杨旌国：如何做好无线局域网管理防止非法接入

　　          如何做好无线局域网管理防止非法接入kgg法治快讯网

                               中国电信 杨旌国kgg法治快讯网

　　安全问题是自无线局域网诞生以来一直困扰其发展的重要原因，本文研究了现阶段无线局域网面临的非法接入问题，并介绍了相应的解决办法。kgg法治快讯网

　　近年来，无线局域网以它接入速率高，组网灵活，在传输移动数据方面尤其具有得天独厚的优势等特点得以迅速发展。但是，随着无线局域网应用领域的不断拓展，无线局域网受到越来越多的威胁，其安全问题也越来越受到重视。kgg法治快讯网

　　非法接入无线局域网kgg法治快讯网

　　无线局域网采用公共的电磁波作为载体，而电磁波能够穿越天花板、玻璃、墙等物体，因此在一个无线局域网接入点(AccessPoint，AP)的服务区域中，任何一个无线客户端(包括未授权的客户端)都可以接收到此接入点的电磁波信号。也就是说，由于采用电磁波来传输信号，未授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络，必须在无线局域网引入全面的安全措施。kgg法治快讯网

　　1.非法用户的接入kgg法治快讯网

　　(1)基于服务设置标识符(SSID)防止非法用户接入kgg法治快讯网

　　服务设置标识符SSID是用来标识一个网络的名称，以此来区分不同的网络，最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID，与无线访问点AP的SSID相同，才能访问AP;如果出示的SSID与AP的SSID不同，那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令，从而提供口令认证机制，阻止非法用户的接入，保障无线局域网的安全。SSID通常由AP广播出来，例如通过windows XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑，可禁止AP广播其SSID号，这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。kgg法治快讯网

　　(2)基于无线网卡物理地址过滤防止非法用户接入kgg法治快讯网

　　由于每个无线工作站的网卡都有惟一的物理地址，利用MAC地址阻止未经授权的无限工作站接入。为AP设置基于MAC地址的Access Control(访问控制表)，确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。但是MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作。如果用户增加，则扩展能力很差，因此只适合于小型网络规模。kgg法治快讯网

　　如果网络中的AP数量太多，可以使用802.1x端口认证技术配合后台的RADIUS认证服务器，对所有接入用户的身份进行严格认证，杜绝未经授权的用户接入网络，盗用数据或进行破坏。kgg法治快讯网

　　(3)基于802.1x防止非法用户接入kgg法治快讯网

　　802.1x技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。kgg法治快讯网

　　2如果认证通过，则AP为无线工作站打开这个逻辑端口，否则不允许用户上网。kgg法治快讯网

　　许多安全问题都是由于AP没有处在一个封闭的环境中造成的。所以，首先,应注意合理放置AP的天线。以便能够限制信号在覆盖区以外的传输距离。例如，将天线远离窗户附近，因为玻璃无法阻挡信号。最好将天线放在需要覆盖的区域的中心，尽量减少信号泄露到墙外，必要时要增加屏蔽设备来限制无线局域网的覆盖范围。kgg法治快讯网

　　综合使用无线和有线策略。无线网络安全不是单独的网络架构，它需要各种不同的程序和协议配合。制定结合有线和无线网络安全策略，能够最大限度提高安全水平。kgg法治快讯网

　　为了保障无线局域网的安全，除了通过技术手段进行保障之外，制定完善的管理和使用制度也是很有必要的。kgg法治快讯网