鐘文基　董英

摘要：隨著移動互聯(lián)技術的興起，無線網絡以其靈活性強、可擴展性好等優(yōu)勢得到了快速的發(fā)展。但由于無線網絡選擇了通過特定的無線電波來傳送，開放性強，使其比有線網絡更容易入侵。該文圍繞無線網絡面臨的安全問題和防護措施進行了簡單探討。

關鍵詞：無線網絡；威脅；防范

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）14-0052-01

無線網絡技術是新時代計算機通訊技術發(fā)展的趨勢，擺脫了傳統(tǒng)有線網絡傳輸?shù)氖`，極大的方便了人們的生活。無線局域網的覆蓋范圍從幾米到幾百米，在這樣的范圍內，無線終端可以自由移動，非常適合于移動性低的應用環(huán)境，并且無線局域網成本低速度快，迅速的成為了無線移動互聯(lián)技術的主流。然而，由于無線局域網開放性強，數(shù)據傳播范圍很難控制，存在著很多安全隱患，無形中威脅著使用者的財產安全，需要管理者加以重視。

1無線網絡潛在的安全問題

在計算機網絡中，無線網絡的傳輸采用空間電磁波實現(xiàn)了數(shù)據的通信，傳輸?shù)妮d體不再是網線和光纖，而是電磁波信號，電磁波穿透能力很強，能穿過墻體、玻璃、樓板等物體，使得無線用戶終端在較遠距離也能接受到無線信號，實現(xiàn)移動通信。當然，也帶來了安全的隱患，黑客能借助無線網絡接收到通信的數(shù)據信號，容易對數(shù)據進行干擾或竊聽，給網絡安全帶來隱患和威脅。

無線局域網所面臨的安全威脅主要有：

1）無線網絡密碼破解

互聯(lián)網中，有很多無線網絡密碼破解軟件，通過抓取用戶的無線區(qū)域內的數(shù)據包，就可以進行密碼的破解。例如：BT3里自帶的spoonwep2可以輕松地對WEP加密的無線路由密碼進行破解。對于WPA2方式進行加密的無線網絡，只要抓取到足夠的“握手包”和“信息包”，也可以通過Linux下安裝無線密碼破解軟件minidwep-gtk，利用詞典的方式進行猜解。

2）數(shù)據嗅探

網絡中明文傳送的數(shù)據，都有可能被黑客進行嗅探，并還原出通信內容。在無線網絡中，無線路由器、無線接人點信號覆蓋范圍內，傳輸?shù)臄?shù)據有可能被黑客監(jiān)聽和篡改，數(shù)據安全很難保障。

3）網卡物理地址欺騙

對于設置了網卡物理地址過濾的無線路由器，黑客通過修改計算機無線網卡的物理地址，偽裝成合法用戶進入網絡。

4）無線網絡釣魚攻擊

無線網絡釣魚是有線釣魚的延伸，通過偽造用戶經常訪問的網站，截取DNS請求使其訪問虛假網站，獲取用戶各種上網信息與數(shù)據。

2無線安全防護方法

1）隱藏無線SSID。SSID是無線網絡的標識，通過隱藏設備的SSID，這樣能夠減少無線網絡被發(fā)現(xiàn)的可能性，增加探測難度。

21使用WPA/WPA2方式進行加密并設置復雜的密碼，傳統(tǒng)的WEP加密方式容易被攻擊者通過監(jiān)聽一次成功的認證，就可以猜解出WEP的密鑰，非常的不安全。WPA/WPA2使用的是強壯的加密算法，使得無線局域網的安全程度大大提高。

3）設置復雜的密碼并定期更換密碼，設置字母、數(shù)字、符號的復雜密碼，增加破解的難度，且密碼需要定期更好，因為隨著時間的發(fā)展，一個從不更換密鑰的無線網絡安全性會大打折扣，定期更換無線的秘鑰可以提高安全性。

4）設置網卡MAC地址過濾，由于每個網卡物理地址（MAC）都是不相同且全球唯一，通過把受信任的主機網卡物理地址添加進來，只有得到授權的計算機才能訪問無線網絡。網卡物理地址過濾簡化了訪問控制，接受或拒絕預先設定的用戶，被過濾了的計算機物理地址不能進行訪問，提供了2層的防護功能。

5）采用Hotspot或Public WLAN，通過采用Web認證和AP無線客戶二層隔離的安全措施，一定程度上加強了安全防護。

3不同類型用戶的無線安全方案

不同類型的用戶，網絡功能特點不同，對無線安全的要求不盡相同，防護的技術手段也不一致。本文針對不同類型的用戶，簡單進行介紹：

1）SOHO、個人和家庭用戶

SOHO、個人和家庭用戶，無線終端少，訪問量不大，可采用WPA-PSK/WPA2-PSK方式進行密碼加密、網卡物理地址過濾，隱藏無線SSID等方法進行簡單防護。

2）企業(yè)用戶

企業(yè)用戶處理采用包括網卡物理地址過濾，隱藏無線SSID，采用WPA/WPA2方式進行加密，MAC地址過濾，VPN協(xié)議等，也可以采用網頁熱點認證和無線客戶二層隔離的安全措施。在企業(yè)的辦公區(qū)域，有著各個部門，如研發(fā)部、工程部、市場部、財務部等等。這是支撐整個企業(yè)業(yè)務發(fā)展的重要部門，但是各個部門間的工作不一樣，各部門都有各自的保密文檔，所以在無線網絡上需要設定不同的SSID來劃分不同的VLAN，使得各個部門都再同一個VLAN下工作，又不影響登陸外網的需求。

3）政府機關

政府機關單位不僅需要處理大量的辦公信息，同時還提供日常公眾服務，作為國家職能機構，對于信息安全還有較高的要求。故此，進行政府機關單位無線網絡規(guī)劃的時候，不僅要考慮滿足內部辦公、公眾開放，還需要考慮權限管控、安全策略等更深層次的問題。保證辦公帶寬，內外網隔離，有效的權限管控，健全的安全防護體系，管理、維護簡便。可以靈活為辦公人員、訪客來賓及公眾市民等設置不同的接入認證方式，以滿足不同身份群組、使用人群的需求。如針對內部辦公人員可使用802.1X、CA證書認證等高級認證方式，正對來訪及公眾可采用短信認證、微信認證等，且通過進行賬號與MAC地址綁定，支持用戶分組、辦公網和訪客網隔離，保障內網信息安全。對用戶的上網行為進行管控和審計，遏制非法訪問，記錄上網行為。

總的來說，無線網絡安全的防護并不是絕對可靠的，需要根據不同用戶的特點，選擇適合的安全防范手段，通過制度的保障和技術上的不斷加強才能構建安全的無線網絡環(huán)境。