精選優質文檔-----傾情為你奉上/r/n精選優質文檔-----傾情為你奉上/r/n專心---專注---專業/r/n專心---專注---專業/r/n精選優質文檔-----傾情為你奉上/r/n專心---專注---專業/r/n校園網安全隱患分析/r/n校園內網安全分析/r/nBUG影響/r/n目前使用的軟件尤其是操作系統或多或少都存在安全漏洞,對網絡安全構成了威脅。現在網絡服務器安裝的操作系統有UNIX、WindowsNTP2000、Linux等,這些系統安全風險級別不同,UNIX因其技術較復雜通常會導致一些高級黑客對其進行攻擊;而WindowsNTP2000操作系統由于得到了廣泛的普及,加上其自身安全漏洞較多,因此,導致它成為較不安全的操作系統。在去年一段時期、沖擊波病毒比較盛行,沖擊波/r/n”/r/n這個利用微軟RPC漏洞進行傳播的蠕蟲病毒至少攻擊了全球80%的Windows用戶,使他們的計算機無法工作并反復重啟,該病毒還引發了DoS(Denialofservice)攻擊,使多個國家的互聯網也受到相當影響。/r/n2、/r/n設備物理安全/r/n設備物理安全主要是指對網絡硬件設備的破壞。網絡設備包括服務器、交換機、集線器、路由器、工作站、電源等,它們分布在整個校園內,管理起來非常困難。個別人可能出于各種目的,有意或無意地損壞設備,這樣會造成校園網絡全部或部分癱瘓。/r/n3、/r/n設備配置安全/r/n/r/n設備配置安全是指在設備上要進行必要的一些設置(如服務器、交換機、防火墻、路由器的密碼等),防止黑客取得硬件設備的控制權。許多網管往往由于沒有在服務器、路由器、防火墻或可網管的交換機上設置必要的密碼或密碼設置得過于簡單易猜,導致一些略懂或精通網絡設備管理技術的人員可以通過網絡輕易取得對服務器、交換機、路由器或防火墻等網絡設備的控制權,然后肆意更改這些設備的配置,嚴重時甚至會導致整個校園網絡癱瘓。/r/n4、/r/n管理漏洞/r/n一個健全的安全體系,實際上應該體現的是/r/n“/r/n三分技術、七分管理/r/n”/r/n,網絡的整體安全不是僅僅依賴使用各種技術先進的安全設備就可以實現的,更重要的是體現在對人、對設備的安全管理以及一套行之有效的安全管理制度,尤其重要的是加強對內部人員的管理和約束,由于內部人員對網絡的結構、模式都比較了解,若不加強管理,一但有人出于某種目的破壞網絡,后果將不堪設想。IP地址盜用、濫用是校園網必須加強管理的方面,特別是學生區、機房等。IP配置不當也會造成部分區域網絡不通。如在學生學習機房,有學生不甚將自己的計算機的IP地址設成本網段的網關地址,這會導致整個學生機房無法正常訪問外網。/r/n5、/r/n無線局域網的安全威脅/r/n利用WLAN進行通信必須具有較高的通信保密能力。對于現有的WLAN產品，它的安全隱患主要有以下幾點：/r/n未經授權使用網絡服務/r/n由于無線局域網的開放式訪問方式，非法用戶可以未經授權而擅自使用網絡資源，不僅會占用寶貴的無線信道資源，增加帶寬費用，還會降低合法用戶的服務質量。/r/n地址欺騙和會話攔截/r/n目前有很多種無線局域網的安全技術，包括物理地址(MAC)過濾、服務集標識符(SSID)匹配、有線對等保密(WEP)、端口訪問控制技術(IEEE802.1x)、WPA?(Wi-FiProtectedAccess)、IEEE802.11i等。面對如此多的安全技術，應該選擇哪些技術來解決無線局域網的安全問題，才能滿足用戶對安全性的要求。在無線環境中，非法用戶通過偵聽等手段獲得網絡中合法站點的MAC地址比有線環境中要容易得多，這些合法的MAC地址可以被用來進行惡意攻擊。另外，由于IEEE802.11沒有對AP身份進行認證，攻擊者很容易裝扮成合法AP進入網絡，并進一步獲取合法用戶的鑒別身份信息，通過會話攔截實現網絡入侵。這些合法的MAC地址可以被用來進行惡意攻擊。另外，由于IEEE802.11沒有對AP身份進行認證，攻擊者很容易裝扮成合法AP進入網絡，并進一步獲取合法用戶的鑒別身份信息，通過會話攔截實現網絡入侵。一旦攻擊者侵入無線網絡，它將成為進一步入侵其他系統的起點。多數學校部署的WLAN都在防火墻之后，這樣WLAN的安全隱患就會成為整個安全系統的漏洞，只要攻破無線網絡，整個網絡就將暴露在非法用戶面前。/r/n校園外網安全分析/r/n1、/r/n黑客攻擊/r/n有的校園網同時與CERNET、Internet相連,有的通過CERNET與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。黑客攻擊活動日益猖獗,成為當今社會關注的焦點。典型的黑客攻擊有入侵系統攻擊、欺騙攻擊、拒絕服務攻擊、對防火墻的攻擊、木馬程序攻擊、后門攻擊等。黑客攻擊不僅來自校園網外部,還有相當一部分來自校園網內部,由于內部用戶對網絡的結構和應用模式都比較了解,因此來自內部的安全威脅會更大一些。/r/n2、/r/n不良信息傳播/r/n在校園網接入Internet后,師生都可以通過校園網絡進入Internet。目前Internet上各種信息良莠不齊,其中有些不良信息違反人類的道德標準和有關法律法規,對人生觀、世界觀正在形成中的學生危害非常大。特別是中小學生,由于年齡小,分辨是非和抵御干擾能力較差,如果不采取切實可行安全措施,勢必會導致這些信息在校園內傳播,侵蝕學生的心靈。/r/n/r/n3、/r/n病毒危害/r/n學校接入廣域網后,給大家帶來方便的同時,也為病毒進入學校之門提供了方便,下載的程序、電子郵件都可能帶有病毒。隨著校園內計算機應用的大范圍普及,接入校園網的節點數/r/n日益增多,這些節點大都沒有采取安全防護措施,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、甚至系統癱瘓等嚴重后果。/r/n校園網安全措施/r/n（一）防火墻/r/n /r/n網絡信息系統的安全應該是一個動態的發展過程，應該是一種檢測/r/n──/r/n監控/r/n──/r/n安全響應的循環過程。動態發展是網絡系統安全的規律。網絡安全監控和入侵檢測產品正是實現這一目標的必不可少的環節。/r/n /r/n網絡監控系統是實時網絡自動違規、入侵識別和響應系統。它位于有敏感數據需要保護的網絡上，通過實時截獲網絡數據流，尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規模式和未授權的網絡訪問時，網絡監控系統能夠根據系統安全策略做出反應，包括實時報警、事件登錄或執行用戶自定義的安全策略等。/r/n1系統組成/r/n網絡衛士監控器：一臺，硬件/r/n監控系統軟件：一套/r/nPC/r/n機（1臺，用于運行監控系統軟件）/r/n2主要功能/r/n實時網絡數據流跟蹤、采集與還原/r/n網絡監控系統運行于有敏感數據需要保護的網絡之上，實時監視網絡上的數據流，分析網絡通訊會話軌跡。如：/r/nE/r/n－/r/nMAIL/r/n：監視特定用戶或特定地址發出、收到的郵件；記錄郵件的源及目的/r/nIP/r/n地址、郵件的發信人與收信人、郵件的收發時間等。/r/nHTTP/r/n：監視和記錄用戶對基于/r/nWeb/r/n方式提供的網絡服務的訪問操作過程（如用戶名、口令等）。/r/nFTP/r/n：監視和記錄訪問/r/nFTP/r/n服務器的過程（/r/nIP/r/n地址、文件名、口令等）。/r/nTELNET/r/n：監視和記錄對某特定地址主機進行遠程登錄操作的過程。/r/nRsh/r/nRlogin/r/n實時記錄并回放進出網絡各種操作的全過程/r/n網絡安全違規活動捕獲/r/n 網絡監控系統能夠根據用戶自定義的網絡安全策略對網絡活動進行檢查，捕獲網絡安全違規活動。/r/n網絡安全事件的響應/r/n網絡監控系統能夠記錄網絡安全事件的詳細信息，并提示系統安全管理員采取相應的安全措施，如阻斷連接等等。/r/n提供智能化網絡安全審計方案/r/n網絡監控系統能夠對大量的網絡數據進行分析處理和過濾，生成按用戶策略篩選的網絡日志，大大減少了需要人工處理的日志數據，使系統更有效。/r/n支持用戶自定義網絡安全策略和網絡安全事件/r/n3主要技術特點/r/n采用透明工作方式，它靜靜地監視本網段數據流，對網絡通訊不附加任何延時，不影響網絡傳輸的效率。/r/n可采用集中管理的分布式工作方式，能夠遠程監控。可以對每個監控器進行遠程配置，可以監測多個網絡出口或應用于廣域網絡監測。/r/n網絡監控系統能進行運行狀態實時監測，遠程啟停管理。/r/n（二）防病毒/r/n為了有效的防止病毒對系統的侵入，必須在系統中安裝防病毒軟件，并指定嚴格的管理制度，保護系統的安全性。/r/n1應用狀況/r/n一臺專用服務器（NTSERVER）、一臺代理郵件服務器（NTSERVER&PROXYSERVER,ExchangeServer），一臺WWWSERVER，一臺數據庫SERVER，100-200臺客戶機。/r/n2系統要求/r/n能防止通過PROXYSERVER從Internet下載文件或收發的E-mail內隱藏的病毒，并對本地的局域網防護的作用。/r/n3解決方案/r/n采用以下的防病毒產品/r/n所需軟件的名稱/r/n安裝場所/r/n數量/r/n保護對象/r/nServerProtectforNTServer/r/nNTServer/r/n每臺NTServer一套/r/nNTSERVER本身/r/nInterScanWebProtect/r/nProxyServer/r/n按客戶機數量/r/nHTTPFTP、用瀏覽器下開載的程序/r/nScanMailforExchangeServer/r/nExchangeServer/r/n按客戶機數量/r/n有E-Mail的用戶/r/nOfficeScancorp/r/n各部門的NT域服務器/r/n按客戶機數量/r/n自動分發、更新、實時監察客戶機/r/n以下是選用以上Trend公司產品的說明：/r/n在NT主域控制器和備份域上均采用ServerProtecforWindowsNT（簡體中文5.5版）保護NT服務器免受病毒的侵害。/r/n另鑒于客戶有100-200臺客戶機，客戶端的病毒軟件的安裝和病毒碼更新等工作，造成MIS人員管理上的超負荷，因此推薦采用OfficeScanCorporatcEdition企業授權版OfficeScanCorporateIdition能讓MIS人員通過管理程序進行中央控管，軟件的分派（自動安裝，自動更新病毒碼、軟件的自動升級）。/r/n另外在外接Internet和郵件服務器上，采用InterScanWebProtect和ScanMailForExchange此兩種軟件是目前唯一能從國際互聯網絡攔截病毒的軟件。設計的理念是，在電腦病毒入侵企業內部網絡的入口處-Internet服務器或網關（Gateway）上安裝此軟件，它可以隨時監控網關中的ETP、電子郵件傳輸和Web網頁所下載的病毒和惡性程序，并有文件到達網絡系統之前進行掃描偵測出來。/r/n（三）無線網絡安全措施/r/n針對校園應用的安全解決方案/r/n從校園用戶角度而言，隨著無線網絡應用的推進，管理員需要更加注重無線網絡安全的問題，針對不同的用戶需求，H3C提出一系列不同級別的無線安全技術策略，從傳統的WEP加密到IEEE802.11i，從MAC地址過濾到IEEE802.1x安全認證技術，可分別滿足辦公室局部用戶、園區網絡、辦公網絡等不同級別的安全需求。/r/n對于辦公室局部無線用戶而言，無線覆蓋范圍較小，接入用戶數量也比較少，沒有專業的管理人員，對網絡安全性的要求相對較低。通常情況下不會配備專用的認證服務器，這種情況下，可直接采用AP進行認證，WPA-PSK+AP隱藏可以保證基本的安全級別。/r/n

在學校園區無線網絡環境中，考慮到網絡覆蓋范圍以及終端用戶數量，AP和無線網卡的數量必將大大增加，同時由于使用的用戶較多，安全隱患也相應增加，此時簡單的WPA-PSK已經不能滿足此類用戶的需求。如表中所示的中級安全方案使用支持IEEE802.1x認證技術的AP作為無線網絡的安全核心，使用H3C虛擬專用組(VertualPrivateGroup)管理器功能并通過后臺的Radius服務器進行用戶身份驗證，有效地阻止未經授權的用戶接入，并可對用戶權限進行區分。/r/n如果應用無線網絡構建校園的辦公網絡，此時無線網絡上承載的是工作業務信息，其安全保密性要求較高，因此用戶認證問題就顯得更加重要。如果不能準確可靠地進行用戶認證，就有可能造成帳號盜用、非法入侵的問題，對于無線業務網絡來說是不可以接受的。下表中的專業級解決方案可以較好地滿足用戶需求，通過H3C虛擬專用組(VPG)管理器功能、IEEE802.11i加密、Radius的用戶認證確保高安全性。/r/n安全級別/r/n典型場合/r/n使用技術/r/n初級安全/r/n辦公室局部無線用戶/r/nWPA-PSK/r/n＋/r/nAP/r/n隱藏/r/n中級安全/r/n學校園區無線網/r/nIEEE802.1x認證＋TKIP/r/n加密/r/n+VPG/r/n管理/r/n專業級安全/r/n無線校園辦公網/r/nVPG/r/n管理＋/r/nIEEE802.11i/r/n＋/r/nRadius/r/n認證/r/n為了進一步加強無線網絡的安全性和保證不同廠家之間無線安全技術的兼容，IEEE802.11工作組開發了作為新的安全標準的IEEE802.11i，并且致力于從長遠角度考慮解決IEEE802.11無線局域網的安全問題。IEEE802.11i標準中主要包含加密技術：TKIP(TemporalKeyIntegrityProtocol)和AES(AdvancedEncryptionStandard)，以及認證協議：IEEE802.1x。IEEE802.11i標準已在2004年6月24美國新澤西的IEEE標準會議上正式獲得批準。/r/n802.11i與WPA相比增加了一些特性：/r/nAES:更好的加密算法，但是無法與原有的802.11架構兼容，需要硬件升級。/r/nCCMPandWARP:以AES為基礎。/r/nIBSS:802.11i解決IBSS(IndependentBasicServiceSet),而WPA主要處理ESS(ExtendedServiceSet)/r/nPreauthentication：用于用戶在不同的BSS(BasicServiceSet)間漫游時，減少重新連接的時間延遲。/r/n/r/n3、H3C無線校園網的安全策略/r/n針對目前無線校園網應用中的種種安全隱患，H3C的無線局域網產品體系能夠提供強有力的安全特性，除了傳統無線局域網中的安全策略之外，還能夠提供更加精細的管理措施：/r/n可靠的加密和認證、設備管理/r/n能夠支持目前802.11小組所提出的全部加密方式，包括高級WPA256位加密(AES)，40/64位、128位和152位WEP共享密鑰加密，WPATKIP，特有的128位動態安全鏈路加密，動態會話密鑰管理。/r/n802.1x認證使用802.1xRADIUS認證和MAC地址聯合認證，確保只有合法用戶和客戶端設備才可訪/r/n問網絡；WPATKIP認證采用EAP-MD5，EAP-TLS和PEAP協議，擴展的證書認證功能更加保證用戶身份的嚴格鑒定。/r/n支持通過本地控制臺或通過SSL或HTTPS集中管理Web瀏覽器；通過本地控制臺或通過SSHv2或Telnet遠程管理的命令行界面；并可通過無線局域網管理系統進行集中管理。/r/n用戶和組安全配置/r/n和傳統的無線局域網安全措施一樣，H3C無線網絡可以依靠物理地址(MAC)過濾、服務集標識符(SSID)匹配、訪問控制列表(ACL)來提供對無線客戶端的初始過濾，只允許指定的無線終端可以連接AP。/r/n同時，傳統無線網絡也存在它的不足之處。首先，它的安全策略依賴于連接到某個網絡位置的設備上的特定端口，對物理端口和設備的依賴是網絡工程的基礎。例如，子網、ACL以及服務等級(CoS)在路由器和交換機的端口上定義，需要通過臺式機的MAC地址來管理用戶的連接。H3C采用基于身份的組網功能，可提供增強的用戶和組的安全策略，針對特殊要求創建虛擬專用組(VertualPrivateGroup)，VLAN不再需要通過物理連接或端口來實施，而是根據用戶和組名來區分權限。/r/n并且，H3C無線網絡可以對無線局域網進行前所未有的控制和觀察，監視工具甚至可以跟蹤深入到個人的信息(無論他的位置在哪里)，網絡標識基于用戶而不是基于物理端口或位置。/r/n其次，H3C無線網絡簡化了SSID支持，不再需要多個SSID來支持漫游和授權策略；單個SSID足以支持漫游、跨子網漫游或包括VLAN或子網成員資格的授權策略。/r/n大量的可配置監視工具用于收集用戶數據(例如位置、訪問控制和安全設置)和識別用戶身份。此外，使用H3C虛擬專用組(VertualPrivateGroup)管理器功能，可以為用戶和組分配特定的安全和訪問策略，從而獲得最大的靈活性，同時增強網絡安全性并顯著縮短管理時間。用戶不僅可更改單個用戶設置，還可以只通過簡單的幾次擊鍵操作即可從中央管理控制臺方便地配置相似的用戶組、AP組，而不必逐個配置AP。/r/n非法接入檢測和隔離/r/nH3C無線網絡可自動執行的AP射頻掃描功能通過標識可去除非法AP，使管理員能更好地查看網絡狀況，提高對網絡的能見度。非法AP通過引入更多的流量來降低網絡性能，通過嘗試獲取數據或用戶名來危及網絡安全或者欺騙網絡以生成有害的垃圾郵件、病毒或蠕蟲。任何網絡中都可能存在非法AP，但是網絡規模越大就越容易受到攻擊。/r/n為了消除這種威脅，可以指定某些AP充當射頻/r/n“/r/n衛士/r/n”/r/n，其方法是掃描無線局域網來查找非法AP位置，記錄這些位置信息并采取措施以及為這些位置重新分配信道以使網絡處于連接狀態并正常運行。AP射頻掃描程序還會檢測并調整引起射頻干擾的其他來源，例如微波爐和無繩電話。/r/n并且，射頻監測配合基于用戶身份的組網，不但可使用戶在漫游時具有諸如虛擬專用組成員資格、訪問控制列表(ACL)、認證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權等內容，還可告知管理人員哪些用戶已連接、他們位于何處、他們曾經位于何處、他們正在使用哪些服務以及他們曾經使用過哪些服務。/r/n監視和告警/r/nH3C無線網絡體系提供了實時操作信息，可以快速檢測到問題，提高網絡的安全性并優化網絡，甚至還可以定位用戶。網絡管理應用程序針對當今的動態業務而設計，它提供了配置更改的自動告警功能。向導界面提供了即時提示，從而使得管理員能夠快速針對沖突做出更改。/r/n通過使用軟件的移動配置文件功能，管理者可以在用戶或用戶組漫游整個無線局域網時控制其訪問資源的位置。此外，位置策略能夠根據用戶的位置來阻止或允許對特殊應用程序的訪問。/r/n總體規劃設計/r/n網絡安全系統規劃是一個系統建立和優化的過程，建設網絡的根本目的是在/r/nInternet上進行資源共享與通信。要充分發揮投資網絡的效益，需求設計成為網絡規劃建設中的重要內容，網絡平臺中主要有針對學校建筑群而設計出的拓撲圖，有互聯網設備（主交換機、路由器、二級交換機、服務器等）。校園內部網絡采用共享或者交換式以太網，選擇中國科研教育網接入Internet，校際之間通過國際互聯網的方式互相連接。同時采取相應的措施，確保通訊數據的安全、保密。/r/n某高校校園網絡拓撲圖/r/n某高校校園網絡分為四個區：教學區、辦公區、圖書館、家屬樓、學生宿舍、服務器組。教學區主要有各個教學樓、計算機機房、實驗室、語音室等；辦公區主要有各行政辦公樓、電子備課室；圖書館主要有電子閱覽室、圖書管理中心等。根據學校建筑物的分布，目前校園網絡拓撲結構成星形，即可中心交換機為核心，向其他大樓輻射，建筑物之間使用多模光線連接。同時，建筑物內部也采用星形布局，每幢建筑只需要有一個設備間，統一放置設備。首先在外網與內網之間安裝好路由器，通過中心交換機把整個校園網分為四大部分；服務器群、辦公區、教學區、住宅區、圖書館。其中，在服務器群、中心交換機與路由器之間架設防火墻和入侵監測系統。/r/n另外為了防止這個校區內病毒的傳播、感染和破壞，我們在校園網內可能感染和傳播病毒的地方采取相應的防毒措施，部署防毒組件，規劃如下：在學校服務上安裝服務器端殺毒軟件；在行政、教學單位的各個分支分別安裝客戶端殺毒軟件；學校的網絡中心負責整個校園網的升級工作，分發殺毒軟件的升級文件（包括病毒定義碼、掃描引擎、程序文件等）到校內所有用機，并對殺毒軟件網絡版進行更新。/r/nISA軟件防火墻的配置/r/n校園網內的軟件防火墻采用ISAServe，之所以采用防火墻，是因為ISAServer是一種新型的應用層防火墻，避免服務的弱點及漏洞的攻擊，同時支持VPN功能及充當Web代理服務器，并能提供詳細的日志報告。安裝示意圖如下所示/r/nISAServe出于防火墻的安全考慮，許多服務與端口已經停止，我們需要自己手動的打開相應的功能。/r/n基本配置/r/n通過ISAServe中的ISAManagement項中的Services標簽，啟動集成模式中的三個服務，就可以使用ISA的所有默認功能。同時須打開IPRouting功能、訪問權限功能、訪問策略功能、統一管理等。/r/n限制學校用機的上網/r/n首先要定義組，通過在ISAServer軟件防火墻的ClientAddressSets標簽中新建一個組名的標識，按照機房用機的IP地址范圍進行添加，在ProtocolRules中選中協議規則后切換到Appliesto標簽，選中ClientAddressSetsspecifiedbelow，加入設定的組即可。這樣就可以先知學校其他用機隨意上網。/r/n檢測外部攻擊及入侵/r/n可以通過配置ISAServer來監測常見的校園網絡攻擊。在ISAServe中啟用入侵檢測后，ISAServer一檢測到攻擊，就會向Windows2000事件日志中發消息。要啟用ISAServer的入侵檢測功能，應在ISAServer管理窗口中選擇服務器名稱中的IPPacketFiltersProperties選項，/r/n勾選EnableIntrusiondetection，即打開ISAServer的入侵檢查功能。/r/n（4）校園網信息過濾配置/r/n校園網中擬采用/r/n“/r/n過濾王/r/n”/r/n來實現有效的過濾反動、色情、邪教等有害校園氛圍的信息，硬件配置包括一個讀卡器、一張軟件光盤和若干上網卡。/r/n“/r/n過濾王/r/n”/r/n主要負責監控、過濾、記錄相應的日志（加密）并適時向網絡中心上傳數據。在軟件管理終端，管理員選擇/r/n“/r/n類別/r/n”/r/n和/r/n“/r/n記錄日期/r/n”/r/n，點擊/r/n“/r/n查看按鈕/r/n”/r/n，就可以查看網絡日志和操作日志，此外，安裝/r/n“/r/n過濾王/r/n”/r/n軟件終端程序包括核心和控制臺兩部分，核心程序安裝在中心交換機以及學校機房的代理服務器上，在監控的網卡列表中選測內網網卡，進行通信的網卡也指定為內網網卡即可。將控制臺程序安裝在服務器機房上的應用服務器上，操作系統安裝為Win2000。安裝完成后，控制臺程序所在的服務器IP地址就是安裝核心程序的中心交換機IP。/r/n網絡流量的監控/r/nSTARVIEW在網絡初步異常的情況下，能進一步查看網絡中的詳細流量，從而為網絡故障的定位提供豐富數據支持。/r/n（6）/r/n、無線局域網安全技術/r/n通常網絡的安全性主要體現在訪問控制和數據加密兩個方面。訪問控制保證敏感數據只能由授權用戶進行訪問，而數據加密則保證發送的數據只能被所期望的用戶所接收和理解。/r/n下面對在無線局域網中常用的安全技術進行簡介。/r/n物理地址(MAC)過濾/r/n每個無線客戶端網卡都由唯一的48位物理地址(MAC)標識，可在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。這種方法的效率會隨著終端數目的增加而降低，而且非法用戶通過網絡偵聽就可獲得合法的MAC地址表，而MAC地址并不難修改，因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。/r/nMAC地址的過濾/r/n服務集標識符(SSID)匹配/r/n無線客戶端必須設置與無線訪問點AP相同的SSID，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務集上網。利用SSID設置，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題。可以通過設置隱藏接入點(AP)及SSID的權限控制來達到保密的目的，因此可以認為SSID是一個簡單的口令，通過提供口令認證機制，實現一定的安全。/r/n/r/n/r/n圖2服務集標識匹配/r/n在IEEE802.11中，定義了WEP來對無線傳送的數據進行加密，WEP的核心是采用的RC4算法。在標準中，加密密鑰長度有64位和128位兩種。其中有24Bit的IV是由系統產生的，需要在AP和Station上配置的密鑰就只有40位或104位。/r/n/r/nWEP加密原理圖如下：/r/n/r/n圖3WEP加密原理圖/r/n/r/n1、AP先產生一個IV，將其同密鑰串接(IV在前)作為WEPSeed，采用RC4算法生成和待加密數據等長(長度為MPDU長度加上ICV的長度)的密鑰序列；/r/n2、計算待加密的MPDU數據校驗值ICV，將其串接在MPDU之后；/r/n3、將上述兩步的結果按位異或生成加密數據；/r/n4、加密數據前面有四個字節，存放IV和KeyID，IV占前三個字節，KeyID在第四字節的高兩位，其余的位置0；如果使用Key-mappingKey，則KeyID為0，如果使用DefaultKey，則KeyID為密鑰索引(0-3其中之一)。/r/n端口訪問控制技術(IEEE802.1x)和可擴展認證協議(EAP)/r/nIEEE802.1x并不是專為WLAN設計的。它是一種基于端口的訪問控制技術。/r/n該技術也是用于無線局域網的一種增強網絡安全解決方案。當無線工作站STA與無線訪問點AP關聯后，是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過，則AP為STA打開這個邏輯端口，否則不允許用戶連接網絡。/r/n/r/n/r/n圖4802.1x端口控制/r/n/r/n在具有802.1x認證功能的無線網絡系統中，當一個WLAN用戶需要對網絡資源進行訪問之前必須先要完成以下的認證過程。/r/n1.當用戶有網絡連接需求時打開802.1x客戶端程序，輸入已經申請、登記過的用戶名和口令，發起連接請求。此時，客戶端程序將發出請求認證的報文給AP，開始啟動一次認證過程。/r/n2.AP收到請求認證的數據幀后，將發出一個請求幀要求用戶的客戶端程序將輸入的用戶名送上來。/r/n/r/n3.客戶端程序響應AP發出的請求，將用戶名信息通過數據幀送給AP。AP將客戶端送上來的數據幀經過封包處理后送給認證服務器進行處理。/r/n4.認證服務器收到AP轉發上來的用戶名信息后，將該信息與數據庫中的用戶名表相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給AP，由AP傳給客戶端程序。/r/n5.客戶端程序收到由AP傳來的加密字后，用該加密字對口令部分進行加密處理(此種加密算法通常是不可逆的)，并通過AP傳給認證服務器。/r/n6.認證服務器將送上來的加密后的口令信息和其自己經過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向AP發出打開端口的指令，允許用戶的業務流通過端口訪問網絡。否則，反饋認證失敗的消息，并保持AP端口的關閉狀態，只允許認證信息數據通過而