企業(yè)無線網(wǎng)保護(hù)措施

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

可以隨時(shí)隨地不受網(wǎng)線束縛地實(shí)現(xiàn)網(wǎng)上沖浪的無線上網(wǎng)方式廣受人們歡迎，隨著無線技術(shù)的不斷成熟，無線網(wǎng)絡(luò)在企業(yè)中也不知不覺地走俏起來，相對(duì)于有線網(wǎng)絡(luò)而言，靈活性非常強(qiáng)的無線網(wǎng)絡(luò)確實(shí)為企業(yè)用戶省卻了許多麻煩，但也因此產(chǎn)生了更為嚴(yán)峻的安全問題、管理復(fù)雜、維護(hù)成本高等一系列難題，尤其是安全性監(jiān)控問題，這在無線網(wǎng)絡(luò)上表現(xiàn)得更讓人頭疼。

一個(gè)游離在有效保護(hù)之外的企業(yè)無線局域網(wǎng)絡(luò)，輕則網(wǎng)絡(luò)質(zhì)量受損，不能正常地運(yùn)行；重則就會(huì)成為攻擊者入侵的目標(biāo)和黑客襲擊的跳板，其后果嚴(yán)重起來將會(huì)讓企業(yè)蒙受不可估量的損失（如銀行卡信息、客戶資料等內(nèi)部機(jī)密被盜，或者是系統(tǒng)癱瘓，無法收取費(fèi)用等）。由此可見，加強(qiáng)企業(yè)無線局域網(wǎng)的保護(hù)措施迫在眉睫，如何合理地部署多種無線設(shè)備、準(zhǔn)確地把握網(wǎng)絡(luò)覆蓋，以及是在應(yīng)用中的安全管理問題（這也是重中之重的問題）都需要在規(guī)劃、組建、應(yīng)用管理的前前后后充分考慮這些問題。 要做到有效的保護(hù)企業(yè)無線局域網(wǎng)，就必須了解企業(yè)無線網(wǎng)絡(luò)最常見的問題所在以及行之有效的解決方法，保護(hù)措施大體可以分為以下三大方面進(jìn)行。

在安裝配置方面：

無線網(wǎng)絡(luò)設(shè)備的安裝并不復(fù)雜，但是有些問題需要特別注意，因?yàn)樯杂胁簧骶蜁?huì)徒增許多不必要的麻煩，更有可能會(huì)影響到網(wǎng)絡(luò)的正常運(yùn)作。

無線接入設(shè)備的安裝位置要選好。在選擇安裝位置時(shí)首先要保證天線之間應(yīng)該有足夠的可視空間，再考慮設(shè)備所處位置對(duì)安裝施工程以及日后的維護(hù)工作是否方便，當(dāng)然也要注意對(duì)周圍環(huán)境的影響，還要了解所選位置的變動(dòng)性（就是說所處位置日后用作它用的可能性），因?yàn)闊o線設(shè)備安裝后需要調(diào)試好才能更好地發(fā)揮網(wǎng)絡(luò)性能，如果選址不對(duì)，需要經(jīng)常搬動(dòng)的話，那么網(wǎng)絡(luò)的質(zhì)量就會(huì)大打折扣。

無線接入設(shè)備需固牢。如果無線接入設(shè)備的天線不能通過天線桿固定在建筑物墻壁上的話，那么就應(yīng)該加重天線桿底座重量，最好就是找?guī)赘F絲，把天線桿捆綁固定好，以免天線桿被風(fēng)吹動(dòng)甚至吹倒，因?yàn)樘炀€的移位或者是抖動(dòng)將會(huì)嚴(yán)重地影響網(wǎng)絡(luò)的正常傳輸工作。

反饋電纜不容忽略。一般來說，都會(huì)用反饋電纜連接室外天線和無線網(wǎng)橋的天線，首先這個(gè)反饋電纜最好不要太長(zhǎng)，因反饋電纜越長(zhǎng)信號(hào)的增益衰減就越快；另外一個(gè)得特別注意的問題就是，反饋電纜穿墻之處要用吸水性很強(qiáng)的材料處理，而且反饋電纜要從下而上進(jìn)入無線網(wǎng)橋機(jī)柜，不要從上而下進(jìn)入，因?yàn)閺南露线M(jìn)入的話，那么就算有水順著反饋電纜流進(jìn)室內(nèi)都是先滴在地上，而不會(huì)影響到無線網(wǎng)橋設(shè)備

在無線網(wǎng)絡(luò)性能的管理和測(cè)試方面：

能否有效地管理一個(gè)無線網(wǎng)絡(luò)，關(guān)鍵的就是要看網(wǎng)絡(luò)管理員能否對(duì)無線網(wǎng)絡(luò)的接入點(diǎn)所實(shí)行相關(guān)的維護(hù)與控制，包括對(duì)接入點(diǎn)在整個(gè)網(wǎng)絡(luò)環(huán)境中的運(yùn)行和配置的控制，因?yàn)闊o論是增加一個(gè)沒有進(jìn)行任何配置或者是沒有經(jīng)過認(rèn)證的無線網(wǎng)節(jié)點(diǎn)，還是更改一個(gè)節(jié)點(diǎn)的位置，都會(huì)給網(wǎng)絡(luò)帶來信道之間的沖突和網(wǎng)絡(luò)安全等方面的問題，只有做好監(jiān)控工作，才能及時(shí)地發(fā)現(xiàn)問題并有效地解決。

大體了解網(wǎng)絡(luò)使用概況。首先對(duì)網(wǎng)絡(luò)使用概況要有大致的了解，通過查看14個(gè)信道（基于802.11b來說）的使用狀況的總覽，以及通過每一個(gè)信道和SSID的資源分配情況了解無線網(wǎng)絡(luò)使用環(huán)境的整體狀況。

認(rèn)真分析性能報(bào)警。通過對(duì)性能報(bào)警的分析，可以了解WLAN潛在的性能問題，比如說像一些錯(cuò)誤包的比率、隱藏節(jié)點(diǎn)、AP信道間干擾、低傳輸速率等問題，分析完之后，就要研究這些報(bào)警的原因及所造成的危害，再通過對(duì)性能報(bào)警的分級(jí)來確定所要解決的故障問題的先后次序。

密切監(jiān)視信道帶寬。監(jiān)視的對(duì)象包括信道間干擾、多播/廣播風(fēng)暴、微弱的射頻信號(hào)、橋接環(huán)路和低傳輸速率等。

關(guān)注信道沖突監(jiān)視。當(dāng)在一個(gè)信道中的接入點(diǎn)或者站點(diǎn)過載時(shí)，網(wǎng)絡(luò)就會(huì)失去平衡，所以要時(shí)刻關(guān)注著信道沖突監(jiān)視，即時(shí)發(fā)現(xiàn)并解決問題才避免故障的發(fā)生。

慎對(duì)信道噪聲監(jiān)視。信道噪聲指標(biāo)可以反映無線網(wǎng)絡(luò)用戶的通信質(zhì)量，通過對(duì)信道噪聲的監(jiān)視情況就可以了解到用戶無線網(wǎng)絡(luò)的實(shí)際使用情況，如果一個(gè)信道內(nèi)發(fā)現(xiàn)了不明干擾源，那么通過對(duì)噪聲的原因的分析就可以發(fā)現(xiàn)問題的所在，那就可以采取相應(yīng)的措施。

監(jiān)測(cè)網(wǎng)絡(luò)。利用分析器和監(jiān)測(cè)器可以分析WLAN無線數(shù)據(jù)流，如果發(fā)現(xiàn)未經(jīng)授權(quán)的接入點(diǎn)，就可以根據(jù)需要阻止或斷開客戶機(jī)，以及檢測(cè)入侵者。
 在安全防護(hù)方面：
自黑客誕生之日起，互聯(lián)網(wǎng)就進(jìn)入了一個(gè)永無寧日的時(shí)代，無線網(wǎng)絡(luò)的安全問題讓人倍感憂心，更成為無線局域網(wǎng)的軟肋，合理保護(hù)無線網(wǎng)絡(luò)系統(tǒng)就是為了將無線網(wǎng)絡(luò)與非法使用者隔離，要最大限度地堵住這些安全漏洞，企業(yè)無線網(wǎng)絡(luò)用戶可以采用以下幾項(xiàng)措施來防護(hù)。

天線的放置需講究。使用環(huán)境的非封閉性是許多無線網(wǎng)絡(luò)安全問題的罪魁禍?zhǔn)?，因此部署一個(gè)封閉的無線訪問點(diǎn)是保護(hù)企業(yè)無線局域網(wǎng)安全的首要步驟，而要實(shí)現(xiàn)封閉無線訪問點(diǎn)的部署，第一步就是合理放置訪問點(diǎn)的天線，以便能夠限制信號(hào)在覆蓋區(qū)以外的傳輸距離。

天線最好的就是放在局域網(wǎng)信號(hào)覆蓋的區(qū)域中心，這樣可以盡量減少信號(hào)外泄，但是千萬不要把天線放在窗戶附近，因?yàn)椴ＡУ男盘?hào)阻擋能力極差。當(dāng)然，完全控制信號(hào)外泄是不可能的，所以還需要有其它措施的補(bǔ)救。

防火墻把第一道關(guān)。防火墻作為網(wǎng)絡(luò)防護(hù)的第一道防線，就好像是企業(yè)網(wǎng)絡(luò)的門神一樣，把"黑客"、"病毒"這些牛鬼蛇神通通拒之門外，防火墻于企業(yè)來說，無論是有線網(wǎng)絡(luò)還是無線網(wǎng)絡(luò)都一樣發(fā)揮著至關(guān)重要的作用，也是企業(yè)網(wǎng)絡(luò)安全防護(hù)的萬能藥。

因?yàn)闊o線網(wǎng)絡(luò)的各個(gè)端點(diǎn)就像暴露在遠(yuǎn)程寬帶連接般面對(duì)著各種威脅，所以端點(diǎn)至少要有一個(gè)個(gè)人防火墻作保護(hù)，對(duì)于服從安全政策的可信用戶，可以把他們放置在可訪問內(nèi)部網(wǎng)絡(luò)的虛擬局域網(wǎng)中，而對(duì)于一般的瀏覽者或者不符合安全政策的用戶，則只容許他們?cè)L問互聯(lián)網(wǎng)。

另外，因?yàn)閃AP所提供的基本訪問控制并不能滿足當(dāng)今網(wǎng)絡(luò)環(huán)境的需要，所以企業(yè)最好使用一個(gè)功能強(qiáng)大的邊界防火墻實(shí)行企業(yè)網(wǎng)絡(luò)分區(qū)（把無線局域網(wǎng)與固線網(wǎng)絡(luò)分隔開來），這樣一來還可以讓無線局域網(wǎng)和邊界的安全政策一致。

巧用專用工具。企業(yè)無線網(wǎng)絡(luò)的最大潛在風(fēng)險(xiǎn)是來自含有兇猛破壞程序（rogue）的無線訪問點(diǎn)（wireless access point），比如說有些公司放松對(duì)非許可無線接入點(diǎn)的管理，而公司內(nèi)部工作人員為了讓自己的工作更方便，就可能會(huì)自行購(gòu)買一些無線訪問設(shè)備，而這些安全性不是很強(qiáng)的訪問設(shè)備就很容易成為入侵者的頭號(hào)目標(biāo)。這種情況，防火墻力不從心的，而且也不在WAP管理范圍內(nèi)，這時(shí)候就需要選擇一些專用的工具來保障網(wǎng)絡(luò)不受非法接入點(diǎn)的影響，這方面可選擇的專用工具也比較多，比如像特制的WLAN傳感器、數(shù)據(jù)包監(jiān)察器等就可以有效地對(duì)付這些非法訪問者了。

技術(shù)上防護(hù)。技術(shù)上的防護(hù)是無線局域網(wǎng)的基本安全防護(hù)手段，方式比較多，因?yàn)楦鞣N技術(shù)有自身的利弊，因而所適用的范圍也有所不同，企業(yè)用戶可以根據(jù)自身的使用需要來選擇。以下所介紹的就是目前主流的專攻網(wǎng)絡(luò)安全隱患的八大主流技術(shù)，可以把企業(yè)無線局域網(wǎng)絡(luò)的風(fēng)險(xiǎn)降到最低程度，大家不妨參考一下，取其所需。

MAC地址過濾。此種方式是通過對(duì)AP的設(shè)定，將指定的無線網(wǎng)卡的物理地址（MAC地址）輸入到AP中，而AP對(duì)收到的每個(gè)數(shù)據(jù)包都會(huì)做出判斷，只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā)，否則將會(huì)被丟棄。因?yàn)槭褂眠@種方法需要對(duì)每個(gè)AP進(jìn)行MAC配置；而且每個(gè)AP接收MAC的數(shù)量是有限的，如果MAC太多，會(huì)降低速率；還有的就是一旦用戶有所增刪，則每個(gè)AP都需要刷新一次，這樣的話不僅在管理上非常麻煩而且黑客可能也會(huì)利用MAC欺騙技術(shù)騙取AP的信任而硬闖企業(yè)網(wǎng)絡(luò)，所以這種方法對(duì)于中小企業(yè)來說不失為一個(gè)比較有效的方法，但是在對(duì)于比較大型的企業(yè)用戶來說，顯得不實(shí)用。

變更SSID（Service Set Identifier）及禁止SSID廣播。SSID，即服務(wù)集標(biāo)識(shí)符，是讓無線客戶端對(duì)不同無線網(wǎng)絡(luò)的識(shí)別字符串，原理跟手機(jī)識(shí)別不同的移動(dòng)運(yùn)營(yíng)商的機(jī)制一樣，該標(biāo)識(shí)符由設(shè)備制造商設(shè)定，每種標(biāo)識(shí)符使用默認(rèn)短語(yǔ)，如3Com設(shè)備的標(biāo)識(shí)符是101。

參數(shù)在設(shè)備缺省設(shè)定中是被AP無線接入點(diǎn)廣播出去的，無線客戶端只有出示正確的SSID，才能訪問AP，通過提供口令認(rèn)證機(jī)制，實(shí)現(xiàn)一定的無線安全。對(duì)于部署的每個(gè)無線訪問點(diǎn)而言，用戶應(yīng)該選擇獨(dú)一無二并且很難猜中的SSID上，可以的話，最好還是禁止通過天線向外廣播標(biāo)識(shí)符，我們?nèi)绻堰@個(gè)廣播禁止，一般的漫游用戶在無法找到 SSID的情況下是無法連接到網(wǎng)絡(luò)的。

不過，如果黑客盜取了合法的MAC地址信息，仍可以通過各種方法適用假冒的MAC地址接入目標(biāo)網(wǎng)絡(luò)，而且這種方法比較麻煩，不能支持大量的移動(dòng)客戶端，所以還是比較適用于一般SOHO環(huán)境或者是小型辦公室當(dāng)作簡(jiǎn)單口令安全方式。

WEP（Wired Equivalent Privacy）加密。WEP具有很好的互操作性，所有經(jīng)過WIFI認(rèn)證的設(shè)備都支持WEP安全協(xié)定，它使用RC4加密算法，一方面用于防止沒有正確的WEP密鑰的非法用戶接入網(wǎng)絡(luò)，另一方面只允許具有正確的WEP密鑰的用戶對(duì)數(shù)據(jù)進(jìn)行加密和解密，包括軟件手段和硬件手段。

這種加密方法是是對(duì)無線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn)方法，需要在每套移動(dòng)設(shè)備和AP上配置密碼，部署比較麻煩；使用靜態(tài)非交換式密鑰，安全性也受到了業(yè)界的質(zhì)疑，但是它仍然可以抵擋一般的黑客入侵，一般用于SOHO用戶、中小型企業(yè)網(wǎng)絡(luò)的安全加密。

需要注意的是，許多無線訪問點(diǎn)廠商為了方便安裝產(chǎn)品，交付設(shè)備時(shí)選擇關(guān)閉了WEP功能，但如果這樣做的話，黑客就能立即訪問無線網(wǎng)絡(luò)上的流量，因?yàn)槔脽o線嗅探器就可以直接讀取數(shù)據(jù)，所以這個(gè)功能千萬不能摒棄。

AP隔離。類似于有線網(wǎng)絡(luò)的VLAN，將所有的無線客戶端設(shè)備完全隔離，使之只能訪問AP連接的固定網(wǎng)絡(luò)，這樣做的話可以讓接入的無線客戶端保持隔離，提供安全的Internet接入，這種方式比較適合酒店或者機(jī)場(chǎng)等公共熱點(diǎn)網(wǎng)絡(luò)的架設(shè)。

802.1x協(xié)議。802.1x協(xié)議由IEEE定義，基于端口的網(wǎng)絡(luò)訪問控制，可以提供經(jīng)過身份驗(yàn)證的網(wǎng)絡(luò)訪問，該協(xié)議引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。EAP不專屬于某一廠商，它能夠彌補(bǔ)WEP的不足，并且同時(shí)能夠解決在接入點(diǎn)之間的移動(dòng)性問題，EAP還解決了VPN瓶頸問題，使用戶能夠以有線網(wǎng)絡(luò)的速度進(jìn)行工作。不過，配置EAP不是一件容易的事情，需要專業(yè)知識(shí)部署和Radius服務(wù)器支持，費(fèi)用方面也比較高，一般用于大中型企業(yè)無線網(wǎng)絡(luò)布局。

相對(duì)于EAP來說，由微軟、思科和RSA Security共同開發(fā)，致力于簡(jiǎn)化客戶端、服務(wù)器端以及目錄的端到端整合的PEAP則更受歡迎。

WPA（Wi-Fi protected access）：Wi-Fi保護(hù)接入是作為通向802.11i道路的重要銜接的一環(huán)，并成為在IEEE 802.11i 標(biāo)準(zhǔn)確定之前代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議。WPA采用新的加密算法以及用戶認(rèn)證機(jī)制，可以很好地滿足WLAN的安全需求，WPA沿用了WEP的基本原理同時(shí)又克服了WEP缺點(diǎn)，由于加強(qiáng)了生成加密密鑰的算法，即使黑客收集到分組信息并對(duì)其進(jìn)行解析，也幾乎無法計(jì)算出通用密鑰，彌補(bǔ)了WEP倍受指責(zé)的缺陷。不過，很多客戶端和AP并不支持WPA協(xié)議，而且TKIP加密仍不能滿足高端企業(yè)和政府等網(wǎng)絡(luò)的加密需求，該方法多用于一般企業(yè)無線網(wǎng)絡(luò)的部署。

WPA2：是Wi-Fi聯(lián)盟發(fā)布的第二代WPA標(biāo)準(zhǔn)，與WPA后向兼容，支持更高級(jí)的AES加密，能夠更好地解決無線網(wǎng)絡(luò)的安全問題，是一種比較理想的技術(shù)。

802.11i：2004年6月，802.11工作組正式發(fā)布了IEEE 802.11i，以加強(qiáng)無線網(wǎng)絡(luò)的安全性和保證不同無線安全技術(shù)之間的兼容性，802.11i標(biāo)準(zhǔn)包括WPA和RSN兩部分。802.11i的認(rèn)證方案是基于802.1x 和EAP，加密算法是AES，動(dòng)態(tài)協(xié)商認(rèn)證和加密算法使RSN可以與最新的安全水平保持同步，不斷提供保護(hù)無線局域網(wǎng)傳輸信息所需要的安全性。與WEP和WPA相比，RSN更可靠，但是RSN不能很好地在遺留設(shè)備上運(yùn)行。

此協(xié)議理論上可以徹底解決無線網(wǎng)絡(luò)安全問題，適用于所有企業(yè)網(wǎng)絡(luò)的無線部署。

禁用DHCP。通過禁用DHCP，就為黑客入侵設(shè)下了一到屏障，黑客只有先破譯IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)才能闖入企業(yè)網(wǎng)絡(luò)，也就是說無論黑客怎樣利用你的訪問點(diǎn)，他仍需要弄清楚IP地址，這對(duì)于無線網(wǎng)絡(luò)來說，顯得很有意義。

禁用或改動(dòng)SNMP設(shè)置。SNMP對(duì)于黑客來說，是一個(gè)很好的蛀點(diǎn)，因?yàn)槔肧NMP可以獲得有關(guān)用戶網(wǎng)絡(luò)的重要信息，所以如果你的訪問點(diǎn)支持SNMP的話，那就建議要么把這個(gè)功能禁用了，要么就改變公開及專用的共用字符串。

使用訪問列表。如果可以的話，最好就是使用訪問列表，這樣可以進(jìn)一步保護(hù)無線網(wǎng)絡(luò)。由于不是所有的無線訪問點(diǎn)都支持這項(xiàng)特性，但如果你的網(wǎng)絡(luò)支持，你就可以具體地指定允許哪些機(jī)器連接到訪問點(diǎn)，支持這項(xiàng)特性的訪問點(diǎn)有時(shí)會(huì)使用普通文件傳輸協(xié)議(TFTP)，定期下載更新的列表，以避免管理員必須在每臺(tái)設(shè)備上使這些列表保持同步的棘手問題。

總結(jié)：自無線網(wǎng)絡(luò)自問世以來，各界對(duì)其評(píng)論始終是褒貶不一，但無論怎樣，無線網(wǎng)絡(luò)的出現(xiàn)始終是網(wǎng)絡(luò)發(fā)展史上的一大進(jìn)步，隨著無線網(wǎng)絡(luò)技術(shù)的不斷成熟，相信無線網(wǎng)絡(luò)會(huì)為各大用戶造更多的福，而且反對(duì)者最為擔(dān)心的安全問題也逐步得等到更完善的解決。綜上所述，保護(hù)企業(yè)無線局域網(wǎng)絡(luò)的方法還是比較多的，因?yàn)楠?dú)立的每種方法都各有利弊，所以進(jìn)行多重防護(hù)措施是必需的?？傊?，只要結(jié)合企業(yè)的實(shí)際應(yīng)用需要，合理地選擇安全機(jī)制組合，搶占網(wǎng)絡(luò)安全的主動(dòng)權(quán)，做到有備無患的話，讓企業(yè)無線局域網(wǎng)過上相對(duì)安全穩(wěn)定的日子絕對(duì)不是虛談。 (it168)