关键词:无线网络;数据安全;思考
1无线网络安全问题的表现
1.1插入攻击插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
1.2漫游攻击者攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving”;走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
1.3欺诈性接入点所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
1.4双面恶魔攻击这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
1.5窃取网络资源有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
1.6对无线通信的劫持和监视正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
2保障无线网络安全的技术方法
2.1隐藏SSIDSSID,即ServiceSetIdentifier的简称,让无线客户端对不同无线网络的识别,类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被AP无线接入点广播出去的,客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。而我们如果把这个广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。需要注意的是,如果黑客利用其他手段获取相应参数,仍可接入目标网络,因此,隐藏SSID适用于一般SOHO环境当作简单口令安全方式。
2.2MAC地址过滤顾名思义,这种方式就是通过对AP的设定,将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方式比较麻烦,而且不能支持大量的移动客户端。另外,如果黑客盗取合法的MAC地址信息,仍可以通过各种方法适用假冒的MAC地址登陆网络,一般SOHO,小型企业工作室可以采用该安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的简称,所有经过WIFI认证的设备都支持该安全协定。采用64位或128位加密密钥的RC4加密算法,保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和AP上配置密码,部署比较麻烦;使用静态非交换式密钥,安全性也受到了业界的质疑,但是它仍然可以阻挡一般的数据截获攻击,一般用于SOHO、中小型企业的安全加密。
2.4AP隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法用于对酒店和机场等公共热点HotSpot的架设,让接入的无线客户端保持隔离,提供安全的Internet接入。
2.5802.1x协议802.1x协议由IEEE定义,用于以太网和无线局域网中的端口访问与控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的简称,下一代无线规格802.11i之前的过渡方案,也是该标准内的一小部分。WPA率先使用802.11i中的加密技术-TKIP(TemporalKeyIntegrityProtocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。很多客户端和AP并不支持WPA协议,而且TKIP加密仍不能满足高端企业和政府的加密需求,该方法多用于企业无线网络部署。:
2.7WPA2WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决无线
网络的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供最新的WPA2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府及SOHO用户。
2.802.11iIEEE正在开发的新一代的无线规格,致力于彻底解决无线网络的安全问题,草案中包含加密技术AES(AdvancedEncryptionStandard)与TKIP,以及认证协议IEEE802.1x。尽管理论上讲此协议可以彻底解决无线网络安全问题,适用于所有企业网络的无线部署,但是目前为止尚未有支持此协议的产品问世。
3结语
4G无线通信网络系统很好地实现了各种制式的网络之间的无缝互联的目的,其核心网是基于全IP网络体系而构成的,应用效果理想。4G移动系统网络结构可分为三层:物理网络层、中间环境层、应用网络层。物理网络层提供接入和路由选择功能,它们由无线和核心网的结合格式完成。中间环境层的功能有QoS映射、地址变换和完全性管理等。物理网络层与中间环境层及其应用环境之间的接口是开放的,它使发展和提供新的应用及服务变得更为容易,提供无缝高数据率的无线服务,并运行于多个频带。这一服务能自适应多个无线标准及多模终端能力,跨越多个运营者和服务,提供大范围服务。与上一代的3G网络相比较,4G无线通信系统当的分组交换以及全IP核心网分别取代了3G网络的电路交换以及蜂窝网络,即便是在快速移动的环境当中,4G网络依旧可以为用户提供2—100Mbit/s的数据传输速率,给予用户更加流畅的上网体验。
二、4G无线通信系统所存在的安全问题
4G无线通信系统当中所存在的安全问题集中体现在移动终端、无线网络、无线业务三个方面,具体如下:
2.1移动终端方面
①移动终端的硬件平台不具备完整而全面的验证保护机制,各个模块遭受攻击者随意篡改的风险非常高,再加上移动终端内部的各个通行接口没有机密性的保护措施,用户所传递的信息容易被窃听,访问控制机制有待完善。②移动终端的操作系统多种多样,各种操作系统多存在不同程度的安全隐患,在使用的过程当中,其所存在的安全漏洞会被无限放大。③伴随病毒种类的不断增加与更新,传统的防病毒软件的体积也在随之增大。但是,移动终端的计算能力、电池容量、数据储存能力均是有限的,难以长时间地支撑起大体积的防病毒软件的运行需求,两者的矛盾性非常明显。④移动终端所支持的无线应用非常多,包括电子邮件、电子商务等,其均是通过无线网络而实现的。大部分的无线应用其自身均存在固有的安全隐患,再加上相应的程序的安全漏洞,严重威胁着无线终端的网络安全。此外,木马、蠕虫等移动终端比较常见的感染性病毒也可通过这些无线应用而进入到移动终端当中,损坏或是窃取数据资源。
2.2无线网络方面
①无线网络的具体结构不同,非常容易导致相应的差错,所以要求无线网络必须要具备良好的容错性。②不同的无线网络,其安全机制、安全体系、安全协议也必定不同,导致4G无线通信系统容易受到来自各个方面的安全威胁。③一般而言,4G无线通信系统必须要与异构形式的非IP网络进行连接,同时依靠QoS实现高速网络速率传递。但是,在实际的操作过程当中,4G无线通信系统与异构形式的非IP网络连接,同样存在安全威胁。④无线网络用户习惯在各个不同的系统当中随意切换与漫游,这就对4G无线通信系统的移动性管理性能提出可更高的要求。但是,目前我国的4G无线通信系统尚不具备良好的移动性管理性能,容易出现各种安全问题。
2.3无线业务方面
①无线业务与衍生的增值业务均以电子商务为主,整体呈现持续增长的趋势。但是,目前的4G无线通信系统的安全机制很难适应高级别的安全需求。②目前的无线通信市场,利益争端因为多计费系统的参与而愈演愈烈,运营商欺诈以及用户抵赖等现象不乏存在。但是,目前的4G无线通信系统的安全方案无法出示绝对肯定性质的相关凭证。③4G无线通信业务支持用户的全球移动性,这是其优点,也是其安全隐患之一。因为一次无线业务无可避免会涉及到多个业务提供商以及网络运营商,容易出现安全问题。
三、提升4G无线通信系统网络安全性能的策略
提升4G无线通信系统网络安全性能,主要在于安全策略、效率策略、以及其他的一些策略,具体如下:
3.1安全策略
①加固操作系统。建议所采用的操作系统必须要满足TMP的实际需求。确保混合式访问控制、域隔离、远程验证等具备良好的兼容性能,以提高4G无线通信系统网络的安全性能。②加固硬件平台。应用“可信移动”的方案,添加可信启动的程序,对移动终端的数据储存实现有效的保护,提高检验机制的完整性。③加固应用程序。在进行应用程序下载的过程当中,必须要进行合法性与安全性检验才能进行安装,避免其受到攻击者的恶意篡改,同时降低可供用户选择的不安全配置选项的比例。④防护硬件物理。有针对性地提高移动平台硬件的集成程度,对遭受攻击的硬件接口的电压与电流,避免再次遭受物理性质的攻击。在必要的时候,允许将USIN以及TPM当中所储存的数据自动进行销毁,销毁的程度视安全级别而定。
3.2效率策略
①尽可能减少安全协议当中所要求的交互性消息的数量,同时尽量缩短单条消息的长度,要求简洁明了。②在进行预计算以及预认证的过程当中,要求在移动终端处于空闲状态之下进行,以期充分利用移动终端的空闲时间。③针对在较短的时间之内无法进行实质获取的无线业务,一般而言,可延缓提供服务的时间,采取滞后认证的措施,如果其可以顺利地通过认证,便向其按时提供服务,否则中止服务。④对称性是移动终端计算的必备特征,针对比较庞大的计算负担而言,建议促使其在服务网络端完成,以起到缓解移动终端负担的作用,同时注意密码算法的选用,在选用密码算法之时,需要遵循资源少、效率高两大基本原则,摒弃临时身份机制以及缓存机制的使用。
3.3其他策略
①多策略机制。为不同的场景提供具有针对性的安全策略,以先验知识节约开销,保证效率,确保切换认证的效率高于接入认证。②多安全级别策略。使用场合以及使用需求的不同,其安全级别也是不同的,因此需要实施多安全级别策略,在电子商务以及普通通话之间划分鲜明的安全级别界限。此外,无线网络切换也需要赋予其不同的安全级别,例如4G用户切换至3G网络,那么安全级别也应当随之下调,并不是固定不变的。
四、结语
>> 论无线网络的安全性 无线网络的安全性研究 无线网络的安全性分析与防护措施探究 浅谈无线网络在企业应用中的安全性分析 无线网络技术在临床应用中安全性分析 浅谈无线网络在企业应用中的安全性分析及解决方案 无线网络安全性的研究 智能传感器无线网络提高采矿作业的安全性 家庭无线网络安全性研究与防范 探究无线网络安全性威胁及应对措施 关于WIFI无线网络技术及安全性研究 医疗系统无线网络建设规划与安全性探讨 无线网络中数据信息的安全性研究 基于通信的列车控制无线网络构架与安全性研究 论如何保障与提高无线网络的安全性 基于无线网络WLAN安全机制分析与研究 无线网络安全分析 无线网络安全技术分析 对无线网络安全的分析 无线网络安全 常见问题解答 当前所在位置:. 2006.
[6]Li J, Gan L and Du F F. Research on encryption algorithm conforming to AES in WLAN [C]. Advanced Materials Research, 2012: 1517-1521.
[7]刘佳. 基于密码学的无线局域网认证协议设计与实现[J]. 价值工程, 2012, 31(277): 223-228.
[8]Lu Y, O'Neill M P and McCanny J V. Differential power analysis resistance of Camellia and countermeasure strategy on FPGAs[C]. International Conference on Field-Programmable Technology, 2009: 183-189.
[9]Kitsos P and Skodras A N. An FPGA implementation and performance evaluation of the seed block cipher[C]. 17th International Conference on Digital Signal Processing (DSP), 2011: 1-5.
[10]温巧燕,钮心忻,杨义先.现代密码学中的布尔函数[M].北京:科学出版社,2000.
[11]Jakobsen T and Kundsen L R. The Interpolation Attack on Block Ciphers[C]. Fast Software Encryption: 4th International Workshop, 1997: 28-40.
[12]Biham E and Shamir A. Differential cryptanalysis of DES-like cryptosystems[C]. Advances in Cryptology-EUROCRYPT, 2004: 2-21.
关键词 快速以太网;无线Wi-Fi网络;电力线组网;电力猫
中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2012)031-0114-02
21世纪是我国信息化建设高速发展的时期,中国的网民数量年年递增,网络的普及率也逐年增长。从2008年底我国网民人数2.98亿(其中宽带用户2.7亿),网络普及率为22.60%,首次超过世界平均水平,到2011年底,网民数量为5.13亿,网络普及率达到38.3%,中国的网民数量在迅速增长,网络的普及率也越来越高,网络在我们的生活中也扮演着越来越重要的角色。
随着科技的进步,除了传统的台式电脑以外,笔记本电脑、平板电脑、智能手机以及IPTV电视已经成了家庭中常见的需要使用网络的设备。网络设备增加,人们对家庭网络的需求也随之增加,网络搭建也出现了几种可选择的技术。
1 几种家庭常见组网技术
1.1 快速以太网
家庭中使用的以太网为快速以太网,一般为100BASE-TX,它是一种类似星型结构的100BAST-T双绞线标准,使用5类电缆中的2对线缆,理论速度可达到100Mbps,最远距离是100米,是目前家庭局域网组网技术中最为稳定与普遍的一种,其遵循的是IEEE(国际电气和电子工程师协会)制定的IEEE 802.3标准。
1.2 无线Wi-Fi局域网
Wi-Fi的全称为wireless fidelity,意为无线保真,是Wi-Fi联盟所持有的一个无线网络通信技术品牌,应用在建立于IEEE 802.11标准的无线局域网络(WLAN)设备,目的是为了改善基于802.11标准的无线网络设备之间的互通性。由于两套系统的密切联系,常常有人把Wi-Fi作为802.11标准的同义词术语,但这并不是说所有符合802.11标准的设备都要申请Wi-Fi认证,也不意味着没有Wi-Fi认证的产品就与Wi-Fi设备不兼容。 通俗来讲Wi-Fi网络即是把手机、电脑、PAD等无线终端络通过Wi-Fi技术连接到一起的无线电磁波的网络。
1.3 电力线组网
电力线组网是指通过使用 “电力猫”(即“电力调制解调器”、电力线以太网传输适配器)利用现有的传输电流的电力线作为通信载体进行组网的一种新兴组网技术。其基本的工作原理是利用电力猫将带宽为1.6 MHz~30 MHz的载波信号通过民用电力线传输进行通讯,从而达到组网的目的。电力猫本身不会产生网络,它是一个延长、拓展、延伸网络范围的产品。目前主要生产电力猫的品牌有ZINWELL、TP-LINK、LechenTek等,功能上有普通电力猫、带无线AP功能电力猫、带路由拨号功能电力猫等。电力猫产品支持HomePlug系列协定,另外带有无线网络功能的电力猫还同时支持802.11系列协议。电力线组网技术作为一种新兴技术,是传统有线以太网和Wi-Fi无线网络的补充和延伸。
2 家庭组网主要涉及的通信协议和工业标准
2.1 IEEE标准
前面介绍几种组网方式的时候,我们常会提到一些802开头的通信协议和工业标准,这些协议和标准是由国际电子和电气工程师协会(英文缩写为IEEE)制定的,主要规定了各协议中网络的频率带宽、传输距离、传输速率以及数据链路层等。
1)802.3协议:一种网络协议。描述物理层和数据链路层的MAC子层的实现方法,在多种物理媒体上以多种速率采用CSMA/CD访问方式,对于快速以太网该标准说明的实现方法有所扩展。家庭组网中使用的百兆网线支持100BASE-TX协议,最大传输速率100 Mbps,传输距离
100米。
2)802.11协议及扩展:
802.11,1997年,原始标准(2Mbit/s,2.4GHz频道)。
802.11a,1999年,物理层补充(54Mbit/s,5GHz频道)。
802.11b,1999年,物理层补充(11Mbit/s,2.4GHz频道)。
802.11c,符合802.1D的媒体接入控制层(MAC)桥接(MAC Layer Bridging)。
802.11d,根据各国无线电规定做的调整。
802.11e,对服务等级(Quality of Service, QoS)的支持。
802.11f,基站的互连性(Interoperability)。
802.11g,物理层补充(54Mbit/s,2.4GHz频道)。
802.11h,无线覆盖半径的调整,室内(indoor)和室外(outdoor)信道(5GHz频段)。
802.11i,安全和鉴权(Authentification)方面的补充。
802.11n,导入多重输入输出(MIMO)和40Mbit信道宽度(HT40)技术,基本上是802.11a/g的延伸版。802.11n在20MHz带宽时理论速度可以达到300Mbps,比802.11b快50倍,比802.11g快10倍左右,传输距离也更远。当带宽为40MHz时,理论速度更可高达600Mbps。
除了上述的扩展之外,802.11家族还有k/p/ac/b+等新的扩展,并且还会随着网络需求的变化不断更新拓展。目前主流的家庭无线路由器主要支持的是802.11b/g/n协议,设置时选择b/g/n混合模式可以更好的兼容老版本的无线网卡,但是如果网络中同时有802.11b和802.11n的无线网卡时,网络的传输速度会自动匹配到速度较低的802.11b模式下。
2.2 HomePlug协定
这是由家用电力线网络联盟(HomePlug Powerline Alliance,缩写为HPA)制定的一系列协定,应用于家用电力线通讯。主要有HomePlug 1.0、HomePlug turbo、HomePlug、UPA、HD-PLC几种。HomePlug1.0速率为80Mbps,HomePlugAV 为 200Mbps。HomePlug 1.0与HomePlug turbo可以互通,其他规格的HomePlug设备无法互通。也就是说,市面上的不同厂商的电力猫,85Mbps的可以和85Mbps的混合搭配使用,200Mbps的可以和200Mbps的混合搭配使用,但85Mbps的和200Mbps的即使是同一厂商的也无法搭配使用。
以目前主要应用的 HomePlugAV 为例,主要设计标准:
1)接口:Powerline;10/100 Base-TX Ethernet Port。
2)电源网络调变技术:OFDM(QAM 8/16/64/256/1024,QPSK,BPSK,ROBO)。
3)电源网络传输频率:1.6 MHz~ 30 MHz。
4)资料传输速率(实体层传输):电源网络200 Mbps;以太网路 10/100 Mbps。
5)QoS:智慧型QoS网络优先机制。
6)安全机制:128bit AES资料加密。
3 几种组网技术的对比
3.1 灵活性
快速以太网使用双绞线,需要在家庭装修时预先在墙壁内埋线并预留接口,这样就限制了终端设备使用的地点。如果需要增加一个接口,或者想换个舒服点的位置使用,就必须另外拉一条网线,这样一来,既不美观又麻烦。
无线Wi-Fi网络则不同,理论上,只要在信号的覆盖范围内的任意位置,都可以方便的上网,使用起来非常的灵活。
电力线组网由于依赖电力线网络,只要在有插座的地方插上适配器,就可以方便的使用网络,虽然不如无线网络那样自由,但相对于以太网来说,使用的灵活性和方便性也增加了很多。
3.2 安全性
快速以太网以进户的网络端口为起点,在局域网络范围内,只有连接了网线的设备才可以使用网络,从物理上隔断了其他人盗用网络的可能,网络的安全性很高。
无线网络则不同,由于是用电磁波作为载体,只要在覆盖范围内,所有能搜索到信号的设备理论上都可以连接并使用到该无线网络,网络资源被盗用的风险很大。因此,Wi-Fi联盟制定了一系列的安全标准来对符合802.11标准的设备进行认证。这些标准包括:WPA/WPA2、WMM、WMM Power Save、WPS、ASD、CWG以及EAP等。目前家庭所使用的路由设备主要使用的是WPA/WPA2-EAP认证方式,用户在连接Wi-Fi网络时,必须输入对应的密钥,通过认证后才可以使用对应的无线网络,从而大大的增加了网络的安全性。
电力线组网由于是新生事物,很多人对它还很陌生,有人就怀疑这种技术组网是否安全?实际上,根据HomePlug协定的规定,在电力线中传递的信号是工作在一定的带宽内的,我们家庭中的电表和带有滤波功能的插座都能过滤掉这个频段内的信号,也就是说,利用电力线组网的网络信息是无法穿越家庭电表的,因此,不在同一电表内的用户也无法使用到这个电力线网络的资源。理论上来讲,电力线网络和快速以太网是同样安全的。
对于一些特殊情况,比如集体宿舍或与他人合租使用公用电表的用户,我们可以通过以下方法来增加网络安全性:一是安装电力猫产品的应用程序,将自己的网络设置私有化,并将对应的电力猫添加到自己的网络中来。二是将自己的电力猫进行配对加密。在电力猫上有相应的配对按键,按住一台电力猫的配对键几秒,当指示灯闪烁时,再按住另一台的配对键几秒,指示灯闪烁几下,然后两台电力猫的指示灯会熄灭然后变成常亮,重启之后两台电力猫之间就通过128位的AES加密配对成功了。如果还有其他的电力猫需要加入,只要按照上面的方法和第一台电力猫进行配对,就可以了,十分方便。通过这两种方法,即使公用电表的电力线组网也变得安全可靠。
3.3 上网速率
前面提到过,每种组网方式遵循的协议都定义了其网络传输速率,但那只是在理想状态下的理论速率最大值,实际应用中,网络传输的速率是否如此呢?实际测试中我们发现,使用百兆网线的快速以太网络的传输速率能达到90 Mbps(如图1),损耗约10%。
图1 百兆网线单 pair下行速率平均值90.305 Mbps
而标称速率为200Mbps的电力猫表现又如何呢?以TP-LINK公司生产的200M速率电力猫实验,测得的结果让我们大跌眼镜,居然只有不到45Mbps(如图2),损耗高达77.5%。
图2 TL-PA201单pair下行速率 平均值 44.237Mbps
(以上图表数据均来自)
造成这样的结果有两个原因:
1)电力猫的200 Mbps传输速率指的是信息在电力线上的理论传输速率,但是电力猫采用的接口为10/100 Mbps的RJ45接口,这说明,电力猫和电力猫之间的理论传输速率最大值为200 Mbps,但电力猫和网络设备之间的传输速率理论最大值只有100 Mbps。
2)电力线网络中的信息是在电力线上传输的,电力线上同时还负载了很多家用电器,比如冰箱、空调、微波炉、电饭锅等等,这些电器会对网络信号造成干扰,从而影响网络的传输速率。目前最新型的电力猫产品的理论传输速率已经达到了500 Mbps。
Wi-Fi网络兼容的协议较多,隔一堵墙时,在802.11b协议下,其实际速率约为3 Mbps-6 Mbps,802.11g协议下为16 Mbps-30 Mbps,802.11n协议下为50 Mbps-90 Mbps,但无线网络抗干扰能力差,如果设备性能不稳定或者相隔的墙多几堵,拐角多一点,无线信号会迅速衰减,网络速度也就大幅下降。
无线网络适用于对网速和网络延迟要求不高的网页浏览、即时通讯等,而对网络延迟要求较高的IPTV、网络游戏等则适合使用快速以太网或者电力线组网的网络。
3.4 组网成本
1)路由器:无论选择哪种组网方式,现代家庭局域网都少不了使用路由器,一个路由器的价格从几十到一百多元不等,带有无线功能的路由器要比不带无线功能的贵几十元。
2)快速以太网:因为需要专门布线,所以材料加上人工费一条线路的费用大约是90元。
3)无线Wi-Fi网络:如果家里的路由带有无线功能,而上网设备比如笔记本电脑或者手机又自带无线网卡,则所需的组网费用为0。否则也只是多了几十元的无线路由差价和一块无线网卡的价格,加起来100元以内。
4)电力线组网:不计算电力线的铺设费用,一个电力猫的市场售价在150元左右,如果带有无线AP功能的大约200元左右。由于电力猫是要配对使用的,因此至少需要2个,最低也要在300元左右。
由此看来,电力线组网的成本还是相对较高的。
4 结束语
通过本文,我们了解到目前适用于家庭组网的网络技术以及他们各自的优缺点。快速以太网的网络质量相对最好,但灵活性不高;灵活性最高的无线上网方式抗干扰能力差,网络延迟严重;电力线组网的网络质量好于无线Wi-Fi网络,灵活性也高于快速以太网,但成本又比较高。因此,在现代家庭组网中,仅仅选择一种组网技术已经不能满足我们对网络的需求,我们可以根据家庭的网络实际需求,多种组网技术相互补充,搭建最经济、实用与灵活的现代家庭网络。
参考文献
[1]中国互联网络信息中心.中国互联网络发展状况统计报告.第23次,2009,第29次,2012.
[2]日本电气学会高速电力线通信系统和EMC调查专门委员会 编,吴国良 译.高速电力线通信系统(PLC)和EMC[M]..中国电力出版社,2011.
[3]刘威,孔艳敏,李莉,陈海燕.无线网络技术[M].电子工业出版社,2012.
无线局域网按照组网规模的不同,可以分为家庭无线网络、热点应用、企业无线网络以及无线城市。家庭无线网络:互联网发展迅速,同时拥有台式机、上网本、网络电视、智能手机的家庭用户越来越多,使用无线路由器来组建一个家庭局域网,使得这些设备可以随时随地的接入网络,成为了最佳的组网方案。热点应用:越来越多的咖啡厅、餐厅、商场以及车站等地方,都为顾客提供了无线上网服务,利用热点应用使得在无线覆盖范围内的用户都能够通过匿名的方式访问网络,十分方便。企业无线网络:不同规模的企业有着不同规模的无线网络应用,使企业网络具有移动办公、组网方便等特点。另外,有很多社区、高校也都提供无线局域网的服务。无线城市网络:以覆盖整个城市为目标的无线网络,从国外到国内都有案例,这标志着一个城市网络发展的水平。无论何种规模的无线网络,都面临着一定的安全隐患和危害。
1.1无线网络的安全隐患
密码破解:无线网络的接入密码,是接入无线网络的最有力的凭证,也是蹭网者或者黑客攻击的首要目标。对于大多数的无线局域网而言,都可能会遇到自己的密码被破解的风险,一旦破解成功,非授权用户就能够使用无线网络,轻者损失带宽,重者遭受经济损失。假冒客户端身份:连入无线局域网的第一步首先要配置正确的无线网络名称:SSID。一些非法入侵者为了达到访问企业中无线网络的目的,通过技术手段获取无线网络的SSID,伪装成正常的用户进行连接。假冒网络端AP:入侵者将自己的计算机伪装成合法的网络AP接入点,欺骗客户端在连接无线网络的时候连接自身计算机,从而进行信息窃取和篡改、入侵电脑等攻击。
1.2无线网络攻击的危害
无线网络受到攻击,可能造成的主要危害有:泄露网络资源:当有非法用户接入网络以后,网络内的资源如共享文档、文件服务器、日常的通讯记录都将一览无余。泄露敏感信息:非法用户不仅可以获取网络内部的核心文档,还可以通过一定的技术手段获取企业内部的敏感保密信息,可能给企业造成致命打击。消耗网络带宽:对于家庭用户和企业用户,非法用户的接入都会不同程度的消耗有限的网络带宽,对于带宽本就有限的家庭用户而言,影响会更大。造成网络瘫痪:非法用户接入网络以后进行攻击行为,随意更改和删除一些公用的信息,或者使用黑客软件对网络内部的人员进行恶意攻击,会造成网络内部工作中的中断甚至瘫痪。造成管理混乱:网络的日志审计系统不能够快速有效的防止外部人员的敏感话题,一旦从企业网络内部发表一些不健康的言论,将无从追查者,给整个网络造成管理上的混乱,后果非常严重。
2无线局域网建设要点
无论是家庭普通用户还是企业用户,在组建无线局域网的时候,都应该从以下几个方面入手,解决WLAN存在的安全隐患。
2.1合理的规划无线网络
在组建无线局域网之初,应该认真规划,调研无线网络的主要用途,数据传输的级别,覆盖的范围,设备的规格,形成完整的规划。按照这个规划进行无线节点AP的布置,接入的加密方式以及客户端访问的权限设置。
2.2安全策略的确定
安全策略在WLAN中的地位相当重要,基础建设再好,如果没有相对严密的安全策略,整个WLAN的安全问题也得不到解决。WLAN在满足了建网的初始目标以后,应该尽可能的限制自身的无线覆盖范围,明确划分内部的重要网络和无线网络之间的作用区域,确保无线AP和内部网络之间的安全访问,必要时需要采用物理隔离的办法。这样一旦无线网络出现问题,也不会危及内部网络的重要区域。根据WLAN的技术特点,安全策略的重点应该放在网络标识SSID、加密技术WEP、MAC绑定和过滤等方面,综合考虑安全策略、硬件和软件相统一的防御体系。
2.3部署入侵检测系统
对于预算充足的无线网络建设,应当部署WLAN专用的入侵检测系统,可以对整个无线网络进行监控,分析判断有无异常现象。通过对WLAN的性能和状态进行分析,能够第一时间通知网络管理人员进行相应的措施来阻止危害继续扩大。
3无线局域网的安全策略
对于公共无线网络、家庭无线网络和企业无线网络,不同的网络由于建网的目的和用户都不相同,安全策略的制定也应该根据不同的情况有所变化,适应各自的特点。在制定安全策略时,应该着重在服务器端和客户端两个方面进行详细的设计。
3.1公共场所的安全策略
公共场所建设WLAN的目的是能够使位于其中的客户端方便的接入网络,一般不采用加密技术,是一种不安全的连接。大多数人在连接入网的时候,并没有采取相应的安全措施,身边的其他客户端有可能捕获自己的网络数据包,窃取自身的隐私,这些情况我们可能都没有发觉。使用公共场所的WLAN,可能遇到的攻击有:网络信息被窃取:在没有加密技术的网络面前,客户端登录网站所需要的用户名以及密码等敏感信息会完全暴露在网络中,只需要借助一些简单的黑客工具就有可能全部获取,对安全造成了很大威胁。电脑被非法访问:在公共场合里,所有连接无线网络的电脑逻辑上都处于同一个网络里,大多数人并不主动去设置自身上网设备的安全性,任由自身的共享文件在网络中处于可被直接查看的状态。非法热点劫持:网络黑客会利用一些设备和技术伪装无线接入点AP,这个AP可以借助已有的无线网络提供间接上网功能。一些不明所以的用户通过此AP享受了上网功能,同时留下了自己的上网资料,特别是网络购物或者理财的用户,更加危险。由于公共场所WLAN的特性,我们应该提高自身的安全性才能做到“免费的午餐也很好吃”。公共场所WLAN的安全策略:访问安全性高的网站:访问使用SSL技术的网站,可以对我们在登录和处理敏感信息的时候进行加密处理,能够确保客户端和网站之间信息传输的安全性。如果访问的网站没有SSL等加密技术,可以使用公司提供的VPN服务来访问公司的网络,或者使用一些加密软件来保证自己发送和接收的数据包不被他人侦听。禁用共享功能:文件共享功能是方便在局域网中进行文件和数据传输的功能,在访问公共场合的无线网络里,完全没有必要开启此功能,以防止非法用户未经过我们的授权而访问我们的电脑设备。关闭Adhoc功能:Adhoc模式的作用是两台电脑利用各自的无线设备进行互联。在公共场所的网络里,没有必要开启这个功能。我们还可以开启防火墙和禁用网络发现等功能防止其他人利用公共网络对我们进行的非法访问。在我们感受到城市热点提供的网络便利的同时,同时要具备一定的防备意识。
3.2家庭网络的安全策略
从家庭网络的使用情况来看,其威胁和隐患主要来自于家庭周围的邻居等固定人群。要确保家庭多台设备联网的安全性,必须要注意以下几个方面。控制覆盖范围:根据无线信号直线传播,遇到障碍物信号减弱的特性,合理放置用于发射无线信号的路由器。争取在可以覆盖家里上网区域的同时,减少覆盖范围,这样能够减少非法用户扫描攻击我们的几率。更改安全密钥:很多家庭在使用路由器的时候,并没有更改厂家默认的密码,导致非法用户简单猜测就能够连接上网核心设备,从而进行破坏。所以,要尽量设置复杂的登录密码,并且在无线网络访问中,也要设置复杂的认证加密密码,降低破解工具对无线网络暴力破解的几率。改变设备的常规设置:设备默认的DHCP和SSID广播服务是开启的,这样其他用户只要搜索到网络SSID,不用猜测网络的IP地址是多少,就可以了解网络的基本结构,降低了攻击者的难度,提高了风险。应该禁用DHCP服务和SSID广播服务,把路由器本身的IP地址更改,能够大大增加攻击的难度。绑定MAC地址:在路由器上开启MAC地址绑定功能,任何接入网络的设备一定是预先录入绑定的,这样能够直接封杀攻击者设备连接入网的机会。
3.3企业网络的安全策略
企业网络拥有公共网络的开放性,同时具备家庭网络的封闭性,不同的是在企业内部有不同的部门,网络数据的功能和重要性也有不同。针对企业无线网络安全性的策略,除了要像公共网络和家庭网络那样详细设置以外,还需要注意以下几个方面。特殊部门的隔离:企业内部的一些部门(如财务部)不能够和其他部门进行数据交换,至少在局域网之内应该隔离开,在布置无线局域网的时候,就应该考虑这些部门的网络与其他部门网络之间的屏蔽。如果有必要,禁止这些特殊部门的无线网络连接。加密技术:企业的无线网,需要更加可靠地加密技术来保障接入的安全性。WEP技术对于家庭用户来讲,40位的算法已经够用了,而对于企业来讲,需要128位甚至更高的算法来保障其安全性,或者采用更加稳定安全的WPA加密算法。
4小结
关键词:WiFi网络,网络安全,SSID网络名
人们在构建家庭网络的过程中,总是忙于让网络尽快的运行起来。这是可以理解的。但如果忽视了网络安全问题,后果是十分危险的。对于Wi-Fi网络设备进行安全配置通常是耗时费力的,网络用户因此不能妥善处理。正是基于这种情况,我们依据网络安全技术和组网经验,提出如下十点建议,以提高家庭无线网络安全。
1. 及时和定期地修改管理员口令和用户名
几乎所有的无线接入点和路由器都准许管理员使用特别的管理帐号来管理WiFi网络。这个帐号可以让管理员使用用户名和口令访问设备的配置文件。缺省的用户名和口令是由制造商所设置的,用户名通常就是简单的admin或administrator,而口令通常是空白的,或者也只是一些简单词汇而已。
为了增强WiFi网络的安全性,在构建网络时,你应该立刻修改无线接入点或路由器的管理口令。黑客十分清楚流行的无线网络设备的缺省口令,并经常把它们到网上。大部分设备不允许修改管理员的用户名,但如果你的设备可以的话,那么强烈建议你也应该及时修改管理员用户名。
为了保证家庭网络以后的安全,建议你要定期修改管理员口令,至少每隔一到三个月修改一次,并且要作到所使用的口令复杂难猜。
2. 启用WPA/WEP加密
所有WiFi设备都支持某种加密技术。加密技术对通过无线网络传送的信息进行加密编码,这样会使黑客难以破解。目前有几种针对WiFi网络的加密技术,自然地,你应该为你的WiFi网络设备选择最强的加密技术。然而,一旦选定了某种加密技术,你的WiFi网络上的所有设备都必须使用相同的加密设置。因此,在进行加密设置时,你还需要考虑其独特性。
3. 修改缺省的SSID网络名
接入点或路由器都采用被称做SSID的网络名。论文参考。制造商所推出的产品通常带有同样的SSID集。例如,Linksys产品的网络名通常是“Linksys”。尽管,了解SSID网络名本身并不能使黑客闯入你的网络,但这是闯入你的网络第一步。更重要的是,当黑客发现你仍然采用缺省的SSID网络名时,他们会认为你的网络设置很简单,这样他们会更愿意攻击你的网络。因此,当你为自己的无线网络进行配置时,必须立刻修改缺省的SSID网络名。
4. 启用MAC地址过滤
每一个WiFi网络设备都有自己唯一的标识,称做物理地址或MAC地址。接入点和路由器跟踪记录所有连接到网络上的设备的MAC地址。许多网络设备都为主人提供选项,供主人键入它们的MAC地址。网络也只允许这样的设备接入。这样做是提高网络安全的步骤之一,并不是万全之策,黑客和他们的软件可以轻易的编造MAC地址,所以我们建议采用MAC地址过滤技术来加强这一防范措施。
5. 关闭SSID网络名广播
在WiFi网络中,无线接入点和路由器每隔一定时间广播自己的网络名字(SSID)。论文参考。这是针对商业和移动热点而设计的功能,因为它们通常在服务区内外游动。而在家庭中,经常是不需要游动的,所以关闭网络名字广播这项功能是明智之举,大多数WiFi接入点也允许这样做,这会减少黑客利用此特点闯入家庭网络的可能性。
6. 关闭自动连接到开放的WiFi网络的功能
大多数计算机都存在这样一个设置,该设置可以自动地把你的计算机连接到一个开放的WiFi网络上(:如:免费的无线热点或邻居的路由器),而不通知你本人。选择关闭这项功能, 可以防止你的计算机无意中将自己的重要信息泄露给他人,避免你的计算机安全处于危险中。
7. 为网络设备指定静态IP地址
大多数构建家庭网络的人都倾向于采用动态IP地址。动态主机配置协议(DHCP)的确容易设置。但网络黑客也很容易利用这种方便,他们会很容易从你的网络DHCP文件中获取有效的IP地址。所以我们建议关闭接入点和路由器上的DHCP文件,同时设置固定的地址范围,然后为每个连接设备配置相应的IP地址。采用保密的地址范围可以防止互连网对计算机的直接接入。
8.在每个计算机和路由器上启动防火墙
现代的网络路由器都包含内置的防火墙功能,同时也存在关闭防火强的选项。必须保证你的路由器防火墙处于启用状态。如果想进一步增加保护性,建议在每个连接到路由器的计算机上安装并运行各自的防火墙软件。
9.为路由器和接入点选择安全的地方摆放
WiFi无线网络的信号通常可以传播到户外,如果在户外仍具有一定的强度,就完全可能出现信号泄露的问题。信号传播的越远,就越容易被外人侦测和利用。WiFi网络的信号强度通常可以达到附近的街区和住宅,所以在构建无线家庭网络时,为接入点和路由器找到一个合适的摆放位子可以有效地减弱户外的信号强度。为了使信号泄露最小化,我们建议尽量将这些设备放置在房屋的中心位子,不要靠近窗户和门等房屋周边。
10.在网络不用期间,关闭网络
无疑关闭网络可以保证黑客无法闯入。如果频繁的关闭网络不现实的话,至少在外出旅行或长时间离线时要这样做。尽管这样做会对计算机硬盘造成一定的损害,但对于宽带MODEM和路由器而言那是次要的。如果你拥有一个只在有线连接上使用的无线路由器,那么你也可以只关闭宽带路由器上的WiFi网络,而不必把整个网络断电。论文参考。
综上,我们针对WiFi无线网络的安全问题提供了十点建议,这些建议对于已经拥有或准备构建家庭无线网络的人们无疑是有帮助和裨益的,对于保障家庭网络的安全会起到十分重要的作用。
[参考文献]
1.宽带无线接入技术及应用:WiMAX与WiFi 唐雄燕电子工业出版社 (2006-05出版)
2.网络安全讲堂之全面防护Windows与无线网络入侵 程秉辉、程秉辉清华大学出版社 (2009-07出版)
关键词:网络安全 风险评估 方法
1网络安全风险概述
1.1网络安全风险
网络最大的特点便是自身的灵活性高、便利性强,其能够为广大网络用户提供传输以及网络服务等功能,网络安全主要包括无线网络安全和有线网络安全。从无线网络安全方面来看,无线网络安全主要是保证使用者进行网络通话以及信息传递的安全性和保密性,其能否保证使用者的通话不被窃听以及文件传输的安全问题都是当前研究的重要课题,由于无线网络在数据存储和传输的过程之中有着相当严重的局限性,其在安全方面面临着较大的风险,如何对这些风险进行预防直接关乎着使用者的切身利益。想要对无线网络安全进行全面正确的评估,单纯的定量分析法已经不能够满足当前的需求,因此,本文更推荐将层次分析法和逼近思想法进行双重结合,进一步对一些不确定因素进行全面的评估,确保分析到每一个定量和变量,进一步计算出当前无线网络的安全风险值。而对于有线网络,影响其安全风险的因素相对较少,但是依然要对其进行全面分析,尽最大可能得到最准确的数值。
1.2网络安全的目标
网络安全系统最重要的核心目标便是安全。在网络漏洞日益增多的今天,如何对网络进行全方位无死角的漏洞安全排查便显得尤为重要。在网络安全检测的各个方面均有着不同的要求,而借助这些各方面各个层次的安全目标最终汇集成为一个总的目标方案,而采取这种大目标和小目标的分层形式主要是为了确保网络安全评估的工作效率,尽最大可能减少每个环节所带来的网络安全风险,从而保证网络的合理安全运行。
1.3风险评估指标
在本论文的分析过程之中,主要对风险评估划分了三个系统化的指标,即网络层指标体系、网络传输风险指标体系以及物理安全风险指标体系,在各个指标体系之中,又分别包含了若干个指标要素,最终形成了一个完整的风险评估指标体系,进而避免了资源的不必要浪费,最终达到网络安全的评估标准。
2网络安全风险评估的方法
如何对网络风险进行评估是当前备受关注的研究课题之一。笔者结合了近几年一些学者在学术期刊和论文上的意见进行了全面的分析,结合网络动态风险的特点以及难点问题,最终在确定风险指标系统的基础上总结出了以下几种方法,最终能够保证网络信息安全。
2.1网络风险分析
作为网络安全第一个环节也是最为重要的一个环节,网络风险分析的成败直接决定了网络安全风险评估的成败。对于网络风险进行分析,不单单要涉及指标性因素,还有将许多不稳定的因素考虑在内,全面的彻底的分析网络安全问题发生的可能性。在进行分析的过程之中,要从宏观和微观两个方面进行入手分手,最大程度的保证将内外部因素全部考虑在内,对网络资产有一个大致的判断,并借此展开深层次的分析和研究。
2.2风险评估
在网络安全风险评估之中,可以说整个活动的核心便是风险评估了。网络风险的突发性以及并发性相对其他风险较高,这便进一步的体现了风险评估工作的重要性。在进行风险评估的过程之中,我们主要通过对风险诱导因素进行定量和定性分析,在此分析的基础上再加以运用逼近思想法进行全面的验证,从而不断的促进风险评估工作的效率以及安全性。在进行风险评估的过程之中,要充分结合当前网络所处的环境进行分析,将工作思想放开,不能拘泥于理论知识,将实践和理论相结合,最终完成整个风险评估工作。
2.3安全风险决策与监测
在进行安全风险决策的过程之中,对信息安全依法进行管理和监测是保证网络风险安全的前提。安全决策主要是根据系统实时所面对的具体状况所进行的风险方案决策,其具有临时性和灵活性的特点。借助安全决策可以在一定程度上确保当前的网络安全系统的稳定,从而最终保证风险评估得以平稳进行。而对于安全监测,网络风险评估的任何一个过程都离不开安全检测的运行。网络的不确定性直接决定了网络安全监测的必要性,在系统更新换代中,倘若由于一些新的风险要素导致整个网络的安全评估出现问题,那么之前的风险分析和决策对于后面的管理便已经毫无作用,这时候网络监测所起到的一个作用就是实时判断网络安全是否产生突发状况,倘若产生了突发状况,相关决策部门能够第一时间的进行策略调整。因此,网络监测在整个工作之中起到一个至关重要的作用。
3结语
网络安全风险评估是一个复杂且完整的系统工程,其本质性质决定了风险评估的难度。在进行网络安全风险评估的过程之中,要有层次的选择合适的评估方法进行评估,确保风险分析和评估工作的有序进行,同时又要保证安全决策和安全检测的完整运行,与此同时,要保证所有的突发状况都能够及时的反映和对付,最终确保整个网络安全的平稳运行。
参考文献
[1]程建华.信息安全风险管理、评估与控制研究[D].吉林大学,2008.
[2]李志伟.信息系统风险评估及风险管理对策研究[D].北京交通大学,2010.
[3]孙文磊.信息安全风险评估辅助管理软件开发研究[D].天津大学,2012.
[4]刘刚.网络安全风险评估、控制和预测技术研究[D].南京理工大学,2014.
论文摘要:无线网络作为一种新型的便捷性网络资源,正在日益普及,尤其是在现代校园中的应用更是大势所需,但是无线网络的安全性成为其在普及应用中的一大难题。本文经过深入分析无线网络的安全隐患,提出了相应的防范措施,并结合校园学习生活的特点,提出了在校园中的具体应用策略,望有助于相关人士的参考与借鉴。
1、常见的无线网络安全措施
无线网络受到安全威胁,主要是因为“接入关”这个环节没有处理好,因此以下从两方面着手来直接保障企业网线网络的安全性。
1.1 MAC地址过滤
MAC地址过滤作为一种常见的有线网络安全防范措施,凭借其操作手法和有线网络操作交换机一致的特性,经过无线控制器将指定的无线网卡MAC地址下发至每个AP中,或者在AP交换机端实行设置,或者直接存储于无线控制器中。
1.2 隐藏SSID
所谓SSID,即指用来区分不同网络的标识符,其类似于网络中的VLAN,计算机仅可和一个SSID网络连接并通信,因此SSID就被定为区别不同网络服务的标识。SSID最多由32个字符构成,当无线终端接入无线网络时须要有效的SIID,经匹配SSID后方可接入。通常无线AP会广播SSID,从而接入终端通过扫描即可获知附近存在的无线网络资源。比如windows XP系统自带扫描功能,检索附近的无线网络资源、罗列出SSID信息。然而,为了网络安全最好设置AP不广播SSID,同时将其名字设置成难以猜解的长字符串。通过这种手段便于隐藏SSID,避免接入端利用扫描功能获取到该无线网络名称,即使知道其存在也是难以通过输入其全称来接入此网络的。
2、无线网络安全措施的选择
网络的安全性和便捷性永远是相互矛盾的关系,安全性高的网络一定在使用前或使用中较为繁琐,然而,科技的进步就是为了便捷我们的生活,因此,在对无线网络进行设置时,需要兼顾安全性和便捷性这两个主要方面,使其均衡地发展使用。
接入无线AP时选取WAP加密模式的方法,此外,SSID即使被隐藏,也会被攻击者利用相关软件探测到,所以无需进行隐藏SSID,增强接入便捷性,在接入时实行一次性输入密码完成设置任务。
与此同时,采用强制Portal+802.1X的认证方式,两种方法的融合可以有效确保无线网络的安全。来访用户更关注的是使用时的便捷性,对其安全性没有过高要求。强制Portal认证方式免除安装额外的客户端软件,用户通过浏览器认证后即可获取网络资源。这种便捷的方法,其不足之处就是安全性较低。倘若花费一定资金用来购置无线网络入侵检测设备展开主动性防御,是可以在一定程度上保障无线网络安全性的。
其实,网络安全技术是人类发明的,并依靠人的使用而发挥作用,所以网络使用者是安全防线的最后一关,加强网络使用者的安全意识,是保障无线网络安全的根本。
3、校园无线网络的应用
(1)在校园网络建设中,无线网络作为一种流程趋势正在普及开来,同时其用户也在日益增多。当前在校园网络不同环境下,主要用户分为以下几类人群,第一类为固定用户群,包括机关办公、机房电脑、教学楼、试验室等众多使用者;第二类是活动用户群,主要包括教师的个人电脑和学生的自用电脑;第三类为临时用户群,特指在学术交流会时所使用电脑上网的群体。经过划分出三类用户群,便于无线网络在接入Internet网络时采取相应的安全策略,以保障整个校园无线网络的安全性。
(2)校园无线网络的安全措施除了进行WEP数据加密协议外,更要结合不同用户群特点,制定相应的安全防范措施。对于固定用户群可以实行绑定MAC地址,限制非法用户的访问,网络信息中心通过统一分配IP地址来配置MAC地址,进行这种过滤策略保障无线网络的安全运行;针对活动用户群实行端口访问控制,即连接工作站STA和访问点AP,再利用802.1x认证AP服务,一旦认证许可,AP便为STA开通了逻辑端口,不然接入被禁止执行。802.1x需要工作站安装802.1x的客户端软件,并在访问点内置802.1x的认证,再作为Radius的客户端把用户的认证信息转发至Radius服务器。802.1x不仅控制端口的访问,还为用户提供了认证系统及其计费功能。
AP隔离措施近似于有线网络的VLAN,对无线客户端进行全面隔离,仅可访问AP所连接的固定网络,进而增强接入Internet网络的安全性;最后一类临时用户群,可以通过设置密码限制访问,无密码者无法接入无线网络,利用此手段保障授权用户安全稳定的使用无线网络,避免他人肆意进入无线网络发生干扰,尤其适合于会议等临时性场所的使用。
4、结语
建设校园无线网络,可以为校园学习生活带来极大的便捷性,但与此同时,其中也潜在着安全隐患,无线网络技术需要不断研究、完善,方可保证校园无线网络的安全性、可靠性,实现校园的现代化网络建设。
无线网络中的威胁无处不在,不法分子利用网络技术手段可以窃取校园中传输的重要数据,截取或篡改教学数据,严重威胁着学校中重要资料的安全性。只有结合上述相应手段,才能有效控制非法用户侵入校园无线网络,维持校园无线网络的纯净度,实现健康资源的共享。其实,无线网络的安全防范措施还有很多,须要在科学技术的发展进步中,不断分析,进行完善,以共同打造美好的校园网络学习生活为目标。
参考文献
[1]孔雪莲.浅谈无线局域网中的安全及黑客防范[J].电脑知识与技术(学术交流),2007(13).
[2]芦艳芳,吴娜.浅谈威胁无线网络安全的途径与防范措施[J].计算机光盘软件与应用,2010(1).
无线局域网势在必行
现在无论从厂商还是媒体都在大力的推行网络无线化,那么无线网络与传统的有线网络到底有那些变化,这些变化对我们普通消费者到底有没有价值’在接下来的文章中我们将一一为你解答。
与有线网络相比,无线网络最大的优点是建设便捷、使用方便、扩展简单、外形美观。它不用像有线网络一样要考虑信息接入点位置以及数量的多少,更不用考虑长长的网线暴露在外对家居环境整体感觉的破坏,直接放置好无线路由器就可在信号覆盖范围内随便使用:在床上可以上网、在沙发上可以上网、甚至在马桶上都可以上网,就算家里来了一群带着笔记本电脑的朋友也无须担心网络接口不够。
当然,无线网络也有缺点,例如在空气中传播的信号容易受到微波炉、蓝牙、无绳电话等无线设备的射频干扰,导致网络速度变慢甚至掉线,大大影响了无线网络的稳定性。
此外,很多人认为无线网络还有个缺点就是会产生辐射,影响用户健康。其实不然,根据IEEE 802 11协议规定,无线局域网发射功率不可超过100毫瓦,一般实际发射的功率约在60毫瓦左右。而手机的发射功率则在200毫瓦至1瓦之间,因此无线网络安全性基本不会存在问题。
综合来看,无线局域网相比有线局域网占有不少优势,对家庭用户组建网络来说应该是首选。
无线网络设备选购
兵马未动,粮草先行。选择了无线网络后,我们就要先采购设备。一般而言,用户只需用到两种设备:无线路由器和无线网卡。
无线路由器选择非常重要,路由器具有两大典型功能,即数据通道功能和控制功能。数据通道功能由特定的硬件来完成,决定了无线网络的速度和型号覆盖范围;控制功能包括与相邻网络设备之间的信息交换、系统配置、系统管理等,由其软件来实现,决定了无线网络的功能、安全性和易用性等。下面,我们就来谈谈如何选购无线路由器,并向家庭用户推荐两款经典产品。
选购无线路由器时,最需要注意的是下述几个方面
速度:无线设备支持的最高速度可以从其使用的无线网络标准中看出来,目前市场上几乎所有无线网络速度都支持主流的IEEE 802.11g标准,速度是54Mbps,远高于家庭采用的1M或者2M Internet连接带宽,足够满足只需上网的用户。但如果局域网内部需要频繁传送大容量文件,则建议购买增强型802.11g标准的产品,它能提供超过百Mbps的理论速度。
穿透力:一般家庭面积并不大,但环境非常复杂,无线信号常需要穿过多堵墙壁,因此对家庭用户而言,覆盖范围大小并不非常重要,我们最需要关心的是无线路由器的穿透力。
管理界面人性化程度:与企业级路由器不同,家庭用户由于普遍缺乏网络知识,因此管理界面设计的越人性化、易用性越强对用户使用越有利。
安全性:由于无线网络是通过空气传播数据,在其信息覆盖范围内都能接收到网络信号,如何才能与且仅与指定设备建立安全连接是无线路由器选购的一大重点注意事项。
稳定性:一般来说,标称速度一样的无线路由器刚开始工作时速度都差不多,但工作时间一长或者环境温度一高,速度差距就会显示出来。有些稳定性差的产品甚至会出现停止响应、死机现象。因此选购路由器一定要注意其长时间高温环境下的工作稳定性。
阿尔法AFW-GR55
最高理论传输速度:54MbDs
优点:
1 具有独特的“广域覆盖技术”和“超级射频技术”使传输距离和穿透力高于传统802.11品,对路由器和电脑不在一个房间、有时信号需要穿透两堵墙壁的家庭用户来说,穿透力非常重要。
2 易用性强,采用向导式安装,有网关、网桥和无线路由器三种工作模式,新手也可以轻松搞定。
3 支持64/128位WEP加密、WPA-PSK等加密安全认证协议,支持网卡IP、MAC地址过滤、域名过滤、MAC与IP地址绑定等功能,具有良好的安全性。
4 支持QoS(服务质量)功能,且能单独对某个IP地址或者某一段IP地址进行这种QoS设定。
5 采用了WIND TUNNEL散热技术(空气快速对流)。能够快速散热,解决了温度过高带来的稳定性问题。
巴比禄WHR-hp-G54
无线网络标准:IEEE 802.1lb/g、增强型IEEE802.11g
最高理论传输速度:125Mbps
优点:
1 采用增强型IEEE 802.11g无线网络标准。最高理论传输速度达到125Mbps,适合需要在局域网内收看HDTV和局域网内大文件传输频繁的家庭用户。
2 易用性非常优秀,能够自动检测和设置用户的Cable和DSL网络连接,用户只需按下确认键就能完成联网设定。
3 内置信号放大器,使得信号发射功率要相对普通的802.11g无线路由增大60%,传输距离和穿透力表现特别优异。
4 WHR-hp-G54路由器持多种加密方式。并具有AOSS(一键安全)按钮,按下机身的AOSS按钮既能快速完成WPA、WEP协议加密设定,在安全性方面人性化程度高。
无线网卡的选购就很简单,直接选择与无线路由器同一厂家并采用同一无线网络标准的产品即可,至于是选择PCI接口还是USB接口的产品随用户喜好而定,不过若选择的是USB接口的产品,则要确定其采用的是USB2.0高速(High-speed)接口。
三分钟建好无线局域网
万事齐备,就开始动手建立无线局域网了。
步骤1:将无线网卡插人电脑,然后安装无线网卡的驱动程序。最好安装光盘自带的驱动或者从网上下载的最新驱动,尤其是Intel Pro/Wireless 2100/2200的用户,千万不要使用操作系统自带的驱动,Inte Pro/Wireless 2100/2200无线网卡由于设计方面的原因,很容易受到ISM杂波干扰而导致网络时断时续,Intel的最新驱动程序已经很好地解决了这个问题,但WindowsXP驱动程序库中自带的驱动却让用户经常面对掉线之苦。
步骤2:查看说明书,找到无线路由器默认的IP地址、网关、帐户以及密码,然后用无线路由器附带的网线连接宽带Model与无线局域网的相应接口。
步骤3:接着对局域网内每台电脑进行设置,在桌面找到“网上邻居”并点击右键,选择属性,开启“网络连接”视窗,找到其中的无线连接后将再开启其属性视窗,双击“Internet协议(TCP/IP)”,调出属性视窗。点选“使用下面的IP地址”,将IP地址设置为与路由器默认IP地址同一网段(一般路由器默认IP为192.168.0.1,用户电脑设置为192.168.0.2到192.168.0.254之间即可),并填人网关(无线路由器说明书中提供,一般为无线路由器IP地址)和DNS服务器(宽带运营商提供)。
步骤4:现在可以设置无线路由器了,打开浏览器,在地址栏输入无线路由器的地址,然后填写用户名和密码进入管理界面。
步骤5:进人路由器管理界面的基本设置处,根据接入方式的不同,用户需要将连接类型设置为静态或动态。以ADSL为倒,将连接类型设置为“PPPOE”、填入宽带运营商提供的用户名和密码,再填写分配好的DNS服务器地址,最后保存并退出。
购物车(0)