无线局域网的组建与安全防范

摘　要：随着无线局域网的普遍应用，给人们带来了方便的同时，也带了一些问题。本文主要对无线局域网络的构建、无线局域网安全进行了分析。

关键词：无线局域网；组建；安全
1、无线局域网络的构建
1.1室内对等连接
　　这种方式的局域网所有的站都能对等通信，是不需要具有总控转接功能的AP，其称为AdHocDemo Mode。在AdHocDemo Mode中局域网对网络进行初始化，某个站会自动设置为初始站，从而将所用同域名的站构成一个局域网，允许多个站同时发送信息，即要对站间的协作功能进行设定。这种方式对于临时性网络的构建是非常适合的，每台机器只需要一个网卡，方面实惠且只需较少的成本投入。

图1 室内对等连接
1.2室内有线的拓展
　　对于室内而言，其具有一定的局限性，例如，室内布线不方便，没有足够的信息点，而计算机要经常移动，此时就可以用无线连接方式，如图2所示。带有无线网卡的客户就可以实现有线网资源的共享。
　　
　　图2 室内有线的拓展
1.3室外的点对点
　　A与B是两个各自独立的有线局域网，将这两个独立的有限局域网连接起来可以通过两台无线网桥来实现，如图3所示，通过无线网桥上的RJ45接口与有线的交换机相接。在两点之间距离较远或中间有河流、马路等情况下可以用网桥的射频输出端口接到跳线。

图3 室外的点对点
1.4室外一点对多点
　　如图4所示，将多个断开的有线网要连接成一个网，本文中指四个有线网，以D为中心，A、B、C为三个局域网，将几个有线网作为不同网段。在中心点需要采用全向天线，而其他的则都只用定向天线就可以了。这种方法比较适合用于总部与其他分部的连接。

图4 室外一点对多点
1.5室外中继应用
　　如图5所示，无线互联的A、C网，它们不能直接进行互联，需要B作为中继点，实现AB、BC互联。

图5 室外中继应用
2、无线局域网技术体系
2.1无线局域网协议标准
　　目前，无线网络并不是固定不变的，它一直都处于发展之中，因此，网络标准的选取在无线网络技术构建中是非常重要的。现阶段拥有的无线网络协议标准有很多，可分为两部分：（1）IEEE802.11a和IEEE802.11b等为主的高速传输应用发展系列标准，其比较适用于区域网中；（2）蓝牙和Home RF等为主的低速短距离应用标准，其比较适用于家庭和小型办公室组网。
　　在无线局域网系统中，IEEE802.11标准需要改进的方面也是很多的，例如，安全保障的增强、漫游管理、QoS支持、频谱功率合理分配等问题。此时IEEE组织仍然在研发相应的修补标准来更细致和优化WLAN技术。IEEE802.11是一个可扩展升级的标准集。
2.2无线局域网常用设备
　　无线网卡：目前常见的无线网卡种类是符合IEEE802.11b、蓝牙、Home RF等标准的无线网卡。
　　无线接入点（Access Point，以下均简称AP）：AP是一个无线子网的基站，提供子网内无线设备的组网以及与有线骨干网的桥接，其作用半径取决于天线的方向图和增益。
  无线网桥（Wireless Bridge）：无线网桥可用于多个固定数字设备之间的远距离、高速无线组网。无线网桥是为使用无线进行远距离点对点网间互联而设计。它是一种在链路层实现LAN互联的存储转发设备,可用于固定数字设备与其他固定数字设备之间的远距离、高速无线组网。特别适用于城市中的远距离高以及是否加用双向放大器。
　　无线网关（Wireless Gateway）：无线网关是指集成了无线局域网接入点功能的网关路由器设备。无线网关实现网络互联是通过传输层来实现的，其可以打开或关闭其无线局域网接入点AP的功能，无线网关是最复杂的网间互联设备，无线网关适用于家庭、办公室等领域，其仅用于两个高层协议不同的网络互联。对于无线网桥和无线路由器的功能，无线网关也可以实现。
　　天线：数据源信号传送至远处主要是由天线本身的特性来实现，数据源的发射强度和天线本身的增益值对传输的距离产生影响，增益值与传送距离成正比，即增益值越大，传送距离越远。一般情况下，天线主要分为全向性和定向性两种，区域性应用采用全向性的天线，而长距离应用采用定向性的天线。
3、无线局域网安全
3.1无线局域网安全认证
　　用户的身份保证由认证提供。用户身份验证的具体流程由认证方式的不同而不同，但是认证过程中所实现的功能基本都是一样的。对于无线局域网而言，最好的保护方法就是防止未被认证的用户进入网络，一般情况采用IEEE802.1x认证，IEEE802.1x定义了用户级认证的新的帧的类型，借助于企业网已经存在的用户数据库，将前端基于IEEE802.1x无线网络的认证转换到后端就有线网络的RASIUS认证。另外，还额可以对认证过程进行加密要保证其安全。
3.2未经授权用户的接入
　　使用安全可靠的身份认证措施，防止未经授权用户的接入，利用MAC阻止未经授权的设备接入，每块无线网卡都拥有唯一的MAC地址，为AP设置基于MAC地址的访问控制表(AccessControl)，确保只有经过注册的设备才能进入网络。使用802.1x端口认证技术进行身份认证，对所有接入用户的身份进行严格认证，杜绝未经授权的用户接入网络，盗用数据或进行破坏。
3.3无线加密协议（WEP）
　　加密是使无线网络安全得以保护的最基本手段，只需要对AP和无线网卡等设备进行简单的设置就可以启用WEP加密。对无线网络上的流量进行加密的一种标准方法就是无线加密协议。无线网络加密是通过对无线电波里的数据加密提供安全性，主要用于无线局域网中链路层信息数据的保密。WEP采用对称加密机制，数据的加密和解密采用相同的密钥和加密算法。启用加密后，两个无线网络设备要进行通信，必须配置为使用加密，具有相同的密钥和算法。
3.4改变服务集标识符并且禁止SSID广播
　　用户用SSID来建立与接入点之间的连接。简而言之，SSID就是一个无线局域网的名称，只有设置为名称相同SSID的值的电脑才能够连接到同一个无线网络中互相通信。SSID是由通信设备的制造上设置的，并且缺省值都用每个厂商自己的。另外，必须禁止SSID向外广播。这不能说网络的问题，而是它不会出现在可使用网络的名单中。
3.5非法用户截取无线链路中的数据
　　使用安全可靠的加密技术，非法用户即使截取无线链路中的数据也无法破译，WEP是IEEE802.11b无线局域网的标准网络安全协议，传输信息时，WEP可以通过加密无线传输数据来提供类似有线传输的保护，使用更新的加 密技术，如TKIP，选择支持TKIP的AP进一步加强无线链路中数据的加密性能。
3.6静态IP与MAC地址绑定
　　目前，想要得到一个合法的IP地址很容易，即使是犯罪分子也是一样，他们通过默认使用DHCP，得到一个合法的IP地址后，就可以合法的进入局域网中。如果你的无线网络开启了DHCP，虽然很方便给无线局域网内的客户端自动分配IP地址，但是也容易被非法分子利用，这些非法分子只要用你的无线路由器IP地址段，将无线工作方式改变成客户端网桥和中继器，就很容易进入你的网络中，从而使得无线局域网受到安全威胁。因此，建议关闭DHCP，为家里的每台电脑分配固定的静态IP地址，再将这个IP地址绑定在电脑网卡的MAC地址中，关闭DHCP的操作也比较简单，同时也使得网络的安全性得到很好的保证。
3.7VPN技术在无线网络中的应用
　　在无线的安全接入上可以运用VPN技术。AP可以被定义成无WEP机制的开放式接入，但是无线接入网络AP和VPN服务器之问的线路从局域网已经被VPN服务器和内部网络隔离出来。VPN服务器提供网络的认证和加密，并充当局域网网络内部。与WEP机制和MAC地址过滤接入不同，VPN方案具有较强的扩充、升级性能，可应用于大规模的无线网络。
3.8无线入侵检测系统
　　与传统的入侵检测系统相比，无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性，其他的基本类似。无线入侵检测系统使得无线局域网更加安全可靠，它不仅能够找出入侵者，并且还能够提出相应的策略，进一步保证了无线局域网的安全问题。另外，无线入侵检测系统还能把MAC地址欺骗检测出来。
3.9非法AP的接入
　　由于在无线网络中数据是在空气中传播的，所以数据被截获的可能就大大增强了，为了能够获得更高的数据安全性,对AP的合法性要定期进行审查，防止非法AP的接入．非法安装的AP会危害无线网络的安全，因此必须对AP的合法性进行验证．选择支持IEEE802.1x标准的AP，此标准中提供了客户机和网络相互验证的方法，在验证过程中不但AP需要确认无线用户的合法性，无线终端设备也必须验证AP是否为虚假的访问点，然后才能进行通信．通过双向认证，可以有效地防止非法AP的接入．对不支持IEEE802.1x的AP，需要通过定期审查来防止非法AP的接入．
　　“不法”分子很容易就可以通过默认使用DHCP即动态IP地址分配而得到一个合法的IP地址，由此就进入了局域网络中。因此，建议关闭DHCP服务，为家里的每台电脑分配固定的静态IP地址，然后再把这个IP地址与该电脑网卡的MAC地址进行绑定，这样就能大大提升网络的安全性。
4、结语
　　随着网络技术的快速发展，无线局域网发展也越来越快，但是无线局域网目前已经被认为是一种不可靠的网络，例如，容易侵入、未经授权使用服务、地址欺骗和会话拦截等等。针对上述这些问题，必须加强无线局域网的安全，本文也对主要的无线局域网安全防范措施进行分析。网络是一个动态的，因此，无线局域网的安全防范还需要在今后不断地进行研究。
参考文献：
. Journal of xian industrial university, 2006 (5) : 417-422.