伴随着【bàn suí zhe】各大企业、政府机构信息📛化建设【huà jiàn shè】🐏的逐渐【de zhú jiàn】🌺深入开展，无线网【wú xiàn wǎng】络⛔的部署【de bù shǔ】及使用作为重要的一环已经开始展【kāi shǐ zhǎn】现出🔗庞大的潜力🌕，为了更【wéi le gèng】好地优化和保🏠证企业信息化💆平台的【píng tái de】安全【ān quán】，人们对增强无线网【wú xiàn wǎng】络⛔安全【ān quán】的🎅需要变【xū yào biàn】得日益【dé rì yì】迫切。

　　1、无线网络安全问题的表现

　　1.1插入攻击

　　插入攻【chā rù gōng】🔠击以部署非授权的设【quán de shè】📒备或创建新的无线网络为基础，这种部署或创🅿建往往【jiàn wǎng wǎng】🍔没有经过安全【guò ān quán】过程或【guò chéng huò】安全检🚊查🥂。可对接😖入点进行配置🍼，要求客户端接入时输🆎入口令🎠。如果没📺有口令【yǒu kǒu lìng】，入侵者【rù qīn zhě】就可以【jiù kě yǐ】通过启【tōng guò qǐ】用一个无线客户端与接入点【jiē rù diǎn】🆗通信，从而连接到内🕝部网络🙅。但有些接入点【jiē rù diǎn】🆗要求的所有客【suǒ yǒu kè】户端的访问口【fǎng wèn kǒu】🐂令竟然【lìng jìng rán】完全相【wán quán xiàng】同【tóng】。这是很危险的。

　　1.2漫游攻击者

　　攻击者没有必👀要在物【yào zài wù】💰理上位于企业建筑物内部，他们可以使用【yǐ shǐ yòng】网络扫【wǎng luò sǎo】🔳描器【miáo qì】，如Netstumbler等工具。可以在【kě yǐ zài】🐪移动的交通工👴具上用笔记本【bǐ jì běn】🏁电脑或其它移动设备嗅探出【xiù tàn chū】无线网【wú xiàn wǎng】🔪络【luò】👂，这种活🐠动称为🙍“wardriving”：走在大街上或【jiē shàng huò】通过企业网站【yè wǎng zhàn】👯执行同样的任务，这称为“warwalking”。

　　1.3欺诈性接入点

　　所谓欺诈性接【zhà xìng jiē】入点【rù diǎn】🍢是指在【shì zhǐ zài】未获得无🏯线网络所有者的许可⛰或知晓的情况【de qíng kuàng】下【xià】⚡，就设置【jiù shè zhì】🔷或存在😰的接入【de jiē rù】🤛点🍢。一些雇员有时🚧安装欺诈性接【zhà xìng jiē】入点【rù diǎn】🍢，其目的🛴是为了🚞避开已【bì kāi yǐ】安装的安全手【ān quán shǒu】😅段【duàn】，创建隐蔽的无【bì de wú】线网络。这种秘🛑密网络虽然基本上无害，但它却【dàn tā què】可以构造出一【zào chū yī】个无保护措施【hù cuò shī】的网络💵，并进而充当了入侵者🔆进入企业网络【yè wǎng luò】🕒的开放门户。

　　1.4双面恶魔攻击

　　这种攻击有时也被称⌛为”无线钓鱼【yú】”，双面恶🌺魔其实就是一个以邻【gè yǐ lín】🎃近的网🕌络名称🏉隐藏起【yǐn cáng qǐ】来的欺诈性接入点💬。双面恶🌺魔等待【mó děng dài】着一些【zhe yī xiē】盲目信【máng mù xìn】任的用户进入【hù jìn rù】🍭错误的接入点💬，然后窃【rán hòu qiè】📽取个别网络的数据或攻击计算机【suàn jī】📎。

　　1.5窃取网络资源

　　有些用户喜欢🗄从邻近🦄的无线网【wǎng】🌍络访问互联网【hù lián wǎng】🌍，即使他们没有什么恶意企图，但仍会占用大【zhàn yòng dà】量的网【wǎng】🌍络带宽【luò dài kuān】，严重影【yán chóng yǐng】🈯响网【wǎng】络💣性能🚥。而更多😛的不速【de bú sù】之客会【zhī kè huì】📝利用这【lì yòng zhè】🔆种连接从公司【cóng gōng sī】范围内⛔发送邮件🖤，或下载盗版内容【róng】，这会产生一些【shēng yī xiē】法律问题。

　　1.6对无线通信的劫持和监视

　　正如在🐮有线网络【xiàn wǎng luò】中一样【yàng】⛑，劫持和【jié chí hé】监视通💙过无线网络【xiàn wǎng luò】的🚤网络通信是完全可能【quán kě néng】👙的。它包括【tā bāo kuò】两种情况🖐，一是无线数据【xiàn shù jù】包分析【bāo fèn xī】，即熟练😓的攻击🆒者用类【zhě yòng lèi】似于有线网络【xiàn wǎng luò】的🚤技术捕获无线【huò wú xiàn】通信。其中有🍚许多工【xǔ duō gōng】具可以【jù kě yǐ】捕获连【bǔ huò lián】📪接会话【jiē huì huà】的最初【de zuì chū】部分，而其数据一般👑会包含【huì bāo hán】用户名和口令。攻击者💬然后就可以用所捕获🎄的信息【de xìn xī】来冒称一个合法用户🎼，并劫持用户会话和执行一些❤非授权的命令等🐝。第二种🌠情况🖐是广播包监视【bāo jiān shì】🌭，这种监🕹视依赖于集线【yú jí xiàn】器【qì】，所以很少见。

　　2、保障无线网络安全的技术方法

　　2.1隐藏SSID

　　SSID，即Service Set Identifier的【de】简称，让无线【ràng wú xiàn】客户端【kè hù duān】对不同无线网【wú xiàn wǎng】络🕴的【de】识别🍶，类似我【lèi sì wǒ】🛠们的【de】手🌩机识别🍶不同的【de】移动运【yí dòng yùn】营商的【de】机制🙄。参数【cān shù】🕚在设备缺省设定中是被【bèi】AP无线接入点广播出去【bō chū qù】🚩的【de】，客户端【kè hù duān】只有收👝到这个🏝参数【cān shù】🕚或者手动【dòng】🎺设定与【shè dìng yǔ】AP相同的【de】SSID才能连接到无⛷线网络🕴。而我们【ér wǒ men】如果把这个广【zhè gè guǎng】🚮播禁止📮，一般的【de】🚱漫游用👡户在无法找到SSID的情况【de qíng kuàng】下是无👘法连接【fǎ lián jiē】到网络🚁的【de】。需要注🦀意的是【yì de shì】🏬，如果黑客利用其他手段获取相应参数【cān shù】🕚，仍可接入目标【rù mù biāo】网络，因此【yīn cǐ】🔸，隐藏SSID适用于一般SOHO环境当作简单【zuò jiǎn dān】口令安全方式【quán fāng shì】。

　　2.2 MAC地址过滤

　　顾名思义【yì】🖖，这种方【zhè zhǒng fāng】🆎式就是【shì jiù shì】通过对【tōng guò duì】AP的设定，将指定的无线🧦网卡的💸物理地址(MAC地址)输入到【shū rù dào】AP中🕟。而💴AP对收到【duì shōu dào】的每个数据包🌏都会做出判断🌀，只有符【zhī yǒu fú】🦄合设定【hé shè dìng】🔺标准的才能被【cái néng bèi】💂转发【zhuǎn fā】，否则将⏬会被丢弃。这种方【zhè zhǒng fāng】🆎式比较麻烦【má fán】，而💴且不能支持大量的移动客户端。另外【lìng wài】😪，如果黑【rú guǒ hēi】🤺客盗取♿合法的MAC地址信息，仍可以通过各【tōng guò gè】种方法【zhǒng fāng fǎ】适用假冒的MAC地址登🕖陆网络，一般SOHO，小型企【xiǎo xíng qǐ】业工作室可以🗺采用该安全手【ān quán shǒu】段【duàn】。

　　2.3 WEP加密

　　WEP是【shì】Wired Equivalent Privacy的简称👧，所有经【suǒ yǒu jīng】过【guò】WIFI认证的【rèn zhèng de】☝设备都支持该安全协定🅰。采用“位或【wèi huò】🏥128位加密【mì】密【mì】钥🌓的RC4加密【mì】算🥙法，保证传🧡输数据不会以明文方⛏式被截【shì bèi jié】获【huò】。该方法😎需要在每套移动设备和【hé】AP上配置密【mì】码🍳，部署比较麻烦【jiào má fán】：使用静态非交【tài fēi jiāo】换式密【mì】🚭钥🌓，安全性也受到【yě shòu dào】了业界💇的质疑，但是它【dàn shì tā】仍然可🐷以阻挡【yǐ zǔ dǎng】💜一般的〽数据截获【huò】攻击，一般用于SOHO、中小型【zhōng xiǎo xíng】企业的【qǐ yè de】安全加密【mì】。

　　2.4 AP隔离

　　类似于有线网【yǒu xiàn wǎng】络的【luò de】VLAN，将所有🧕的无线🚗客户端🏫设备完【shè bèi wán】🔒全隔离♿，使之只能访问AP连接的😬固定网【gù dìng wǎng】络【luò】。该方法【gāi fāng fǎ】用于对【yòng yú duì】酒店和💀机场等公共热【gōng gòng rè】点🚩Hot Spot的架设，让接入【jiē rù】的无线🚗客户端🏫保持隔离♿，提供安全的😸Internet接入【jiē rù】。

　　2.5 802.1x协议

　　802.1x协议由IEEE定义🥔，用【yòng】🥏于以太网和无线局域【xiàn jú yù】网中的端口🎸访问与【fǎng wèn yǔ】控制【zhì】👶。802.1x引入了【yǐn rù le】📲PPP协议定【xié yì dìng】义🥔的扩展认证⛔协议EAP。作为扩【zuò wéi kuò】🌽展认证⛔协议，EAP可以采用【yòng】🥏MD5，一次性🤖口令【kǒu lìng】，智能卡【zhì néng kǎ】，公共密钥等等【yào děng děng】更多的😦认证机制【zhì】，从而提供更高级别的🗂安全。

　　2.6 WPA

　　WPA即Wi-Fi protected access的简称🧢，下一【yī】代无线规格802.11i之前的过渡方案【àn】，也是该🆘标准内的一【yī】小部分。WPA率先使🌂用【yòng】🏓802.11i中的加密技术【mì jì shù】🚦一【yī】TKIP(Temporal Key IntegrITy　Protocol)，这项技【zhè xiàng jì】术可大幅解决802.11原先使【yuán xiān shǐ】用【yòng】🏓WEP所隐藏【suǒ yǐn cáng】的安全👣问题。很多客户端和⏸AP并不支🍗持🧕WPA协议【xié yì】，而且TKIP加密仍【jiā mì réng】不能满足高端【zú gāo duān】企业和💺政府的加密需【jiā mì xū】求【qiú】，该方法多用【yòng】于😯企业无⏱线网络部署【bù shǔ】🏢。

　　2.7 WPA2

　　WPA2与👱WPA后向兼⛹容【róng】，支持更高级的AES加密，能够更好地解【hǎo dì jiě】决无线【jué wú xiàn】网络的【wǎng luò de】🚶安全问【ān quán wèn】💩题【tí】🚕。由于部分AP和大多数移动【shù yí dòng】👶客户端【kè hù duān】不支持🐜此协议【cǐ xié yì】🌋，尽管微软已经提供最【tí gòng zuì】新的🎺WPA2补丁，但是仍需要对📍客户端【kè hù duān】逐一部署🚓。该方法【gāi fāng fǎ】适用于🎠企业📭、政府及🐥SOHO用户【yòng hù】。2.8 02.11i IEEE正在开发的新【fā de xīn】🚵一代的无线规格【gé】，致力于🉐彻底解【chè dǐ jiě】决无线【jué wú xiàn】网络的【wǎng luò de】🚶安全问【ān quán wèn】💩题【tí】🚕，草案中包含加密技术AES(AdvancedEncryption Standard)与👱TKIP，以及认😅证协议IEEE802.1x。尽管理论上讲【lùn shàng jiǎng】🍣此协议【cǐ xié yì】🌋可以彻【kě yǐ chè】底解决无线【jué wú xiàn】网络安全问【ān quán wèn】💩题【tí】🚕，适用于🎠所有企业📭网络的【wǎng luò de】🚶无线部【wú xiàn bù】署🚓，但是目【dàn shì mù】前为止【qián wéi zhǐ】尚未有支持此【zhī chí cǐ】🎫协议的【xié yì de】产品问世⤴。

　　3、结语

　　综上所述【shù】，不能说本文以【běn wén yǐ】上这些【shàng zhè xiē】保护方🛃法是全【fǎ shì quán】🎛面【miàn】、到位的【de】，因为无线网【wú xiàn wǎng】🛹络的【de】弱点🤦是动态【shì dòng tài】😅的【de】，还有很【hái yǒu hěn】多，如对无线路由器的【de】安🗞全🌱配置也【pèi zhì yě】是一个很重🎓要的【de】方面【miàn】。所以无【suǒ yǐ wú】线网🛹络安全🌱并不是一🤼蹴而就🚃的【de】事情。不同的【de】🤴无线网【wú xiàn wǎng】🛹络用户遭受安全隐患【quán yǐn huàn】🥄威胁的【wēi xié de】🍥程度不同，就需要🎛的技术【de jì shù】🤝支持也就有所区别。因此【yīn cǐ】，必须根据不同用户的【de】不同需【bú tóng xū】📴求，选择不同的【de】🤴安全🌱解决方案来确保数据【bǎo shù jù】的安全【de ān quán】🌱。