常见无💱线局域网设置【wǎng shè zhì】🛬安全的【ān quán de】几种隐患🏜，关注无【guān zhù wú】线局域网设置【wǎng shè zhì】🛬安全吗🍃?容易侵【róng yì qīn】入吗🚳?你的无线局域网设置【wǎng shè zhì】🛬安全是不是经常让你上网时掉线【diào xiàn】🐓，看看下面的文章🔇，一切问【yī qiē wèn】题都能解决【jiě jué】📝。

　　有线网🥙络一直以来都是家庭【shì jiā tíng】、企业用【yòng】🍃户经常🚘使用【yòng】🍃的网络【de wǎng luò】方式，但是随着无线【zhe wú xiàn】🆗网络的普及，有线网🥙络也渐渐的暴露出其【lù chū qí】不可避🤴免的弊端：布线【bù xiàn】⤵、改线工【gǎi xiàn gōng】🥪程量大;线路容🔜易损坏🏢;网中的【wǎng zhōng de】🌐各节点【gè jiē diǎn】不可移【bú kě yí】动。特别是【tè bié shì】当要把【dāng yào bǎ】相离较🍟远的节【yuǎn de jiē】🐙点联接起来时，架设专用通信【yòng tōng xìn】👿线路的布线【bù xiàn】⤵施工难度😹大、费用【yòng】🍃高、耗时长【hào shí zhǎng】,对正在【duì zhèng zài】迅速扩⛑大的连网需求形成了严重的瓶颈阻🌉塞。这时无🛺线网络就显示【jiù xiǎn shì】其优越性：可移动性、安装简【ān zhuāng jiǎn】单、高灵活【gāo líng huó】☝性和扩【xìng hé kuò】展能力，作为对传统有线网🥙络的延伸🕋，在许多特殊环🤛境中【zhōng】得🚪到了广【dào le guǎng】泛的应用【yòng】🍃。以前电影中经【yǐng zhōng jīng】常出现的在智能大厦🤙里任意地方移【dì fāng yí】💢动办公【dòng bàn gōng】，随时随地下载资料🏾、打印文🔠件的片♉断【duàn】，都出现【dōu chū xiàn】在我们【zài wǒ men】♋的现实生活当【shēng huó dāng】中【zhōng】。

　　但是在📢无线局【wú xiàn jú】域网的【yù wǎng de】安全性【ān quán xìng】🕶更值得我们去【wǒ men qù】注意。由于传送的数㊙据是利【jù shì lì】🔍用无线电波在空中辐【kōng zhōng fú】🐣射传播，无线电波可以【bō kě yǐ】😗穿透天花板、地板和墙壁🛄，发射的【fā shè de】🥓数据可能到达预期之外的【wài de】🦅、安装在不同楼【bú tóng lóu】层🗺、甚至是发射机所在的大楼之【dà lóu zhī】外的【wài de】接⬇收设备🌂，任何人都有条件窃听【jiàn qiè tīng】或干扰😁信息【xìn xī】，数据安全也就【quán yě jiù】成为最🤣重要的问题。

　　因此，我们在🚔一开始【yī kāi shǐ】应用无🕛线网络时🆔，就应该充分考虑其安全性😪，了解足🅿够多的【gòu duō de】防范措施，保护好我们自【wǒ men zì】己的网🐡络。下面🍐，我们就向大家【xiàng dà jiā】介绍一😾些无线局域网所面临【suǒ miàn lín】的危险【de wēi xiǎn】🔃，知道了【zhī dào le】📣解危险【jiě wēi xiǎn】如何存【rú hé cún】在，那么我们再去解决也🏴就相对【jiù xiàng duì】容易一【róng yì yī】些：

　　无线局域网设置安全：容易侵入

　　无线局【wú xiàn jú】域网非【yù wǎng fēi】✊常容易被发现【bèi fā xiàn】🔻，为了能够使用户发现【hù fā xiàn】无线网🎚络的存🐸在，网络必🐑须发送【xū fā sòng】有特定参数的信标帧【xìn biāo zhēn】🍊，这样就给攻击💃者提供了必要【le bì yào】的网络🐷信息【xìn xī】。入【rù】🍊侵者可以通过高灵敏度天🦆线从公【xiàn cóng gōng】路边、楼宇中【lóu yǔ zhōng】以及其📥他任何地方对网络发起攻击而不需要任何物理方【wù lǐ fāng】式的侵🕣入【rù】🍊。

　　无线局域网设置安全：非法的AP

　　无线局域网易于访问和配置【hé pèi zhì】🌵简单的特性，使网络【luò】🌎管理员和安全官员非【guān yuán fēi】🏡常头痛。因为任何人的计算机都可以🌀通过自🖖己购买【jǐ gòu mǎi】的AP，不经过授权而【shòu quán ér】连入网💩络【luò】。很多部门未通🐻过公司【guò gōng sī】💸IT中心授权就自建无线【jiàn wú xiàn】局域网，用户通🧒过非法【guò fēi fǎ】AP接入给【jiē rù gěi】网络带【wǎng luò dài】⛄来很大安全隐【ān quán yǐn】🎗患。

　　无线局域网设置安全：经授权使用服务

　　一半以【yī bàn yǐ】上的用户在使用AP时只是在其默【zài qí mò】认的配置基础😞上进行【shàng jìn háng】🐲很少的修改。几乎所有的【yǒu de】AP都按照【dōu àn zhào】默认配🈂置来开启WEP进行加🌵密或者🚁使用原厂提供【chǎng tí gòng】的默认密钥。由于无【yóu yú wú】线局域【xiàn jú yù】😡网的开放式访问方式😬，未经授➕权擅自⚡使用网【shǐ yòng wǎng】络资源💬不仅会增加带【zēng jiā dài】宽费用🛁，更可能【gèng kě néng】🌁会导致【dǎo zhì】法律纠💶纷【fēn】。而且未经授➕权的用户没有遵守服务【fú wù】📺提供商提出的【tí chū de】服务【fú wù】📺条款🌩，可能会💀导致【dǎo zhì】ISP中断服务【fú wù】📺。

　　无线局【wú xiàn jú】域网设🔝置安全【zhì ān quán】：服务和👽性能的限制

　　无线局🔟域网的【yù wǎng de】🖨传输带🌗宽是有【kuān shì yǒu】限的💽，由于物理层的开销，使无线局🔟域网的【yù wǎng de】🖨实际最高有效吞吐【tūn tǔ】🐦量仅为【liàng jǐn wéi】标准的【biāo zhǔn de】一半，并且该👋带宽是【dài kuān shì】被AP所有用户共享【hù gòng xiǎng】的。无线带💳宽可以🌍被几种方式吞噬【shì】🐛：来自有【lái zì yǒu】线网络远远超📖过无线【guò wú xiàn】网络带【wǎng luò dài】宽的网💗络流量【luò liú liàng】，如果攻🚛击者从快速以太网发【tài wǎng fā】🌦送大量的Ping流量【liú liàng】，就会轻【jiù huì qīng】易地吞🚝噬【shì】🐛AP有限的💽带宽;

　　如果发送广播【sòng guǎng bō】流量【liàng】，就会同【jiù huì tóng】时阻塞🌈多个AP;攻击者🎢可以在同无线网络相同的无【tóng de wú】线信道【xiàn xìn dào】内发送信号😀，这样被【zhè yàng bèi】攻击的🎯网络就【wǎng luò jiù】会通过CSMA/CA机制进行自动🚨适应🦌，同样影响无线【xiǎng wú xiàn】🏾网络的传输;另外🈴，传输较【chuán shū jiào】🔦大的数👕据文件或者复杂的【zá de】client/server系统都会产生【huì chǎn shēng】🗨很大的网络流量【liàng】。

　　无线局域网设【yù wǎng shè】置安全🆙：地址欺📙骗和会【piàn hé huì】话拦截

　　由于【yóu yú】802.11无线局【wú xiàn jú】💼域网对数据帧🌤不进行【bú jìn háng】认证操作，攻击者🔵可以通【kě yǐ tōng】过欺骗【guò qī piàn】帧去重🌪定向数🎃据流和【jù liú hé】使ARP表变得混乱【hún luàn】📀，通过非常简单🚅的方法【de fāng fǎ】，攻击者🔵可以轻👦易获得网络中站点的【zhàn diǎn de】🚌MAC地址🥩，这些地址🥩可以被用来恶【yòng lái è】意攻击时使用。

　　除攻击【chú gōng jī】🗞者通过欺骗帧【qī piàn zhēn】🌫进行攻🈶击外，攻击者【gōng jī zhě】⭐还可以通过截【tōng guò jié】🗡获会话【huò huì huà】帧发现【fā xiàn】AP中存在【zhōng cún zài】的认证【de rèn zhèng】🔅缺陷😈，通过监测【cè】AP发出的【fā chū de】广播帧发现【fā xiàn】AP的存在【de cún zài】。然而🙎，由于802.11没有要🌘求AP必须证明自己真是一👼个AP，攻击者【gōng jī zhě】⭐很容易装扮成AP进入网【jìn rù wǎng】络🏌，通过这➡样的AP，攻击者【gōng jī zhě】⭐可以进一步获取认证身份信息从而【xī cóng ér】进入网【jìn rù wǎng】络🏌。在没有【zài méi yǒu】采用👊802.11i对每一【duì měi yī】📄个802.11 MAC帧进行🗜认证的🌾技术前，通过会话拦截实现的【shí xiàn de】🚼网络🏌入侵是无法避免的【miǎn de】。

　　无线局【wú xiàn jú】域网设置安全【zhì ān quán】：流量分🌶析与流🎇量侦听

　　802.11无法防❤止攻击🥇者采用被动方式监听💂网络流量【liàng】，而任何无线网络分析【luò fèn xī】仪都可【yí dōu kě】以不受【yǐ bú shòu】任何阻🌞碍地截获未进【huò wèi jìn】🔐行加密【háng jiā mì】🙉的网络【de wǎng luò】流量【liàng】。目前【mù qián】，WEP有漏洞【yǒu lòu dòng】可以被🕜攻击者利用【lì yòng】，它仅能保护用📗户和网络通信的初始【de chū shǐ】数据，并且管理和控制帧是🈴不能被🥘WEP加密和认证的【rèn zhèng de】，这样就😅给攻击者以欺骗帧中【piàn zhēn zhōng】止网络🕟通信提👗供了机会。

　　早期【zǎo qī】，WEP非常容易被🕙Airsnort、WEPcrack一类的工具解【gōng jù jiě】密【mì】🕉，但后来很多厂🛶商发布【shāng fā bù】的固件可以避免这些已知的攻击【gōng jī】。作为防【zuò wéi fáng】护功能🕙的扩展🍖，最新的无线局域网产品的防🙍护功能🕙更进了【gèng jìn le】一步，利用密钥【mì yào】🌖管理协【guǎn lǐ xié】议实【yì shí】🍗现每15分钟更【fèn zhōng gèng】换一次WEP密钥【mì yào】🌖。即使最繁忙的👋网络也🛢不会在这么短💆的时间🏇内产生足够的【zú gòu de】数据证实攻击【shí gōng jī】者破获密钥【mì yào】🌖。

　　无线局域网设置安全：高级入侵

　　一旦攻击【jī】👐者进入无线🗨网络【wǎng luò】，它将成为进一👖步入侵【bù rù qīn】其他系【qí tā xì】统的起点【diǎn】。很多网🍫络都有【luò dōu yǒu】一套经过精心【guò jīng xīn】设置的安全设【ān quán shè】备作为网络的【wǎng luò de】外壳【wài ké】🖍，以防止非法攻击【jī】👐，但是在😀外壳保【wài ké bǎo】👉护的网【hù de wǎng】💇络内部【luò nèi bù】🏮确是非📱常的脆💎弱容易受到攻击【jī】👐的。无线网【wú xiàn wǎng】络可以通过简🐏单配置就可快速地接【sù dì jiē】入网络【wǎng luò】主干🥁，但这样会使网📙络暴露【luò bào lù】在攻击【jī】👐者面前。即使有【jí shǐ yǒu】一定边🕌界安全【jiè ān quán】设备的网络【wǎng luò】，同样也🥖会使网📙络暴露【luò bào lù】出来从而遭到攻击【jī】👐。

　　看到这【kàn dào zhè】些危险⏰的信号，你是不【nǐ shì bú】是在担心无线【xīn wú xiàn】🐸局域网🏰还能否【hái néng fǒu】使用呢?其实，你不用太担心，一切问【yī qiē wèn】题皆有🥃解决的【jiě jué de】😳办法。只要我🉐们按照📵正确的【zhèng què de】方法，进行正确的【zhèng què de】配置【zhì】📱，我们的【wǒ men de】网络还是很安全的🕖。

　　无线局域网设置安全：服务集标识符

　　(SSID)通过对【tōng guò duì】多个无【duō gè wú】🆓线接入点💲AP(AccessPoint)设置不【shè zhì bú】同的👔SSID，并要求无线工🏦作站出示正确【shì zhèng què】的👔SSID才能访问AP，这样就【zhè yàng jiù】🎇可以允许不同群组的👔用户接【yòng hù jiē】🚒入，并对资源访问的权限🐌进行区👲别限制【bié xiàn zhì】。因此可以认为SSID是一个简单的【jiǎn dān de】🌦口令【kǒu lìng】，从而提供一定♎的👔安全，但如果配置【pèi zhì】AP向外广【xiàng wài guǎng】播其🔗SSID，那么安【nà me ān】全程度【quán chéng dù】🍟还将下降。

　　由于一般情况🕡下【xià】，用户【yòng hù】📰自己配置【zhì】🐻客户📰端系统【duān xì tǒng】，所以很【suǒ yǐ hěn】多人都🛹知道该【zhī dào gāi】👧SSID，很容易共享给🥟非法用户【yòng hù】📰。目前有的厂家😼支持"任何【hé】(ANY)"SSID方式【fāng shì】🌿，只要无【zhī yào wú】线工作站在任🎽何【hé】AP范围内，客户📰端都会【duān dōu huì】自🥐动连接到AP，这将跳过SSID安全功能【néng】。

　　无线局域网设🐹置安全【zhì ān quán】：物理地🏂址过滤【zhǐ guò lǜ】(MAC)

　　由于每个无线【gè wú xiàn】🕎工作站的网卡都有唯👩一的物🚃理地址【lǐ dì zhǐ】，因此可以在AP中手工维护一【wéi hù yī】组允许访问的MAC地址列【dì zhǐ liè】表👝，实现物【shí xiàn wù】理地址【lǐ dì zhǐ】过滤。这个方😃案要求【àn yào qiú】AP中的【zhōng de】♊MAC地址列【dì zhǐ liè】表必需🥌随时更新🚖，可扩展🚆性差🎻;而且【ér qiě】MAC地址在理论上🔴可以伪【kě yǐ wěi】造【zào】，因此这也是较低级别【dī jí bié】的授权🛌认证【rèn zhèng】。

　　物理地🌳址过滤属于硬【shǔ yú yìng】件认证【zhèng】，而不是【ér bú shì】用户认【yòng hù rèn】证【zhèng】。这种方【zhè zhǒng fāng】式要求🐨AP中的【zhōng de】🐺MAC地址列😣表必需随时更【suí shí gèng】👫新，目前都是手工操作🕖;如果用🔬户增加【hù zēng jiā】，则扩展能力很差，因此只适合于小型网络规模😞。

　　无线局🕕域网设置安全：连线对【lián xiàn duì】🎤等保密【děng bǎo mì】(WEP)

　　在链路层采用【céng cǎi yòng】RC4对称加密技术，用户的😝加密密🕯钥必须与AP的密钥【de mì yào】🚔相同时【xiàng tóng shí】🎆才能获【cái néng huò】🔘准存取【zhǔn cún qǔ】网络的🌧资源，从而防止非授权用户【quán yòng hù】的😝监听以及非法用户🐪的访问。WEP提供了40位【wèi】🏹(有时也🔝称为【chēng wéi】64位【wèi】🏹)和128位【wèi】🏹长度的密钥【de mì yào】🚔机制🚓，但是它【dàn shì tā】仍然存【réng rán cún】在许多⚫缺陷。

　　例如一🚑个服务😫区内的所有用【suǒ yǒu yòng】户都共🌆享同一【xiǎng tóng yī】个密钥，一个用【yī gè yòng】🕞户丢失钥匙将💼使整个网络不【wǎng luò bú】安全。而且【ér qiě】40位的钥匙在今天很容【tiān hěn róng】🧠易被破解✋;钥匙是静态的【jìng tài de】，要手工【yào shǒu gōng】维护🦍，扩展能力差。目前为了提高【le tí gāo】安全性🔍，建议采【jiàn yì cǎi】用128位加密👕钥匙。

　　无线局域网设🍛置安全【zhì ān quán】：Wi-Fi保护接【bǎo hù jiē】🛏入(WPA)

　　WPA(Wi-FiProtectedAccess)是继承【shì jì chéng】🍴了🛣WEP基本原理而又【lǐ ér yòu】🤖解决了🛣WEP缺点的一种新技术【jì shù】。由于加🏳强了🛣生成加【shēng chéng jiā】密🎤密钥【yào】🔧的算法，因此即便收集【biàn shōu jí】到分组信息【xī】🐑并对其进行解析，也几乎无法计【wú fǎ jì】算出通【suàn chū tōng】🦉用密钥【yào】🖨。其原理为根据通用密钥【yào】🖨，配合表示电脑MAC地址和分组信息【xī】🐑顺序号【shùn xù hào】的编【de biān】🐘号，分别为🐻每个分【měi gè fèn】组信息【xī】🐑生成不🛀同的密【tóng de mì】钥【yào】🔧。

　　然后与WEP一样将➗此密钥用于RC4加密处理🔸。通过这【tōng guò zhè】🕓种处理【zhǒng chù lǐ】🔸，所有客户端的所有分♒组信息所交换【suǒ jiāo huàn】的数据【de shù jù】将由各不相同【bú xiàng tóng】的密钥🐶加密而【jiā mì ér】🎌成。无论收【wú lùn shōu】💯集到多少这样的数据【de shù jù】，要想破【yào xiǎng pò】😏解出原【jiě chū yuán】始的通🏁用密钥几乎是不可能的。WPA还追加了防止【le fáng zhǐ】数据中途被篡【tú bèi cuàn】🐌改的功🥗能和认证功能【zhèng gōng néng】🍳。

　　由于具备这些【bèi zhè xiē】功能，WEP中此前倍受指责的缺点得以【diǎn dé yǐ】全部解🔗决【jué】💥。WPA不仅是一种比🍏WEP更为强【gèng wéi qiáng】大的加密方法🎑，而且有🏎更为丰【gèng wéi fēng】富的内🍨涵【hán】。作为802.11i标准的子集🤮，WPA包含了认证、加密和数据完🏧整性校验三个【yàn sān gè】组成部分☕，是一个完整的【wán zhěng de】安全性【ān quán xìng】方案【fāng àn】💆。

　　无线局【wú xiàn jú】域网设🧦置安全：国家标准【zhǔn】🔮(WAPI)

　　WAPI(WLANAuthenticationandPrivacyInfrastructure)，即无线🚙局域网【jú yù wǎng】鉴别与♑保密基础结构【chǔ jié gòu】👌，它是针【tā shì zhēn】对IEEE802.11中【zhōng】🕠WEP协议安全问题【quán wèn tí】，在中【zhōng】🕠国无线局【jú】🐿域网国🥓家标准【jiā biāo zhǔn】GB15629.11中【zhōng】🕠提出的WLAN安全解🐜决方案。同时本方案已由ISO/IEC授权的机构【jī gòu】IEEE Registration Authority审查并🏚获得认可【kě】。

　　它的主要特点是采用【shì cǎi yòng】🤹基于公钥密码📶体系的【tǐ xì de】证书机【zhèng shū jī】制，真正实【zhēn zhèng shí】🚁现了移🛢动终端(MT)与无线【yǔ wú xiàn】接入点(AP)间双向鉴别【jiàn bié】。用户只要安装【yào ān zhuāng】🈹一张证书就可☔在覆盖🥧WLAN的不同地区漫【dì qū màn】游，方便用🎄户使用。

　　与现有🔶计费【fèi】💔技术兼【jì shù jiān】容的【de】🛺服务，可实现【kě shí xiàn】🙁按时计🏪费【fèi】💔、按流量【àn liú liàng】计费【fèi】💔、包月等多种计费【fèi】💔方式【shì】🦑。AP设置好🎎证书后🈯，无须再【wú xū zài】⬛对后台【duì hòu tái】的【de】🛺AAA服务器【fú wù qì】进行设置，安装【ān zhuāng】、组网便👽捷，易于扩展，可满足家庭、企业、运营商【yùn yíng shāng】等多种应用模式【shì】🦑。

　　无线局域网设【yù wǎng shè】♋置安全【zhì ān quán】：端口访🔷问控制技术(802.1x)

　　无线局🚩域网设【yù wǎng shè】置安全：该技术💯也是用于无线【yú wú xiàn】🛃局域网【jú yù wǎng】的一种♍增强性🏘网络安【wǎng luò ān】全解决方案😮。当无线工作站STA与无线【yǔ wú xiàn】🐘访问点AP关联后【guān lián hòu】，是否可以使用🆎AP的服务要取决【yào qǔ jué】于802.1x的认证【de rèn zhèng】结果【jié guǒ】。如果认证通过🤔，则AP为【wéi】STA打开这【dǎ kāi zhè】🕔个逻辑🛬端口，否则不允许用户上网。

　　802.1x要求无线工作🤬站安装802.1x客户端【kè hù duān】🚟软件【ruǎn jiàn】🌒，无线访问点要内嵌802.1x认证代【rèn zhèng dài】🎨理，同时它【tóng shí tā】还作为【hái zuò wéi】Radius客户端【kè hù duān】🚟，将用户的认【hù de rèn】🛋证信息转发给Radius服务器🌓。802.1x除提供【chú tí gòng】端口访【duān kǒu fǎng】🍃问控制【wèn kòng zhì】能力之外，还提供基于用🐗户的认【hù de rèn】🛋证系统及计费【jí jì fèi】🐏，特别适😋