企业无线网保护措施

申请免费试用、咨询电话：400-8352-114

可以随时随地不受网线束缚地实现网上冲浪的无线上网方式广受人们欢迎，随着无线技术的不断成熟，无线网络在企业中也不知不觉地走俏起来，相对于有线网络而言，灵活性非常强的无线网络确实为企业用户省却了许多麻烦，但也因此产生了更为严峻的安全问题、管理复杂、维护成本高等一系列难题，尤其是安全性监控问题，这在无线网络上表现得更让人头疼。

一个游离在有效保护之外的企业无线局域网络，轻则网络质量受损，不能正常地运行；重则就会成为攻击者入侵的目标和黑客袭击的跳板，其后果严重起来将会让企业蒙受不可估量的损失（如银行卡信息、客户资料等内部机密被盗，或者是系统瘫痪，无法收取费用等）。由此可见，加强企业无线局域网的保护措施迫在眉睫，如何合理地部署多种无线设备、准确地把握网络覆盖，以及是在应用中的安全管理问题（这也是重中之重的问题）都需要在规划、组建、应用管理的前前后后充分考虑这些问题。 要做到有效的保护企业无线局域网，就必须了解企业无线网络最常见的问题所在以及行之有效的解决方法，保护措施大体可以分为以下三大方面进行。

在安装配置方面：

无线网络设备的安装并不复杂，但是有些问题需要特别注意，因为稍有不慎就会徒增许多不必要的麻烦，更有可能会影响到网络的正常运作。

无线接入设备的安装位置要选好。在选择安装位置时首先要保证天线之间应该有足够的可视空间，再考虑设备所处位置对安装施工程以及日后的维护工作是否方便，当然也要注意对周围环境的影响，还要了解所选位置的变动性（就是说所处位置日后用作它用的可能性），因为无线设备安装后需要调试好才能更好地发挥网络性能，如果选址不对，需要经常搬动的话，那么网络的质量就会大打折扣。

无线接入设备需固牢。如果无线接入设备的天线不能通过天线杆固定在建筑物墙壁上的话，那么就应该加重天线杆底座重量，最好就是找几根铁丝，把天线杆捆绑固定好，以免天线杆被风吹动甚至吹倒，因为天线的移位或者是抖动将会严重地影响网络的正常传输工作。

反馈电缆不容忽略。一般来说，都会用反馈电缆连接室外天线和无线网桥的天线，首先这个反馈电缆最好不要太长，因反馈电缆越长信号的增益衰减就越快；另外一个得特别注意的问题就是，反馈电缆穿墙之处要用吸水性很强的材料处理，而且反馈电缆要从下而上进入无线网桥机柜，不要从上而下进入，因为从下而上进入的话，那么就算有水顺着反馈电缆流进室内都是先滴在地上，而不会影响到无线网桥设备

在无线网络性能的管理和测试方面：

能否有效地管理一个无线网络，关键的就是要看网络管理员能否对无线网络的接入点所实行相关的维护与控制，包括对接入点在整个网络环境中的运行和配置的控制，因为无论是增加一个没有进行任何配置或者是没有经过认证的无线网节点，还是更改一个节点的位置，都会给网络带来信道之间的冲突和网络安全等方面的问题，只有做好监控工作，才能及时地发现问题并有效地解决。

大体了解网络使用概况。首先对网络使用概况要有大致的了解，通过查看14个信道（基于802.11b来说）的使用状况的总览，以及通过每一个信道和SSID的资源分配情况了解无线网络使用环境的整体状况。

认真分析性能报警。通过对性能报警的分析，可以了解WLAN潜在的性能问题，比如说像一些错误包的比率、隐藏节点、AP信道间干扰、低传输速率等问题，分析完之后，就要研究这些报警的原因及所造成的危害，再通过对性能报警的分级来确定所要解决的故障问题的先后次序。

密切监视信道带宽。监视的对象包括信道间干扰、多播/广播风暴、微弱的射频信号、桥接环路和低传输速率等。

关注信道冲突监视。当在一个信道中的接入点或者站点过载时，网络就会失去平衡，所以要时刻关注着信道冲突监视，即时发现并解决问题才避免故障的发生。

慎对信道噪声监视。信道噪声指标可以反映无线网络用户的通信质量，通过对信道噪声的监视情况就可以了解到用户无线网络的实际使用情况，如果一个信道内发现了不明干扰源，那么通过对噪声的原因的分析就可以发现问题的所在，那就可以采取相应的措施。

监测网络。利用分析器和监测器可以分析WLAN无线数据流，如果发现未经授权的接入点，就可以根据需要阻止或断开客户机，以及检测入侵者。
 在安全防护方面：
自黑客诞生之日起，互联网就进入了一个永无宁日的时代，无线网络的安全问题让人倍感忧心，更成为无线局域网的软肋，合理保护无线网络系统就是为了将无线网络与非法使用者隔离，要最大限度地堵住这些安全漏洞，企业无线网络用户可以采用以下几项措施来防护。

天线的放置需讲究。使用环境的非封闭性是许多无线网络安全问题的罪魁祸首，因此部署一个封闭的无线访问点是保护企业无线局域网安全的首要步骤，而要实现封闭无线访问点的部署，第一步就是合理放置访问点的天线，以便能够限制信号在覆盖区以外的传输距离。

天线最好的就是放在局域网信号覆盖的区域中心，这样可以尽量减少信号外泄，但是千万不要把天线放在窗户附近，因为玻璃的信号阻挡能力极差。当然，完全控制信号外泄是不可能的，所以还需要有其它措施的补救。

防火墙把第一道关。防火墙作为网络防护的第一道防线，就好像是企业网络的门神一样，把"黑客"、"病毒"这些牛鬼蛇神通通拒之门外，防火墙于企业来说，无论是有线网络还是无线网络都一样发挥着至关重要的作用，也是企业网络安全防护的万能药。

因为无线网络的各个端点就像暴露在远程宽带连接般面对着各种威胁，所以端点至少要有一个个人防火墙作保护，对于服从安全政策的可信用户，可以把他们放置在可访问内部网络的虚拟局域网中，而对于一般的浏览者或者不符合安全政策的用户，则只容许他们访问互联网。

另外，因为WAP所提供的基本访问控制并不能满足当今网络环境的需要，所以企业最好使用一个功能强大的边界防火墙实行企业网络分区（把无线局域网与固线网络分隔开来），这样一来还可以让无线局域网和边界的安全政策一致。

巧用专用工具。企业无线网络的最大潜在风险是来自含有凶猛破坏程序（rogue）的无线访问点（wireless access point），比如说有些公司放松对非许可无线接入点的管理，而公司内部工作人员为了让自己的工作更方便，就可能会自行购买一些无线访问设备，而这些安全性不是很强的访问设备就很容易成为入侵者的头号目标。这种情况，防火墙力不从心的，而且也不在WAP管理范围内，这时候就需要选择一些专用的工具来保障网络不受非法接入点的影响，这方面可选择的专用工具也比较多，比如像特制的WLAN传感器、数据包监察器等就可以有效地对付这些非法访问者了。

技术上防护。技术上的防护是无线局域网的基本安全防护手段，方式比较多，因为各种技术有自身的利弊，因而所适用的范围也有所不同，企业用户可以根据自身的使用需要来选择。以下所介绍的就是目前主流的专攻网络安全隐患的八大主流技术，可以把企业无线局域网络的风险降到最低程度，大家不妨参考一下，取其所需。

MAC地址过滤。此种方式是通过对AP的设定，将指定的无线网卡的物理地址（MAC地址）输入到AP中，而AP对收到的每个数据包都会做出判断，只有符合设定标准的才能被转发，否则将会被丢弃。因为使用这种方法需要对每个AP进行MAC配置；而且每个AP接收MAC的数量是有限的，如果MAC太多，会降低速率；还有的就是一旦用户有所增删，则每个AP都需要刷新一次，这样的话不仅在管理上非常麻烦而且黑客可能也会利用MAC欺骗技术骗取AP的信任而硬闯企业网络，所以这种方法对于中小企业来说不失为一个比较有效的方法，但是在对于比较大型的企业用户来说，显得不实用。

变更SSID（Service Set Identifier）及禁止SSID广播。SSID，即服务集标识符，是让无线客户端对不同无线网络的识别字符串，原理跟手机识别不同的移动运营商的机制一样，该标识符由设备制造商设定，每种标识符使用默认短语，如3Com设备的标识符是101。

参数在设备缺省设定中是被AP无线接入点广播出去的，无线客户端只有出示正确的SSID，才能访问AP，通过提供口令认证机制，实现一定的无线安全。对于部署的每个无线访问点而言，用户应该选择独一无二并且很难猜中的SSID上，可以的话，最好还是禁止通过天线向外广播标识符，我们如果把这个广播禁止，一般的漫游用户在无法找到 SSID的情况下是无法连接到网络的。

不过，如果黑客盗取了合法的MAC地址信息，仍可以通过各种方法适用假冒的MAC地址接入目标网络，而且这种方法比较麻烦，不能支持大量的移动客户端，所以还是比较适用于一般SOHO环境或者是小型办公室当作简单口令安全方式。

WEP（Wired Equivalent Privacy）加密。WEP具有很好的互操作性，所有经过WIFI认证的设备都支持WEP安全协定，它使用RC4加密算法，一方面用于防止没有正确的WEP密钥的非法用户接入网络，另一方面只允许具有正确的WEP密钥的用户对数据进行加密和解密，包括软件手段和硬件手段。

这种加密方法是是对无线网络上的流量进行加密的一种标准方法，需要在每套移动设备和AP上配置密码，部署比较麻烦；使用静态非交换式密钥，安全性也受到了业界的质疑，但是它仍然可以抵挡一般的黑客入侵，一般用于SOHO用户、中小型企业网络的安全加密。

需要注意的是，许多无线访问点厂商为了方便安装产品，交付设备时选择关闭了WEP功能，但如果这样做的话，黑客就能立即访问无线网络上的流量，因为利用无线嗅探器就可以直接读取数据，所以这个功能千万不能摒弃。

AP隔离。类似于有线网络的VLAN，将所有的无线客户端设备完全隔离，使之只能访问AP连接的固定网络，这样做的话可以让接入的无线客户端保持隔离，提供安全的Internet接入，这种方式比较适合酒店或者机场等公共热点网络的架设。

802.1x协议。802.1x协议由IEEE定义，基于端口的网络访问控制，可以提供经过身份验证的网络访问，该协议引入了PPP协议定义的扩展认证协议EAP。EAP不专属于某一厂商，它能够弥补WEP的不足，并且同时能够解决在接入点之间的移动性问题，EAP还解决了VPN瓶颈问题，使用户能够以有线网络的速度进行工作。不过，配置EAP不是一件容易的事情，需要专业知识部署和Radius服务器支持，费用方面也比较高，一般用于大中型企业无线网络布局。

相对于EAP来说，由微软、思科和RSA Security共同开发，致力于简化客户端、服务器端以及目录的端到端整合的PEAP则更受欢迎。

WPA（Wi-Fi protected access）：Wi-Fi保护接入是作为通向802.11i道路的重要衔接的一环，并成为在IEEE 802.11i 标准确定之前代替WEP的无线安全标准协议。WPA采用新的加密算法以及用户认证机制，可以很好地满足WLAN的安全需求，WPA沿用了WEP的基本原理同时又克服了WEP缺点，由于加强了生成加密密钥的算法，即使黑客收集到分组信息并对其进行解析，也几乎无法计算出通用密钥，弥补了WEP倍受指责的缺陷。不过，很多客户端和AP并不支持WPA协议，而且TKIP加密仍不能满足高端企业和政府等网络的加密需求，该方法多用于一般企业无线网络的部署。

WPA2：是Wi-Fi联盟发布的第二代WPA标准，与WPA后向兼容，支持更高级的AES加密，能够更好地解决无线网络的安全问题，是一种比较理想的技术。

802.11i：2004年6月，802.11工作组正式发布了IEEE 802.11i，以加强无线网络的安全性和保证不同无线安全技术之间的兼容性，802.11i标准包括WPA和RSN两部分。802.11i的认证方案是基于802.1x 和EAP，加密算法是AES，动态协商认证和加密算法使RSN可以与最新的安全水平保持同步，不断提供保护无线局域网传输信息所需要的安全性。与WEP和WPA相比，RSN更可靠，但是RSN不能很好地在遗留设备上运行。

此协议理论上可以彻底解决无线网络安全问题，适用于所有企业网络的无线部署。

禁用DHCP。通过禁用DHCP，就为黑客入侵设下了一到屏障，黑客只有先破译IP地址、子网掩码及其它所需的TCP/IP参数才能闯入企业网络，也就是说无论黑客怎样利用你的访问点，他仍需要弄清楚IP地址，这对于无线网络来说，显得很有意义。

禁用或改动SNMP设置。SNMP对于黑客来说，是一个很好的蛀点，因为利用SNMP可以获得有关用户网络的重要信息，所以如果你的访问点支持SNMP的话，那就建议要么把这个功能禁用了，要么就改变公开及专用的共用字符串。

使用访问列表。如果可以的话，最好就是使用访问列表，这样可以进一步保护无线网络。由于不是所有的无线访问点都支持这项特性，但如果你的网络支持，你就可以具体地指定允许哪些机器连接到访问点，支持这项特性的访问点有时会使用普通文件传输协议(TFTP)，定期下载更新的列表，以避免管理员必须在每台设备上使这些列表保持同步的棘手问题。

总结：自无线网络自问世以来，各界对其评论始终是褒贬不一，但无论怎样，无线网络的出现始终是网络发展史上的一大进步，随着无线网络技术的不断成熟，相信无线网络会为各大用户造更多的福，而且反对者最为担心的安全问题也逐步得等到更完善的解决。综上所述，保护企业无线局域网络的方法还是比较多的，因为独立的每种方法都各有利弊，所以进行多重防护措施是必需的。总之，只要结合企业的实际应用需要，合理地选择安全机制组合，抢占网络安全的主动权，做到有备无患的话，让企业无线局域网过上相对安全稳定的日子绝对不是虚谈。 (it168)