购物车(0) 期刊中心 科普订阅 范文中心
400-808-1731期刊服务 在线咨询7X16小时在线
公务员期刊网 精选范文 局域网网络安全措施范文

局域网网络安全措施精选(九篇)

局域网网络安全措施

第1篇:局域网网络安全措施范文

【关键词】网络安全 局域网 无线网络应用

自互联网逐渐一体化以后,其极大的丰富了人们的生活。但是网络是一把双刃剑,其在安全上容易受到一些黑客以及不法分子的入侵,从而使得网络系统崩溃,使得用户的信息被盗取。因此加强局域网以及无线网络的网络安全极为重要。

1 虚拟局域网和无线网络的网络安全的问题

1.1 网络黑客的入侵是一个极大的网络安全问题,在我国互联网发展越来越快的今天,黑客的入侵也越来越猖獗

其主要攻击计算机的软件系统,利用木马等程序进行攻击,从而盗取户主的个人信息。通常情况下,虚拟局域网以及无线网络都是有相应的密码进行保护的,但是很多黑客会直接侵入其网络安全保护系统,,如果网络安全防范系数过低,那么就很容易导致网络安全问题的出现,使得户主个人信息泄露,严重时甚至造成了财产损失和计算机系统瘫痪。

1.2 网络病毒也是导致网络安全的一个重要因素

通常情况下对计算机造成最大危害的就是病毒。其具有较强的频繁性,能够多次和重复的对计算机的系统进行入侵。在虚拟局域网和无线网络在提供网络共享的同时,也有利于病毒的传播。近年来网络病毒层出不穷,尤其蠕虫病毒以及木马病毒表现的尤为显著。比较传统的病毒入侵方式就是,用蠕虫病毒让计算机的网络安全保护系统陷于瘫痪,然后使用木马病毒进行个人信息的盗取。使得很多用户的生活以及工作受到严重的影响。其二另一个影响网络安全的因素是网络安全认证出现漏洞。从而出现IP地址被盗用,账号密码泄露等在无线网络的应用中也时有发生。

2 虚拟局域网的安全防护措施

2.1 使用VLAN技术能够对虚拟局域网进行有效地防护

VLAN技术可以不受位置地域的影响,可以根据不同用户的需求不同进行虚拟局域网的网络分段,从而提高了网络的灵活性以及扩张性。而利用VLAN技术可以有效的解决电视、广播以及电信信号的相互干扰,从而使得网络运行的更加流畅。提高了虚拟局域网运行的效率。其次VLAN在经过详细的划分后,在缩小其广播域的同时还能降低网络网络广播包所消耗宽带占的比例,从而大幅度的提高了网络运行的安全效率。在进行VLAN网络层的实现时,要加强VLAN数据之间的传输。然后结合数据链路层进行网络层设备之间的转化,从而搭建安全可靠的网络。

2.2 可以采用防火墙技术进行网络安全的防护

对虚拟局域网的入口处进行防火墙的部署,主要是针对其外部做出的防御。防火墙还能对非授权访问的网络安全技术进行智能化的识别,从而提高其对网络环境的进化功能。从而有效的保障互联网内部网络环境的安全。通常情况下,防火墙大致可以分为两种:其一是外部防火墙,其主要是针对防火墙的外部进行网络安全的防护,主要针对一些病毒的入侵,例如蠕虫病毒以及木马病毒。而且还能有效地防止网络黑客对网络内部进行入侵,其预防措施主要是通过网络进出通道对网络环境进行限制,从而对外来的非法信息进行有效地抵御。因此外部防火墙是保证虚拟局域网安全的关键。其二就是内部防火墙的防护。内部防火墙主要是将局域网进行分段管理。可以对虚拟局域网进行分段保护,从而使得外部攻击的损失受到限制。

2.3 使用入侵保护系统进行保护监督

入侵检测系统IDS是一种较为常见的网络监督系统,其主要作用是对网络传输进行一定的监督。当局域网的网络安全受到威胁时,其不仅可以提出警示还能进行主动防御,其有效的弥补了防火墙被动防御上的不足。如果说防火墙是门卫,那么IDS就是监视器可以有效地提高其网络安全环境,防患于未然。

2.4 要加强数据库的信息防护和保密工作

通常情况下为了工作的方便,人们很少对系统中的数据库进行网络安全的保护。而数据库的信息可以以可读的方式储存在系统中。因此,要采取相应的方法进行数据库信息的保密。可以有效地提高网络安全。

3 无线网络的安全防护措施

(1)要做好临时密钥完整性。在目前的很多无线网络中都会使用WEP进行加密,而在加密过程中,要加强临时密钥的完整性,做好无线网络的安全设置,网络安全可以通过网络的安全选项设置进行安全防护,此外,还可以采用有效的安全防护软件进行网络攻击的组织等。防火墙是能够有效阻止网络攻击的有效途径,因此给自己的计算机安装防火墙以及网络防护软件,也是有效阻止网络攻击的有效手段。尤其是对于无线网络,更要加强其安全防护。现在的系统都有一定的安全防护设置功能。其中防火墙就是最基本的安全设置,尤其是针对于网络的安全设置。其可以从内外两个方面进行防护。有效地保障无线网络的安全。

(2)使用TKIP能够增强无线网络共享时的安全性,其能够对网络的IP以及个人的账号信息进行加密保护。与其他的保密措施相比其有以下四个功能的保护:一是消息完整性的编码;其二是IV次序机制;其三是密钥的混合函数,其四是密钥的重置机制。

(3)要加强WPAI方面的应用,其主要作用是对系统进行加密保护。WPAI采用国家密码进行管理,进行精确的运算,实现了身份鉴别,实名认证以等多方面的访问控制,不断提高用户在无线网络传输过程中的效率。WAPI可以从根本上解决无线网络数据传输的安全性。

4 结语

虚拟局域网以及网线网络的安全运行关系着人们的正常生活以及工作。一旦网络环境出现不安全因素,其必然会导致用户信息泄露以及系统发生崩溃等多方面的危害。因此要做好网络安全的预防以及防控。

参考文献

[1]李培强、郑铁成,企业计算机安全运行的研究和解决[J].计算机光盘软件与应用,2011(12):33-34.

[2]韦容、申希兵、蓝振师,浅谈计算机网络信息安全存在问题和对策[J].信息系统工程,2012(04):84-84.

[3]余苏毅,使用虚拟局域网和访问控制列表实现机房访问控制[J].宁德师范学院学报:自然科学版,2012(01):54-56.

作者简介

王航伟(1979-),男,陕西省户县人。工学学士学位。现为西北工业大学明德学院助理工程师,从事网络管理和数据库管理、移动通信核心网。

第2篇:局域网网络安全措施范文

关键词:WLAN AP WEP SSID 安全措施

中图分类号:TP393.08 文献标志码:A文章编号:1673-291X(2011)26-0290-02

引言

随着信息技术的飞速发展,人们对网络通信的需求不断提高,希望不论在何时、何地、与何人均能进行数据、语音、图像等多种内容通信,并希望能实现主机在网络中自动漫游。无线局域网依靠其无法比拟的灵活性、可移动性和极强的可扩充性,使人们真正享受到简单、方便、快捷的链接。

WLAN是Wireless LAN的简称,即无线局域网。通俗地说,无线局域网就是在不采用有线传输介质,只利用无线电波,提供传统有线局域网的所有功能。网络所需要的基础设施不用埋藏在地下,布设在空中或隐藏在墙里,而网络却能够随着用户的移动来提供服务。

但当用户对WLAN的期望日益提高时,无线通信设备是在自由空间中进行传输,而不是像有线网络那样是在一定的物理线缆上进行传输,无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取,因而WLAN必须将安全问题摆在前所未有的重要位置。

一、WLAN的安全漏洞分析

IEEE802.1x认证协议的发明者,即Extreme Networks公司总裁VipinJain在接受媒体采访时表示:“说起无线网络,企业的IT经理人最担心两件事:第一,市面上的标准和安全解决方案太多,使用户不知听从哪一个好;第二,无线媒体是一个共享的媒介,不会受限于建筑物实体界线,因此有人要入侵网络可以说十分容易,所以如何避免网络遭到入侵或攻击又成为了新的难题。”

首先应该被考虑的问题是,由于WLAN是以无线电波作为上网的传输媒介,因此无线网络存在着难以限制网络资源的物理访问。无线网络信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定,这样就使得在网络覆盖范围内都成为了WLAN的接入点,给入侵者有机可乘,可以在预期范围以外的地区反复访问WLAN,窃听网络中的数据,在入侵者拥有了网络访问权以后,有机会入侵WLAN应用各种攻击手段对无线网络进行攻击。

其次,由于WLAN还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机,甚至产生比普通网络更严重的后果。

进一步分析表明,WLAN安全性主要体现在访问控制和数据加密两方面。访问控制保证敏感数据只能由合法的授权用户进行访问,而数据加密则保证所发射的数据只能被所期望的用户接受和解密。

因此,WLAN中存在的安全威胁因素主要是:窃听、截取后者修改传输数据、置信攻击、拒绝服务等等。

二、无线局域网的安全措施

第一,首先确定安全策略,定位WLAN在整个工作中的主要用途,涉及传输数据和人员、设备,然后具体规划AP(Access Point,无线访问接入)的物理位置、客户端的访问权限和控制模式等。

第二,从网络结构入手,采取网络隔离及网络认证措施。限制WLAN信号的范围,并将WLAN和重要的内部网络之间明确区分开来,在AP和内部网络之间采用防火墙进行安全隔离,必要时采用物理隔离手段,这样,即使WLAN出现了安全问题也不会立即导致内部网络的严重危机。

第三,设置严密的用户口令及认证措施,防止非法用户入侵。在无线网的站点上使用口令控制,当然没必要局限于无线网,诸如Novell NetWare和Microsoft NT等网络操作系统和服务器都提供了包括口令管理在内的内建多级安全服务,口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户包括移动用户,而移动用户倾向于把他们的笔记本电脑移来移去,因此,严格的口令策略等于增加了一个安全级别,它有助于确认网站是否正被合法的用户使用。

第四,设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容。假如数据要求有极高的安全性,譬如说是商用网或军用网上的数据,那么可能需要采取一些特殊的措施。最后也是最高级别的安全措施就是在网络上发送带局域网之前要用软件或硬件的方法惊醒加密,只有那些拥有正确密钥的站点才可以恢复、读取这些数据。如果需要全面的安全保障,加密是最好的方法,一些网络操作系统具有加密能力,基于每个用户或服务器、价位较低的第三方加密产品也可以胜任,并可为用户提供最好的性能、质量服务和技术支持。

第五,充分利用WLAN本身提供的安全特性进行安全保障。比如对于AP可以做以下工作:一是更改缺省的口令。一般设备出厂时的口令都非常简单,必须要更改。二是加密手段。尽管WEP(Wired Equivalent Privacy加密技术)已经被证明是比较脆弱的,但是采用加密方式比明文传播还是要安全一些。三是采用MAC地址的方式对客户端进行验证。在没有实施更加强壮的身份验证措施之前,这种反防范措施还是必要的。四是更改SSID(Service Set Identifier的缩写,意思是:服务集标识),并且配置AP不广播SSID。五是更改SNMP设置。这种防范措施是和有线网络设备相同的。

第六,采用WLAN专用入侵检测系统对网络进行监控,及时发现非法接入的AP以及假冒的客户端,并且对WLAN的安全状况进行实时的分析和监控。

第七,加强企业内部管理制度,解决来自公司内部员工的泄密破坏。采用的安全方法如下:采用端口访问技术(802.1x)进行控制,防治非授权的非法接入和访问;归于密度等级高的网络采用VPN进行连接;布置AP的时候要在公司办公区域以外进行检查,通过调节AP天线的角度和发射功率防止A拍的覆盖范围超出办公区域,同时要让保安人员在公司附近进行巡查,防止外部人员在公司附近接入网络;禁止员工私自安装AP,可通过笔记本配置无线网卡和无线扫描软件进行扫描;制定无线网络管理规定,规定员工不得把网络设置信息告诉公司外部人员,禁止设置P2P的Ad hoc网络结构;禁止用户计算机的某些操作系统对WLAN的自动连接功能,避免这些用户无意识地连接到未知WLAN中;在WLAN的客户端采用个人防火墙、防病毒软件等措施保障不受到针对客户端攻击行为的损害;跟踪无线网络技术,特别是安全技术(如802.1 1i规范了TKIP和AES),对网络管理人员进行知识培训。

三、结论

无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出,本文中分析了WLAN的不安全因素,并且针对这些不安全因素给出了解决的安全措施,能有效地防范截取、窃听或者修改传输数据、置信攻击、拒绝服务等等的攻击手段,能够保证无线网络内的用户的信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。无线网络安全技术在很大程度上已经得到了改善,即使这样,要真正构建端到端的安全无线网络还是任重道远。

收稿日期:2011-06-10

作者简介:钟文涛(1989-),男,山东平度人,学生,从事网络工程研究。

参考文献:

[1] 陈伟,欧阳宏基.无线局域网安全技术研究[J].福建电脑,2009,(4).

[2] 宋涛.无线局域网的安全措施[J].电信交换,2004,(3).

[3] 王秋华,章坚武.浅谈无线网络事件的安全措施[J].中国科技信息,2005,(17).

第3篇:局域网网络安全措施范文

关键词:无线网络安全防范措施

随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。

一、无线网络的安全隐患分析

无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。

IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。

针对无线网络的主要安全威胁有如下一些:

1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。

2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。

二、常见的无线网络安全措施

综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。

1.MAC地址过滤

MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。

2.隐藏SSID

SSID(ServiceSetIdentifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。

三、无线网络安全措施的选择

应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。

在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。

使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。

此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。

最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。

现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。

参考文献:

[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.

第4篇:局域网网络安全措施范文

[关键词]无线网络 安全 防范措施

随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。

一、无线网络的安全隐患分析

无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。

IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。

针对无线网络的主要安全威胁有如下一些:

1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。

2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。

二、常见的无线网络安全措施

综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。

1.MAC地址过滤

MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。

2.隐藏SSID

SSID(Service Set Identifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。

三、无线网络安全措施的选择

应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。

在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。

使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。

此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。

最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。

现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。

参考文献

[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.

第5篇:局域网网络安全措施范文

广域网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患。

二、局域网安全威胁

局域网是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。

局域网的网络安全威胁通常有以下几类:

(一)欺骗性的软件使数据安全性降低。

(二)计算机病毒及恶意代码的威胁。

(三)局域网用户安全意识不强。

(四)IP地址冲突。

正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。

三、计算机局域网病毒的防治措施

计算机局域网中最主要的软硬件就是服务器和工作站,所以防治计算机网络病毒应该首先考虑这两个部分,另外要加强各级人员的管理教育及各项制度的督促落实。

(一)基于工作站的防治技术。定期不定期地用反病毒软件检测工作站的病毒感染情况,在工作站上插防病毒卡。

(二)基于服务器的防治技术。采用NLM方法,它以NLM模块方式进行程序设计,以服务器为基础,提供实时扫描病毒的能力,从而保证服务器不被病毒感染,消除了病毒传播的路径,从根本上杜绝了病毒在网络上的蔓延。

(三)加强计算机网络的管理。1.从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度。2.加强各级网络管理人员的专业技能学习,提高工作能力,并能及时检查网络系统中出现病毒的症状。汇报出现的新问题、新情况,做到及时发现问题解决问题,同时在网络工作站上经常做好病毒检测的工作,把好网络的第一道大门。

    四、局域网安全防范策略

安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。

(一)利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用,是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制用户入网的时间和在哪台工作站入网。

(二)划分VLAN防止网络侦听。

(三)网络分段。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。所以网络分段是保证局域网安全的一项重要措施。

(四)以交换式集线器代替共享式集线器。对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。

第6篇:局域网网络安全措施范文

关键词:局域网 网络 安全 维护 管理 方式方法 措施 探讨

中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2012)02-0209-01

近些年来,我们都已经进入到了信息时代,信息技术已经日新月异,并且得到了突飞猛进的发展,为我们现实的经济生活带来了一个崭新革命,我国的计算机网络已经成为了我国政府、单位以及企业等等办公部门日常生产经营过程中重要的一项基础设施,现代化的办公网络体系得到了十分广泛的应用,但是,我们究竟应该怎么样将局域网网络在日常运行过程中安全的管理和维护已经成为了当前网络运行关键的问题。下面,笔者就对局域网网络在单位和企业中应用的情况进行分析,并且对局域网网络存在的各种安全问题进行探讨,提出局域网网络维护及管理的方法及措施进行阐述。

1、对局域网网络网卡的维护及管理

想要很好的保证局域网网络能够正常的运行,要求我们首先要保证网卡驱动得到正确的安装,并且和计算机的操作系统相互兼容,在对其进行安装和调试的时候,一定会涉及到网卡设置等问题,如果我们不能够正确的设置网卡,那么一定会导致其不能够正常的工作,局域网网内的系统也就不能够正常的运行,因此,笔者建议局域网网络的维护人员在进行网卡安装调试的过程中要做好自身网卡管理的工作,切实的做到对局域网网卡相关的数据有依据可以调查。

2、对局域网网络连接设备的维护及管理

在局域网网络连接中,路由器和交换机成为了最常见连接的设备,所谓的交换机一直都是组网的过程中所使用最为频繁的局域网网络设备,交换机在工作状态下如果指示灯出现了闪烁或者是黄灯常亮这一种情况,那么就表明在这一个网络上面出现拥塞,需要我们对网络中究竟是不是存在IP地址存在冲突等等情况进行检查,如果我们的IP地址和网络都没有任何问题,那么,我们应该对网络设备零线和地线之间电压有没有超过3V进行测量,如果超过了3V,那么就表明局域网网络中的交换机供电的系统出现了严重的问题,这也就对数据信号传输产生了严重的影响。局域网网络连接过程中的路由器就是一种将多个网络或者网段进行连接的网络设备,一般情况下将局域网网络连接到互联网等等广域网中,或者用于不同的结构子网相互之间的连接,作为一个不同网络之间进行相互连接纽带,局域网网络中的路由器系统构成了一个在TCP\IP的互联网主要的部分。

3、对局域网网络连线的维护及管理

因为当前形势下我国的光纤技术仍然不是很发达,因此,目前我们所广泛应用的都是安装十分简单,成本也比较低廉的双绞线,局域网网络双绞线连接正确是十分重要的,对八根四对双绞线如果不能够进行正确的连接和使用,那么,一定会对通讯效果产生影响,与此同时,我们还应该对局域网网络连接双绞线防磁的干扰进行注意,做好一定的屏蔽措施等等。只有这样,我们才能够保证对局域网网络的连接进行适当的维护和管理,保证局域网网络连线的质量。

4、结语

网络技术和计算机技术进行完美结合这一形势已经将人们生活和生产的方式进行了改变,网络技术所具有的快速、低成本以及便捷等等特点使得网络技术能够很快成为数据处理、存储以及传输重要的方式之一,我国的计算机网络为每一个用户终端都带来了很大便利,未来几年中,计算机网络终端一定会成为和我们现在手机一样不能够缺少的必需品,局域网网络技术发展为我国的单位和企业都带来了十分巨大的变革,但是,一旦我们的局域网发生了安全的故障,那么,一定会为整个单位和企业带来一个不能忽略和估量的损失,因此,在局域网网络运行的过程中管理和安全维护十分重要。

参考文献

[1]John A. Replogle. Practical technologies for irrigation flow control and measurement[J]. Irrigation and Drainage Systems, 1997,11(3).

[2]K. Al-Begain,I. Awan,D.D. Kouvatsos. Analysis of GSM/GPRS Cell with Multiple Data Service Classes[J]. Wireless Personal Communications, 2003,25(1).

[3]张志佳,石佳,周纯冰. 车辆牌照识别系统综述[A]. 科技创新与产业发展(B卷)――第七届沈阳科学学术年会暨浑南高新技术产业发展论坛文集[C], 2010.

[4]Wi-Fi Alliance. Wi-Fi Protected Access:Strong,standards-based,interopereble security for today‘s Wi-Fi networks[Z].2003,.

第7篇:局域网网络安全措施范文

关键字:WLAN,WEP,SSID,DHCP,安全措施

1、引言

WLAN是WirelessLAN的简称,即无线局域网。所谓无线网络,顾名思义就是利用无线电波作为传输媒介而构成的信息网络,由于WLAN产品不需要铺设通信电缆,可以灵活机动地应付各种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域网接入。但是,当用户对WLAN的期望日益升高时,其安全问题随着应用的深入表露无遗,并成为制约WLAN发展的主要瓶颈。[1]

2、威胁无线局域网的因素

首先应该被考虑的问题是,由于WLAN是以无线电波作为上网的传输媒介,因此无线网络存在着难以限制网络资源的物理访问,无线网络信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定,这样就使得在网络覆盖范围内都成为了WLAN的接入点,给入侵者有机可乘,可以在预期范围以外的地方访问WLAN,窃听网络中的数据,有机会入侵WLAN应用各种攻击手段对无线网络进行攻击,当然是在入侵者拥有了网络访问权以后。

其次,由于WLAN还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机,甚至会产生比普通网络更加严重的后果。

因此,WLAN中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。

IEEE802.1x认证协议发明者VipinJain接受媒体采访时表示:“谈到无线网络,企业的IT经理人最担心两件事:首先,市面上的标准与安全解决方案太多,使得用户无所适从;第二,如何避免网络遭到入侵或攻击?无线媒体是一个共享的媒介,不会受限于建筑物实体界线,因此有人要入侵网络可以说十分容易。”[1]因此WLAN的安全措施还是任重而道远。

3、无线局域网的安全措施

3.1采用无线加密协议防止未授权用户

保护无线网络安全的最基本手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换,有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSID),在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线网络被发现的可能。[2]

但是目前IEEE802.11标准中的WEP安全解决方案,在15分钟内就可被攻破,已被广泛证实不安全。所以如果采用支持128位的WEP,破解128位的WEP的是相当困难的,同时也要定期的更改WEP,保证无线局域网的安全。如果设备提供了动态WEP功能,最好应用动态WEP,值得我们庆幸的,WindowsXP本身就提供了这种支持,您可以选中WEP选项“自动为我提供这个密钥”。同时,应该使用IPSec,VPN,SSH或其他

WEP的替代方法。不要仅使用WEP来保护数据。

3.2改变服务集标识符并且禁止SSID广播

SSID是无线接人的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。例如,3COM的设备都用“101”。因此,知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。如果可能的话。还应该禁止你的SSID向外广播。这样,你的无线网络就不能够通过广播的方式来吸纳更多用户.当然这并不是说你的网络不可用.只是它不会出现在可使用网络的名单中。[3]

3.3静态IP与MAC地址绑定

无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为家里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。[4]设置方法如下:

首先,在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能,把各电脑的“名称”(即Windows系统属陆里的“计算机描述”),以后要固定使用的IP地址,其网卡的MAC地址都如实填写好,最后点“执行”就可以了。

3.4VPN技术在无线网络中的应用

对于高安全要求或大型的无线网络,VPN方案是一个更好的选择。因为在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。

对于无线商用网络,基于VPN的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,VPN在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,VPN技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络VLAN(AP和VPN服务器之问的线路)从局域网已经被VPN服务器和内部网络隔离出来。VPN服务器提供网络的认征和加密,并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。

3.5无线入侵检测系统

无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。他是通过一种顺序分析,找出那些伪装WAP的无线上网用户无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。[1]

3.6采用身份验证和授权

当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时,他们可以尝试建立与AP关联。目前,有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么您的无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制。STA向AP发送申请,然后AP发回口令。接着,STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的,因此如果有人能够同时截取口令和响应,那么他们就可能找到用于加密的密钥。采用其他的身份验证/授权机制。使用802.1x,VPN或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。

[5]

3.7其他安全措施

除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术,例如设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理等等的方法来加强WLAN的安全性。

4、结论

无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出,在文中分析了WLAN的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段,但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样,所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够保证无线网络内的用户的信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。

参考文献

[1]李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007,(5):91-94.

[2]王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息.2005,(17):18.

[3]边锋.不得不说无线网络安全六种简单技巧[J].计算机与网络.2006,(20):6.

第8篇:局域网网络安全措施范文

关键词:教育 信息网 安全

教育信息网络是教育信息系统运行的载体,是各级教育管理部门之间进行信息交换、实现信息共享的基础平台。教育信息网络安全状况直接影响着正常工作的运转。在网络建成的初期,安全问题可能还不突出,但随着信息化应用的深入,网络上的各种数据急剧增加,各种各样的安全问题开始困扰我们。因此在网络建设过程中,必须未雨绸缪,及时采取有效的安全措施,防范和清除各种安全隐患和威胁。

一、教育信息网络面临的安全威胁

教育信息网络面临的安全威胁大体可分为两种:一是对网络数据的威胁;二是对网络设备的威胁。这些威胁可能来源于各种各样的因素,总结起来,大致有下面几种:

1、物理因素。从物理上讲,教育信息网络的安全是脆弱的,整个网络涉及设备分布极为广泛,任何个人或部门都不可能时刻对这些设备进行全面监控,任何安置在不能上锁的地方的设施,包括光缆、电缆、局域网、远程网等都有可能遭到破坏,从而引起网络的瘫痪,影响正常工作的进行。如果是包含数据的软盘、光碟、主机等被盗,更会引起数据的丢失和泄露。

2、技术脆弱性因素。目前教育信息网络中局域网之间远程互连线路混杂,有电信、广电、联通、移动等多家,因此缺乏相应的统一安全机制,在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外,随着软件交流规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在。

3、操作人员的失误因素。教育网络是以用户为中心的系统。一个合法的用户在系统内可以执行各种操作。管理人员可以通过对用户的权限分配限定用户的某些行为,以免故意或非故意地破坏。更多的安全措施必须由使用者来完成。使用者安全意识淡薄,操作不规范是威胁网络安全的主要因素。

4、管理因素。严格的管理是网络安全的重要措施。事实上,很多网管都疏于这方面的管理,对网络的管理思想麻痹,网络管理员配置不当或者网络应用升级不及时造成的安全漏洞、使用脆弱的用户口令、随意使用普通网络站点下载的软件、在防火墙内部架设拨号服务器却没有对账号认证等严格限制,舍不得投入必要的人力、财力、物力来加强网络的安全管理等等,都造成了网络安全的隐患。

二、实现教育信息网络安全的对策

教育信息网络包括各级教育数据中心和信息系统运行的局域网,连接各级教育内部局域网的广域网,提供信息和社会化服务的国际互联网。它具有访问方式多样,用户群庞大,网络行为突发性较高等特点。网络的安全问题需要从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为保证网络的安全性,一般采用以下一些策略:

1、安全技术策略。目前,网络安全的技术主要包括杀毒软件、防火墙技术、加密技术、身份验证等内容。对教育信息网络来说,主要应该采取以下一些技术措施:

(1)防火墙。网络防火墙技术,作为内部网络与外部网络之间的第一道安全屏障,包含动态的封包过滤、应用服务、用户认证、网络地址转接、IP防假冒、预警模声、日志及计费分析等功能,可以有效地将内部网与外部网隔离开来,能够控制网络上往来的信息,而且仅仅容许合法用户进出局域网。根据防火墙的位置,可以分为外部防火墙和内部防火墙。外部防火墙将局域网与外部广域网隔离开来,而内部防火墙的任务经常是在各个部门子网之间进行通信检查控制。网络安全体系不应该提供外部系统跨越安全系统直接到达受保护的内部网络系统的途径。

(2)加密机。加密机可以对广域网上传输的数据和信息进行加解密,保护网内的数据、文件、口令和控制信息,保护网络会话的完整性,并可防止非授权用户的搭线窃听和入网。

(3)网络隔离VLAN技术应用。采用交换式局域网技术的网络,可以用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段,根据功能、保密水平、安全水平等要求的差异将网络进行分段隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。网络分段可以分为物理分段和逻辑分段两种方式。

(4)杀毒软件。选择合适的网络杀毒软件可以有效地防止病毒在网络上传播。

(5)访问控制。这是网络安全防范和保护的最主要措施之一,其主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制通常有用户名的识别与验证、用户口令的识别与验证、用户账户的缺省限制检查等。当用户进入网络后,网络系统就赋予这一用户一定的访问权限,用户只能在其权限内进行操作。这样,就保证网络资源不被非法访问和非法使用。

2、物理安全及其保障。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

3、网络安全管理。即使是一个完美的安全策略,如果得不到很好的实施,也是空纸一张。网络安全管理除了建立起一套严格的安全管理制度外,还必须培养一支具有安全管理意识的网络队伍。

三、结论

教育信息网络的安全问题是一个较为复杂的系统工程。从严格的意义上来讲,没有绝对安全的网络系统。提高网络的安全系数是要以降低网络效率和增加投入为代价的。随着计算机技术的飞速发展,网络的安全有待于在实践中进一步研究和探索。在目前的情况下,我们应当全面考虑综合运用防火墙、加密技术、防毒软件等多项措施,互相配合,加强管理,从中寻找到确保网络安全与网络效率的平衡点,综合提高网络的安全性,从而建立起一套真正适合教育信息网络的安全体系。

参考文献

第9篇:局域网网络安全措施范文

关键词:无线局域网;攻击;安全措施

中图分类号:TP393.1 文献标识码:A文章编号:1007-9599 (2010) 06-0000-01

Analysis of the Wireless Local Area Network Security

Huang Zhicheng

(Jilin Branch of China Unicom,Changchun130022,China)

Abstract:The wireless local area network has been experiencing a booming development.However,the wireless local area network existences security flaws.This paper listed attacks on the wireless local area networkproposed the safe solution as well as future research and development direction.

Keywords:WLAN;Attack;Security measure

当今的无线移动通信网络,是以移动通信网和无线接入网两个方向并行发展的。随着无线通信和Internet技术的迅速发展,越来越多的用户希望获得高速的移动接入服务。无线局域网(WLAN)技术作为一种网络接入手段,以其频带免费、组网灵活、易于迁移等优点,成为无线通信与Internet技术相结合的新兴发展方向之一。无线通信技术的发展为企业和个人带来很多便利,它具有轻便灵活、工作效率高、安装成本低廉等优点。无线局域网允许用户在不断开网络连接的同时,可以使用便携式笔记本计算机方便在办公环境中进行移动。然而,使用无线技术存在着一定的风险,有些风险在有线网络中就存在,还有些风险是无线网络所特有的,产生原因是无线网络传输介质的开放性。目前,安全问题已经成为阻碍无线局域网技术普及的原因,在无线局域网的IEEE802.11系列标准中,规定了数据加密和用户认证的有关措施,但是随后研究者揭示了这些安全措施中的种种设计缺陷,这使得用户对于无线局域网的安全性缺乏信心。本文针对IEEE802.ll的安全性缺陷问题进行研究,并在此基础上对无线局域网的安全措施做出分析。

一、无线局域网的安全现状

无线局域网的安全问题与其传输介质的特息相关,采用电磁波进行传输,信道是开放的、信道上传输的数据资源在一定范围内也是开放的,而且网络边界具有不确定性。除此之外,由于无线移动设备在存储能力、计算能力和带电时间等方面的局限以及终端的移动性,使得某些有线网络的安全方案和安全技术不能应用于无线局域网,如计算量较大的加密解密算法等等。因此,无线局域网必然面临更多的安全威胁,这些安全威胁可分为主动型攻击和被动型攻击两大类,主动攻击通常包括信息篡改、身份伪装、拒绝服务攻击和重放攻击,被动攻击包括网络窃听。

(一)主动型攻击

主动型攻击通常指入侵者利用某种技术手段干扰或阻止正常的网络活动,主要包括:信息篡改、身份伪装、拒绝服务攻击、重放攻击。

1.信息篡改:数据在传输的过程中被暴露在开放的无线信道上,攻击者很容易截获到某些消息帧,从而对其内容恶意更改,也可能通过改变消息路由等方式进行攻击,使接收方到错误的消息内容或阻止消息到达接收方。

2.身份伪装:即通过伪装成合法的网络设备的方式对网络进行攻击,通常攻击者会伪装合法接入设备或合法终端用户。

3.拒绝服务攻击:所谓拒绝服务攻击是指攻击者采用各种方法来阻止合法用户对网络服务的接受,使合法用户无法和网络进行正常的交互。

4.重放攻击:是指攻击者通过获取授权客户端与AP之间的通信信息,然后在其他时刻将这些信息不经修改重新发送给相应的接收方,以此获取某种服务或者导致拒绝服务攻击,干扰正常的网络通信。

(二)被动型攻击

被动型攻击通常指入侵者只窃取网络信息资源,而并不影响网络活动的正常进行,采取的主要方式是:网络窃听。

网络窃听:处于无线局域网信号覆盖范围之内的攻击者可以对网络中传输的数据信息进行监听或进一步破解。网络窃听分为两种情况下的窃听:一种是针对没有加密措施的数据,另一种是针对加密数据。

尽管网络窃听属于被动型攻击,但它往往是主动攻击的基础,常常为主动型攻击的实施提供条件。各种类型的攻击之间往往互相支撑,相互依赖。

二、无线局域网的安全措施

(一)基本安全措施

1.合理安装配置无线网络设备

WLAN的电磁波覆盖范围及AP的安放位置要适当,以免超出物理管辖范围,给窃听者提供更广阔的自由窃听空间;更改缺省的SSID使之不易被猜测到,关闭定期广播功能,这样虽然客户机必须发送探测帧询问SSID但窃听者要获得它就必须借助一些无线数据包捕获及分析工具;利用MAC地址通过访问控制列表可以限制非授权人员对WLAN的访问,经常查看AP日志,及时发现攻击者;激活WEP、改变缺省WEP密钥,经常改变WEP密钥或使用动态密钥来避免密钥重用。尽管WEP和WEP2均不能确保敏感数据的安全,对蓄意攻击者来说充其量只能算一道小小的障碍,但对于大多数的偶尔闯入者来说则是一道关卡;安装企业级防火墙,可以拦截许多非法用户的可疑数据包,隔离通过工Internet的攻击:如果知道所有的非法用户的MAC地址和IP地址,使用入侵检测工具定期扫描搜索便可发现非法用户;此外使用静态IP地址而不是由DHCP服务器配置的动态IP地址,可以阻止通过IP地址欺骗和克隆对无线网的非法访问。

2.客户端采取的安全措施

对使用者来说,要充分意识到无线网的安全性缺陷,除了使用口令和个人防火墙保护个人系统之外,对于无线通信要经常性地更换WEP密钥,使用变化的初始化向量,增加统计攻击的难度。最有效的是,选择具有良好加密机制和加密算法的、基于应用层的第三方加密软件,实现端到端的数据加密,这样可以绕过对WLAN的各种有效攻击,保证数据不被解密。

3.定期检测AP

2002年底WLAN的提供商已开发出新的能够检测远程访问节点的网络管理工具,可实现对内部网络的所有访问节点做审计,确定欺骗访问节点,建立规章制度来约束它们或者完全从网络上剥离掉它们。

4.有效隔离

由于无线网络的安全性较低,所以无线网络和核心网络要隔离,无线网络要接在安全设备如防火墙的外面。同时如果将AP安置在像防火墙这样的网络安全设备的外面,可以阻止针对流量侦听和流量分析等攻击手段,还可以采用其他技术手段如SSH、SSL、IPSec等加密技术来加强数据的安全性。

(二)部署VPN

部署虚拟专用网VPN结合远程鉴定拨入用户服务RADIUS也是一个良好的解决方案。RADIUS服务器使用的是基于端口的鉴定标准802.lx,通过访问中心数据库对多种服务客户进行鉴定,可实现客户与AP间的相互鉴定,检测和隔离欺诈性AP。同时RADIUS服务器具有中心管理功能,可同时提供VPN服务,缺点是VPN降低了传输效率而且不支持多播和广播。对于安全要求比较高的大型无线网络VPN是一个更好的选择。VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素。VPN采用DES、3DES等技术来保障数据传输的安全。IPSec VPN和 SSL VPN目前是两种具有代表意义的VPN技术。IPSec VPN运行在网络层,保护在站点之间的数据传输安全,要求远程接入者必须正确地安装和配置客户端软件或接入设备,将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上,提供了较高水平的安全性。SSL被预先安装在主机的浏览器中,是一种无客户机的解决方案,可以节省安装和维护成本。将VPN安全技术与其他无线安全技术结合起来,是目前较为理想的无线局域网安全解决方案。

(三)无线入侵检测系统

由于目前无线局域网中固有的弱点,使得公司网络和个人通信容易遭受到恶意用户有目的性或无目的性的攻击。要保证数据的安全,仅仅进行攻击防护是不够的,攻击检测技术可以作为另一道墙来保护网络系统网。传统的入侵检测系统己经不能用于WLAN,而WLAN入侵检测系统的研究和实现才刚刚起步,我们提出的两种入侵检测系统架构,可以分别用于基础结构模式和移动自组网模式。WLAN基础结构模式采用分布式网络入侵检测,可用于大型网络;移动自组网中采用基于主机的入侵检测系统,用于检测异常的节点活动和发现恶意节点。

三、结语

无线网络应用越来越广泛,随之而来的网络安全问题也越来越严重,本文分析了WLAN的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等攻击手段,但是由于现在各个无线网络设备生产厂商生产的设备功能不一样,所以在本文中介绍的一些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够保证无线网络内的用户信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。

参考文献:

[1]曹秀英,耿嘉,沈平等.无线局域网安全系统[M].电子工业出版社,2004

精选范文推荐
相关期刊推荐