無線局域網(wǎng)的組建與安全設(shè)計

1、目 錄前 言 1第一章 組建無線局域網(wǎng)的準(zhǔn)備工作 41.1 現(xiàn)有設(shè)備統(tǒng)計 41.2 網(wǎng)絡(luò)接入方式 41.3 無線路由的安放位置 41.4 設(shè)備選購 51.5 無線局域網(wǎng)的使用情況預(yù)計。 6第二章 如何組建無線局域網(wǎng) 72.1 設(shè)備的連接 72.2 無線局域網(wǎng)的配置 82.2.1 配置上網(wǎng)的方式 102.2.2 配置DHCP服務(wù) 122.2.3 配置無線網(wǎng)路 132.2.3.1 使用何種無線標(biāo)準(zhǔn) 132.2.3.2 選擇加密方式與設(shè)置密碼 142.3 測試無線網(wǎng)絡(luò) 15第三章 無線局域網(wǎng)的安全配置 173.1 更改默認(rèn)配置 173.2 IP與MAC的相互綁定 183.3 防火墻 203.4 增強

2、無線路由的安全性 22第四章 日常維護(hù) 244.1 備份 244.2 密碼變更 254.3 無線網(wǎng)絡(luò)的優(yōu)與缺 254.4 設(shè)備維護(hù) 25個人體會 26參考文獻(xiàn) & 附錄 28摘 要通常計算機組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在某些場合要受到布線的限制：布線、改線工程量大；線路容易損壞；網(wǎng)中的各節(jié)點不可移動。特別是當(dāng)要把相離較遠(yuǎn)的節(jié)點聯(lián)接起來時，架設(shè)專用通信線路的布線施工難度大、費用高、耗時長,對正在迅速擴大的連網(wǎng)需求形成了嚴(yán)重的瓶頸阻塞。WLAN就是解決有線網(wǎng)絡(luò)以上問題而出現(xiàn)的， WLAN為Wireless LAN的簡稱，即無線局域網(wǎng)。無線局域網(wǎng)是利用無線技術(shù)

3、實現(xiàn)快速接入以太網(wǎng)的技術(shù)。與有線網(wǎng)絡(luò)相比，WLAN最主要的優(yōu)勢在于不需要布線，可以不受布線條件的限制。無線局域網(wǎng)與傳統(tǒng)有線局域網(wǎng)相比優(yōu)勢不言而喻，它可實現(xiàn)移動辦公、架設(shè)與維護(hù)更容易等。面對如此巨大的應(yīng)用與市場面前，無線局域網(wǎng)絡(luò)安全問題就顯得尤為重要。人們不禁要問：通過電波進(jìn)行數(shù)據(jù)傳輸?shù)臒o線局域網(wǎng)的安全性有保障嗎? 實際上，無線局域網(wǎng)比大多數(shù)有線局域網(wǎng)的安全性更高。一直以來，安全性問題在無線局域網(wǎng)設(shè)備開發(fā)及解決方案設(shè)計時，都得到了充分的重視。目前，無線局域網(wǎng)絡(luò)產(chǎn)品主要采用的是IEEE(美國電氣和電子工程師協(xié)會802.11b國際標(biāo)準(zhǔn)，大多應(yīng)用DSSS（Direct Sequence Spread

4、Spectrum，直接序列擴頻）通信技術(shù)進(jìn)行數(shù)據(jù)傳輸，該技術(shù)能有效防止數(shù)據(jù)在無線傳輸過程中丟失、干擾、信息阻塞及破壞等問題。802.11標(biāo)準(zhǔn)主要應(yīng)用三項安全技術(shù)來保障無線局域網(wǎng)數(shù)據(jù)傳輸?shù)陌踩?。第一項為SSID（Service Set Identifier）技術(shù)。該技術(shù)可以將一個無線局域網(wǎng)分為幾個需要不同身份驗證的子網(wǎng)絡(luò)，每一個子網(wǎng)絡(luò)都需要獨立的身份驗證，只有通過身份驗證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò)，防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò)；第二項為MAC（Media Access Control）技術(shù)。應(yīng)用這項技術(shù)，可在無線局域網(wǎng)的每一個接入點（Access Point）下設(shè)置一個許可接入的用戶的MAC地

5、址清單，MAC地址不在清單中的用戶，接入點（Access Point）將拒絕其接入請求；第三項為WEP（Wired Equivalent Privacy）加密技術(shù)。因為無線局域網(wǎng)絡(luò)是通過電波進(jìn)行數(shù)據(jù)傳輸?shù)模嬖陔姴ㄐ孤秾?dǎo)致數(shù)據(jù)被截聽的風(fēng)險。WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，以滿足用戶更高層次的網(wǎng)絡(luò)安全需求。關(guān)鍵詞： 無線局域網(wǎng)，WLAN，安全性AbstractComputer network transmission medium is usually rely mainly on copper or fiber to form a wired LAN. But the ca

6、ble network cabling in some cases be limited to: cabling, altered large projects; line easily damaged; each node in the network can not be moved. Especially when far away from the phase node should join up, set up dedicated communication line wiring construction difficult, costly, time-consuming, th

7、e needs of the rapidly expanding Internet has become a serious bottleneck congestion.WLAN over wired networks is the solution to problems, WLAN is short for Wireless LAN, that wireless LAN. Wireless LAN is the use of wireless technology for fast access to Ethernet technology. Compared with the wired

8、 network, WLAN does not require wiring the main advantage is, you can not wiring conditions.Wireless LAN with obvious advantages compared to traditional wired LAN, which enables mobile office, set up and maintenance easier and so on. Faced with such a huge market in front of the application, the wir

9、eless LAN security is particularly important. People ask: data transfer via radio WLAN security safe? In fact, the wireless LAN than most wired LAN security. All along, the security issues in the development of wireless LAN equipment and solutions for design, have been sufficient attention.At presen

10、t, wireless local area network products are mainly used in the IEEE (American Institute of Electrical and Electronics Engineers 802.11b international standards, most of the application of DSSS (Direct Sequence Spread Spectrum, Direct Sequence Spread Spectrum communication techniques for data transmi

11、ssion, the technology can effectively prevent data lost during wireless transmission, interference, obstruction and destruction of information issues. 802.11 standard three main application security technology to protect wireless LAN data transmission security.The first is SSID (Service Set Identifi

12、er technology. The technology can be a wireless local area network is divided into several different authentication needs of sub-networks, each sub-network requires a separate authentication, only authenticated users can access the corresponding sub-networks, to prevent unauthorized users access to

13、the network; the second for the MAC (Media Access Control technology. Application of this technology, each wireless LAN access point (Access Point to set up a license under the user's MAC address access list, MAC addresses not on the list of users, access point (Access Point to refuse access req

14、uest;The third is WEP (Wired Equivalent Privacy encryption technology. Because the wireless local area network for data transmission by radio waves, and there is data to be intercepted radio leak led to the risk. WEP security technology derived from the name of the RSA RC4 encryption technology to m

15、eet user demand for higher level of network security.Key word : Wireless LAN, WLAN, security前 言在這個“網(wǎng)絡(luò)就是計算機”的時代，伴隨著有線網(wǎng)絡(luò)的廣泛應(yīng)用，以快捷高效，組網(wǎng)靈活為優(yōu)勢的無線網(wǎng)絡(luò)技術(shù)也在飛速發(fā)展。無線局域網(wǎng)是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。從專業(yè)角度講，無線局域網(wǎng)利用了無線多址信道的一種有效方法來支持計算機之間的通信，并為通信的移動化、個性化和多媒體應(yīng)用提供了可能。通俗地說，無線局域網(wǎng)（Wireless local-area network，WLAN）就是在不采用傳統(tǒng)纜線的同時，提供

16、以太網(wǎng)或者令牌網(wǎng)絡(luò)的功能。 通常計算機組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在某些場合要受到布線的限制：布線、改線工程量大；線路容易損壞；網(wǎng)中的各節(jié)點不可移動。特別是當(dāng)要把相離較遠(yuǎn)的節(jié)點連接起來時，敷設(shè)專用通信線路的布線施工難度大、費用高、耗時長,對正在迅速擴大的聯(lián)網(wǎng)需求形成了嚴(yán)重的瓶頸阻塞。無線局域網(wǎng)就是解決有線網(wǎng)絡(luò)以上問題而出現(xiàn)的。另外在享受到家庭上網(wǎng)帶給我們的樂趣的同時，我們也了解到在網(wǎng)絡(luò)的背后還潛在著很多看不見的安全問題，例如家庭中計算機上的文件和其他數(shù)據(jù)安全么?會不會遭到黑客攻擊?還有網(wǎng)絡(luò)上的信息良莠不齊，精華與糟粕并存，怎么讓我的家人遠(yuǎn)離這些垃圾信息?也就是說

17、，如何打造一個安全、健康的家庭網(wǎng)絡(luò)成為每一個家庭上網(wǎng)的用戶所關(guān)心的問題。對于家庭中是無線上網(wǎng)的用戶，無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)更容易受到入侵，因為被攻擊端的電腦與攻擊端的電腦并不需要網(wǎng)線設(shè)備上的連接，他只要在你無線寬帶路由器或無線AP的有效范圍內(nèi)，就可以進(jìn)入你的內(nèi)部網(wǎng)絡(luò)，訪問你的資源。因此，為了讓每個家庭都能夠方便快捷地享受上網(wǎng)，而且不用考慮在網(wǎng)絡(luò)背后潛伏的安全問題，我們有必要組建一個既便捷又安全的無線局域網(wǎng)。第一章 組建無線局域網(wǎng)的準(zhǔn)備工作1.1 現(xiàn)有設(shè)備統(tǒng)計一個普通的3人家庭，現(xiàn)有2臺PC機，1臺Notebook，以及1個ADSL Modem。1.2 網(wǎng)絡(luò)接入方式這個家庭是的上網(wǎng)方式是中國電信AD

18、SL 2M 包月套餐。換句話說，就是以PPPoE協(xié)議來進(jìn)行撥號上網(wǎng)。1.3 無線路由的安放位置如圖，房屋的面積約為75，而且墻體的厚度不大，因此對無線信號的覆蓋和質(zhì)量的影響也不大，故決定將無線路由器安放在ADSL Modem附近。1.4 設(shè)備選購因為無線網(wǎng)絡(luò)的覆蓋范圍不大，所以設(shè)備的要求也相應(yīng)較低，一方面可以使組建變得簡單，另一方面也可以節(jié)省成本。要購買的設(shè)備有：無線路由器TP-LINK WR542G、無線網(wǎng)卡 TP-LINK TL-WN322G+、超五類網(wǎng)線 百通0.514。詳細(xì)設(shè)備參數(shù)如下：名稱圖片介紹單價數(shù)量無線路由器TP-LINK WR542G廣域網(wǎng)端口1個局域網(wǎng)端口4個支持協(xié)議：CS

19、MA/CA、CSMA/CD、TCP/IP、DHCP、ICMP、NAT、PPPoE無線標(biāo)準(zhǔn)IEEE 802.11b,IEEE 802.11g安全標(biāo)準(zhǔn)支持64/128/152位WEP加密；支持WPA、IEEE 802.1X、TKIP、AES等加密與安全機制覆蓋范圍：室內(nèi)最遠(yuǎn)200米，室外最遠(yuǎn)830米（因環(huán)境而異）190元1個無線網(wǎng)卡 TP-LINK TL-WN322G+主要參數(shù)：支持Windows 98,ME,2000,XP,64 bit XP,2003/提供64,128,256位WEP數(shù)據(jù)加密/支持WPA/WPA-PSK,WPA2/WPA2-PSK安全機制/具有模擬AP功能,支持PSP連接模式/

20、內(nèi)置智能天線支持協(xié)議：CSMA/CA with ACK無線標(biāo)準(zhǔn)：IEEE 802.11b,IEEE 802.11g接口類型：USB2.0接口覆蓋范圍：室內(nèi)最遠(yuǎn)100米、外最遠(yuǎn)300米(環(huán)境而異120元1個超五類網(wǎng)線 百通0.514規(guī)格:0.514，300米/箱1.5元/米4米總價316元1.5 無線局域網(wǎng)的使用情況預(yù)計。一個普通家庭，即使在搞派對的是時候，人數(shù)也只會在15人左右。所以將接入點的最大值定為20個，相信應(yīng)該足夠家庭使用了。而能夠使用無線網(wǎng)絡(luò)的設(shè)備，預(yù)計有這些：NoteBook（膝上電腦）、帶無線網(wǎng)卡的PC、PDA（個人數(shù)字助理）、手機（如N95）、掌上娛樂設(shè)備（如PSP、NDSL）

21、。第二章 如何組建無線局域網(wǎng)由于時間的關(guān)系，我已經(jīng)預(yù)先準(zhǔn)備好要用的設(shè)備了?，F(xiàn)在就讓我簡單地說說他們的用處。首先，要將無線路由和ADSL Modem 放在一齊；而無線網(wǎng)卡就拿到房間2，與該房的PC聯(lián)合使用；至于網(wǎng)線就要做2條，1條1m，1條3m。好了，簡要介紹到此為止，下面我們開始動手組建無線局域網(wǎng)。預(yù)計組建的無線局域網(wǎng)拓?fù)鋱D1：圖12.1 設(shè)備的連接（1）將ADSL Modem 與 TP-LINK WR542G分貝放好，并預(yù)留一定空間散熱，兩臺設(shè)備最好不要疊放。（2）ADSL Modem接上電話線，并用1m長的網(wǎng)線將 ADSL Modem的任一LAN端口與TP-LINK WR542G的WAN端

22、口相連。（3）用2m長的網(wǎng)線將TP-LINK WR542G的任一LAN端口與房間1里面的PC 100M網(wǎng)卡相連。（4）確認(rèn)所有線路都插好后接通電源，啟動房間1的PC、ADSL Modem和TP-LINK WR542G。2.2 無線局域網(wǎng)的配置當(dāng)所有設(shè)備都連接好并啟動之后，接下來就只剩配置了。其實配置一點都不難，不需要像cisco那些高級路由器一條條命令輸入。我想這就是SOHO式路由器的優(yōu)勢簡單、方便、快捷的配置系統(tǒng)Web管理系統(tǒng)。廢話不多說了，馬上進(jìn)行配置?？靹t5分鐘，慢的就半小時，配置就可以完成了。首先要登錄路由器。打開瀏覽器，在地址欄上輸入“192.168.1.1”。如圖2。圖2然后會有一

23、個登錄界面彈出，輸入用戶名和密碼“admin”，如圖3。之后就可以順利登錄到Web管理系統(tǒng)的頁面了。圖3如果人品問題不能登錄成功的話，給幾個建議：（1）檢查物理設(shè)備的連接情況；（2）在房間1的PC上使用Ping命令檢查連通性；（3）重新找再做一條超五類網(wǎng)線；（4）更換一線LAN的接口；（5）在路由器的背部有一個“reset”的小口，先按著它3秒，然后啟動路由器，把路由還原成出廠的設(shè)置。把這些都做了的話，應(yīng)該可以正常登錄的了；如果還不行，就去更換一個新的路由器好了。對了，插一段閑話你有沒有想過為什么路由器的默認(rèn)IP地址是“192.168.1.1”呢，為什么不是“172.16.X.X”呢，如果想知

24、道為什么，配置好之后看“個人體會”就會知道了。好了，言歸正道，當(dāng)你第一次成功登錄時，Web管理系統(tǒng)會默認(rèn)代開一個向?qū)С绦?，在那里幾步就可以將路由器配好。如果你沒有興趣將路由器配置得更好的話，你就按著向?qū)崾荆瑢⑾嚓P(guān)信息填好，然后“下一步、下一步”就行了，如圖4、5、6、7、8。下面的內(nèi)容也不用看好了。圖4圖5圖6圖7圖8這樣就把路由器基本配置好了，如果想更好的配置路由器，就請繼續(xù)看下去吧2.2.1 配置上網(wǎng)的方式如圖9，在WAN端口的頁面理，先選擇使用的協(xié)議，由于我們使用的是ADSL，所以我們選擇PPPoE協(xié)議（如果上網(wǎng)方式不同，則根據(jù)實際情況選擇），然后就將中國電信提供的帳號密碼，分別填到“

25、上網(wǎng)帳號”和“上網(wǎng)口令”，如圖10。之后把目光下移，就可以發(fā)現(xiàn)幾個選項，分別是“按需連接”、“自動連接”、“定時連接”、“手動連接”，如圖11。根據(jù)自己的上網(wǎng)情況，來決定選那個好了。這里我們選擇“自動連接”好了，包月就是方便，不用擔(dān)心上網(wǎng)超時，總能保持網(wǎng)絡(luò)連接。對了，相信大家都發(fā)現(xiàn)有3項叫“XX撥號模式”的選項，說實話，我也不是到那個干嗎的，反正我每項都試過，每項都很正常，網(wǎng)絡(luò)速度也沒有影響，所以這幾項隨便選就好了，不用太認(rèn)真考慮。圖9圖10圖11到這里，我們就完成了第一步，也是最基礎(chǔ)的一步了，這步也做不好的話就別上網(wǎng)好了。2.2.2 配置DHCP服務(wù)如圖12，來到DHCP服務(wù)的配置界面。按規(guī)

26、范來說，接入量只有20個的話，填一個C類的地址就足夠有余了。但是這只是家庭局域網(wǎng)，用這么講究嗎？只要是1254之間，填一些自己喜歡的數(shù)字在“地址池開始地址”與“地址池結(jié)束地址”里，填寫格式是“XXX.XXX.XXX.XXX”；至于“地址租期”的意思就是指在地址池的范圍里，每個被使用的IP的有效時間是多少。圖12另外，那些“網(wǎng)關(guān)”、“缺省域名”、“主DNS服務(wù)器”、“備有DNS服務(wù)器”，家庭ADSL用戶是根本不用理的，因為那些東西都是由中國電信的服務(wù)器提供。2.2.3 配置無線網(wǎng)路到這里，一個最普通的局域網(wǎng)算是完成了，只要用網(wǎng)線連接到路由器里，PC就可以上網(wǎng)了。但是這些都只是前奏而已，真正的核心

27、還在后面吖2.2.3.1 使用何種無線標(biāo)準(zhǔn)如圖13，在無線網(wǎng)絡(luò)的頁面了。首先我們要選擇無線網(wǎng)絡(luò)要應(yīng)用的標(biāo)準(zhǔn)，也就是模式那里。在此說明一下，由于設(shè)備的問題，這里只能在802.11b和802.11g這兩種標(biāo)準(zhǔn)，其實常用的標(biāo)準(zhǔn)還有802.11a和802.11n兩種 ，它們都是IEEE所訂立的標(biāo)準(zhǔn)。在這里我們選802.11g，如圖14。為什么選它呢？請看“個人體會”。圖13圖14接著，下面有兩個選項，如圖15。一個是無線功能開啟的開關(guān)，這個一定要選上，不選的話如下的組建就邊的沒有意義了；另外一個就是是否廣播SSID信息，我們也把這個選上，至于為什么，還是那句好了“請看個人體會”吧圖152.2.3.2

28、選擇加密方式與設(shè)置密碼之后，就是安全設(shè)置了，如圖16。對了，問一下各位“你為人慷慨大方，而且對網(wǎng)絡(luò)速度要求不高，再加上對自己的電腦安全有絕對的自信嗎？”如果YES，那就跳到下一節(jié)吧。為了避免因為完全開放無線網(wǎng)絡(luò)在空氣中，從而帶來不必要損失的危機，安全設(shè)置是必須的。這里只需要選擇無線網(wǎng)絡(luò)的加密類型、密鑰的格式就可以給你一個較安全的無線網(wǎng)絡(luò)了。另外為了達(dá)到方便而且安全的目的，我們就選擇最簡單的WEP好了，密鑰的格式是64位。補充一下，16進(jìn)制與ASCII制在不同數(shù)位上，對密碼的長度要求是不同的，詳細(xì)要求如何，看圖16就會清楚了。圖16到此為止把一切都設(shè)置好之后，將設(shè)置保存一下，無線網(wǎng)絡(luò)就算基本配置

29、好了?，F(xiàn)在就可以用Notebook來測試一下了。不過，回過頭一想，應(yīng)該會有這樣的疑問吧“為什么要選擇最簡單的WEP呢？”還是老規(guī)矩請看個人體會吧。對了，假如你同時搜索到多個無線網(wǎng)絡(luò)，那怎樣才能識別那個是自家用的呢？還記得無線網(wǎng)絡(luò)設(shè)置那里不是有一個SSID的欄目嗎，就在那里為自家用的無線網(wǎng)絡(luò)改個容易識別的名字吧，但是不能用中文字體哦另外，還有信道的問題，其實不用刻意去選一個的，因為選擇信道只是為了避免信號的重疊，影響信號的質(zhì)量。但是現(xiàn)在只不過是家庭內(nèi)使用，覆蓋范圍不大，所以讓它默認(rèn)就好。2.3 測試無線網(wǎng)絡(luò)下面，我們就看看無線網(wǎng)絡(luò)的連接測試情況吧，如圖17、18、19、20。我已經(jīng)預(yù)先把路由設(shè)好

30、了，SSID是Fox-Basaka，選用WEP，16進(jìn)制64位密鑰，IP地址范圍在“198.6.7.30254”，IP地址范圍只要符合規(guī)則就行，我就用了自己的生日來作地址段的開頭了。圖17圖18 圖19看，順利地在路由器里的DHCP服務(wù)中得到了IP地址，也成功接受到SSID，當(dāng)然也順利地在多個無線網(wǎng)絡(luò)中找到自家用的無線網(wǎng)絡(luò)，一句到未，測試成功！對了，如果日后無線網(wǎng)絡(luò)的驗證密碼變更的話，客戶端可以在圖17中的“更改首選網(wǎng)絡(luò)的順序”中，然后對已變更的無線網(wǎng)絡(luò)進(jìn)行編輯，從而更換驗證密碼，如圖20。圖20第三章 無線局域網(wǎng)的安全配置你對網(wǎng)絡(luò)質(zhì)量有要求嗎？想在有限的設(shè)備下改善網(wǎng)絡(luò)嗎？想更好地管理無線局域

31、網(wǎng)嗎？現(xiàn)在就來看看如何進(jìn)行優(yōu)化無線局域網(wǎng)吧！3.1 更改默認(rèn)配置為什么要改默認(rèn)配置呢？道理很簡單，就是因為它是默認(rèn)。凡是默認(rèn)的東西，就意味著差不多每個人都知道，也就是每個進(jìn)入局域網(wǎng)的用戶，都有可能進(jìn)入路由器隨意修改。我們不用去想這樣會對你的局域網(wǎng)帶來何種危機，光是想到有限的帶寬被人莫名其妙地占據(jù)一部分，這樣多少也會感到不爽吧。你想這樣的網(wǎng)絡(luò)會穩(wěn)定嗎，你想要這樣的網(wǎng)絡(luò)嗎？所以還是建議改改默認(rèn)的設(shè)置吧。方法也很簡單，只要到Web管理系統(tǒng)里面，將LAN端口設(shè)置、登錄口令這兩個地方改改就好了，如圖21、22。圖21圖223.2 IP與MAC的相互綁定綁了網(wǎng)絡(luò)就會更穩(wěn)定，綁了就可以減少遭受ARP攻擊之苦

32、，我這樣說會有理由不做嗎？方法可能有點麻煩，因為IP綁MAC與MAC綁IP的步驟有點不同。不過前提條件都是一樣的，就是要得到要進(jìn)行綁定的MAC地址。如果是PC、NoteBook這類可以使用“ipconfig”這類命令行的設(shè)備還好，要是不能使用的設(shè)備（如PSP、手機等）該怎辦呢，告訴你一個辦法吧，可以查看DHCP服務(wù)的客戶端列表，就如圖23，這樣就一目了然了。圖23看，這樣前期工作就完成了。接下來我們就開始綁定的步驟。先是IP綁MAC吧，到DHCP服務(wù)的“靜態(tài)地址分配”，如圖24。圖24然后選擇“添加新條目”，如圖25。圖25把要綁定的MAC和IP填入之后保存即可添加成功。下一步就反過來，將MA

33、C綁IP，這次我們要到“靜態(tài)ARP綁定設(shè)置”，如圖26.圖26然后就像IP綁MAC那樣，點擊“增加單個條目”，如圖27。圖27如果操作正確的話就會在“ARP映射表”中，看到剛才設(shè)置的信息，如圖28。圖28到此為止，IP與MAC的相互綁定就完成了，相信經(jīng)過這樣配置之后，無線局域網(wǎng)的穩(wěn)定性和安全性都會有一定程度的提高。3.3 防火墻由于設(shè)備的原因，直接影響著防火墻的性能。但是對以普通家庭來說，這種程度的防御也是足夠的。我先來介紹一下路由器的防火墻性能好了。它的主要功能有3個“IP地址過濾”、“域名過濾”和“MAC地址過濾”。先從“IP地址過濾”開始吧，在配置界面上點擊“添加新條目”，如圖29。圖2

34、9然后就是設(shè)定過濾的生效時間；局域網(wǎng)的IP地址以及端口過濾范圍；在廣域網(wǎng)上的某些地址端口的過濾；還有就協(xié)議的過濾，如圖30。但是要警告的是，如果這里設(shè)置不當(dāng)?shù)脑?，有可能會影響某些IP范圍的正常訪問，所以沒有一定網(wǎng)絡(luò)基礎(chǔ)的人不要隨便設(shè)定。圖30接下來這個配置就相對簡單很多，那就是“域名過濾”，如圖31。在這里，我們只需要知道要進(jìn)行過濾的域名地址，然后填寫到相應(yīng)的位置就行了，如圖32。不用理會IP地址是什么，最適合用來阻止瀏覽一些不良網(wǎng)站。圖31圖32最后就是介紹“MAC地址過濾”，顧名思義就是對列表中的MAC地址進(jìn)行過濾操作，而且過濾只有允許訪問Internet和禁止訪問Internet兩個，如

35、圖33。這樣就可以有效防止非法盜鏈的現(xiàn)象，因為即使你攻破了驗證密碼，得到了IP地址，但是沒有符合過濾條件，路由器都一律禁止訪問Internet，這樣一刀切的方法真是簡單方便快捷有效吖！圖333.4 增強無線路由的安全性說到這里其實已經(jīng)沒有什么可以說的了，因為前面那些防火墻、IP與MAC的相互綁定、更改默認(rèn)配置、選擇加密方式以及密鑰的長度，這些都可以算是增強無線路由的安全性的一部分。但是這一切都是建立于管理權(quán)的唯一性上面。如果管理權(quán)不唯一，那么誰都可以修改配置，那配置還有嗎？光改密碼還是不夠的，要將唯一進(jìn)行到底的話就要連管理的設(shè)備也要唯一，也就是說關(guān)閉遠(yuǎn)程管理功能，要管理路由器的，就必須同果網(wǎng)線

36、來配置。因此，我們就要改改，如圖34，將端口改變，而地址就不改，這樣要登錄路由器的話，就必須加上端口號，而且必須是局域網(wǎng)內(nèi)的設(shè)備才行。圖34好了好了，來到這里配置應(yīng)該告一段落了，相信這種程度的配置，雖然不能說是最好最安全，但是我相信足夠保障局域網(wǎng)安全穩(wěn)定的，因為我深信沒有人會花費大量的時間，從外部破解一個已經(jīng)加密，而且已經(jīng)盡可能做好安全配置的無線局域網(wǎng)吧。第四章 日常維護(hù)終于到了最后一章了，到了這里首先恭喜你，因為你應(yīng)該已經(jīng)成功組建了一個安全的無線局域網(wǎng)了，接下來要做的就是定期對路由器等設(shè)備進(jìn)行維護(hù)而已，不要小看日常維護(hù)的重要性吖，它可以令你在遭到毀滅性攻擊后，將損失降到最低吖。4.1 備份這

37、個是最簡單，只要在圖35那里按一下“備份配置文件”，之后就會彈出一個備份程序，只要選擇好路徑就可以了，如圖36。之后如果要恢復(fù)設(shè)置，直接選擇備份好的文件后，點擊“載入配置文件”就行了。圖35圖364.2 密碼變更養(yǎng)成定期更換密碼的習(xí)慣，可以有效保障網(wǎng)絡(luò)的安全。至于是改登錄路由器的登錄口令，還是無線網(wǎng)絡(luò)的驗證密碼呢？這個就自己決定好了。4.3 無線網(wǎng)絡(luò)的優(yōu)與缺來一個賽后檢討先。經(jīng)過了上述一系列的配置之后，可以說該做的可以做的事都做了，但是基于硬件的局限，無線局域網(wǎng)還是不夠完美的。先從優(yōu)點開始，這次組建的無線局域網(wǎng)，不僅組建簡單，而且管理也比較方便；另外，還能夠很好的防止非法盜鏈無線網(wǎng)絡(luò)；對于家長

38、來說，一定程度的網(wǎng)絡(luò)監(jiān)控，有助于防止瀏覽一些不良網(wǎng)站。至于缺點就是防毒防攻擊的性能不強，尤其是對與來至局域網(wǎng)內(nèi)部的攻擊，所以要將防御的工作落實到每一個客戶端設(shè)備上面。4.4 設(shè)備維護(hù)這里的設(shè)備維護(hù)不單單是指路由器的維護(hù)，而是全網(wǎng)絡(luò)的維護(hù)。剛才也說，這個無線局域網(wǎng)的最大缺點就是對來自局域網(wǎng)內(nèi)部攻擊的防御缺陷，因此除了必要的路由器安全設(shè)置外，客戶端設(shè)備也要就行維護(hù)。就好像定期對操作系統(tǒng)的更新，防病毒軟件的升級，對系統(tǒng)優(yōu)化配置，定期查殺病毒等，這些工作都可以有效減少局域網(wǎng)內(nèi)部攻擊的發(fā)生。對了，如果有一定基礎(chǔ)的話，當(dāng)感覺網(wǎng)絡(luò)質(zhì)量突然嚴(yán)重下降的話，可以查看一下進(jìn)程，可能會有以外的“收獲”哦。個人體會總算

39、把無線局域網(wǎng)組建起來了?？偟膩碚f，組建還真的方便快捷簡單，只是連連網(wǎng)線，點幾下鼠標(biāo)，填一些信息就完成了。但是如果真的要把無線局域網(wǎng)變得更安全，就的確要下一點功夫才行。對了，還記得前面我插入的那些閑話嗎？其實那些是我在組建過程中的突發(fā)奇想來的，在組建完成后，我不斷地想著那些問題，到底答案是什么呢？最后經(jīng)過自己在網(wǎng)上搜索以及聽一些權(quán)威人士的講解，終于找到了自己滿意的答案了，下面就由我來說說吧。首先，就是為什么絕大多數(shù)的路由器默認(rèn)的IP地址都是“192.168.1.1”呢？據(jù)我了解，“192.168.1.1”是C類內(nèi)部私有地址，是免費使用的IP地址段。另外私有地址有A、B、C三類，它們的范圍分別是“

40、A類 10.0.0.010.255.255.255”、“B類 172.16.0.0172.31.255.255”、“C類 192.168.0.0192.168.255.255”。既然這樣，那為什么一定要默認(rèn)地址選用C類的呢，而不用A類或者B類呢？這個問題，相信會有很多人答不上或者說“人家喜歡！”真的是這樣回事嗎？為此，我請教了一些CCIE，答案終于出來了。原來這是與路由器的啟動速度有關(guān)的。因為路由器每次啟動都會接受同一網(wǎng)段內(nèi)所有廣播信息，想一下A類B類網(wǎng)段的IP地址數(shù)量有多大，就可以想象到路由器啟動時要處理的信息量是多少了。因此，為了減少路由器的負(fù)擔(dān)，從而選擇C類地址。這就是我找到的答案，還算

41、滿意吧。對了，在找答案的時候，我又聽到一個未經(jīng)證實但又有幾分可信的答案，就讓我再說說吧。大家都知道IPV4的地址是有限的，如今就所剩無幾，但是地址的需求還是很大，故一些廠商就向IANA（互聯(lián)網(wǎng)編號分配機構(gòu)，Internet Assigned Numbers Authority）提出申請，將A類B類也開放注冊，并承諾每年投放多少千億美金作為IP使用權(quán)費用以及IPV6研究經(jīng)費，因此，能免費的地址就只剩C類了。倘若有廠家要使用A類B類地址作為某產(chǎn)品的默認(rèn)地址的話，就要向IANA一次性上繳0.001美元/臺的作為租用費，雖然費用不多，只是0.001美元/臺，但是廠家生產(chǎn)的

42、設(shè)備不只一臺吖，小數(shù)怕長計，所以絕大部分廠家都使用免費的C類地址。怎么樣，這個答案有趣吧，可惜還沒有官方的證實吖。接下來，我們來想想為什么要用802.11g標(biāo)準(zhǔn)，而不使用802.11b標(biāo)準(zhǔn)呢？還有它們與同系列的標(biāo)準(zhǔn)區(qū)別在那呢？詳細(xì)的對比資料，請參考附錄1。由于802.11a受到了自身的缺點（如傳輸距離短，容易被吸收等），加上部分地區(qū)的限制，使它得不到普及；隨之而來的是802.11b的性能卓越，限制條件也較少，因而得到廣泛的應(yīng)用；而802.11g更是802.11b的升級，最大特點就是全面兼容使用802.11b設(shè)備，加上我們選購的設(shè)備也只支持802.11b和802.11g兩種標(biāo)準(zhǔn)，為了能夠更好地支

43、持設(shè)備，所以選擇使用802.11g標(biāo)準(zhǔn)。最后，就讓我來說說為什么要允許SSID廣播吧。其實理由很簡單，就是為了日后使用方便，古語說的好“針，沒有兩頭鋒利”,代價就是減少了一條安全防線。其實SSID廣播的功能，就是給網(wǎng)絡(luò)取名，用于標(biāo)識在有多個無線網(wǎng)絡(luò)時，能夠找到自家用的無線網(wǎng)絡(luò)。倘若把SSID廣播的功能關(guān)閉，安全性的確會提高，因為搜索網(wǎng)絡(luò)時，自家用的會表示為隱性WLAN，而每次登錄時都要將SSID號輸入一次，然后再按正常程序進(jìn)入。但是這只是在當(dāng)前只搜索到一個隱性WLAN前提下，如果同時搜索到多個或者全部都是的話，你就要逐個去試，這樣使用起來就會變得不靈活、不方便了。所以將這一條安全防線放棄，而換

44、來方便快捷的使用還是值得的。寧愿在防火墻方面下多一點苦功，將MAC地址過濾、IP地址過濾、域名過濾三者都配置好，使用好。這樣總比加多一條麻煩的防線要好吧，我就這樣認(rèn)為了，你呢？到此為止，整編無線局域網(wǎng)的組建與完全設(shè)計組建安全的無線局域網(wǎng)就到此結(jié)束，希望你能順利組建好屬于自己的無線局域網(wǎng)，還有享受組建的過程，研究組建時遇到的問題。參考文獻(xiàn) & 附錄參考文獻(xiàn)1家庭無線網(wǎng)絡(luò) 保證安全七點小技巧Z 現(xiàn)在，多數(shù)家庭通過組建無線網(wǎng)絡(luò)來訪問因特網(wǎng)已經(jīng)成為一個趨勢。然而又有多少人知道在這個趨勢的背后隱藏著許許多多的網(wǎng)絡(luò)安全問題。原則上，無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)更容易受到入侵，因為被攻擊端的電腦與攻擊端的電腦

45、并不需要網(wǎng)線設(shè)備上的連接，他只要在你無線路由器或中繼器的有效范圍內(nèi)，就可以進(jìn)入你的內(nèi)部網(wǎng)絡(luò)，訪問的的資源，如果你在內(nèi)部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)并未加密的話，更有可能被人家窺探你的數(shù)據(jù)隱私。此外，無線網(wǎng)絡(luò)就其發(fā)展的歷史來講，遠(yuǎn)不如有線網(wǎng)絡(luò)長，其安全理論和解決方案遠(yuǎn)不夠完善。所有的這些都講導(dǎo)致無線網(wǎng)絡(luò)的安全性教有線網(wǎng)絡(luò)差。在這篇文章里，讓我來告訴你如何通過一些安全措施來讓你的無線網(wǎng)絡(luò)變的更安全、更可靠。 1.修改用戶名和密碼(不使用默認(rèn)的用戶名和密碼一般的家庭無線網(wǎng)絡(luò)都是通過通過一個無線路由器或中繼器來訪問外部網(wǎng)絡(luò)。通常這些路由器或中繼器設(shè)備制造商為了便于用戶設(shè)置這些設(shè)備建立起無線網(wǎng)絡(luò)，都提供了一個管理頁面

46、工具。這個頁面工具可以用來設(shè)置該設(shè)備的網(wǎng)絡(luò)地址以及帳號等信息。為了保證只有設(shè)備擁有者才能使用這個管理頁面工具，該設(shè)備通常也設(shè)有登陸界面，只有輸入正確的用戶名和密碼的用戶才能進(jìn)入管理頁面。然而在設(shè)備出售時，制造商給每一個型號的設(shè)備提供的默認(rèn)用戶名和密碼都是一樣，不幸的是，很多家庭用戶購買這些設(shè)備回來之后，都不會去修改設(shè)備的默認(rèn)的用戶名和密碼。這就使得黑客們有機可乘。他們只要通過簡單的掃描工具很容易就能找出這些設(shè)備的地址并嘗試用默認(rèn)的用戶名和密碼去登陸管理頁面，如果成功則立即取得該路由器/交換機的控制權(quán)。2.使用加密所有的無線網(wǎng)絡(luò)都提供某些形式的加密。之前我跟大家提過，攻擊端電腦只要在無線路由器/

47、中繼器的有效范圍內(nèi)的話，那么它很大機會訪問到該無線網(wǎng)絡(luò)，一旦它能訪問該內(nèi)部網(wǎng)絡(luò)時，該網(wǎng)絡(luò)中所有是傳輸?shù)臄?shù)據(jù)對他來說都是透明的。如果這些數(shù)據(jù)都沒經(jīng)過加密的話，黑客就可以通過一些數(shù)據(jù)包嗅探工具來抓包、分析并窺探到其中的隱私。開啟你的無線網(wǎng)絡(luò)加密，這樣即使你在無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)被截取了也沒辦法(或者是說沒那么容易被解讀。目前，無線網(wǎng)絡(luò)中已經(jīng)存在好幾種加密技術(shù)。通常我們選用能力最強的那種加密技術(shù)。此外要注意的是，如果你的網(wǎng)絡(luò)中同時存在多個無線網(wǎng)絡(luò)設(shè)備的話，這些設(shè)備的加密技術(shù)應(yīng)該選取同一個。3.修改默認(rèn)的服務(wù)區(qū)標(biāo)識符(SSID通常每個無線網(wǎng)絡(luò)都有一個服務(wù)區(qū)標(biāo)識符(SSID，無線客戶端需要加入該網(wǎng)絡(luò)的時

48、候需要有一個相同的SSID，否則將被“拒之門外”。通常路由器/中繼器設(shè)備制造商都在他們的產(chǎn)品中設(shè)了一個默認(rèn)的相同的SSID。例如linksys設(shè)備的SSID通常是“l(fā)inksys”。如果一個網(wǎng)絡(luò)，不為其指定一個SSID或者只使用默認(rèn)SSID的話，那么任何無線客戶端都可以進(jìn)入該網(wǎng)絡(luò)。無疑這為黑客的入侵網(wǎng)絡(luò)打開了方便之門。4.禁止SSID廣播在無線網(wǎng)絡(luò)中，各路由設(shè)備有個很重要的功能，那就是服務(wù)區(qū)標(biāo)識符廣播，即SSID廣播。最初，這個功能主要是為那些無線網(wǎng)絡(luò)客戶端流動量特別大的商業(yè)無線網(wǎng)絡(luò)而設(shè)計的。開啟了SSID廣播的無線網(wǎng)絡(luò)，其路由設(shè)備會自動向其有效范圍內(nèi)的無線網(wǎng)絡(luò)客戶端廣播自己的SSID號，無線

49、網(wǎng)絡(luò)客戶端接收到這個SSID號后，利用這個SSID號才可以使用這個網(wǎng)絡(luò)。但是，這個功能卻存在極大的安全隱患，就好象它自動地為想進(jìn)入該網(wǎng)絡(luò)的黑客打開了門戶。在商業(yè)網(wǎng)絡(luò)里，由于為了滿足經(jīng)常變動的無線網(wǎng)絡(luò)接入端，必定要犧牲安全性來開啟這項功能，但是作為家庭無線網(wǎng)絡(luò)來講，網(wǎng)絡(luò)成員相對固定，所以沒必要開啟這項功能。5.設(shè)置MAC地址過濾眾所周知，基本上每一個網(wǎng)絡(luò)接點設(shè)備都有一個獨一無二的標(biāo)識稱之為物理地址或MAC地址，當(dāng)然無線網(wǎng)絡(luò)設(shè)備也不例外。所有路由器/中繼器等路由設(shè)備都會跟蹤所有經(jīng)過他們的數(shù)據(jù)包源MAC地址。通常，許多這類設(shè)備都提供對MAC地址的操作，這樣我們可以通過建立我們自己的準(zhǔn)通過MAC地址列

50、表，來防止非法設(shè)備(主機等接入網(wǎng)絡(luò)。但是值得一提的是，該方法并不是絕對的有效的，因為我們很容易修改自己電腦網(wǎng)卡的MAC地址，筆者就有一篇文章專門介紹如何修改MAC地址的。6.為你的網(wǎng)絡(luò)設(shè)備分配靜態(tài)IP由于DHCP服務(wù)越來越容易建立，很多家庭無線網(wǎng)絡(luò)都使用DHCP服務(wù)來為網(wǎng)絡(luò)中的客戶端動態(tài)分配IP。這導(dǎo)致了另外一個安全隱患，那就是接入網(wǎng)絡(luò)的攻擊端很容易就通過DHCP服務(wù)來得到一個合法的IP。然而在成員很固定的家庭網(wǎng)絡(luò)中，我們可以通過為網(wǎng)絡(luò)成員設(shè)備分配固定的IP地址，然后再再路由器上設(shè)定允許接入設(shè)備IP地址列表，從而可以有效地防止非法入侵，保護(hù)你的網(wǎng)絡(luò)。7.確定位置，隱藏好你的路由器或中繼器大家都

51、知道，無線網(wǎng)絡(luò)路由器或中繼器等設(shè)備，都是通過無線電波的形式傳播數(shù)據(jù)，而且數(shù)據(jù)傳播都有一個有效的范圍。當(dāng)你的設(shè)備覆蓋范圍，遠(yuǎn)遠(yuǎn)超出你家的范圍之外的話，那么你就需要考慮一下你的網(wǎng)絡(luò)安全性了，因為這樣的話，黑客可能很容易再你家外登陸到你的家庭無線網(wǎng)絡(luò)。此外，如果你的鄰居也使用了無線網(wǎng)絡(luò)，那么你還需要考慮一下你的路由器或中繼器的覆蓋范圍是否會與鄰居的相重疊，如果重疊的話就會引起沖突，影響你的網(wǎng)絡(luò)傳輸，一旦發(fā)生這種情況，你就需要為你的路由器或中繼器設(shè)置一個不同于鄰居網(wǎng)絡(luò)的頻段(也稱Channel。根據(jù)你自己的家庭，選擇好合適有效范圍的路由器或中繼器，并選擇好其安放的位置，一般來講，安置再家庭最中間的位置

52、是最合適的。參考文獻(xiàn)2無線局域網(wǎng)是如何進(jìn)行安全防護(hù)Z近來，無線局域網(wǎng)發(fā)展的勢頭越來越猛，它接入速率高，組網(wǎng)靈活，在傳輸移動數(shù)據(jù)方面尤其具有得天獨厚的優(yōu)勢。但是，隨著無線局域網(wǎng)應(yīng)用領(lǐng)域的不斷拓展，其安全問題也越來越受到重視。在有線網(wǎng)絡(luò)中，您可以清楚辨別哪臺電腦連接在網(wǎng)線上。無線網(wǎng)絡(luò)與此不同，理論上無線電波范圍內(nèi)的任何一臺電腦都可以監(jiān)聽并登錄無線網(wǎng)絡(luò)。如果企業(yè)內(nèi)部網(wǎng)絡(luò)的安全措施不夠嚴(yán)密，則完全有可能被竊聽、瀏覽甚至操作電子郵件。為了使授權(quán)電腦可以訪問網(wǎng)絡(luò)而非法用戶無法截取網(wǎng)絡(luò)通信，無線網(wǎng)絡(luò)安全就顯得至關(guān)重要。 兩大基本安全防護(hù)手段 在這個道高一尺，魔高一丈的環(huán)境里，怎樣保衛(wèi)這些數(shù)據(jù)的安全？致力于無

53、線局域網(wǎng) 發(fā)展的各廠家及國際 聯(lián)盟都紛紛提出新的方法來加固無線局域網(wǎng)，以使其廣泛應(yīng)用。年 月日， 通過了 基于 卡認(rèn)證和 加密的方法為無線局域網(wǎng)提供了安全保障，使得無線局域網(wǎng)擁有了更為廣闊的應(yīng)用空間。 安全性主要包括訪問控制和加密兩大部分。訪問控制保證只有授權(quán)用戶能訪問敏感數(shù)據(jù)，加密保證只有正確的接收者才能理解數(shù)據(jù)。目前使用最廣泛的 標(biāo)準(zhǔn)提供了兩種手段來保證 的安全 服務(wù)配置標(biāo)示符和 無線加密協(xié)議。提供低級別的訪問控制，是可選的加密方案，它使用加密算法，一方面用于防止沒有正確的密鑰的非法用戶接入網(wǎng)絡(luò)，另一方面只允許具有正確的 密鑰的用戶對數(shù)據(jù)進(jìn)行加密和解密包括軟件手段和硬件手段。 另外，標(biāo)準(zhǔn)定

54、義了兩種身份驗證的方法：開放和共享密鑰。在缺省的開放式方法中，用戶即使沒有提供正確的 密鑰也能接入訪問點，共享式方法則需要用戶提供正確的密鑰才能通過身份驗證。 針對不同用戶的三種安全措施 很顯然，基本的安全手段只能提供基本的安全性。對于不同的用戶，有必要為他們提供不同級別的安全手段。 公司的技術(shù)顧問劉海艦指出，公司為其設(shè)備提供了種級別的安全措施。第一種是鏈路層的安全，也就是標(biāo)準(zhǔn)的 加密。第二種則是用戶身份驗證層次的安全，代表性做法是利用 。第三種是利用手段。劉海艦認(rèn)為，這三種級別的安全手段，適用于不同要求的用戶， 方法是最安全的。不過，在實際應(yīng)用中，目前用得最多的還是方式。 WEP 的缺陷和解決之道 加密是存在固有的缺陷的。由于它的密鑰固定，初始向量僅為 位，算法強度并不算高，于是有了安全漏洞。 的研究員最先發(fā)布了的解密程序，此后人們開始對質(zhì)疑，并進(jìn)一步地研究其漏洞。現(xiàn)在，市面上已經(jīng)出現(xiàn)了專門的破解加密的程序，其代表是和 。 英特爾公司通訊事業(yè)部趙偉明指出， 加密方式本身無問題，問題出在密鑰的傳遞過程中密鑰本身容易被截獲。為了解決這個