加强数据保护。

对重要数据和文件采取必要的权限设置, 防止用户对目录和文件的误删除和修改, 防止用户查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。

3.3 病毒防治

病毒的侵入必将对系统资源构成威胁, 影响系统的正常运行。特别是通过网络传播的计算机病毒, 能在很短的时间内使整个计算机网络处于瘫痪状态, 从而造成巨大的损失。因此, 防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染, 防毒的关键是对病毒行为的判断, 如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的, 主要从以下几个方面。制定有针对性的防病毒策略:

3.3.1 增加安全意识和安全知识, 对工作人员定期培训。

首先明确病毒的危害, 文件共享的时候尽量控制权限和增加密码, 对来历不明的文件运行前进行查杀等, 都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒能够起到很重要的作用。

3.3.2 谨慎使用移动存储设备。

在使用移动存储设备之前进行必要的病毒扫描和查杀, 尽可能的避免病毒的入侵, 坚决把病毒拒绝在外。

3.3.3 挑选网络版杀毒软件。

一般而言, 查杀是否彻底, 界面是否友好、方便, 能否实现远程控制、集中管理是决定一个网络杀毒软件是否有效的三大要素。目前很多杀毒软件都做得相当不错, 能够熟练掌握杀毒软件使用, 及时升级杀毒软件病毒库, 有效使用杀毒软件是防毒杀毒的关键。

结语

通过以上策略的设置, 能够及时发现网络运行中存在的问题, 快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点, 及时、准确的切断安全事件发生点和网络。

局域网安全控制与病毒防治是一项长期而艰巨的任务, 需要不断的探索。随着网络应用的发展, 计算机病毒的存在形式及传播途径日趋多样化, 安全问题日益复杂化, 网络安全建设已不再像单台计算机防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系, 要具备完善的管理系统来设置和维护对安全的防护策略。

参考文献

[1]邓亚平.计算机网络安全[M].北京:人民邮电出版社, 2004.

[2]王秀和, 杨明.计算机网络安全技术浅析[J].中国教育技术设备, 2007, (5) .

如何解决城域网汇聚层之安全问题 第2篇

● 调整BRAS部署策略

进行BRAS边缘化，访问控制可以在边缘BRAS上进行，如果仍然保持集中方式，可以考虑在BRAS后部署防火墙，可以将原有BRAS访问控制功能转移到防火墙后，这样可以降低BRAS负载，及进行更细粒度的访问控制。

限制每个VLAN下的用户数量，减少PPP建立过程中广播包的广播范围，提高网络性能， BRAS推到边缘后，VLAN ID数目受到的限制问题也得到了缓解。

细粒度的三层访问控制在BRAS或BRAS设备后端三层设备上进行。

● 部署小容量BRAS服务器，PVLAN的划分和端口保护技术，专线用户的VLAN在城域网汇聚层终结

进行接入侧用户相互隔离，防止IP地址被盗用或仿冒，防止用户间的相互攻击；充分利用宽带接入服务器BRAS支持802.1q的特性，来实现对不同用户的服务，缩小广播域，提高城域网的整体服务性能。在用户侧部署中小容量的BRAS服务器，可把原来的超大二层网络分成若干个小型的二层网络，降低管理的难度和复杂度。

在若干小型网络中还可以继续划分PVLAN，PVLAN是在802.1Q VLAN的基础之产生的，是在VLAN内进行进一步的VLAN划分，从而可以实现灵活的用户隔离方案，即把同一VLAN里的不同端口进行逻辑的隔离，从而更好的进行同一个VLAN里不同端口出入流的控制。端口保护是对端口进行相应的配置来实现保护端口隔离，各个保护端口只允许与非保护端口进行信息交流，而各个保护端口之间的信息不能互通；一般来讲，PVLAN和端口保护技术结合使用效果会更好。

宽带专线用户的VLAN在城域网汇聚层终结，这样可以防止用户的广播包对骨干交换机的冲击。基于LAN的专线用户，通过专线直接连到网络核心，当用户发起广播时，就会使核心网络路由表产生波动，还会影响核心网络设备的性能，所以建议在汇聚层终结，再把信息上传到网络核心，

● 用户认证机制，安全密码体系

目前常见的用户认证机制主要可以分为两大类，一种是基于网关的验证机制，利用BRAS+AAA验证服务器完成对用户的身份验证， AAA绑定一般采用的都是静态绑定方式，而动态绑定一般是在接入设备上实现的，绑定技术的有效应用，主要用于解决账号盗用，用户定位等问题。另外一种认证机制是将用户的数据流和控制信息分开，认证服务只需对用户的认证信息（控制信息）进行验证，通过验证后，用户数据包就不再通过认证服务器而直接由交换机处理。

根据我们实际的情况，对于纯的DLSAM汇聚方式那部分网络，可以采用第一种基于网关的验证机制，利用BRAS+AAA验证服务器完成对用户的身份验证，所有拨号用户都首先进行拨号与 BRAS进行连接，从BRAS获得动态分配给的IP地址，并从AAA服务器获得用户名验证信息，从而完成通信。

对于具有支持IEEE802.1X认证机制的二层以太交换机部分，我们采用第二种基于IEEE802.1X的认证机制，IEEE802.1X认证机制是把用户的认证和交换机端口激活联系在一起，交换机要求用户提供有关的用户名和口令信息，通过了认证，端口就激活，实现正常访问，否则断开。

通过上述认证机制可以实现基于用户的访问权限控制、计费和服务类型控制，而不是基于每个站点内的所有用户计费。

● IP地址、MAC地址、用户名及卡号绑定

IP地址、MAC地址、用户名及卡号绑定能够准确定位用户，并可提供追查恶意用户的。

对于纯DLSAM拨号用户可实现MAC、端口和用户名绑定，将不同VLAN内对应用户的MAC地址送到BRAS，再由BRAS将其送到AAA服务器，实现与用户名和MAC的绑定。进而防止个人用户的帐号、密码被盗用，也可确定出用户上网的位置，如果用户名和密码被盗，通过这一方式可以确定偷盗者的上网地点和时间，为问题的解决提供重要线索。

● 流量整形、拥塞控制、队列调度及CAR等QoS保障

在网络设备上对用户接入的业务流进行匹配，对相应用户业务流按照约定的速率进行带宽限制，通过入口或出口的CAR和流量整形进行调整，保证重要业务流的带宽；进行拥塞设置，当流量超过缓存值时，路由器入口处就将该流量超过阀值的数据包丢弃，同时告诉数据源端的TCP应用减少窗口尺寸。

浅谈局域网安全问题及对策 第3篇

【摘要】局域网在当今各单位信息化建设中的作用举足轻重，但其存在的安全问题也不容忽视。本文在分析威胁局域网安全主要因素的基础上，着重探讨了安全立法、教育管理以及技术等方面的防范措施，对提高局域网使用中的安全性具有重要意义。

【关键词】局域网 安全 措施 技术

【中图分类号】TP39 【文献标识码】A 【文章编号】1672-5158（2013）01—0146-01

当今社会，基于网络技术的局域网在各单位、企业、公司广泛应用，并发挥了举足轻重的作用。然而，局域网在给我们工作生活带来巨大便利的同时，也存在不容忽视的安全问题。分析局域网安全问题，并采取相应措施加以防范，对于一个单位的办公安全、经济安全乃至整个数据信息的安全都具有十分重要的意义。

一、威胁局域网安全的主要因素

目前，局域网中重建设使用、轻安全管理的现象还很普遍。因此，对安全领域的投入和管理远远不能满足安全防范的要求。

（一）安全意识淡薄

局域网用户信息安全的观念和意识明显滞后于网络建设速度，这是局域网安全问题的思想根源。比如有的用户为图方便，随意开启硬盘和打印机共享、远程桌面连接等功能，为他人从远程发动攻击提供了途径；有的用户在日常使用中，对超级管理员帐号不设密码或所设密码过于简单，他人很容易猜出密码而获得超级权限。

（二）人为攻击

人为恶意攻击是局域网安全的主要威胁。攻击者利用系统的漏洞或用户的疏忽，以各种方式有选择地破坏信息的有效性、完整性和真实性，其目的在于篡改系统中所含信息，或改变系统的状态和操作，或通过信息的破译以获得重要机密信息，对网络安全造成极大的危害，并导致机密数据的泄漏。

（三）计算机病毒

自从1986年计算机病毒的出现被专家们在实验中证实以后，便迅速蔓延到全世界，一个小巧的病毒程序可令一台微型计算机、一个大型计算机系统或一个网络陷入瘫痪。这充分反映了计算机病毒的危害性。这样的例子很多，例如一个网络教室局域网经常会发生这样的情况：一台机子染毒，稍不注意，很快所有机子都被感染并使局域网瘫痪。

（四）网络软件漏洞和“后门”

我们使用的网络软件不可能是百分之百无缺陷和漏洞的。这些漏洞和缺陷恰恰也是黑客进行攻击的首选目标。软件的“后门”是软件设计编程人员为自便而设置的，一般不为外人所知，可是一旦“后门”洞开，将使黑客对网络系统资源的非法使用成为可能。

二、局域网安全问题主要对策

局域网安全是一个复杂的系统工程，它至少应包括：社会的法律法规；安全教育；安全管理；技术措施如防火墙、网络防毒、信息加密、网络监控等。

（一）安全立法是前提

随着网络应用的普及，计算机犯罪日益增加。网络的发展需要法律的支持和保障。世界各国纷纷制定相关的法律法规。我国《刑法》对计算机犯罪作了明文规定，对多种计算机犯罪形式规定了相应的惩治条款，这是防范、打击计算机犯罪的有力武器。先后出台的《计算机信息系统保密管理暂行规定》、《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》等为确保计算机信息网络健康有序地发展提供了保障。

（二）教育管理是保障

对于局域网安全而言，法律制裁只能提供一种威慑，我们还必须从教育管理的角度采取措施，增加局域网系统的自我防范能力。安全教育的目的不仅是提高防范意识，同时还要自觉抵制利用计算机进行各类犯罪活动的诱惑。重视信息化的安全教育，还在于尽快培养一批信息化安全的专门人材，提高全民的信息化安全意识。此外，要建立与系统相配套的有效地和健全的管理制度，对管理和操作人员起到鼓励和监督的作用；要制定预防措施和恢复补救办法，杜绝人为差错和外来干扰，保证网络运行过程有章可循、按章办事。

（三）安全技术是基础

一是防火墙技术。防火墙是位于局域网与外部网络之间的屏障，它主要对进出局域网的数据包进行过滤。它一般有包过滤技术、代理技术和应用网关技术等三种工作方式。包过滤技术通过数据包的简单信息对其安全性加以判断，因此，其安全性不高。而应用网关技术则将要进入局域网的信息包打开，检查里面的内容有没有破坏性的信息。一旦信息包被检查通过，网关按其内容创建一个新的信息包在局域网中传输，从而确保网内数据包的安全。代理服务技术则是在局域网与外部网络之间设立一个代理服务器，局域网与外部网络之间没有直接的连接关系。局域网内部的客户机欲访问外部网络，首先访问作为防火墙的代理服务器，然后通过代理服务器运行的代理服务程序，再去访问外部网络的资源。因此，代理服务技术有较高的安全性。

二是数据加密技术。加密技术是在存储或传输数据之前，先对数据按照一定的规则进行编码，以防止非法用户读取数据，从而保障信息数据的安全性。目前，网络中常用的加密方法有对称密钥加密方法和非对称密钥加密方法两大类。对称密钥加密方法虽然简单易行，但它也存在密钥管理量巨大、易被破解等问题。而非对称密钥加密法采用了复杂的数学处理，因此其加密强度高但加密速度较慢。在实际应用中，通常把非对称密钥法与对称密钥法结合起来以实现最佳性能。对涉密信息在局域网内部存储以及在网间传输可以使用上述加密法进行处理，以提高信息的保密性。

三是安全监控技术。网络安全监控就是检查网络中的各个系统的文件和登录以及各种网络行为。常用的方法有入侵检测和漏洞扫描。入侵检测系统位于局域网与外部网络之间或位于局域网的敏感部位，通过实时截获网络数据流，将用户当前的网络行为与其正常行为的统计概要或入侵行为规则进行对比，寻找网络攻击行为和违规的网络活动。一旦发现网络攻击或违规活动时，入侵检测系统能够根据系统安全策略做出实时响应，包括实时报警、自动阻断通信连接或执行用户自定义的策略程序等。而漏洞扫描本身并不能起到保护计算机系统的作用，对每个发现的漏洞也不会及时加补丁。漏洞扫描只是帮助局域网管理者发现入侵者潜在的进入点。漏洞扫描不检测合法用户不合适的访问，也不检测已经在系统中的入侵者。因此其安全功能具有一定的局限性。

四是数据备份和冗余技术。数据备份是把存储的数据复制到其他存储介质上，以确保在系统发生灾难事件后能尽可能的恢复数据减小损失。数据冗余技术是一种技术更高的磁盘备份技术，它是将数据同时写入不同硬盘，就好像是同时建立了几个相同的硬盘，一个出故障，另一个能立即顶替，防止系统硬盘的单点故障，保证系统不间断的正常工作。这一安全环节与局域网管理员的实际工作关系密切，所以系统管理员要定期地备份文件系统或选择合适的磁盘冗余阵列，以便在非常情况下（如系统瘫痪或受到黑客的攻击破坏时）能及时恢复系统，将损失减少到最低。

五是病毒防治技术。病毒的防治，防是主动的，治是被动的。防就是尽量避免病毒的入侵。我们应尽量做到：对外来存储介质要做到先扫描杀毒然后再使用；不要随意打开来历不明的文件或邮件。在治理上，则要尽量安装正版知名的杀毒软件，并经常对杀毒软件病毒库升级，对全盘进行彻底扫描杀毒。

无线局域网安全问题分析及对策 第4篇

1 无线局域网技术概述

无线局域网广泛应用于无线终端较为密集的场所。目前采用的技术主要是?依据802.11系列标准。无线局域网具有不受地理位置约束的灵活性, 在无线信号覆盖区域内的任何一个位置都可以接入网络。无线局域网另一个最大的优点在于其移动性, 连接到无线局域网的用户可以移动且能同时与网络保持连接。无线局域网可以在相当大程度上减少网络布线的工作量, 一般只要安装一个或多个接入点设备, 就可建立覆盖整个区域的局域网络, 易于进行网络规划和调整。无线局域网易于扩展, 可进行多种配置。

IEEE802.11是在1997年通过的标准, 规定了无线局域网在2.4GHz波段工作, 这一波段被全球无线电法规实体定义为扩频使用波段。1999年, 802.11标准得到了进一步的完善和修订, 主要增加了两项内容, 一是802.11a, 它扩充了标准的物理层, 频带为5G H z, 采用Q F SK调制方式, 传输速率为6Mb/s-54Mb/s。另一种是802.11b标准, 在2.4GHz频带, 采用直接序列扩频 (DSSS) 技术和补偿编码键控 (CCK) 调制方式, 该标准可提供11Mb/s的数据速率, 还能够根据情况的变化, 在11Mbps、5.5Mbps、2Mbps、1Mbps的不同速率之间自动切换。它从根本上改变无线局域网设计和应用现状, 扩大了无线局域网的应用领域。目前, 大多数无线局域网产品都是基于802.11b标准。

2 无线局域网安全隐患问题

(1) WEP破解。现在互联网上存在一些程序, 能够捕捉位于无线信号覆盖区域内的数据包, 收集到足够多的WEP (无线加密协议) 弱密钥加密包, 进行分析从而实现恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量, 在较短的时间就能够破解WEP密钥。 (2) 网络窃听。一般说来, 大多数网络通信都是以非加密格式出现的, 这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络, 所以, 这种威胁已经成为无线局域网面临的主要风险。 (3) 假冒攻击。某个非法用户借用合法用户身份访问无线网络, 即构成所谓的假冒攻击。这是侵入某个安全防线最为通用的方法。在无线网络中, 必须通过无线信道传输身份信息, 身份信息在无线信道中传输时可能被窃听, 当攻击者截获一合法用户的身份信息时, 可利用该用户的身份侵入网络。 (4) MAC地址欺骗。通过网络窃听工具获取数据, 从而进一步获得接入点允许通信的静态地址池, 这样非法用户就可以通过MAC地址伪装等手段合理接入网络。

3 无线局域网安全措施

(1) 使用无线加密协议。对于标识验证和身份验证, IEEE802.11定义了开放式系统和共享密钥身份验证子类型。

开放式系统身份验证实际上不提供身份验证, 而只是通过发送者与接收者之间的消息交换执行标识验证。共享密钥身份验证通过验证发送者是否知道共享密钥来提供身份验证。802.11标准假定通过一个独立于802.11的安全通道把共享密钥发送到无线访问点。为了增强安全性和连接性, 请不要使用共享密钥身份验证。共享密钥身份验证的安全性不如开放式系统身份验证。无线加密协议 (WEP) 是无线网络上信息加密的一种标准方法。现在较新的无线路由器都对用户提供加密数据的选择。从技术角度看, Wi-Fi保护访问技术 (WPA和WPA2) 要比WEP协议更加健壮, 因而在保障无线通信安全方面作用更大。

对于加密, 802.11定义WEP算法。WEP通过加密无线客户端和无线访问点之间发送的数据来提供数据保密。WEP使用具有标准的40位加密密钥或104位加密密钥的RC4流密码。流密码是一种加密文本的方法, 其中, 在数据流的每个二进制数字中都应用加密密钥和算法。RC4流密码可接受任意长度的密钥。数据完整性是通过无线帧加密部分中的完整性检查值提供的。

WPA是由Wi-Fi联盟开发的一种新型无线网络安全技术。WPA使现有的WEP加密薄弱环节得到增强, 并引入了能够自动生成并分发加密密钥的机制。此解决方案还引入了数据完整性检查, 因此攻击者无法修改传送的数据包信息。为改进企业级用户身份验证, WPA验证网络上每一个用户身份, 同时防止这些用户加入恶意网络。WPA为解决WEP存在的弱点提供了一种切实可行的方法。

(2) 使用MAC地址过滤通常, 无线路由器和访问点都拥有防止未知的无线设备连接到网络的能力。这种功能是通过比较试图连接到路由器的设备MAC地址和路由器所保存设备的MAC地址而实现的。不过, 一般路由器默认初始配置此特性是关闭的, 通过启用这种特性, 并且只允许路由器本单位或家庭中无线设备的MAC地址, 就可以防止非法盗用网络连接, 从而提升无线接入的安全性。

(3) 设置安全口令。为无线网络访问设置一个口令至关重要。选择一个强口令有助于无线网络的安全, 但不要使用无线路由器出厂的默认口令, 最好设置成强口令。此外, 在不使用时将无线网络关闭以减少被黑客利用的机会。

(4) Windows防火墙。Windows防火墙运行在所有客户端和服务器上, 它可以保护客户端和服务器免受通过外面网络或内部的网络攻击, 如特洛伊木马攻击、端口扫描攻击以及蠕虫病毒。像许多防火墙技术一样, Windows防火墙也是一种基于状态检测的防火墙。只要不是应计算机的请求发送的或者没有被指定为允许, 防火墙就会将进行屏蔽。值得注意的是, 带有SP1的Wind owsServer2003中, Windows防火墙默认情况下禁用所有连接。

4 结语

对于无线局域网中存在的安全隐患, 网络管理员要根据实际情况, 找出自身网络中的安全薄弱环节, 综合运用多种对策措施, 加强技术防范力度。

参考文献

[1]李小青, 李晖, 马建峰.无线自组网中有效的证密钥协商方案[J].计算机科学, 2011, 38 (3) :73～75.

[2]邬春学, 王吉霞, 张凤娜.IEEE802.11i协议密钥协商机制的分析与改进[J].微型机与应用, 2011, 30 (6) :62～65.

局域网安全技术 第5篇

2.1 防火墙安全策略

防火墙是将内部网络和外部网络分开的设备，是提供信息安全服务、实现网络和信息安全的重要基础设施。

防火墙主要用于限制被保护的内部网络与外部网络之间进行的信息存取、信息传递等操作，保护内部网络不受外界不安全信息的干扰。

2.2 入侵检测系统

入侵检测系统是从多种计算机系统及网络系统中收集信息，再通过此次信息分析入侵特征的网络安全系统。

该系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击;并且在入侵攻击过程中，能减少入侵攻击所造成的损失;在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵。

2.3 数据备份

后台数据库是系统的核心，所有功能的实现都是靠后台数据库支撑的，考虑到系统及数据的安全性，可采用两台机器作为数据库服务器(一主一备)，操作系统授予不同用户不同的权限。

同时，系统管理员要养成良好的安全管理习惯，例如：定期修改管理员口令，避免使用规律的、易猜测的密码，定期检查安全漏洞等。

2.4 安装杀毒软件

培养集体防毒意识，部署统一的防毒策略。

安装网络版杀毒软件，对局域网用户的电脑进行统一的防毒策略，统一管理，按时查杀病毒，高效及时地应对病毒的入侵。

2.5 访问权限控制

访问权限控制是指对合法用户进行的对存储信息的文件或数据操作权限控制这种权限主要对信息资源的读、写、执行等。

信息存储访问权限控制主要采用以下方法：确定合法用户对信息的访问权限，定期检查存储信息的访问权限和操作权限。

2.6 网络安全制度

1)每天定时检查网络设备，及时排除故障，保障网络设备自身和网上信息的安全。

2)组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高工作人员的维护网络安全的警惕性和自

觉性。

3)对本局域网用户进行安全教育和培训，提高用户的网络安全意识。

4)对已经发生的网络破坏行为在最短的时间内做出响应，使损失减少到最低限度。

3 结束语

局域网安全问题是一个全方位、多层次的问题，需要不断地完善和提升。

网络的安全不能单靠技术手段一劳永逸的解决，人的因素十分重要。

因此，要做好内部网络安全，不仅需要高新的安全技术手段、周密的安全策略，更需要不断提高系统管理人员和系统使用人员的安全意识。

只有在物力和人力资源都充分发挥作用的基础上，网络安全才能得到有效保障。

参考文献

[1]张敏波.网络安全实战详解[M].北京:电子工业出版社,2008.

[2]胡道元.计算机局域网[M].北京:清华大学出版社,2001.

[3]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003.

局域网安全问题 第6篇

关键词：无线局域网；安全性；IEEE802.11

中图分类号：TN925.93 文献标识码：A 文章编号：1674-7712 （2012） 18-0117-01

一、简介

无线局域网是在有线网络上发展起来的，是无线传输技术在局域网技术上的运用，而其大部分应用也是有线局域网的体现。由于无线局域网在诸多领域体现出的巨大优势，因此对无线局域网络技术的研究成为了广大学者研究的热点。无线局域网具有组网灵活、接入简便和适用范围广泛的特点，但由于其基于无线路径进行传播，因此传播方式的开放性特性给无线局域网的安全设计和实现带来了很大的问题。目前无线局域网的主流标准为IEEE802.11，但其存在设计缺陷，缺少密钥管理，存在很多安全漏洞。本文针对IEEE802.11的安全性缺陷问题进行分析，并在此基础上对无线局域网的安全研究做出分析。

二、无线局域网的结构

根据不同局域网的应用环境与需求的不同，无线局域网可采取不同的网络结构来实现互联。常用的具体有如下几种：

（1）网桥连接型：不同的局域网之间互联时，由于物理上的原因，若采取有线方式不方便，则可利用无线网桥的方式实现二者的点对点连接，无线网桥不仅提供二者之间的物理与数据链路层的连接，还为两个网的用户提供较高层的路由与协议转换。

（2）基站接入型：当采用移动蜂窝通信网接入方式组建无线局域网时，各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网，还可以通过广域网与远地站点组建自己的工作网络。

（3）HUB接入型：利用无线Hub可以组建星型结构的无线局域网，具有与有线Hub组网方式相类似的优点。在该结构基础上的WLAN，可采用类似于交换型以太网的工作方式，要求Hub具有简单的网内交换功能。

（4）无中心结构：要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道，MAC层采用CSMA类型的多址接入协议。

三、无线局域网的安全现状及安全性缺陷

由于无线局域网采用公共的电磁波作为载体，传输信息的覆盖范围不好控制，因此对越权存取和窃听的行为也更不容易防备。具体分析，无线局域网存在如下两种主要的安全性缺陷：

（一）静态密钥的缺陷

静态分配的WEP密钥一般保存在适配卡的非易失性存储器中，因此当适配卡丢失或者被盗用后，非法用户都可以利用此卡非法访问网络。除非用户及时告知管理员，否则将产生严重的安全问题。及时的更新共同使用的密钥并重新发布新的密钥可以避免此问题，但当用户少时，管理员可以定期更新这个静态配置的密钥，而且工作量也不大。但是在用户数量可观时，即便可以通过某些方法对所有AP（接入点）上的密钥一起更新以减轻管理员的配置任务，管理员及时更新这些密钥的工作量也是難以想象的。

（二）访问控制机制的安全缺陷

1.封闭网络访问控制机制：几个管理消息中都包括网络名称或SSID，并且这些消息被接入点和用户在网络中广播，并不受到任何阻碍。结果是攻击者可以很容易地嗅探到网络名称，获得共享密钥，从而连接到“受保护”的网络上。

2.以太网MAC地址访问控制表：MAC地址很容易的就会被攻击者嗅探到，如激活了WEP，MAC地址也必须暴露在外；而且大多数的无线网卡可以用软件来改变MAC地址。因此，攻击者可以窃听到有效的MAC地址，然后进行编程将有效地址写到无线网卡中，从而伪装一个有效地址，越过访问控制。

四、无线局域网安全保障策略

（一）SSID访问控制

通过对多个无线接人点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接人，并对资源访问的权限进行区别限制。

（二）MAC地址过滤

每个无线客户端网卡都有唯一的一个物理地址，因此可以通过手工的方式在在AP中设置一组允许访问的MAC地址列表，实现物理地址过滤。

（三）使用移动管理器

使用移动管理器可以用来增强无线局域网的安全性能，实现接入点的安全特性。移动管理器可以提高无线网络的清晰度，当网络出现问题时，它能产生告警信号通知网络管理员，使其能迅速确定受到攻击的接入点的位置。而且其降低接入点受到DOS攻击和窃听的危险，网络管理员设置一个网络行为的门限，这个门限在很大程度上减小了DOS攻击的影响。通过控制接入点的配置，可以防止入侵者通过改变接入点配置而连接到网络上。

（四）运用VPN技术

VPN技术的运用可以为无线网络的安全性能提供保障。VPN技术通过三级安全保障：用户认证、加密和数据认证来实现无线网络的安全性保证。用户认证确保只有已被授权的用户才能够进行无线网络连接、发送和接收数据。加密确保即使攻击者拦截窃听到传输信号，没有充足的时间和精力他也不能将这些信息解密。数据认证确保在无线网络上传输的数据的完整性，保证所有业务流都是来自已经得到认证的设备。

（五）采用802.1x 基于端口的认证协议

802.1x为接入控制搭建了一个新的框架，使得系统可以根据用户的认证结果决定是否开放服务端口。基于802.1x认证体系结构，其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。接入设备用来传送用户与后台RADIUS服务器之间的会话数据包。这种认证机制的好处是方便了管理，可以更容易地与现有的资源融合，802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，更适合公共无线接入解决方案。

参考文献：

[1]张仕斌.网络安全技术[M].北京：清华大学出版社，2004.

关于局域网信息安全问题的探讨 第7篇

1 局域网的安全形势

目前局域通信网络已成为各单位在办公自动化建设过程中的首选, 所以加强局域网安全管理具有极其重要意义。局域网是具有一定地理范围的, 通过将相关配套设备、计算机设备及数据库进行有效连接的网络通信系统, 其网络安全是指网络系统在运行过程中没有因为发生虚拟风险而带来损失。目前在信息化快速发展的情况下, 网络已在全球范围内进行广泛应用, 人们在享受网络所带来的便利和快捷的同时, 其所存在的网络信息安全隐患也无时不在威胁着网络的安全。特别是当前各企事业单位利用局域网进行办公, 在享受即时数据传输及资源共享便利的同时, 也需要加强网络信息安全的维护工作, 从而有效的避免由于外部入侵或是内部管理不善而给网络信息所带来的安全隐患, 所以制定完善的局域网的安全管理制度和安全管理策略, 并在日常操作中加强使用者安全防范的意识。但在实际情况中, 则存在着使用者缺乏安全防范的经验及知识, 各项安全防范措施都没有得到彻底的贯彻落实, 系统存在着漏洞, 从而导致病毒及攻击现象大量的存在, 使局域网的信息安全难以保证。

2 局域网存在的安全威胁

(1) 服务器区域缺乏独立防护。局域网由内部服务器来对区域内的所有计算机进行连接, 由于其内部数据信息可以实现即时传输, 所以局域网内任何一台计算机感染了病毒, 则会在局域网内进行快速的传播, 使所有计算机都会受到传染, 导致网络处到瘫痪状态, 这种情况的发生, 主是由于局域网内部服务区域没有进行独立的防护, 这就为病毒的传播提供了可乘之机。

(2) 用户安全防护意识缺乏。局域网由于与外部进行连接, 所以部分用户对局域网信息安全缺乏必要的防护意识, 在外网进行下载, 而对下载的内容也不进行安全检测即进行使用, 这极易导致病毒及恶意代码借由下载的内容在局域网内进行扩散, 进行数据信息的盗取或是导致系统瘫痪, 给企事业单位带来无法估量的损失。

(3) 内网信息数据过度开放。局域网是基于单位内部资源共享的目的而建立的, 这种内网的数据信息开放性质, 在无形中为信息的泄露和篡改大开方便之门, 极易造成非法的外部网络设备或非法用户通过局域网络的相关设备进入内网, 对局域网的数据信息造成严重的威胁。

(4) 计算机病毒及恶意代码的威胁。互联网的繁荣发展还伴随计算机病毒等恶意软件的衍生, 一旦用户稍有疏忽, 未能及时更新病毒库或者安装系统补丁, 就会为计算机病毒的入侵提供可能。另外, 通过寄生软件修改软件信息的恶意代码也是威胁局域网络信息安全的重要隐患。

3 完善局域网安全的具体策略

(1) 加强局域网用户的信息安全意识。网络活动的主要参于者即是人, 所以在网络安全防护体系建设中人发挥着非常重要的作用。局域网信息安全的防护需要不断的强化用户的信息安全意识, 使其认识到局域网信息安全的重要性, 从而在日常操作中及时防范安全隐患的发生, 确保网络信息的安全, 建立起自觉维护局域网信息安全的良好习惯。

(2) 进行加密处理。数据加密是对重要信息进行保护的最有效方法。数据加密就是在信息传输过程中对信息进行有效隐藏, 避免非法用户入侵造成的信息丢失或篡改, 很大程度上保障了信息的保密性、安全性和完整性。

(3) 利用软件实现对重要资料的备份。网络用户的误操作不仅会造成系统的漏洞, 还会为资料的泄露或丢失埋下隐患。因此, 维护局域网信息安全, 必须对重要资料进行定期备份。具体说来, 用户可以选用操作便捷、方式灵活的备份专业软件和恢复软件进行配合使用, 有效防止设备故障、人为误操作或黑客入侵造成的数据信息破坏, 全面提升局域网的信息安全系数。

(4) 加强计算机病毒的防范。计算机病毒复杂多变, 伴随邮件、软件、木马程序等多种方式入侵网络系统, 局域网的病毒防范工作必须落实到位。首先, 杀毒方式和病毒库要与互联网实现同步更新, 将手动查杀和自动检测有机结合, 随时随地注意杀毒软件的运作情况。其次, 加强对高危软件或系统的实时监控, 对重要的应用程序进行有效保护。最后, 相关软件厂商应该及时关注病毒爆发的情况, 及时推出相关的病毒解决方法或研发相关的新型杀毒软件。

4 结语

随着互联网技术的快速发展, 各种病毒技术也加快了发展的速度, 局域网所面临的信息安全风险开始呈现多样化和复杂化的特点, 在这种情况下, 就需要在日常工作中加强局域网防护措施的落实, 对于局域网内存在的隐患原因进行分析, 根据具体成本采取切实有效的方法来进行应对, 使局域网环境具有安全性和稳定性, 确保局域网内数据信息的安全性。

摘要：我国处于知识经济快速发展的关键时期, 互联网技术得到广泛的应用, 目前在各企事业单位中都利用内部局域网来进行自动化办公, 实现网络资源的共享, 使办公效率更高, 但局域网为办公创造便捷的同时, 也引发了较多的安全问题。本文从局域网的安全形势入手, 分析了局域网存在的安全威胁, 并进一步对完善局域网安全的具体策略进行了阐述。

关键词：局域网,内部信息,安全,数据,病毒

参考文献

[1]杨洁, 邱爽.关于局域网信息安全的有效策略[J].科技传播, 2010, (23) :224.

[2]罗廉政.局域网网络信息安全与病毒防范分析[J].企业家天地 (下旬刊) , 2011, (10) :178.

浅谈无线局域网的网络安全问题 第8篇

1 无线局域网网络安全特点

安全性主要包括访问控制和加密两大部分。访问控制保证只有授权用户能访问敏感数据, 加密保证只有正确的接收者才能理解数据。目前, 无线网络使用最广泛的IEEE 802.11b标准提供了两种手段来保证WLAN的安全SSID服务配置标示符和WEP无线加密协议。SSID提供低级别的访问控制, WEP是可选的加密方案, 它使用RC4加密算法, 一方面用于防止没有正确的WEP密钥的非法用户接入网络, 另一方面只允许具有正确的WEP密钥的用户对数据进行加密和解密。

2 常见的无线网络安全技术

2.1 服务集标识符 (SSID)

通过对多个无线接入点AP (Access Point) 设置不同的SSID, 并要求无线工作站出示正确的SSID才能访问AP, 这样就可以允许不同群组的用户接入, 并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令, 从而提供一定的安全, 但如果配置AP向外广播其SSID, 那么安全程度还将下降。由于一般情况下, 用户自己配置客户端系统, 所以很多人都知道该SSID, 很容易共享给非法用户。目前有的厂家支持"任何 (ANY) "SSID方式, 只要无线工作站在任何AP范围内, 客户端都会自动连接到AP, 这将跳过SSID安全功能。

2.2 物理地址过滤 (MAC)

由于每个无线工作站的网卡都有唯一的物理地址, 因此可以在AP中手工维护一组允许访问的MAC地址列表, 实现物理地址过滤。这个方案要求AP中的MAC地址列表必须随时更新, 可扩展性差;而且MAC地址在理论上可以伪造, 因此这也是较低级别的授权认证。物理地址过滤属于硬件认证, 而不是用户认证。这种方式要求AP中的MAC地址列表必须随时更新, 目前都是手工操作;如果用户增加, 则扩展能力很差, 因此只适合于小型网络规模。

2.3 连线对等保密 (WEP)

在链路层采用RC4对称加密技术, 用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源, 从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位 (有时也称为64位) 和128位长度的密钥机制, 但是它仍然存在许多缺陷, 例如一个服务区内的所有用户都共享同一个密钥, 一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的, 要手工维护, 扩展能力差。目前为了提高安全性, 建议采用128位加密钥匙。

2.4 Wi-Fi保护接入 (WPA)

WPA (Wi-Fi Protected Access) 是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法, 因此即便收集到分组信息并对其进行解析, 也几乎无法计算出通用密钥。其原理为根据通用密钥, 配合表示电脑MAC地址和分组信息顺序号的编号, 分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理, 所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据, 要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能, WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法, 而且有更为丰富的内涵。作为802.11i标准的子集, WPA包含了认证、加密和数据完整性校验三个组成部分, 是一个完整的安全性方案。

2.5 其他无线网络方面的技术

无线局域网还有些其他好的安全特性。首先无线接人点会过滤那些对相关无线站点而言毫无用处的网络数据, 这就意味着大部分有线网络数据根本不会以电波的形式发射出去;其次, 无线网的节点和接入点有个与环境有关的转发范围限制, 这个范围一般是几英尺。这使得窃听者必须处于节点或接人点的附近。最后, 无线用户具有流动性, 他们可能在一次上网时间内由一个接人点移动至另一个接人点, 与之对应, 他们进行网络通信所使用的跳频序列也会发生变化, 这使得窃听几乎毫无可能。

3 无线局域网安全防范的措施

3.1 采用端口访问技术 (802.1x) 进行控制, 防止非授权的非法接入和访问。

3.2 采用128位WEP加密技术, 并不使用产商自带的WEP密钥。

3.3 对于密度等级高的网络采用VPN进行连接。

3.4 对AP和网卡设置复杂的SSID, 并根据需求确定是否需要漫游来确定是否需要MAC绑定。

3.5 禁止AP向外广播其SSID。

3.6 修改缺省的AP密码。

3.7 布置AP的时候要在公司办公区域以外进行检查, 防止AP的覆盖范围超出办公区域, 同时要让保安人员在公司附近进行巡查, 防止外部人员在公司附近接入网络。

3.8 禁止员工私自安装AP, 通过便携机配置无线网卡和无线扫描软件可以进行扫描。

3.9 如果网卡支持修改属性需要密码功能, 要开启该功能, 防止网卡属性被修改。

3.1 0 配置设备检查非法进入公司的2.4G电磁波发生器, 防止被干扰。

3.1 1 制定无线网络管理规定, 规定员工不得把网络设置信息告诉公司外部人员, 禁止设置P2P的Ad hoc网络结构。

3.1 2 跟进最新的无线网络技术, 特别是安全技术 (如802.11i对密钥管理进行了规定) , 对网络管理人员进行知识培训。

4 结束语

现在, 企事业单位的网络, 无论是有线局域网还是无线局域网, 大多数的局域网都必须要有一定级别的安全措施。从上述讨论中, 我们了解到保障企业局域网网络安全的重要性。我们通过对无线局域网进行网络安全设置, 能够使企事业单位无线局域网的网络安全得到保证。

摘要：由于无线局域网采用公共的电磁波作为载体, 任何人都有条件窃听或干扰信息, 因此对越权存取和窃听的行为也更不容易防备。现在, 随着无线局域网应用领域的不断拓展, 其安全问题也越来越受到重视。本文着重分析无线局域网的网络安全技术, 并提出了无线局域网网络安全设置的一些措施。

关键词：无线局域网,无线接入点,网络安全

参考文献

[1]史和光.浅谈无线局域网的架构及其网络安全[J].科学研究与实践.2007年第15期.

[2]赵莉, 徐春妹.基于WLAN技术的无线校园网组网研究[J].信息通信.2008. (05) .

[3]余智, 汤旭翔.无线网络在校园网中的应用[J].计算机时代.2007. (03) .

[4]汪海涛.计算机网络基础[M].第一版.北京:中国铁道出版社.2006.

计算机局域网管理与安全问题研究 第9篇

关键词：计算机,局域网,管理,安全

随着信息技术的不断进步, 计算机在人们的生活中越来越普及, 越来越多的企业、学校等机构都建立了自己的计算机区域网, 通过网络存储与传输各种数据。但随着社会竞争的越来越激烈, 使计算机区域网的安全问题越来越突出。计算机网络一旦受到外界的攻击, 会造成严重的损失, 不仅会使网络拥堵, 降低工作效率, 还会导致计算机系统瘫痪、账号被盗用、数据丢失以及机密信息公开化等。因此, 对计算机区域网的管理以及安全问题的研究就成为了当前计算机用户的重点工作。

1 局域网的管理

在计算机的日常工作中, 计算机区域网经常会出现各种各样的问题, 严重降低了工作效率。为此, 要针对这些问题提出相应的对策, 才能保证计算机的工作效率。

1.1 计算机不能上网

1.1.1 网卡程序问题

在日常工作工作中, 如果联网的计算机无法实现上网功能, 就要检查网卡是否工作。通常通过Ping本机的回送地址, 从而判断网卡硬件安装和TCP/IP协议是否正确, 要是可以Ping通, 就可以排除这方面的问题。但如果因为超时而Ping不上, 就必须对计算机的网卡进行检查, 从而判断网卡与其他设备之间是否存在冲突导致中断。检查网卡故障首先就要利用设备对网卡的安装驱动程序进行检查, 要是网卡设备出现黄色信号, 就可以判定为网卡故障。因此, 双击网卡设备, 进入属性窗口, 要是因为没有正确安装驱动程序, 就会在“常规”选项卡中出现提示, 只需重新安装驱动程序就可以解决不能上网的问题。

1.1.2 设置IP地址

通常情况下, 在局域网中都对VLAN进行划分, 由于计算机的VLAN连接不同, 所以IP地址、网关、子网掩码都不一样。如果计算机网络的IP地址数据与连接的VLAN相同, 也会导致无法上网。因此, 可以通过局域网中的WEB服务, 使用域名服务系统, 从而判定计算机DNS配置是否正确。另外, 如果可以PING通WEB的IP地址, 但还是无法上网, 就通过ping通来判定域名的正确性。

1.1.3 双绞线问题

确定正确的硬件设备与网络配置之后, 就要对计算机和交换机的双绞线进行检查。如果双击“网上邻居”后, 其窗口只能显示本机的机器名, 而区域网中其它的计算机没有显示, 网卡指示灯没亮, 而连接其它正常计算机的网线就可以上网, 就可以判定为网线的故障。因此, 要对网线的两端连接进行检查, 重新连接之后若还是无法上网, 就要检测网线是否畅通, 要是网线无法接通, 就要通过重新制作网线实现计算机的上网功能。

1.1.4 集线器故障

计算机的集线器故障一般出现在电源或接口处, 要是集线器指示灯都没亮, 就要对电源进行检查。要是在网络中只有部分的计算机集线器指示灯没亮, 就要对集线器之间的级连线进行检查, 假如故障只是出现在级连接口处, 可以通过集线器的1号接口实现设备的级连, 从而保证网络的畅通。

1.1.5 连线问题

在计算机的区域网管理过程中, 要是发现某条局域网与外网进行连线时可以上网, 但要是再连一条, 整个局域网的计算机都不能再上网, 这就要求对局域网与外界的连线进行检查, 从而实现网络线路的正常连接。

1.2 局域网网络速度变慢

在计算机区域网的管理过程中, 最难解决的的问题是网络是相通的, 但网速较慢。通常在面对这类问题的解决上, 可以通过对以下几个方面的检测来实现。

1.2.1 网线问题

连接计算机的双绞线是通过四条对线合理连接起来的, 在T568A标准和T568B标准中, 只是使用了1、2、3、6四条线, 其中1、2线用于数据的发送, 3、6用于数据接收, 同时还要求用于发送的两条线必须为同一绕对, 用于接收的两条线也必须为同一绕对。从而尽量避免串扰, 实现数据的正常传输。

1.2.2. 回路问题

由于计算机系统的网络环境比较复杂, 通常都会备用多余的线路, 因此, 容易造成网络回路现象。回路现象就是指数据包会一直发送与校验数据, 对网速造成了极大的影响, 而且回路引起的网速问题不好查找。因此, 要求在对网线进行铺设时, 对每条网线做好标记, 同时也对备用线路做好记号, 有利于问题的查找与解决。

1.2.3 设备硬件故障

当网速较慢时, 认为是因为设备硬件故障所引起的, 可以通过置换集线器解决故障问题。随后关掉集线器电源, 通过ping命令对局域网中的计算机进行测试, 从而找出故障问题所在, 更换网卡, 就可以实现计算机的正常上网。

2 局域网的安全

2.1 VLAN技术的应用

VLAN作为一种虚拟局域网, 是无关位置所在的。对企业网络划分成虚拟VLAN网段, 有利于抑制网络风暴。同时, 如果是无路由的局域网, 不同VLAN之间就可以进行通讯, 提高网络的安全性。

2.2 IP地址的有效管理

IP地址管理作为局域网安全的建设的重点, 局域网络在划分地址的过程中, 把划分好的地址段与VLAN对应, 另外, 绑定设备的MAC地址与网络节点的IP地址。通过网络与设备地址绑定, 减少了外界对局域网的攻击, 具有提高网络安全性的作用。

2.3 密码保护

账号与密码的保护作为局域网安全的基础保障。因此在外界攻击局域网的过程中, 都是通过密码猜测实现的。如果系统已被攻击者进入, 就意味着其它系统的防卫已经没有意义。因此, 加强局域网服务器的管理账号与密码, 是保证局域网安全的基础。

2.4 关闭多余的服务端口

在安装服务器系统的过程中, 往往都会启动一些平时不需要用的服务端口, 不仅大大占用系统的资源, 还使系统留下安全隐患。因此, 日常工作中, 要及时关掉不用的服务端口, 从而提高系统的资源以及降低外界对局域网的攻击率。

2.5 使用防火墙

在计算机系统运行的过程中使用防火墙软件, 可以有效控制Internet与局域网和之间数据传递。在计算机中使用防火墙可以体现出以下几方面的优点: (1) 允许特定的应用服务; (2) 允许或禁止访问信息内容的服务。防火墙是直接运用在局域网与ISP之间的, 属于防火墙中最安全的应用部分, 可以对防火墙后面的全部计算机起到保护的作用。

2.6 入侵检测系统的部署

对区域网的攻击通常都是源自网络内部, 这偏偏是防火墙的漏洞。而入侵检测系统恰好可以对防火墙的不足进行有效的弥补。可以有效检测来自外界的攻击方式, 并通过自动切断网络连接, 从而保证计算机的安全使用。

2.7 病毒的过滤

在计算机使用的过程中, 往往会受到来自网络内部、Internet网关上等方面的病毒侵犯。因此, 为了避免病毒损坏计算机系统, 可以采用多层防卫体系, 统一全网杀毒。同时还要在互联网上安装病毒过滤网关, 从而保证全网的安全。

2.8 有效访问控制系统

在局域网中, 要对重要设备的被访问情况进行记录与有效控制, 使每一次被访问都能做到有据可查, 从而提高网络的安全性。通过建立安全访问控制服务器系统, 加强对访问用户的身份、授权等方面进行控制, 有利于提高网络的安全性。

3 结束语

综上所述, 计算机局域网网络安全建设是实现计算机系统正常工作的重要保证。因此要在计算机工作的过程中做好危险源的防控与病毒查杀工作, 通过制定防护管理方法, 对计算机系统进行更新升级, 提高网络的安全性, 保证计算机系统的正常使用。

参考文献

[1]陈远燕.浅谈如何保证计算机局域网的管理与安全[J].中国科教创新导刊, 2009.11 (14) :157-159.

[2]邸红霞, 高万河, 张芳, 杨守义, 赵志.浅谈宣钢计算机局域网安全现状及防范策略[J].信息与电脑:理论版, 2011, 02 (09) :145-147.

[3]胡石林.论计算机局域网的维护管理与网络安全[J].科技资讯, 2011, 12 (15) :160-161.

[4]武春宁.上网行为管理技术在计算机局域网安全中的应用[J].电脑知识与技术, 2010.03 (25) :7002-7003.

局域网安全问题 第10篇

1 局域网网络中存在的安全问题

笔者在调查中发现, 当前局域网网络在应用中还存在一些安全问题, 不利于高效利用目标的实现。现将这些安全问题总结如下: (1) 病毒入侵。计算机病毒的破坏性、潜伏性很强, 这就使得局域网网络极易受到木马、病毒的侵害, 局域网承担着连接网络的作用, 如果未及时更新病毒或操作不当, 就会让计算机植入病毒, 从而在数据传输中就会在感染服务器后再传递到其他计算机中。虽然很多计算机都安装有防火墙, 但仍旧无法避免局域网网络内部的攻击。计算机局域网网络内部攻击问题, 通常可分为被动攻击及主动攻击。被动攻击是指病毒截取、窃取、破译重要信息, 但网络仍可正常运行;主动攻击是指病毒选择性地破坏数据的有效性及完整性。 (2) 恶意软件入侵。恶意软件指的是那些计算机未明确提示、未经用户批准而强行安装并运行的软件。有些黑客通过恶意软件实现盗取用户信息数据的目的;有些恶意软件借助对电脑攻击或扫描, 使计算机局域网网络服务器不能正常运行, 这就极易造成计算机信息泄露, 甚至可给企业带来严重的经济及名誉损失。 (3) 管理人员素质不高。当前, 很多计算机局域网网络管理人员普遍缺乏专业知识, 甚至有些管理人员是从其他岗位借调过来的兼职人员, 他们对网络安全专业知识了解有限, 在他们看来计算机局域网的安全管理只是对广域网的防护, 对局域网网络内部的危险因素没有充分认识, 并且尚不具备预防与解决局域网网络安全问题的意识与能力。在这种情况下, 局域网网络安全管理成效就十分低下, 从而导致在使用中频繁出现安全问题, 制约了局域网网络积极作用的充分发挥。 (4) 尚未建立健全的安全管理制度。当前, 虽然局域网安全问题频发并且给使用者带来了很多麻烦, 甚至给企业带来了严重损失, 但是还没有健全的安全管理制度对使用人员的行为及操作方法进行严格的规范, 这就要导致越位访问问题十分突出, 从而给不法分子带来了可乘之机。

2 解决局域网网络安全问题的对策

依据上文总结的, 当前计算机局域网网络中存在的一些安全问题, 笔者在全面分析出现这些问题原因的基础上, 有针对性地探究了一些对策。

2.1 谨慎挑选应用软件

随着计算机技术的迅猛发展, 与局域网相关的软件也丰富起来, 比如游戏软件、杀毒软件、聊天软件等, 而这些软件的安全性参差不齐, 这就需要安装人员谨慎选择, 因为有些软件中隐藏有病毒, 一旦携带有病毒的软件被安装到计算机后, 病毒随时会侵入计算机, 从而就可较为容易地窃取、篡改或破坏计算机中的数据信息, 进而大大降低数据信息的安全性, 因此, 在选择安装软件时, 应始终持以谨慎态度, 以保证局域网网络始终处于安全状态。另一方面, 局域网中的所有计算机均需要安装有效的杀毒软件, 以随时监控与查杀错误信息及外来病毒, 还应及时更新病毒库、升级软件, 并且还应安装先进的病毒入侵检测软件, 借助系统的识别能力严格限制携带病毒软件的安装, 从而构建其较为安全的局域网网络系统。

2.2 科学建立网络系统

计算机局域网网络项目的主要任务是全面分析并合理设计网络系统, 从而有效提高网络系统的科学性及安全性。为了解决数据在局域网中传输时被同一以太网中的节点截取而导致数据泄密事件的发生, 安全管理人员应积极采取逻辑分段及物理分段两种形式来严重控制局域网安全问题, 从而从根源上减少局域网网络问题的发生。在实际操作中, 借助逻辑分段与物理分段可有效隔离敏感用户级非法用户, 从而确保数据信息通常传输。另一方面, 将传统的共享集线器更新为交换集线器, 也可较好地解决因非法用户在以太网节点侦听时截取数据问题的发生, 并且还可预防病毒入侵问题, 从而不断提高局域网网络的安全等级。

2.3 提高服务器安全等级

要想提高局域网网络安全等级, 就需要重视对设备的管理, 努力构建完善的安全管理制度, 以有效预防非法用户恶意进入局域网进行非法操作。管理人员应积极采取措施对计算机系统、网络服务器、打印机等外部设备严加保护, 经常性检查、测试、维护各种设备的运行环境, 从而确保计算机局域网网络系统始终处于一个较为安全的工作环境中。另一方面, 还应依照管理制度严重控制访问情况, 以保证局域网服务器可正常运行。对访问情况的合理控制, 是保证局域网网络资源远离被非法占用的有效途径, 并且也是提高局域网网络安全等级的重要方法。通常情况下, 常用的控制局域网访问问题的模块有权限控制、入网访问功能、信息加密等。保密性是提升局域网网络安全等级的有效形式, 在储存信息与传输信息的同时, 依照数据等保密等级采取与之相适应的加密措施, 从而实现对传输数据的有效保护, 进而切实提高数据信息的安全性。

2.4 提高管理人员素质

局域网网络管理人员的素质高低直接影响了管理质量的高低。因此, 在重视对管理人员素质的提升。在实际操作中应依据管理人员的实际情况为其制定合理的技能及专业知识培训方案, 促使他们及时更新管理技术、提升管理能力。比如, 可定期邀请局域网网络管理专家为管理人员开展专题讲座、搭建局域网网络管理经验分享平台等。从而使得管理人员充分认识局域网网络安全的重大作用, 并不断提高自身的职责意识, 一旦发现病毒, 应借助自己的专业知识与业务能力恰当采取措施予以处理, 并及时将相关情况汇报有关部门。只有这样, 管理人员才能将安全管理意识渗透到每一个工作细节中, 并且有能力为局域网网络安全运行保驾护航。

2.5 完善安全管理制度

建立完善的计算机局域网网络安全管理制度, 是提高安全管理工作的基础与前提。只有不断健全安全管理制度, 才能使得安全管理人员在处理安全问题时有法可依、有章可循, 才能为计算机局域网网络使用人员的安全操作提供帮助与指导。因此, 计算机局域网网络安全管理部门应深入调查各种安全问题形成的原因及危害性, 并有针对性地制定完善而全面的安全管理制度。制度内容不仅应涵盖对于局域网网络安全有关的计算机软件、硬件的管理与维护内容, 而且还应涵盖安全操作章程、访问权限问题、软硬件安装及杀毒问题等。另一方面, 计算机局域网网络安全管理制度中还应对各种不安全操作、非法操作行为进行惩处的措施, 以此来约束危险操作及恶意操纵行为。只有这样, 计算机局域网网络才能始终处于安全状态, 才能充分发挥其优势作用, 才能规范而健康地发展。

3 结语

总之, 局域网网络安全问题是制约局域网作用充分发挥的重要因素, 因此管理人员应通过谨慎挑选应用软件、科学建立网络系统、提高服务器安全等级、提高自身管理素质等措施, 确保局域网网络的正常、安全运行, 从而促使局域网网络更充分发挥自身积极作用。

摘要：计算机局域网网络在给生产生活带来便捷的同时, 也暴露出十分严重的安全问题, 这就使得人们对局域网网络的安全问题日益关注。文章总结了局域网网络中存在的安全问题, 并有针对性地探究了一些对策。

关键词：局域网,网络安全,现状问题,有效对策

参考文献

[1]王坤晓.局域网网络安全存在的问题及对策探讨[J].网络安全技术与应用, 2015 (1) :109, 112.

[2]柳继, 龙波.计算机局域网网络的安全现状及对策分析[J].电脑知识与技术, 2014 (20) :4687-4688.

[3]张志国.计算机局域网网络安全问题以及相应对策探析[J].科技风, 2014 (15) :197, 199.

[4]李晓冉, 邓敏清, 范喜妮.关于局域网网络安全问题和措施的分析[J].电子技术与软件工程, 2016 (1) :214.

[5]陈承斌.计算机局域网网络安全问题的若干研究论述[J].电子技术与软件工程, 2016 (7) :212.

论无线局域网安全措施 第11篇

(广东省理工职业技术学校,广东@广州@510500)

摘要:无线局域网的应用扩展了网络用户的自由,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。分析了无线局域网常见的安全问题,并提供了相应的对策。

关键词:无线;局域网;安全;措施

1无线局域网中常见的安全问题

1.12.5GHz方面

目前,用于无线局域网的IEEE 802.11b以及IEEE 802.11g标准使用的都是2.5GHz的无线电波进行网络通信,没有使用授权的限制。而且通常IEEE 802.11b标准的无线产品覆盖范围在100～300米之间,还可以穿透墙壁。所以,任何人都可以通过一台安装了无线网卡的电脑在无线覆盖范围内进行监听,网络数据很容易被泄漏,特别是在公司内部很容易发生。

1.2WEP脆弱性

虽然常见的IEEE 802.11b和IEEE 802.11g标准使用了WEP加密,但也是不安全的。因为,WEP一般采用40位(10个数字)的密钥,这样采用了WEP加密的无线网卡和无线AP之间的连接很容易被破解。更严重的安全隐患在于默认情况下通过Windows XP创建的无线网络连接以及无线路由器禁用WEP加密。

1.3拒绝服务攻击与干扰

在有线局域网中我们可以通过防火墙阻止DoS(拒绝服务)攻击,但是攻击者可以通过无线局域网绕过防火墙,对公司或其他网络实施攻击。另外,虽然无线局域网使用了扩频技术,但是恶意攻击者还可以通过干扰器来进行信号干扰,而且干扰源又不容易被查出来。

1.4服务集标识符(SSID)

如果配置AP向外广播其SSID,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持“任何(ANY)”SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。

2无线局域网安全防范措施

2.1端口访问控制技术(802.1x)

该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。

2.2加密无线网络

在无线局域网中,为了保证网络连接的安全性,通常可以采取WEP加密技术。目前,该加密技术一般可以提供64/128位长度的密钥机制,有的产品甚至支持256位的密钥机制。要启用WEP加密功能,首先可以打开无线路由器的“基本设置”页面,默认情况WEP是处于禁用状态的。接着,在WEP处选择“开启”选项,点击“WEP密钥设置”按钮,在密钥设置页面中,可以创建64位或128位的密钥。例如,我们要创建一个64位的密钥,那么可以点击“创建”按钮来创建4个密钥,记下这些密钥,点击“应用”按钮。

2.3连线对等保密(WEP)

在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。

2.4综合预防

无线局域网安全分析 第12篇

在无线局域网中, 数据链路层中有三种数据帧:管理帧、控制帧和数据帧, 攻击者对这些数据帧的任何操作都有可能直接或潜在地危及数据的机密性、完整性、相互认证和可用性。从数据链路层出发对无线局域网可能面临的安全威胁进行分析, 对无线局网的安全建设有着十分重要的意义。

1 无线局域网的安全威胁

1.1 被动侦听/流量分析和主动侦听/信息注入

(1) 被动侦听/流量分析

由于无线网络存在着利用无线媒体传播的自身脆弱性, 使得攻击者很容易嗅探并存在无线局域网内所有的流量。尽管信息在传输过程中进行了加密, 但是攻击者还是可以从一定的信息中得到部分或全部有用信息。此外, 攻击者可以利用自己发送请求来猜测密钥。因此, 不论是从搜集到的密文中还是由已知明文得到的密文都有可能得到密钥, 从而解密所有数据报文, 或通过流量分析工具获得其他有用的信息。以上所分析的问题是被动侦听/流量分析过程。

(2) 主动侦听/信息注入

攻击者通过一定的设备, 例如, 无线网卡以及一些相关的软件, 能够在无线链路中插入特定的信息。虽然一些无线网卡的硬件可能会限制接口组成IEEE802.11标准的数据包, 但是, 攻击者还是可以利用其他技术控制数据报文的任意字段。因此, 攻击者可能发出任意内容的报文, 修改数据报文的内容, 完全控制数据报文的传输等。如果一个数据报文需要验证, 攻击者可能会破坏完整性算法, 伪造一个有效的数据报文。如果没有重放保护机制, 攻击者可能会插入一个或多个重放报文。此外, 通过插入一些精心设计的数据报文, 攻击者可以从系统中反馈的报文获得更多有价值的信息。以上所说就是主动侦听/信息注入过程。

1.2 无线网络信息删除和拦截与伪装和恶意的AP

(1) 无线网络信息删除和拦截

信息删除就是攻击者通过某种方式使接收方收不到或丢掉要接收的数据报文。通常, 攻击者在接收方的天线上干扰数据报文接收, 以达到删除信息的目的, 例如, 破坏接收数据报文中的循环冗余CRC校验, 这就可以使接收方丢掉此报文。

信息拦截, 也就是攻击者完全控制一个会话连接, 换句话说攻击者可以在一个数据报文到达接收方前捕获它, 然后决定是丢弃还是将它转发到接收方, 这比信息删除和侦听更危险。此外, 和信息侦听以及重放攻击不同, 在攻击者转发报文前, 接收方收不到此数据报文。在无线局域网中信息拦截可能会更困难, 因为一旦攻击者进行拦截, 合法的用户就会进行检测, 对于那些有经验的无线网络管理人员的检测, 很容易就会发现攻击者的拦截, 否则需要注意攻击者有没有必要利用中间人攻击而达到信息拦截的目的。

(2) 伪装和恶意的AP

无线网络的接入点AP (Access Point) 是通过MAC地址接入的, 由于无线局域网的媒体访问控制MAC (Medium Access Control) 地址在数据报文中以明文的形式存在, 因此, 攻击者可以通过侦听可以得到一个有效的MAC地址, 同时由于无线网卡的支持, 攻击者可以将自己的MAC地址修改成任意的数值。如果在一个无线系统中MAC地址作为惟一标识, 攻击者便可以通过更改自己的MAC地址伪装成任意的无线终端, 甚至攻击者可以自己安装无线接入点AP, 使用伪造MAC地址和一个欺骗的服务设置标识SSID (Service Set Identity D) , 从而伪装成一个恶意的无线接入点, 进行各种破坏活动。

1.3 无线网络的会话劫持与中间人攻击

(1) 无线网络的会话劫持

当无线终端成功完成认证后, 攻击者可能会劫持合法用户的会话。在这里通过一个例子介绍会话被劫持的场景。首先, 攻击者高潮断开已经建立会话连接的一个无线终端, 然后伪装成这个终端和接入点恢复连接, 当然这是不能让网络中别的设备发现的。在这种攻击中, 攻击者可以得到所有发往被劫持设备的数据报文。但是如果系统中使用了数据加密和完整性保护机制, 攻击者为了理解加密的报文, 并发送有效的攻击数据报文, 必须先要要破解密文得到密钥。

(2) 中间人攻击

和信息拦截不同, 无线网络的中间人攻击必须参与到通信过程中。如果无线终端和接入点之间已经建立会话连接, 攻击者必须首先破坏连接, 然后通过伪装和接入点建立关联。如果无线接入点使用了安全机制认证无线终端, 那么攻击必须能欺骗认证。最后, 攻击者必须伪装成无线接入点欺骗被劫持无线终端和其相关联。同样, 如果终端采用安全机制来认证无线接入点, 则攻击者也必须通过认证。另外一个发起中间人攻击的方法可以参照有线网络中使用的地址解析协议ARP cache (Address Resolution Protocol cache) 中毒来实现。

1.4 拒绝服务攻击

无线局域网对拒绝服务攻击Do S (Denial of Service) 非常敏感, 攻击者可以使整个基本服务区瘫痪, 或破坏合法用户之间通信。利用无线网络的特性, 攻击者可以从很多方向发起DoS攻击, 例如, 伪造未保护的管理帧, 利用一些协议脆弱性, 或直接干扰频率达到无法给合法用户提供服务的目的。

2 无线局域网安全需求

2.1 概述

无线局域网在为用户带来巨大便利的同时, 也存在着许多安全上的问题。但由于无线局域网WLAN通过无线电波在空中传输数据, 不能采用类似导向型有线网络那样的通过保护通信线路的方式来保护通信安全, 所以, 在数据发射覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据, 要将W L A N发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通信起不了作用, 任何人在视距范围之内都可以截获和插入数据。因此, 虽然无线网络和WLAN的应用扩展了网络用户的自由, 它安装时间短、增加用户或更改网络结构的灵活、经济, 可提供无线覆盖范围内的全功能漫游服务。然而, 这种自由也同时带来了新的挑战, 这些挑战其中就包括安全性。

2.2 无线局域网的安全需求

综合上述考虑, 无线局域网的安全需求主要有以下几个方面:

(1) 数据机密性。数据机密性就是要传输的数据进行加密, 防止信息在传输过程中被泄露出去。

(2) 数据完整性。数据完整性保护是防止空中传输的数据遭到非授权更改或破坏。

(3) 访问控制。接入控制就是采取对用户或设备采取一定接控制措施, 防止非授权用户接入网络, 非法使用网络资源。

3 无线网络安全实用技术举例

3.1 IEEE802.11规范的认证方式及其不足

WLAN由于自身广播的特点, 需要额外的机制去保证合法用户的接入和数据正常传输的完整及安全性。针对无线终端用户, IEEE802.11规范规定了两种机制:开放认证方式和共享密钥认证方式。还有两种其他方式:使用服务设置标识SSID (Service Set Identity) 和基于MAC地址的认证也是广泛被采用的, 同时使用有线等价保密WEP (Wired Equivalent Privacy) 的密钥也可以作为一种接入控制手段。

通过服务设置标识SSID可以实现WLAN的逻辑隔离。通常, 一个无线终端, 必须配置正确S S I D以便获许接入到WLAN网络中来。SSID没有提供任何的数据安全性功能, 也没有真正的对无线终端进行认证。

(1) 开放认证方式。开放认证方式允许任何的终端设备与AP进行认证并尝试发生的通信。如果AP上没有采用加密方式, 任何配置对应SSID的无线终端均可获许接入到网络中。当在AP上采用了WEP加密方式, WEP密钥本质上成为一种接入控制方式。如果无线终端设备没有正确的WEP密钥, 即使通过认证, 无线终端也无法通过AP发送数据到其他的网络设备, 或者将从AP发来的数据包解密。

(2) 共享密钥认证方式。共享密钥认证方式是IEEE802.11规范定义的第二种认证方式。它要求无线终端具备静态WEP密钥的配置。由于共享密钥认证方式存在严重的安全缺陷, 所以不推荐使用。因为在共享密钥认证操作期间, AP发送的认证响应的报文并没有对挑战正文进行加密, 而无线终端直接将加密后的报文发回, 所有的报文均可以被监听, 入侵者可以利用这两个报文计算出WEP密钥, 从而可正式连接到网络中。因为这个缺陷, 共享密钥认证方式比开放认证方式更不安全。同样, 共享密钥认证方式也不依赖于网络的远程认证拨号用户服务RADIUS (Remote Authentication Dial-in User Service) 的服务器。

(3) MAC地址认证方式。MAC地址认证方式并没有在IEEE802.11规范中定义, 它被用来增加IEEE802.11规范中的两种认证方式, 更进一步地减少未经授权用户接入到网络的可能性。但由于MAC地址被作为明文发送, 所以入侵者也很容易截获并假冒有效的无线终端。

3.2 建设安全的IEEE802.11网络思科无线网络安全

认识到在IEEE802.11网络认证和数据安全性的弱点以后, 为了给用户可扩展的、可管理的并且可靠的WLAN网络, 思科采用标准的方法增强IEEE802.11网络的认证和加密。实际上, 无线网络的安全可以由三部分建设而成:认证的体系框架、认证算法和数据安全性加密算法。思科无线网络安全套件由以下几部分组成。

(1) IEEE802.1x认证体系。IEEE802.1x标准提供了可被多重认证方式使用的通用架构。

(2) LEAP认证算法。LEAP认证算法是支持集中式的、基于用户的并具备动态生成WEP密钥的认证方式。

(3) 临时密钥完整性协议TKIP。思科为TKIP (Temporal Key Integrity Protocol) 提供两种方式增强WEP的功能:一种是报文完整性校验MIC (Message Integrity Check) ;另一种是点对点密钥PPK (Point to Point Key) 。

(4) 采用报文完整性校验MIC。这项功能能有效地提供数据帧的真实性, 以减少网络入侵者的攻击。

(5) 每帧密钥 (Per Frame Key) 。基于每个用户帧的加密, 最大程度上减少入侵者生成WEP的攻击。

摘要：本文从数据链路层出发对无线局域网可能面临的安全威胁进行分析。此外, 给出两个例子进一步说明建设安全的无线局域网的必要性。

关键词：无线局域网,被动侦听,主动侦听,DoS,AP,MAC地址,开放认证方式,共享密钥认证方式

参考文献

[1]班荣琼.网络安全性分析.网络安全技术与应用.2006.

[2]IEEE802.11/DIO.O.Medium Access Control (MAC) Security Enhancements, Amendment 6 to IEEE Slandard for Information technology Telecommunications metropolitan area networks—Specific requirements—PartⅡ:Wireless Medium Access Control (MAC) and physical Layer (PHY) Specifications.April.2004.

[3]无线局域网标准.http://www.knowsky.com//6434.html.

[4]思科统.无线网络解决方案.2006.http://www.cisco.com/global/CN/solutions/Products_netsol/wireless/solution/products-wire-less-sol-unified.shtml.2006.

[5]无线局域网安全.http://www.cisco.com/global/CN/solutions/Products_netsol/wireless/book/network-wireless-book-07.shtml.