企業(yè)無線網保護措施

申請免費試用、咨詢電話：400-8352-114

可以隨時隨地不受網線束縛地實現網上沖浪的無線上網方式廣受人們歡迎，隨著無線技術的不斷成熟，無線網絡在企業(yè)中也不知不覺地走俏起來，相對于有線網絡而言，靈活性非常強的無線網絡確實為企業(yè)用戶省卻了許多麻煩，但也因此產生了更為嚴峻的安全問題、管理復雜、維護成本高等一系列難題，尤其是安全性監(jiān)控問題，這在無線網絡上表現得更讓人頭疼。

一個游離在有效保護之外的企業(yè)無線局域網絡，輕則網絡質量受損，不能正常地運行；重則就會成為攻擊者入侵的目標和黑客襲擊的跳板，其后果嚴重起來將會讓企業(yè)蒙受不可估量的損失（如銀行卡信息、客戶資料等內部機密被盜，或者是系統(tǒng)癱瘓，無法收取費用等）。由此可見，加強企業(yè)無線局域網的保護措施迫在眉睫，如何合理地部署多種無線設備、準確地把握網絡覆蓋，以及是在應用中的安全管理問題（這也是重中之重的問題）都需要在規(guī)劃、組建、應用管理的前前后后充分考慮這些問題。 要做到有效的保護企業(yè)無線局域網，就必須了解企業(yè)無線網絡最常見的問題所在以及行之有效的解決方法，保護措施大體可以分為以下三大方面進行。

在安裝配置方面：

無線網絡設備的安裝并不復雜，但是有些問題需要特別注意，因為稍有不慎就會徒增許多不必要的麻煩，更有可能會影響到網絡的正常運作。

無線接入設備的安裝位置要選好。在選擇安裝位置時首先要保證天線之間應該有足夠的可視空間，再考慮設備所處位置對安裝施工程以及日后的維護工作是否方便，當然也要注意對周圍環(huán)境的影響，還要了解所選位置的變動性（就是說所處位置日后用作它用的可能性），因為無線設備安裝后需要調試好才能更好地發(fā)揮網絡性能，如果選址不對，需要經常搬動的話，那么網絡的質量就會大打折扣。

無線接入設備需固牢。如果無線接入設備的天線不能通過天線桿固定在建筑物墻壁上的話，那么就應該加重天線桿底座重量，最好就是找?guī)赘F絲，把天線桿捆綁固定好，以免天線桿被風吹動甚至吹倒，因為天線的移位或者是抖動將會嚴重地影響網絡的正常傳輸工作。

反饋電纜不容忽略。一般來說，都會用反饋電纜連接室外天線和無線網橋的天線，首先這個反饋電纜最好不要太長，因反饋電纜越長信號的增益衰減就越快；另外一個得特別注意的問題就是，反饋電纜穿墻之處要用吸水性很強的材料處理，而且反饋電纜要從下而上進入無線網橋機柜，不要從上而下進入，因為從下而上進入的話，那么就算有水順著反饋電纜流進室內都是先滴在地上，而不會影響到無線網橋設備

在無線網絡性能的管理和測試方面：

能否有效地管理一個無線網絡，關鍵的就是要看網絡管理員能否對無線網絡的接入點所實行相關的維護與控制，包括對接入點在整個網絡環(huán)境中的運行和配置的控制，因為無論是增加一個沒有進行任何配置或者是沒有經過認證的無線網節(jié)點，還是更改一個節(jié)點的位置，都會給網絡帶來信道之間的沖突和網絡安全等方面的問題，只有做好監(jiān)控工作，才能及時地發(fā)現問題并有效地解決。

大體了解網絡使用概況。首先對網絡使用概況要有大致的了解，通過查看14個信道（基于802.11b來說）的使用狀況的總覽，以及通過每一個信道和SSID的資源分配情況了解無線網絡使用環(huán)境的整體狀況。

認真分析性能報警。通過對性能報警的分析，可以了解WLAN潛在的性能問題，比如說像一些錯誤包的比率、隱藏節(jié)點、AP信道間干擾、低傳輸速率等問題，分析完之后，就要研究這些報警的原因及所造成的危害，再通過對性能報警的分級來確定所要解決的故障問題的先后次序。

密切監(jiān)視信道帶寬。監(jiān)視的對象包括信道間干擾、多播/廣播風暴、微弱的射頻信號、橋接環(huán)路和低傳輸速率等。

關注信道沖突監(jiān)視。當在一個信道中的接入點或者站點過載時，網絡就會失去平衡，所以要時刻關注著信道沖突監(jiān)視，即時發(fā)現并解決問題才避免故障的發(fā)生。

慎對信道噪聲監(jiān)視。信道噪聲指標可以反映無線網絡用戶的通信質量，通過對信道噪聲的監(jiān)視情況就可以了解到用戶無線網絡的實際使用情況，如果一個信道內發(fā)現了不明干擾源，那么通過對噪聲的原因的分析就可以發(fā)現問題的所在，那就可以采取相應的措施。

監(jiān)測網絡。利用分析器和監(jiān)測器可以分析WLAN無線數據流，如果發(fā)現未經授權的接入點，就可以根據需要阻止或斷開客戶機，以及檢測入侵者。
 在安全防護方面：
自黑客誕生之日起，互聯網就進入了一個永無寧日的時代，無線網絡的安全問題讓人倍感憂心，更成為無線局域網的軟肋，合理保護無線網絡系統(tǒng)就是為了將無線網絡與非法使用者隔離，要最大限度地堵住這些安全漏洞，企業(yè)無線網絡用戶可以采用以下幾項措施來防護。

天線的放置需講究。使用環(huán)境的非封閉性是許多無線網絡安全問題的罪魁禍首，因此部署一個封閉的無線訪問點是保護企業(yè)無線局域網安全的首要步驟，而要實現封閉無線訪問點的部署，第一步就是合理放置訪問點的天線，以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。

天線最好的就是放在局域網信號覆蓋的區(qū)域中心，這樣可以盡量減少信號外泄，但是千萬不要把天線放在窗戶附近，因為玻璃的信號阻擋能力極差。當然，完全控制信號外泄是不可能的，所以還需要有其它措施的補救。

防火墻把第一道關。防火墻作為網絡防護的第一道防線，就好像是企業(yè)網絡的門神一樣，把"黑客"、"病毒"這些牛鬼蛇神通通拒之門外，防火墻于企業(yè)來說，無論是有線網絡還是無線網絡都一樣發(fā)揮著至關重要的作用，也是企業(yè)網絡安全防護的萬能藥。

因為無線網絡的各個端點就像暴露在遠程寬帶連接般面對著各種威脅，所以端點至少要有一個個人防火墻作保護，對于服從安全政策的可信用戶，可以把他們放置在可訪問內部網絡的虛擬局域網中，而對于一般的瀏覽者或者不符合安全政策的用戶，則只容許他們訪問互聯網。

另外，因為WAP所提供的基本訪問控制并不能滿足當今網絡環(huán)境的需要，所以企業(yè)最好使用一個功能強大的邊界防火墻實行企業(yè)網絡分區(qū)（把無線局域網與固線網絡分隔開來），這樣一來還可以讓無線局域網和邊界的安全政策一致。

巧用專用工具。企業(yè)無線網絡的最大潛在風險是來自含有兇猛破壞程序（rogue）的無線訪問點（wireless access point），比如說有些公司放松對非許可無線接入點的管理，而公司內部工作人員為了讓自己的工作更方便，就可能會自行購買一些無線訪問設備，而這些安全性不是很強的訪問設備就很容易成為入侵者的頭號目標。這種情況，防火墻力不從心的，而且也不在WAP管理范圍內，這時候就需要選擇一些專用的工具來保障網絡不受非法接入點的影響，這方面可選擇的專用工具也比較多，比如像特制的WLAN傳感器、數據包監(jiān)察器等就可以有效地對付這些非法訪問者了。

技術上防護。技術上的防護是無線局域網的基本安全防護手段，方式比較多，因為各種技術有自身的利弊，因而所適用的范圍也有所不同，企業(yè)用戶可以根據自身的使用需要來選擇。以下所介紹的就是目前主流的專攻網絡安全隱患的八大主流技術，可以把企業(yè)無線局域網絡的風險降到最低程度，大家不妨參考一下，取其所需。

MAC地址過濾。此種方式是通過對AP的設定，將指定的無線網卡的物理地址（MAC地址）輸入到AP中，而AP對收到的每個數據包都會做出判斷，只有符合設定標準的才能被轉發(fā)，否則將會被丟棄。因為使用這種方法需要對每個AP進行MAC配置；而且每個AP接收MAC的數量是有限的，如果MAC太多，會降低速率；還有的就是一旦用戶有所增刪，則每個AP都需要刷新一次，這樣的話不僅在管理上非常麻煩而且黑客可能也會利用MAC欺騙技術騙取AP的信任而硬闖企業(yè)網絡，所以這種方法對于中小企業(yè)來說不失為一個比較有效的方法，但是在對于比較大型的企業(yè)用戶來說，顯得不實用。

變更SSID（Service Set Identifier）及禁止SSID廣播。SSID，即服務集標識符，是讓無線客戶端對不同無線網絡的識別字符串，原理跟手機識別不同的移動運營商的機制一樣，該標識符由設備制造商設定，每種標識符使用默認短語，如3Com設備的標識符是101。

參數在設備缺省設定中是被AP無線接入點廣播出去的，無線客戶端只有出示正確的SSID，才能訪問AP，通過提供口令認證機制，實現一定的無線安全。對于部署的每個無線訪問點而言，用戶應該選擇獨一無二并且很難猜中的SSID上，可以的話，最好還是禁止通過天線向外廣播標識符，我們如果把這個廣播禁止，一般的漫游用戶在無法找到 SSID的情況下是無法連接到網絡的。

不過，如果黑客盜取了合法的MAC地址信息，仍可以通過各種方法適用假冒的MAC地址接入目標網絡，而且這種方法比較麻煩，不能支持大量的移動客戶端，所以還是比較適用于一般SOHO環(huán)境或者是小型辦公室當作簡單口令安全方式。

WEP（Wired Equivalent Privacy）加密。WEP具有很好的互操作性，所有經過WIFI認證的設備都支持WEP安全協(xié)定，它使用RC4加密算法，一方面用于防止沒有正確的WEP密鑰的非法用戶接入網絡，另一方面只允許具有正確的WEP密鑰的用戶對數據進行加密和解密，包括軟件手段和硬件手段。

這種加密方法是是對無線網絡上的流量進行加密的一種標準方法，需要在每套移動設備和AP上配置密碼，部署比較麻煩；使用靜態(tài)非交換式密鑰，安全性也受到了業(yè)界的質疑，但是它仍然可以抵擋一般的黑客入侵，一般用于SOHO用戶、中小型企業(yè)網絡的安全加密。

需要注意的是，許多無線訪問點廠商為了方便安裝產品，交付設備時選擇關閉了WEP功能，但如果這樣做的話，黑客就能立即訪問無線網絡上的流量，因為利用無線嗅探器就可以直接讀取數據，所以這個功能千萬不能摒棄。

AP隔離。類似于有線網絡的VLAN，將所有的無線客戶端設備完全隔離，使之只能訪問AP連接的固定網絡，這樣做的話可以讓接入的無線客戶端保持隔離，提供安全的Internet接入，這種方式比較適合酒店或者機場等公共熱點網絡的架設。

802.1x協(xié)議。802.1x協(xié)議由IEEE定義，基于端口的網絡訪問控制，可以提供經過身份驗證的網絡訪問，該協(xié)議引入了PPP協(xié)議定義的擴展認證協(xié)議EAP。EAP不專屬于某一廠商，它能夠彌補WEP的不足，并且同時能夠解決在接入點之間的移動性問題，EAP還解決了VPN瓶頸問題，使用戶能夠以有線網絡的速度進行工作。不過，配置EAP不是一件容易的事情，需要專業(yè)知識部署和Radius服務器支持，費用方面也比較高，一般用于大中型企業(yè)無線網絡布局。

相對于EAP來說，由微軟、思科和RSA Security共同開發(fā)，致力于簡化客戶端、服務器端以及目錄的端到端整合的PEAP則更受歡迎。

WPA（Wi-Fi protected access）：Wi-Fi保護接入是作為通向802.11i道路的重要銜接的一環(huán)，并成為在IEEE 802.11i 標準確定之前代替WEP的無線安全標準協(xié)議。WPA采用新的加密算法以及用戶認證機制，可以很好地滿足WLAN的安全需求，WPA沿用了WEP的基本原理同時又克服了WEP缺點，由于加強了生成加密密鑰的算法，即使黑客收集到分組信息并對其進行解析，也幾乎無法計算出通用密鑰，彌補了WEP倍受指責的缺陷。不過，很多客戶端和AP并不支持WPA協(xié)議，而且TKIP加密仍不能滿足高端企業(yè)和政府等網絡的加密需求，該方法多用于一般企業(yè)無線網絡的部署。

WPA2：是Wi-Fi聯盟發(fā)布的第二代WPA標準，與WPA后向兼容，支持更高級的AES加密，能夠更好地解決無線網絡的安全問題，是一種比較理想的技術。

802.11i：2004年6月，802.11工作組正式發(fā)布了IEEE 802.11i，以加強無線網絡的安全性和保證不同無線安全技術之間的兼容性，802.11i標準包括WPA和RSN兩部分。802.11i的認證方案是基于802.1x 和EAP，加密算法是AES，動態(tài)協(xié)商認證和加密算法使RSN可以與最新的安全水平保持同步，不斷提供保護無線局域網傳輸信息所需要的安全性。與WEP和WPA相比，RSN更可靠，但是RSN不能很好地在遺留設備上運行。

此協(xié)議理論上可以徹底解決無線網絡安全問題，適用于所有企業(yè)網絡的無線部署。

禁用DHCP。通過禁用DHCP，就為黑客入侵設下了一到屏障，黑客只有先破譯IP地址、子網掩碼及其它所需的TCP/IP參數才能闖入企業(yè)網絡，也就是說無論黑客怎樣利用你的訪問點，他仍需要弄清楚IP地址，這對于無線網絡來說，顯得很有意義。

禁用或改動SNMP設置。SNMP對于黑客來說，是一個很好的蛀點，因為利用SNMP可以獲得有關用戶網絡的重要信息，所以如果你的訪問點支持SNMP的話，那就建議要么把這個功能禁用了，要么就改變公開及專用的共用字符串。

使用訪問列表。如果可以的話，最好就是使用訪問列表，這樣可以進一步保護無線網絡。由于不是所有的無線訪問點都支持這項特性，但如果你的網絡支持，你就可以具體地指定允許哪些機器連接到訪問點，支持這項特性的訪問點有時會使用普通文件傳輸協(xié)議(TFTP)，定期下載更新的列表，以避免管理員必須在每臺設備上使這些列表保持同步的棘手問題。

總結：自無線網絡自問世以來，各界對其評論始終是褒貶不一，但無論怎樣，無線網絡的出現始終是網絡發(fā)展史上的一大進步，隨著無線網絡技術的不斷成熟，相信無線網絡會為各大用戶造更多的福，而且反對者最為擔心的安全問題也逐步得等到更完善的解決。綜上所述，保護企業(yè)無線局域網絡的方法還是比較多的，因為獨立的每種方法都各有利弊，所以進行多重防護措施是必需的?？傊?，只要結合企業(yè)的實際應用需要，合理地選擇安全機制組合，搶占網絡安全的主動權，做到有備無患的話，讓企業(yè)無線局域網過上相對安全穩(wěn)定的日子絕對不是虛談。 (it168)