近幾年來,無線局域網(wǎng)在技術(shù)上已經(jīng)日漸成熟,應(yīng)用日趨廣泛，那么你知道無線局域網(wǎng)與無線局域網(wǎng)安全技術(shù)的知識嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于無線局域網(wǎng)與無線局域網(wǎng)安全技術(shù)的修改資料，供你參考。

　　一、發(fā)展中的IEEE 802.1x無線局域網(wǎng)安全標準

　　一開始，IEEE 802.11提供了一些基本的安全機制，這使得無線網(wǎng)日益增強的自由較少潛在威脅。在802.11規(guī)范中通過有線同等保密(Wired Equivalent Privacy WEP)算法提供了附加的安全性。這一安全機制的一個主要限制是：沒有規(guī)定一個分配密鑰的管理協(xié)議。因此，脆弱的安全機制使它不足以阻擋任何人，更何況是黑客的攻擊。 為了補救WEP在安全性上的不足，需要通過IEEE 802.1x協(xié)議。802.1x是一個基于端口的標準草案。網(wǎng)絡(luò)接入控制提供以太網(wǎng)的網(wǎng)絡(luò)接入的鑒權(quán)。這種基于端口的網(wǎng)絡(luò)接入控制使用交換式局域網(wǎng)基礎(chǔ)設(shè)施的物理特性來認證連接到局域網(wǎng)某個端口的設(shè)備。如果認證過程失敗，端口接入將被阻止。盡管此標準是為有線以太網(wǎng)設(shè)計，它也可用于802.11無線局域網(wǎng)。

　　對無線網(wǎng)絡(luò)來說，802.1x支持遠程撥號用戶簽名服務(wù)(Remote Authentication Dial-In Service RADIUS)，接入點將采用對客戶證書認證的RADIUS服務(wù)器作為網(wǎng)絡(luò)接入的認證者。802.1x還支持集中式的Kerberos用戶簽名、驗證和記賬，并且實現(xiàn)了更強的協(xié)議。通信被允許通過一個邏輯"非控制端口"或信道來驗證證書的有效性而通過一個邏輯"控制端口"來獲得接入網(wǎng)絡(luò)的密鑰。新標準為每個用戶和每個會話準備不同的密匙，并且密匙支持128 bit的長度。密鑰管理協(xié)議因而得以添加到802.11的安全性中。 這種802.1x方式已被廣泛采用而RADIUS鑒權(quán)的使用也在增加。如果需要的話，RADIUS服務(wù)器可以查詢一個本地認證數(shù)據(jù)庫?；蛘撸埱笠部梢员粋魉徒o其他服務(wù)器進行有效性驗證。當(dāng)RADIUS決定機器可以進入網(wǎng)絡(luò)時，將向接入點發(fā)送消息，接入點則允許數(shù)據(jù)業(yè)務(wù)流入網(wǎng)絡(luò)。

　　二、Windows XP中針對以太網(wǎng)或無線局域網(wǎng)上服務(wù)器的安全性改進

　　Secure Wireless/Ethernet LAN(安全無線/以太局域網(wǎng))為您增強了開發(fā)安全有線與無線局域網(wǎng)(LAN)網(wǎng)的能力。這種特性是通過允許在以太網(wǎng)或無線局域網(wǎng)上部署服務(wù)器實現(xiàn)的。借助Secure Wireless/Ethernet LAN，在用戶進行登錄前，計算機將無法訪問網(wǎng)絡(luò)。然而，如果一臺設(shè)備具備“機器身份驗證”功能，那么它將能夠在通過驗證并接受IAS/RADIUS服務(wù)器授權(quán)后獲得局域網(wǎng)的訪問權(quán)限。 Windows XP中的Secure Wireless/Ethernet LAN在基于IEEE 802.11規(guī)范的有線與無線局域網(wǎng)上實現(xiàn)了安全性。這一過程是通過對自動注冊或智能卡所部署的公共證書的使用加以支持的。它允許在公共場所(如購物中心或機場)對有線以太網(wǎng)和無線IEEE 802.11網(wǎng)絡(luò)實施訪問控制。這種IEEE 802.1X Network Access Control(IEEE 802.1X網(wǎng)絡(luò)訪問控制)安全特性還支持Extensible Authentication Protocol(擴展身份驗證協(xié)議，EAP)運行環(huán)境中的計算機身份驗證功能。IEEE 802.1X允許管理員為獲得有線局域網(wǎng)和無線IEEE 802.11局域網(wǎng)訪問許可的服務(wù)器分配權(quán)限。因為，如果一臺服務(wù)器被放置在網(wǎng)絡(luò)中，管理員肯定希望確保其只能訪問那些已在其中通過身份驗證的網(wǎng)絡(luò)。例如，對會議室的訪問權(quán)限將只被提供給特定服務(wù)器，而來自其它服務(wù)器的訪問請求將被遭到拒絕。

　　三、 早期基本的無線局域網(wǎng)安全技術(shù)

　　無線網(wǎng)卡物理地址(MAC)過濾：

　　每個無線工作站網(wǎng)卡都由惟一的物理地址標示，該物理地址編碼方式類似于以太網(wǎng)物理地址，是48位。網(wǎng)絡(luò)管理員可在無線局域網(wǎng)訪問點AP中手工維護一組允許訪問或不允許訪問的MAC地址列表，以實現(xiàn)物理地址的訪問過濾。

　　如果企業(yè)當(dāng)中的AP數(shù)量太多，為了實現(xiàn)整個企業(yè)當(dāng)中所有AP統(tǒng)一的無線網(wǎng)卡MAC地址認證，現(xiàn)在的AP也支持無線網(wǎng)卡MAC地址的集中Radius認證。

　　服務(wù)區(qū)標識符(SSID)匹配：

　　無線工作站必須出示正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP;如果出示的SSID與AP的SSID不同，那么AP將拒絕他通過本服務(wù)區(qū)上網(wǎng)。因此可以認為SSID是一個簡單的口令，從而提供口令認證機制，實現(xiàn)一定的安全。

　　在無線局域網(wǎng)接入點AP上對此項技術(shù)的支持就是可不讓AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關(guān)聯(lián)。

　　有線等效保密(WEP)：

　　有線等效保密(WEP)協(xié)議是由802.11標準定義的，用于在無線局域網(wǎng)中保護鏈路層數(shù)據(jù)。WEP使用40位鑰匙，采用RSA開發(fā)的RC4對稱加密算法，在鏈路層加密數(shù)據(jù)。

　　WEP加密采用靜態(tài)的保密密鑰，各WLAN終端使用相同的密鑰訪問無線網(wǎng)絡(luò)。WEP也提供認證功能，當(dāng)加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發(fā)出一個Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對，只有正確無誤，才能獲準存取網(wǎng)絡(luò)的資源。40位WEP具有很好的互操作性，所有通過Wi-Fi 組織認證的產(chǎn)品都可以實現(xiàn)WEP互操作?，F(xiàn)在的WEP一般也支持128位的鑰匙，提供更高等級的安全加密。

　　四、 802.11i(WPA)之前的安全解決方案

　　端口訪問控制技術(shù)(IEEE802.1x)和可擴展認證協(xié)議(EAP)：

　　該技術(shù)也是用于無線局域網(wǎng)的一種增強性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站與無線訪問點AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認證結(jié)果。如果認證通過，則AP為無線工作站打開這個邏輯端口，否則不允許用戶上網(wǎng)。

　　802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問點要內(nèi)嵌802.1x認證代理，同時它還作為Radius客戶端，將用戶的認證信息轉(zhuǎn)發(fā)給Radius服務(wù)器?，F(xiàn)主流的PC機操作系統(tǒng)Win XP 以及Win2000都已經(jīng)有802.1x的客戶端功能。

　　現(xiàn)在，安全功能比較全的AP在支持IEEE 802.1x 和Radius的集中認證時支持的可擴展認證協(xié)議類型有：EAP -MD5 & TLS、TTLS和PEAP。

　　無線客戶端二層隔離技術(shù)：

　　在電信運營商的公眾熱點場合，為確保不同無線工作站之間的數(shù)據(jù)流隔離，無線接入點AP也可支持其所關(guān)聯(lián)的無線客戶端工作站二層數(shù)據(jù)隔離，確保用戶的安全。

　　-Over-Wireless技術(shù)：

　　目前已廣泛應(yīng)用于廣域網(wǎng)絡(luò)及遠程接入等領(lǐng)域的(Virtual Private Networking)安全技術(shù)也可用于無線局域網(wǎng)。與IEEE802.11b標準所采用的安全技術(shù)不同，主要采用DES、3DES等技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩τ诎踩砸蟾叩挠脩?，將現(xiàn)有的安全技術(shù)與IEEE802.11b安全技術(shù)結(jié)合起來，是目前較為理想的無線局域網(wǎng)絡(luò)的安全解決方案之一。

　　五、 2003年快速發(fā)展的WPA (Wi-Fi 保護訪問) 技術(shù)

　　在IEEE 802.11i 標準最終確定前，WPA(Wi-Fi Protected Access)技術(shù)將成為代替WEP的無線安全標準協(xié)議，為IEEE 802.11 無線局域網(wǎng)提供更強大的安全性能。WPA是IEEE802.11i的一個子集，其核心就是IEEE 802.1x和TKIP。

　　新一代的加密技術(shù)TKIP與WEP一樣基于RC4加密算法，且對現(xiàn)有的WEP進行了改進。在現(xiàn)有的WEP加密引擎中增加了“密鑰細分(每發(fā)一個包重新生成一個新的密鑰)”、“消息完整性檢查(MIC)”、“具有序列功能的初始向量”和“密鑰生成和定期更新功能”等4種算法，極大地提高了加密安全強度。TKIP與當(dāng)前Wi-Fi 產(chǎn)品向后兼容，而且可以通過軟件進行升級。從2003年的下半年開始，Wi-Fi組織已經(jīng)開始對支持WPA的無線局域網(wǎng)設(shè)備進行認證。

　　六、 高級的無線局域網(wǎng)安全標準—IEEE 802.11i

　　為了進一步加強無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容， IEEE802.11工作組目前正在開發(fā)作為新的安全標準的IEEE 802.11i，并且致力于從長遠角度考慮解決IEEE 802.11無線局域網(wǎng)的安全問題。IEEE 802.11i標準草案中主要包含加密技術(shù)：TKIP (Temporal Key Integrity Protocol) 和 AES(Advanced Encryption Standard)，以及認證協(xié)議IEEE 802.1x。預(yù)計完整的IEEE 802.11i的標準將在2004年的上半年得到正式批準，IEEE 802.11i將為無線局域網(wǎng)的安全提供可信的標準支持。

　　七、無線局域網(wǎng)安全技術(shù)的發(fā)展方向

　　無線局域網(wǎng)總的發(fā)展方向是速度會越來越快(目前已見的是11Mbps的IEEE 802.11b，54Mbps的IEEE 802.11g 與IEEE 802.11a標準)，安全性會越來越高。當(dāng)然無線局域網(wǎng)的各項技術(shù)均處在快速的發(fā)展過程當(dāng)中，但54Mbps的無線局域網(wǎng)規(guī)范IEEE 802.11g及IEEE 802.1X將是近期整個無線局域網(wǎng)業(yè)的熱點。

　　作為一名網(wǎng)管員來說，對無線局域網(wǎng)的安全防護應(yīng)考慮以下防范點和措施：

　　安全防范點： 1. 未經(jīng)授權(quán)用戶的接入 2. 網(wǎng)上鄰居的攻擊 3. 非法用戶截取無線鏈路中的數(shù)據(jù) 4. 非法AP的接入 5. 內(nèi)部未經(jīng)授權(quán)的跨部門使用

　　相應(yīng)措施： 1. 使用各種先進的身份認證措施，防止未經(jīng)授權(quán)用戶的接入 由于無線信號是在空氣中傳播的，信號可能會傳播到不希望到達的地方，在信號覆蓋范圍內(nèi)，非法用戶無需任何物理連接就可以獲取無線網(wǎng)絡(luò)的數(shù)據(jù)，因此，必須從多方面防止非法終端接入以及數(shù)據(jù)的泄漏問題。

　　2. 利用MAC阻止未經(jīng)授權(quán)的接入 每塊無線網(wǎng)卡都擁有唯一的一個MAC 地址，為 AP 設(shè)置基于 MAC 地址的 Access Control(訪問控制表)，確保只有經(jīng)過注冊的設(shè)備才能進入網(wǎng)絡(luò)。 使用802.1x端口認證技術(shù)進行身份認證 使用802.1x端口認證技術(shù)配合后臺的RADIUS認證服務(wù)器，對所有接入用戶的身份進行嚴格認證，杜絕未經(jīng)授權(quán)的用戶接入網(wǎng)絡(luò)，盜用數(shù)據(jù)或進行破壞。

　　3. 使用先進的加密技術(shù)，使得非法用戶即使截取無線鏈路中的數(shù)據(jù)也無法破譯基本的WEP加密 WEP是IEEE802.11b無線局域網(wǎng)的標準網(wǎng)絡(luò)安全協(xié)議。在傳輸信息時，WEP可以通過加密無線傳輸數(shù)據(jù)來提供類似有線傳輸?shù)谋Ｗo。在簡便的安裝和啟動之后，應(yīng)立即設(shè)置WEP密鑰。

　　4. 利用對AP的合法性驗證以及定期進行站點審查，防止非法AP的接入 在無線AP接入有線集線器的時候，可能會遇到非法AP的攻擊，非法安裝的AP會危害無線網(wǎng)絡(luò)的寶貴資源，因此必須對AP的合法性進行驗證。AP支持的IEEE802.1x技術(shù)提供了一個客戶機和網(wǎng)絡(luò)相互驗證的方法，在此驗證過程中不但AP需要確認無線用戶的合法性，無線終端設(shè)備也必須驗證AP是否為虛假的訪問點，然后才能進行通信。通過雙向認證，可以有效的防止非法AP的接入。對于那些不支持IEEE802.1x的AP，則需要通過定期的站點審查來防止非法AP的接入。在入侵者使用網(wǎng)絡(luò)之前，通過接收天線找到未被授權(quán)的網(wǎng)絡(luò)，通過物理站點的監(jiān)測應(yīng)當(dāng)盡可能地頻繁進行，頻繁的監(jiān)測可增加發(fā)現(xiàn)非法配置站點的存在幾率，選擇小型的手持式檢測設(shè)備，管理員可以通過手持掃描設(shè)備隨時到網(wǎng)絡(luò)的任何位置進行檢測。

　　5. 利用ESSID、MAC限制防止未經(jīng)授權(quán)的跨部門使用

　　利用ESSID進行部門分組，可以有效地避免任意漫游帶來的安全問題;MAC地址限制更能控制連接到各部門AP的終端，避免未經(jīng)授權(quán)的用戶使用網(wǎng)絡(luò)資源。

　　保障整個網(wǎng)絡(luò)安全是非常重要的，無論是否有無線網(wǎng)段，大多數(shù)的局域網(wǎng)都必須要有一定級別的安全措施。而無線網(wǎng)絡(luò)相對來說比較安全，無線網(wǎng)段即或不能提供比有線網(wǎng)段更多的保護，也至少和它相同。需要注意的是，無線局域網(wǎng)并不是要替代有線局域網(wǎng)，而是有線局域網(wǎng)的替補。使用無線局域網(wǎng)的最終目標不是消除有線設(shè)備，而是盡量減少線纜和斷線時間，讓有線與無線網(wǎng)絡(luò)很好地配合工作。

　　看過文章“無線局域網(wǎng)與無線局域網(wǎng)安全技術(shù)”的人還看了：

　　1.局域網(wǎng)安全策略

　　2.怎么建立局域網(wǎng)

　　3.如何簡單設(shè)置一個局域網(wǎng)

　　4.局域網(wǎng)共享設(shè)置 詳細圖文設(shè)置教程

　　5.如何進行局域網(wǎng)共享

　　6.如何實現(xiàn)局域網(wǎng)內(nèi)兩臺電腦資源共享

　　7.如何搭建30臺電腦的局域網(wǎng)

　　8.局域網(wǎng)的定義

　　9.局域網(wǎng)入侵如何做到的

　　10.如何創(chuàng)建局域網(wǎng)