企业无线网络安全

企业无线网络安全篇1

1 无线网络安全产生因素

1.1 安全机制不太健全

企业无线局域网大部分都采用了安全防范性能一般的WEP协议, 来对无线上网信号进行加密传输, 而没有选用安全性能较高的WAP协议来保护无线信号的传输。普通上网用户即使采用了WEP加密协议、进行了WEP密钥设置, 非法攻击者仍然能通过一些专业的攻击工具轻松破解加密信号, 从而非常容易地截取客户上网地址、网络标识名称、无线频道信息、WEP密钥内容等信息, 有了这些信息在手, 非法攻击者就能方便地对本地无线局域网网络进行偷窃隐私或其他非法入侵操作了。

此外, 企业无线局域网几乎都不支持系统日志管理、入侵安全检测等功能, 可以这么说企业无线局域网目前的安全机制还不太健全。

1.2 无法进行物理隔离

企业无线局域网从组建成功的那一刻, 就直接暴露在外界, 无线网络访问也无法进行任何有效的物理隔离, 各种有意的、无意的非法攻击随时存在, 那么无线局域网中的各种隐私信息也会随时被偷偷窃取、访问。

1.3 用户安全意识不够

企业无线局域网往往只支持简单的地址绑定、地址过滤以及加密传输功能, 这些基本安全功能在非法攻击者面前几乎没有多大防范作用。不过, 一些不太熟悉无线网络知识的用户为了能够快速地实现移动办公、资源共享等目的, 往往会毫不犹豫地选用组网成本低廉、管理维护操作简便的企业无线局域网, 至于无线局域网的安全性能究竟如何, 相信这些初级上网用户几乎不会进行任何考虑。再加上这些不太熟悉无线网络知识的初级用户, 对网络安全知识了解得更少了, 这些用户在使用无线网络的过程中很少有意识去进行一些安全设置操作。

1.4 抗外界干扰能力差

无线局域网在工作的过程中, 往往会选用一个特定的工作频段, 在相同的工作频段内无线网络过多时, 信号覆盖范围会互相重叠, 这样会严重影响有效信号的强弱, 最终可能会影响无线局域网的信号传输稳定性;此外, 无线上网信号在传输过程中, 特别容易受到墙体之类的建筑物的阻挡或干扰, 这样也会对无线局域网的稳定性造成一定的影响。对于那些企业的无线局域网来说, 它的抗外界干扰能力就更差了, 显然这样的无线局域网是无法满足高质量网络访问应用要求的。

2 企业无线解决策略。

无线网络的安全性与有线网络相差无几。在许多办公室中, 入侵者可以轻易地访问并挂在有线网络上, 并不会产生什么问题。远程攻击者可以通过后门获得对网络的访问权。一般的方案可能是一个端到端的加密, 并对所有的资源采用独立的身份验证, 这种资源不对公众开放。正因为无线网络为攻击者提供了许多进入并危害企业网络的机会, 所以也就有许多安全工具和技术可以帮助企业保护其网络的安全性。

防火墙:所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙对流经它的网络通信进行扫描, 这样能够过滤掉一些攻击, 以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信, 封锁特洛伊木马。最后, 它可以禁止来自特殊站点的访问, 从而防止来自不明入侵者的所有通信。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线, 才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务, 如视频流等, 但至少这是你自己的保护选择。一个强健的防火墙可以有效地阻止入侵者通过无线设备进入企业网络的企业。安全标准:最早的安全标准WEP已经被证明是极端不安全的, 并易于受到安全攻击。而更新的规范, 如WPA、WPA2及IEEE802.11是更加强健的安全工具。IEEE 802.11和RADIUS鉴权通过使用IEEE 802.11标准中规定的MAC层方法或使用RADIUS等高层方法可对与无线网络相关的终端站进行鉴权。IEEE802.11标准支持MAC层鉴权业务的两个子层:开放系统和共享密钥。开放系统鉴权是设定鉴权服务, 是终端站间彼此通信或终端站与接入点间通信的理想选择。802.11共享密钥鉴权容易受到攻击, 且不符合Wi-Fi标准。

WPA、WPA2及IEEE802.11i持内置的高级加密和身份验证技术。WPA2和802.11都提供了对AES (高级加密标准) 的支持, 这项规范已为许多政府机构所采用。采用无线网络的企业应当充分利用这两种技术中的某一种。

漏洞扫描:许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息, 如探查其SSID、MAC等信息。而企业可以利用同样的方法来找出其无线网络中可被攻击者利用的漏洞, 如可以找出一些不安全的接入点等。

基于网络的漏洞扫描。基于网络的漏洞扫描器, 就是通过网络来扫描远程计算机中TCP/IP不同端口的服务, 然后将这些相关信息与系统的漏洞库进行模式匹配, 如果特征匹配成功, 则认为安全漏洞存在;或者通过模拟黑客的攻击手法对目标主机进行攻击, 如果模拟攻击成功, 则认为安全漏洞存在。

基于主机的漏洞。主机漏洞扫描则通过在主机本地的代理程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描, 搜集他们的信息, 然后与系统的漏洞库进行比较, 如果满足匹配条件, 则认为安全漏洞存在。比如, 利用低版本的DNS Bind漏洞, 攻击者能够获取root权限, 侵入系统或者攻击者能够在远程计算机中执行恶意代码。使用基于网络的漏洞扫描工具, 能够监测到这些低版本的DNS Bind是否在运行。一般来说, 基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具, 根据不同漏洞的特性, 构造网络数据包, 发给网络中的一个或多个目标服务器, 以判断某个特定的漏洞是否存在。

降低功率:使无线接入点保持封闭安全的第一步是正确放置天线, 从而限制能够到达天线有效范围的信号量。天线的理想位置是目标覆盖区域的中心, 并使泄露到墙外的信号尽可能的少。同时, 仔细地调整天线的位置也可有助于防止信号落于非法用户手中。不过, 完全控制无线信号是几乎不可能的, 所以还需要同时采取其它一些措施来保证网络安全。其中降低发射器的功率, 从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。

用户管理:企业要教育雇员正确使用无线设备, 要求雇员报告其检测到或发现的任何不正常或可疑的活动。“科技以人为本”要加强所有雇员的安全防范意识, 才能使企业无线网络安全防护真正实施。

当然, 不能说这些保护方法是全面而深入的, 因为无线网络的弱点是动态的, 还有很多, 如对无线路由器的安全配置也是一个很重要的方面。所以无线网络安全并不是一蹴而就的事情。

结束语:管理制度要与时俱进, 而无线网络安全技术也是如此, 为了企业能够更好的使用无线网络, 享受新无线标准带来的高信号覆盖, 高速度传输等方面的乐趣, 企业网络管理员也应该实实在在的学会针对无线网络的安全管理, 让企业网络特别是无线传输更加安全, 将病毒与黑客入侵阻挡在无线信号大门之外。

参考文献

[1]《无线网络技术导论》作者:汪涛主编出版社:清华大学出版社

[2]《计算机网络与Internet教程[M]》.张尧学, 王晓春, 赵艳标, 等.北京:清华大学出版社, 2001.

[3]《细析无线局域网络的安全机制》ZDNet网络安全频道作者:中国IT实验室

无线将取代企业网络综合布线？篇2

无线需求：真实而且必要

编者按：此前，大家会把无线办公当作一种时髦，例如在咖啡厅里上网聊天，在机场大厅里用无线笔记本电脑摆POSE。现在，无线应用已经开始深入到了各种各样的企业应用中，在某些企业企业网络综合布线应用中，无线应用甚至起到了替代有线网络的工具。

有些企业，特别是销售型的大企业，员工的办公位置不太固定，例如一个销售项目经理在一天中可能会有80%的时间在不同的地点开会(内部开会、会见客户、同事单独交流等)，无线接入已经成为他必要的办公手段了。再如，如何让老式酒店在不改变房屋建筑，不外布线的情况下，实现网络覆盖呢？无线网络就是较好的解决办法。而在大面积的野外油田，如何才能低成本、高效地建设网络监控、管理系统呢？无线网络则比有线网络效果好很多.....

无疑，无线应用已经深入到了企业网络综合布线之中，它不会取代有线网络，但已经成为重要的角色。不过，我们还有很多疑问：对于不同的企业，到底需要什么样的无线接入方式呢？无线网络的安全问题到底如何了？无线网络同有线网络相比，到底有何优势？

无线需求：真实而且必要

对于无线办公，有些人还是存在不信任问题，认为它不专业、不安全，在企业应用中，往往不会涉及到企业的关键业务，不会左右企业的经营效率。事实上，对于多数企业，的确如上所说，无线接入不会涉及到企业的关键业务，不会左右企业的经营效率。

不过，对于有些企业来说，例如精英销售型的大企业、酒店、大学校园、酒楼等，无线应用则在相当程度上起到了关键作用，例如无线点餐系统，甚至已经决定了该酒楼的经营效率问题，

现在，我们深入分析一下无线应用的企业需求：

对于有些企业来说，特别是销售办公等部门，有以下几个比较重要的无线应用需求：

1、公司会议/培训/讲座

公司的各种会议，可能是内部的例行会议，或是和客户的谈判等，会议室的笔记本电脑可以无线登录到公司的网站，或是到Internet上引经据典，或是员工之间共享文件。可以通过无线的方式轻松实现。

2、临时工作小组

公司就某个项目成立一个临时工作小组，小组成员在一起工作直至该项目结束，也许是几个月的时间。小组成员连网的事可以交给无线网，不需要基站，无线网卡之间可直接实现互连。

3、外来工作人员进驻

分公司的工作人员到总部汇报工作，接受培训，或是审计公司到公司做审计，这都需要连接到公司网络上，方便工作的开展。有了无线网，可以不打搅本公司工作人员的正常工作，而又很快地实现上网。

从上可见，一般相对比较大的企业的无线需求强一些，小企业的无线需求小一些。对此，D-link的无线产品经理潘恒分析到：“小企业由于规模小，人数少，员工的办公位相对稳定，因此，移动上网的需求弱一些。从D-link的销售数字来看，中大型企业的无线销售就比去年有了很大增长，而小企业则少一些。”

酒店方面，其实是无线市场的一个较好的突破口。例如Netgare方面表示：“一些五星级酒店等的宴会以及客房的要求是国际化的，会议中也有网络的需求，无线的覆盖变得势在必行。”

在装修好的酒店中，当它需要开始部署网络系统时，如果重新企业网络综合布线会影响整个环境，并且企业网络综合布线成本比较高。而使用无线网络则可以尽量不影响装修并节省开支，使得安装使用非常方便。只需要通过有线+无线AP的适当部署，就可以实现全范围上网。

其实，对于无线酒店还有一种好办法，通过一种同轴电缆无线信号混分器，让无线信号可以通过酒店的有线电视网络进行传输，将无线网络信号与有线电视信号做一个分享。这样，酒店的每一间客房都可以享受无线网络的便捷了。

保护企业无线网络的八大要点篇3

1. 更改默认密码

如果你在设置路由器后没有更改默认密码，就赶紧更改默认密码。所有网络设备生产厂商的默认密码已众所周知，只要上网搜索一下，就能找到。想详细了解无线网络设置，请参阅go.pcworld.com/wifisetup。

2. 只使用WPA2加密

无线信号具有单向性，这势必需要使用加密技术，防止邻居或不怀好意的人窥视你在网上的活动。尽管仍有WEP加密这个选项（为了支持遗留系统），但还是要避免使用，因为它可以在短短几分钟内被破解，应使用WPA2。WPA2采用了一种新的、基于先进加密标准（AES）的加密技术，较之WPA提高了安全性。其实没有理由不使用WPA2：如今，印有无线商标的每台无线路由器都支持WPA2，而过去几年生产的每一台无线设备和无线适配卡也同样支持WPA2。

3. 使用复杂口令短语

尽管WPA2没有已知的安全漏洞，但如果结合容易猜中的口令短语使用，仍然很容易遭到蛮力攻击。只要使用专门的软件，攻击者可以对照庞大的词典列表，轻而易举地处理捕获的无线数据包，就能找到匹配的口令短语。为了挫败此类攻击，应该使用含有至少25个字符的口令短语，这些字符包括混合使用的字母（大小写）、数字和符号。

4. 避免常见的SSID名称

一个平常的要点就是，别广播你无线网络的服务集标识符（SSID）。虽然隐藏SSID可以用来阻挠菜鸟企图闯入网络的行为，但面对稍微在行的黑客，这招毫无用处。

不过，不使用默认SSID或任何常见名称（go.pcworld.com/ssidnames），却是个好做法。由于黑客们已制作了预先计算好的密码散列表（又叫彩虹表），以便迅速找到WPA口令短语。这种表对应于一个个SSID，所以使用不在这种表或列表上的SSID可以迫使攻击者采用一种更费时的方法，无法享用随时可以使用的彩虹表带来的好处。

5. 禁用WPS

如果你的无线路由器支持无线受保护设置（WPS），就禁用它。WPS个人识别号码（PIN）是打印在兼容WPS功能设备标签上的8位数，这是一种对用户友好的方法，它是为了让用户易于将新设备添加到网络上而设计的。不过，这可能容易遭到蛮力攻击，会不会中招要看厂商具体怎么实施WPS。

攻击者可以借助自动化手段，在4?10小时之内（go.pcworld.com/reaver）破解易受攻击的设备PIN密码，那样攻击者就可以找到你那秘密的口令短语，并对你的无线硬件进行改动。

6. 搭建无线网络

亲朋好友来访时，要是不允许他们访问你的无线网络，这不太好。不过要是将静态口令短语告诉每个人，安全性很差。而是应该另外搭建一个使用第二个SSID的无线网络，越来越多的无线路由器支持这项功能。如果你为访客另外搭建一个网络，就可以定期更改口令短语，又不影响你自己的设备。访客网络不用时，你甚至可以索性禁用它。

7. 别提MAC地址过滤了

介质访问控制（MAC）地址是一个独特的标识符，硬编码到一个个以太网端口和无线设备当中。不过，它的实际效果让人怀疑，因为欺骗MAC地址再容易不过了。

考虑到配置不当引起的那种不便和麻烦，除非你明确知道自己在做什么，否则我们还是建议别使用MAC地址过滤这招。非要手动添加你购置的每一部平板电脑或智能手机，这无疑会降低工作效率。

8. 不允许从无线网络获得管理员访问权

你也许无法将一个下定决心的黑客拒之门外，但更没必要让黑客轻松得逞。不允许从无线网络获得管理员访问权，可以防止任何得逞的黑客对你无线路由器的配置进行改动，因而造成进一步的破坏。很显然，这意味着如果想对你的无线路由器进行任何改动，必须从接入有线局域网的台式机或笔记本电脑来进行改动。不过为了更有效的保护，这么点麻烦是值得的。

本文所列的几个要点倒不是想完全涵盖无线网络可能存在的所有安全风险，但是遵守这8个要点应该有助于你大大提高安全性。不过最终，要是安全至关重要，坚持使用有线以太网也许是最稳妥的办法。

浅析企业无线网络的建设篇4

信息网络目前已成为现在企业一个重要组成部分, 成为人们获取资源和信息的主要途径之一, 它把企业中生产部门、营销部门、人力资源部门、财务部门等各个部门所有的人紧密地联系在一起, 在企业中的作用和地位也日趋重要。经过多年有线网络建设、运行、维护, 从实践结果来看, 由于目前网络是“有线”的, 所以在有些应用领域会出现困难。

2 企业无线网络应用的环境及需求

现代企业与外界的接轨程度越来越紧密, 企业的规模不断扩大, 人员不断增加, 这就需要企业的决策者、管理者、生产者要进行有效的沟通, 又要与外面的世界保持密切的联系, 随时随地了解最新的信息, 了解外部市场的需求, 新的技术以及竞争对手的动态。因此, 在企业内部建设无线局域网、实现一定范围的无线覆盖迫在眉睫。

3 企业局域网WLAN设计思想

3.1 企业局域网WLAN设计原则

实用性:遵循面向应用, 注重实效, 逐步完善的原则。

先进性:采用先进成熟的网络概念、技术、方法与设备。

可靠性:系统必须可靠运行, 主要的、关键的设备应有冗余。

开放性:选择的产品应具有好的互操作性和可移植性。

可扩充性:系统是一个逐步发展的应用环境, 在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能。

可维护性:具有良好网络管理、网络监控、故障分析和处理能力。

安全性:必须具有高度的保密机制, 灵活方便的权限设定和控制机制, 以使系统具有多种手段来防备各种形式非法侵入和机密信息泄露。

3.2 企业局域网WLAN设计思想

企业无线网络在满足现有网络应用的同时, 保证对未来网络技术和应用的支持, 以满足企业未来发展的要求。

此外为满足企业网络的安全性, 企业无线网络应采用独立的有线网络系统实现无线接入点的互联, 同时在无线网络满足用户接入安全认证、加密的同时, 支持无线射频的安全防护功能。

3.3 WLAN体系解决方案结构

传统无线网络中每个接入点都是一个单独的节点, 按照一个静态RF计划 (通常为预测的RF) 中的信道和功率设置进行独立配置, 尽管这些自主的接入点可以收到附近的工作在相同信道的接入点的信号, 但是自主接入点无法得知相邻的接入点与其是否属于同一个网络或者是相邻网络。此外由于自主接入点是“节点式”的, 所以很难扩展到大型、连续、可协调的无线局域网或者在无线网络中扩展高级应用。

尽管自主接入点的第一代无线局域网技术解决了基本的网络连接问题, 但是从WLAN首次面世以来, 技术需求发生了很多变化:基本的网络连接已经不足以满足需要;企业中需要提供无所不在的无线网络连接;企业WLAN必须支持多种移动服务。为了部署这些功能和消除这些限制, 思科系统公司拟定的互联网工程任务小组 (IETF) 标准草案LWAPP, 实现轻型接入点和WLAN系统 (例如控制器、交换机和路由器) 之间的通信协议的标准化。

4 企业网WLAN建设方案

4.1 物理设计

4.1.1 无线覆盖区域、设计指标、原则和覆盖方式

覆盖区域:全企业的范围内。

设计原则:无线覆盖设计将遵循按照信号范围最大化原则, 在整个企业全面覆盖的前提下, 保证无线网络稳定性并与绝大多数主流无线网卡兼容, 同时兼顾考虑网络扩容, 为今后网络扩容做好预留。

设计指标:各信号输出点信号强度10~15dbm;将按照2.4G工作频段2.412~2.462GHz (FCC) 分为channel1、channel6、channe l11三个完全不干扰频段设计;目标覆盖区域信号强度>-80dbm。

覆盖方式:在覆盖区域内, 选择办公楼和厂区为主, 其他区域为辅的覆盖方式, 实现企业的整体无线覆盖。

4.1.2 室内覆盖

AP放置要遵循两个原则:AP覆盖区域无间隙;AP重叠区域最小。

相邻AP工作在不同频道, 以1, 6, 11三个频道实现全方位的覆盖。根据经验值, 当相邻AP设定相同频点时, 要求间隔25米以上;当相邻AP设定相邻频点时, 要求AP间隔16米以上;当AP设定相隔频点时, 要求间隔12米以上。

4.1.3 室外覆盖

室外设备的AP使用数量大概也遵循室内的条件, 但外AP的放置和设计又有它的独特性主要包括:1) 天线的使用:天线的正常使用包括对天线增益和天线类型的选择;2) 对室外设备特殊要求:室外设备应该放置在密封盒内;3) 天线布置应该增加避雷器放置雷击;4) 不提供本地供电的场所, 应尽量选用POE远程供电设备。

4.2 逻辑设计

4.2.1 SSID和VLAN

根据企业实际情况和应用需求, 生产区一般使用三种SSID:1) 数据服务SSID-Data-SSID:基于三层的Web认证;2) Vo WLAN/双模等形式手机服务的SSID-Voice-SSID:基于二层的MAC认证;3) 根据所部署企业的需求, 可能还有第三个为访客服务的SSID-Gue s t-SSID, 为访客接入提供特定VLAN的访问。

4.2.2 无线网络地址和路由规划

对于无线接入点AP, 原则上客户端可以通过DHCP动态获取IP地址, 但是从运行维护管理的角度, 建议采用静态IP地址。

如果AP连接在现有企业网的接入交换机, 则IP地址由现有企业网有线端提供。此外, 从性能/可管理性等角度出发, 建议在满足下列条件的前提下可以将AP接入现有网络交换机:AP和无线控制器的AP-Manage r之间端到端环回延迟 (round trip de lay) <100毫秒-局域网交换环境均能实现;AP不与一般有线网络设备混合在一个VLAN中, 避免有线设备的异常流量阻断AP和无线控制器之间的通讯;连接在同一L3交换机端口下的所有AP, 建议放置在一个受保护的VLAN中, 部署时统一分配给这些AP静态IP地址;需要修改现有交换机的VLAN参数设置及现有L3交换机的路由设置。

5 总结

无线网络是今后互联网的重要组成部分, 在原有的有线企业网的基础上无缝接合无线网络、拓展无线网络应用是当今企业局域网发展的一个重要方向。目前无线网络技术在支持传统数据转发的同时, 还支持智能业务的扩展, 可以极大提高企业办公效率。此外, 企业无线网络采用分级的一体化网络管理系统:有线、无线网络管理相结合, 集中与分布式管理相结合, 为网络维护管理提供高效率和低成本。

参考文献

[1]Eric Ouellet (美) .构建Cisco无线局域网[M].科学出版社, 2003.

企业无线网络安全篇5

毫无疑问，互联网正在改变着人类社会，无数基于新模式的应用缔造了信息时代的空前繁荣。人越是离不开网络，传统的有线连接方式就越难满足需求。很自然地，摆脱了线缆束缚的无线以太网凭借自由、便捷等特性，受到越来越多用户的青睐，逐渐成为有线网络不可或缺的补充。甚至，在一些特殊的应用环境中，用户已经开始使用无线网络承载生产及业务环境，运行着关键业务或增值服务。如何做好无线网络解决方案的选型，已成为许多CIO们关心的话题。

谈及无线，貌似必谈性能。但在理性的评估标准中，性能绝不是唯一重要的考察项目，架构理念才是最值得关注的评估内容，因为它直接决定了一套无线网络解决方案的扩展性、安全性和功能复杂度。此外，与高度整合的消费级或SOHO级产品不同，面向大中型企业或园区用户的无线解决方案必须面对更多的部署难题和非常复杂的应用需求。

如果单纯将独立的AP与有线网络进行拼接似的融合，绝对得不到1+1=2的实现效果。多数情况下，用户会发现在1+1<1的同时(带宽无增加、不支持漫游、AP间存在干扰)，还会带来1+1>2的管理成本。有些需求也是拼接方式根本无法实现的，例如QoS、多频道、多SSID及对应安全策略的统一部署。很明显，良好的集中管理能力是企业级无线网络解决方案的必备特性，其实现程度也由架构理念所决定，

既然全面离散是企业级无线解决方案不可接受的模式，那么全面集中是否又能满足需求呢?市场上确实存在一些“无线交换机+瘦AP”的解决方案，这类方案采用集中管理、业务集中处理的激进思路，将瘦AP定位成纯粹的分布式天线，由无线交换机负责剩下的一切，在逻辑上犹如一个超大的传统AP。

这确实能够解决传统方案在漫游切换(延迟抖动)和性能(吞吐量)方面存在的问题，但也有着天生的缺陷。由于所有数据都通过无线交换机进行集中转发处理，首先AP数量就受到约束;如果部署更多的无线交换机，网络的复杂度又变的难以控制。

此外，处于逻辑中央的无线交换机成为可靠性的黑洞，用户不得不为避免单点故障进行双倍投资。并且，随着802.11n规格的普及，链路带宽与无线交换机本身处理能力的瓶颈变得更加突出，使方案在成本与效果方面再打折扣。

针对以上问题，HP Procurve提出了新一代的自适应无线网络解决方案。这套方案坚持采用集中管理的方式，但不再强制进行业务的集中处理。通过强化AP自身的处理能力，可将数据加解密、QoS、身份认证等特性在无线网络边缘实现，只有需要做进一步处理的数据流才会到达无线控制器，消除了对中央资源的依赖。

也就是说，在多数情况下，无线控制器与AP间可以只存在管理控制的数据流;AP间实现分布式转发，业务数据走的是直连路径，实现源到目的地的直通。这样一来，该方案在继承了集中管理控制的操作优势的同时，又有着更高的处理效率及性能，对时延敏感型应用有着很好的支持。分布式处理从另一个角度提高了方案的可靠性，至少在无线控制器出现故障时，AP依然可以继续工作，独立地转发数据。

企业无线网络安全篇6

一、低档次网络的安全弊病

以无线方式连接到小区宽带网络，并通过宽带网络进行共享访问Internet的组网环境下，我们往往只要先通过普通双绞线将低档无线路由器的WAN端口与小区宽带网络的交换端口连接在一起，然后参照说明书对无线路由器的连接端口参数进行合适的设置，就能上网访问了。由于在默认状态下，低档无线路由器会自动启用DHCP服务功能，当我们将无线网卡设备正确地安装到普通计算机上后，不需要进行任何参数设置就能自动连接到无线局域网网络中了。然而在享受组网便利的同时，低档次无线路由器的信号覆盖范围最远可达到300米左右，要是不采取安全措施进行防范的话，那么处于300米范围之内安装了无线网卡设备的普通计算机都能自动加入本地无线局域网网络中，那样一来本地无线局域网就容易遭遇非法攻击。

从目前来看，组建方便的低档次无线局域网存在下面一些安全弊病：

1安全机制不太健全

低档次无线局域网大部分都采用了安全防范性能一般的WEP协议，来对无线上网信号进行加密传输。而没有选用安全性能较高的WAP协议来保护无线信号的传输。普通上网用户即使采用了WEP加密协议、进行了WEP密钥设置，非法攻击者仍然能通过一些专业的攻击工具轻松破解加密信号，从而非常容易地截取客户上网地址、网络标识名称、无线频道信息、WEP密钥内容等信息，有了这些信息在手，非法攻击者就能方便地对本地无线局域网网络进行偷窃隐私或其他非法入侵操作了。

此外，低档次无线局域网几乎都不支持系统日志管理、入侵安全检测等功能，可以这么说低档次无线局域网目前的安全机制还不太健全。

2无法进行物理隔离

低档次无线局域网从组建成功的那一刻，就直接暴露在外界，无线网络访问也无法进行任何有效的物理隔离，各种有意的、无意的非法攻击随时存在，那么无线局域网中的各种隐私信息也会随时被偷偷窃取、访问。

3用户安全意识不够

低档次无线局域网往往只支持简单的地址绑定、地址过滤以及加密传输功能，这些基本安全功能在非法攻击者面前几乎没有多大防范作用。不过，一些不太熟悉无线网络知识的用户为了能够快速地实现移动办公、资源共享等目的，往往会毫不犹豫地选用组网成本低廉、管理维护操作简便的低档次无线局域网，至于无线局域网的安全性能究竟如何，相信这些初级上网用户几乎不会进行任何考虑。再加上这些不太熟悉无线网络知识的初级用户，对网络安全知识了解得更少了，这些用户在使用无线网络的过程中很少有意识去进行一些安全设置操作。

4抗外界干扰能力差

无线局域网在工作的过程中，往往会选用一个特定的工作频段，在相同的工作频段内无线网络过多时，信号覆盖范围会互相重叠，这样会严重影响有效信号的强弱，最终可能会影响无线局域网的信号传输稳定性：此外。无线上网信号在传输过程中，特别容易受到墙体之类的建筑物的阻挡或干扰，这样也会对无线局域网的稳定性造成一定的影响。对于那些低档次的无线局域网来说，它的抗外界干扰能力就更差了，显然这样的无线局域网是无法满足高质量网络访问应用要求的。

二、组网便利下的安全威胁

既然低档次无线局域网存在上述一些安全弊病，这些弊病要是突然发作起来或被非法攻击者利用的话，那么就可能给我们带来不小的安全威胁：

1造成隐私信息外泄

有的时候，不少无线局域网上网用户为了方便工作，往往会在不经意间将单位的重要隐私信息或核心工作信息，甚至将一些属于绝密范畴的信息通过移动设备挂上无线局域网网络中，这样无形之中就容易发生重要隐私信息外泄的危险，严重的时候能够给单位或个人造成巨大的经济损失。

2降低内网安全能力

单位无线局域网附近有时还会存在一些家用无线局域网或者其他单位的无线局域网，这些无线局域网常常会用于移动办公或共享访问Internet网络的，这些无线网络的使用者大多没有足够的安全防范意识，并且他们应用无线网络的要求不是很高，也用不着对无线上网进行一些安全设置操作。在这种情形下，单位中任何一台安装了无线网卡设备的笔记本电脑都有可能自动连接到其他单位的无线局域网中，如此一来就容易发生这个单位的无线局域网与其他单位的无线局域网直接互联的现象，甚至可能出现单位无线局域网直接与Internet网络互联的现象。这些现象明显会降低单位内网安全防范能力。容易给单位造成严重的安全后果。

3危及信息系统安全

考虑到低档次无线局域网组网成本低廉，不需要进行复杂布线，管理维护也很方便，要是安全意识不到位，那么一些规模较小的单位很可能出于技术、成本等因素，来选用一些价格低廉、质量低劣的无线网络设备进行组网升级、信息点的延伸，由这些网络设备搭建而成的网络将会天然暴露在外界，无线网络访问无法做到有效的物理隔离，那样一来单位的信息系统安全将会随时受到危及。

三、化解无线网络安全威胁

虽然低档次无线局域网容易给我们带来各种意想不到的安全威胁，会给单位的信息系统造成不小的安全隐患，不过对于那些对安全性要求不是很高的小规模单位来说，仍然可以选用低档次的无线局域网，毕竟这种类型的组网成本非常低廉，更为重要的是通过制定有效的措施完全可以将低档次无线局域网的安全威胁降到最低限度，让规模不大的单位用户也能尽情地享受组网便利。

1向检查要安全

为了随时了解单位无线网络的安全状态，我们应该定期对单位的内网、外网使用情况以及核心网络设备的工作状态进行详细检查，并做好详细的检查记录。与此同时，我们还应该加大力度对单位无线局域网附近区域的无线网络工作环境进行动态监测，一定的时候还需要对单位的网络系统安全进行评估以及审计：此外，对于涉及到处于单位核心隐私信息以及进行重要网络应用的工作场所，应该及时采取电磁屏蔽等手段，来阻止非法网络入侵或攻击。

2向宣传要安全

由于低档次无线局域网很容易影响到单位内部网络的使用安全性，为此单位负责人必须准备好丰富齐全的网络安全资料，在单位上、下定期开展无线上网安全知识的宣传、培训，以便强化每一位无线上网用户的安全防范意识，同时有必要针对性地进行网络安全专项整治工作，保证单位所有员工都能在思想上高度重视无线网络安全工作。

3向管理要安全

俗话说“没有规矩。不成方圆”，为了保证无线局域网的使用安全性。我们同样要对无线网络设备的使用做出合理的规定，对无线上网用户进行合理的管理，统一规范无线网络设备的工作模式以及安全设置，明确上网用户的使用范围和访问权限。例如，禁止保存有重要单位信息的笔记本电脑连接到无线局域网中，禁止随意在无线局域网中进行共享访问。禁止移动设备随意挂上无线局域网中，对于存储、加工核心信息的工作场所必须进行屏蔽保护等。

企业无线网络安全篇7

无线局域网(WLAN)是一种利用无线信道(现阶段主要使用射频无线电波,有2.4GHz和5GHz两个频段 )做传输介质的计算机局域网系统,支持移动、漫游的网络通信,具有极好的移动性、扩展性、灵活性和便捷性。

与有线网络相同,WLAN的网络安全也是关注信息不被非法访问和破坏,确保信息在网络传输和存储过程中的保密、完整、可用与可控。WLAN的优势来源于采用了无线电波通信,但这同样是WLAN最大安全问题所在 :外部入侵者可以无需进入物理位置,无需物理线缆连接,绕过用户精心设计的网络边界安全体系,直接对内部网络发起攻击。

1 无线局域网面临的安全风险分析

WLAN采用无线介质传输数据,终端和网络接入设备之间没有有形的物理线缆,方便了用户使用的同时,也给攻击者实施入侵带来了便利。WLAN使用无线电波在空气中传输信息,无线信号对墙壁、门窗等都具有一定的穿透能力,难以精确控制信号覆盖范围。由于不能将所有的无线信号完全定向到指定的接收设备或接收范围,不可避免会泄露到目标位置之外,由此而带来诸多安全问题。

对于WLAN而言,除了同样具备有线网络所面临的种种安全风险之外,还存在以下特有的安全风险问题 :

⑴无线网络窃听 :攻击者监听和截取无线信号,利用数据传输弱加密等漏洞盗取网络传输中的数据。

⑵无线网络盗用 :未经许可的无线终端利用用户接入弱认证等漏洞私自接入网络,盗用、滥用网络带宽甚至攻击和破坏系统、盗取数据。

⑶非法AP接入 :非法的无线接入点(AP)假冒成合法AP(骗取合法终端对其连接,进行中间人攻击)或非法AP私自接入网络(造成信号干扰和产生网络安全漏洞)。

⑷无线泛洪攻击 :利用认证协议缺陷等漏洞发送过量的身份验证请求、关联请求等,过度消耗网络系统资源,从而导致网络无法提供正常服务。

⑸无线信号干扰 :利用非法AP和微波炉、荧光灯、无绳电话、蓝牙设备、无线会议设备、无线摄像机、射频干扰器等散发近似或相同频率射频信号的设备对WLAN进行无线信号干扰,致使无线网络性能下降,甚至不可用。

2 企业级无线局域网常用的安全防范措施

WLAN的网络安全防御体系包含有线安全和无线安全两部分,有线网络安全是整个网络安全的核心,无线网络安全则主要负责无线接入部分的安全防护。有线网络安全主要通过防火墙、路由器、入侵检测 / 防护、网络准入、网络防毒、行为管理、行为审计等安全设备与系统,来实现访问控制、入侵阻断等安全策略,同时也与无线安全系统构成联动,为无线安全提供基础服务。

对于WLAN的无线网络安全控制,一些基础措施如改变并隐藏SSID、MAC访问控制(使用MAC地址许可列表)、使用WEP加密、使用静态IP等方法在企事业单位的WLAN安全中一般只起辅助配合作用,不可单独使用。在企业级WLAN的工程规划设计、安装调试过程中,除采用与传统有线网络类似的设备安全、环境安全、管理安全等方法措施之外,一般还建议采用以下安全技术措施 :

⑴无线接入认证

确保只有经过授权的合法用户才能接入网络和使用网络资源。一般采用WPA/WPA2-PSK认证、Web+Portal认证、802.1x认证等接入认证方式,认证服务器一般选择RADIUS(802.1x只支持RADIUS)、TACACS+ 等,要求严格时甚至可采用结合硬件口令令牌或手机、电脑等软件口令令牌的双因子认证。不建议单独采用有安全隐患的WEP-PSK、MAC、SSID等接入认证方式。

WPA/WPA2-PSK采用预共享密码,兼容性好、使用方便,但存在同一个SSID共享密码的问题。Web+Portal认证采用http页面推送,客户端不需安装软件,可基于流量计费,适合于智能手机、平板等几乎所有智能移动设备的接入,但使用麻烦(经常需要WEB认证)、浪费IP(用户认证成功前先分配IP地址)。802.1x认证使用方便、可基于时间计费,但需要安装客户端软件,且要求AP到控制器之间的交换机支持认证报文的透传等功能。

⑵无线传输加密

可保证数据在空气中传输时即使被监听复制,也难以破解,确保信息不被泄露。一般采用TKIP、CCMP(基于AES算法)、TKIP+CCMP等传输加密方式。不建议采用有安全隐患的静态WEP加密方式,存在特殊设备的兼容性需求时,可考虑802.1x认证和动态WEP相结合,终端每次进入身份认证时均随机生成新密码,或每过一定时间更换WEP密码等方式,可一定程度规避WEP的安全风险。目前安全性最高是纯CCMP加密方式。

⑶无线访问控制

把无线网络部分看作不可信任网络而采用更严格的访问和控制措施,使之与内部有线网络有效隔离开来。设置不同用户采用不同访问控制策略,只赋予无线用户必需的网络访问权限,禁止其不必要的网络访问。确保即使非法用户进入无线网络,也只能造成最小损失。

WLAN工程中一般根据无线用户的类型、位置、应用和MAC地址等信息做VLAN规划,采用多个SSID,每VLAN分配一个或多个SSID,或多个VLAN分配一个SSID(通过MAC等信息区分),给不同的VLAN配置不同的安全策略。利用三层设备或防火墙等的访问列表与其它安全控制功能,限制不同VLAN和用户对网络的访问权限。同时还可采用策略路由和用户限速相结合的方式,不同无线VLAN或用户(基于IP、MAC等区别)走不同互联网出口线路上网,保护关键业务的网络流畅 ;同时对每个用户(或用户组)限制其最大可使用带宽,防止网络滥用或用户病毒等造成的网络阻塞。

⑷无线准入控制

采用网络准入控制和终端安全管理等技术,通过分析无线终端的安全状态来执行预定义的安全策略,用以杜绝不安全的无线终端接入并使用网络。在无线终端连接到无线网络时,首先要检查无线终端的病毒感染情况、防毒软件状态、防火墙状态、操作系统补丁安装情况等。如果发现存在已感染病毒、有系统漏洞等情况,根据安全策略,分别执行重定向连接、设备下线、网络隔离、告警通知或监控记录等多种方式处理。只有无线终端完全符合预设定的安全策略要求之后,才可以进行用户认证,认证通过后才允许进入网络。

⑸无线射频监管

通过AP采集射频信号并由无线控制器(AC)进行分析,对WLAN环境中的无线电波进行射频质量监控,实时掌握WLAN环境状况,并智能地适应环境变化。一般用于应对射频干扰(如微波炉和其它AP的频率干扰)和AP故障(检测信号覆盖黑洞,对故障AP导致的信号黑洞进行信号补偿 )两种情况。

在无线信号干扰、衰减等环境恶化的情况下,AC智能地动态调整AP的传输速率、信道频率和发射功率等参数,使WLAN能快速适应环境变化,自我调整优化,保持最佳通信状态。当发生信号干扰时,快速识别造成无线网性能降低的微波炉、无线话筒、蓝牙音箱和非法AP等射频干扰源,并跟踪出干扰设备的位置。

⑹无线入侵防御

通过分布于网络各处的无线探针(监控或混合模式的AP)来采集、捕获无线信号,对无线信号和数据流量进行统计,分析网络行为,识别出网络中无线入侵和攻击(如泛洪攻击、Spoofing仿冒攻击、Weak IV攻击等 )等情况并加以记录、警告或阻断,实时掌控WLAN安全状况。当发现非法AP和非法终端的连接后,采用Do S攻击等方式阻隔其提供无线网络服务或无线连接,或与交换机、防火墙等加以联动,将其隔离出用户网络,从而有效防止非法AP接入网络。

以上的WLAN安全技术手段主要配合使用有线网络的安全设备,通过无线控制器和瘦AP所提供的技术特性和安全功能来支持和实现。无线控制器是企业级WLAN的无线安全核心,还应特别对其加强保护。

3 结语

WLAN安全问题是一个随着无线技术发展而不断升级变化的复杂问题,在不同的时期、不同的环境,需要选用的无线安全措施都不尽相同。只有根据企事业单位具体的环境情况,根据费用投资预算和安全需求等级,结合用户现有有线网络的安全体系架构,选择最适用的安全技术措施,同时采用规范的安全保密管理制度,才能构建最适合于用户的多层次、全方位的WLAN安全防护系统,建设出让用户满意的安全、稳定、有效的企业级无线局域网。

摘要：无线局域网(WLAN)带来无与伦比的灵活性和便捷性通信的同时,也给用户带来了新的信息安全风险。本文从系统设计、实施与维护的角度出发,通过对WLAN可能面临的各种网络安全风险分析,结合实际建成的企业级WLAN工程经常用到的安全技术手段,探讨了企事业单位在建设WLAN系统时一般可以采用的网络安全防范措施。

供电企业无线局域网安全防护篇8

随着信息技术的飞速发展,计算机网络已经无处不在。无线局域网WLAN利用电磁波在空气中发送和接受数据,可以灵活机动地应付各种网络环境的设置变化,使网络中的计算机具有可移动性,能快速方便地解决使用有线方式不易实现的网络连通问题。电力信息化经过十几年的发展,针对信息安全工作采取了一些非常有效的措施。无线局域网建设作为对有线连网方式的一种补充和扩展,为企业移动办公提供了方便、快捷,但安全性问题一直阻碍其正常发展。

1 WLAN及其特点

1.1 WLAN构成

典型的WLAN网络体系结构主要由以下几部分构成。

(1)工作站(Station,STA)。

STA是指接入无线媒介的部分,它包含MAC实体和PHY实体。和有线网络相对应,STA也经常被称为网络适配器或者网络接口卡。STA必须在通信前后与对方进行和解除身份认证,且还需要在信息发送之前将其加密,以防被窃听,最后ST A还要进行MAC层业务数据单元的传送。

(2)基本服务集(Basic Service Set,BSS)。

BSS是802.11 WLAN的基本组成部分,它提供了一个覆盖区域。通常把基本服务集的覆盖范围看成一个椭圆,在该椭圆范围内基本服务集的成员STA可以保持相互通信。BSS有3种组成方式:1)集中制方式。每个单元由一个中心站控制,网络中的终端在该中心站的控制下与其他终端通信。2)分布对等式。BSS中任意2个终端可直接通信,无需中心站转接。3)集中制式与分布对等式相结合的方式,即扩展服务组(ESS)。

(3)分布系统(Distribution System,DS)。

DS用来连接不同的BSS。不同BSS内的STA之间的通信必须通过DS,它通过提供对处理地址到目的地址的映射和多个BSS无缝综合所必要的逻辑服务,从而提供对移动装置的支持。

(4)网络访问接入点(Access Point,AP)。

AP也是一个STA,该STA除了作为一个普通的STA工作外,还通过提供分发服务来提供对DS的访问。

(5)扩展服务组(Extended Service Set,ESS)。

ESS通过AP和DS把多个BSS连接起来,从而实现了不同BSS内的STA的相互通信。

(6)逻辑接入点(Portal)。

IEEE802.11b与其他局域网的逻辑连接是通过Portal完成的,Portal实现了WLAN与非WLAN之间的通信联系。

1.2 WLAN特点

与有线网络相比,WLAN具有以下鲜明特点。

(1)安装便捷。

常规网络建设中,常常需要提前进行布线设计,预留网络接口。WLAN大大减少了网络布线的工作量,可以在很短的时间内及一定区域内安装1个或多个接入点(AP)设备,建立覆盖整个建筑或地区的局域网络。

(2)使用灵活。

在WLAN局域网的环境中,网络中的设备只要安装有无线网卡即可选择接入到WLAN中,不会像有线网络那样,受到网线和接口的限制。

(3)经济节约。

WLAN因为免去了布线工程,且便于扩展,只需在所需覆盖范围内增设AP即可达到要求,大大减少了建设及扩展费用。

(4)易于扩展。

WLAN有多种配置方式,能够根据需要灵活选择。用户可以根据自身情况选择适合特定条件的配置方式,易于进行调整。

2 WLAN安全隐患及应对措施

2.1 WLAN安全分析

由于WLAN传输介质的特殊性,使得信息在传输过程中具有更多的不确定性,受到的影响更大,主要表现在以下几方面。

(1)窃听。

任何人都可以用一台带无线网卡的PC机或者廉价的无线扫描器进行窃听。但是发送者和预期的接收者无法知道传输是否被窃听,且无法检测是否被窃听。

(2)修改替换。

在WLAN中,较强节点可以屏蔽较弱节点,用自己的数据取代,甚至会代替其他节点做出反应。

(3)传递信任。

当WLAN作为公司网络的一部分时,就会为攻击者提供一个不需要物理安装的接口用于网络入侵。

(4)基础结构攻击。

基础结构攻击是基于系统中存在的漏洞如软件臭虫、错误配置、硬件故障等。但是针对这种攻击进行的保护几乎是不可能的,目前所能做的就是尽可能地降低破坏所造成的损失。

(5)拒绝服务。

WLAN存在一种比较特殊的拒绝服务攻击,攻击者可以发送与WLAN相同频率的干扰信号来干扰网络的正常运行,从而导致正常用户无法使用网络。

(6)置信攻击。

通常情况下,攻击者可以将自己伪造成基站。当攻击者拥有一个很强的发送设备时,就可以让移动设备尝试登录其网络,通过分析窃取密钥和口令,以便发动针对性的攻击。

目前WLAN安全接入中所涉及技术及待解决问题(物理层及逻辑链路层)如表1所示。

2.2 应用实践

池州供电公司结合自身业务需求,利用现有网络资源构建安全外网WLAN,作为有线网络的延伸,为公司外网移动终端办公提供统一的解决方案。实际工程中采用集中式、可管理架构的WLAN解决方案来实现办公大楼的全无线覆盖部署。池州供电公司办公WLAN网络架构如图1所示。

整个WLAN网络由以下几个部件组成:中心化集中认证Radius服务器,H3CWX5002无线控制器,室内型接入点AP(H3CWA2210-AG)。AP和客户端通过DHCP服务器获取IP地址,构建“瘦AP”及AC组网、Radius认证网络方案。为了保证安全通信,实施方案中制定了相应的安全措施和标准。

(1)服务集标识符隐藏。

服务集标识符(SSID)技术将一个WLAN分为几个需要不同身份验证的子网,每一个子网都需要独立的身份验证。只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络,同时对资源的访问权限进行区别限制。SSID是相邻的无线接入点(AP)区分的标志,无线接入用户必须设定SSID才能和AP通信。通常SSID须事先设置于所有使用者的无线网卡及AP中。尝试连接到无线网络的系统在被允许进入之前必须提供SSID,这是唯一标识网络的字符串。但是SSID对于网络中所有用户都是相同的字符串,其安全性差,人们可以轻易地从每个信息包的明文里窃取到它。

(2)物理地址过滤。

每个无线工作站的网卡都有唯一的物理地址,应用媒体访问控制(MAC)技术,可在WLAN的每一个AP设置一个许可接入的用户的MAC地址清单,MAC地址不在清单中的用户,接入点将拒绝其接入请求。但媒体访问控制只适合于小型网络规模。MAC地址在网上为明码模式传送,只要监听网络便可从中截取或盗用该MAC地址,进而伪装成使用者潜入企业或组织内部偷取机密资料。部分无线网卡允许通过软件来更改其MAC地址,通过编程将想用的地址写入网卡就可以冒充这个合法的MAC地址。可通过访问控制的检查获取访问受保护网络的权限。媒体访问控制属于硬件认证,而不是用户认证。

(3) Wi-Fi保护接入。

Wi-Fi保护性接入(WPA)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后像WEP一样将此密钥用RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA还具有防止数据中途被篡改的功能和认证功能。WPA标准采用了TKIP、EAP和802,1X等技术,在保持Wi-Fi认证产品硬件可用性的基础上,解决802.11在数据加密、接入认证和密钥管理等方面存在的缺陷。

(4)端口访问控制技术。

端口访问控制技术(802.1X)是由IEEE定义的,用于以太网和WLAN中的端口访问与控制。该协议定义了认证和授权,可以用于局域网,也可以用于城域网。802.1X引入了PPP协议定义的扩展认证协议EAP。EAP采用更多的认证机制,如MD5、一次性口令等,从而提供更高级别的安全。802.1X的认证层次包括客户端到认证端及认证端到认证服务器。802.1X定义客户端到认证端采用EAP over LAN协议,认证端到认证服务器采用EAP over RADIUS协议。

3 结语

信息网络已成为电力企业开展电力生产、业务应用和内部办公的承载平台,电力安全已成为生产安全管理中不可或缺的一环。WLAN作为对有线连网方式的一种补充和扩展,由于其通信方式固有的弱点,更应该关注其安全性问题。通过制定相关安全防护措施,加强无线设备运行管理,构建合理的信息网络安全系统结构,才能真正做到WLAN的信息安全。

摘要：无线局域网(wLAN)由于传输介质的公开性,不但会受到与有线网络相同的针对TCP/IP协议漏洞的攻击,而且还会受到针对802.11协议标准的特殊威胁,安全性受到严重的挑战,需要进行安全分析,并对检测系统进行管理。介绍WLAN基本概念、安全技术和安全隐患,并就池州供电公司外网WLAN应用现状,阐述构建安全无线局域网防护措施及对策。

企业无线网络安全篇9

无线网络存在着可移动性、速度快、组网灵活、使用方便、成本低、使用开放频段等一系列的优点, 因此, 近些年来, 无线网络得到了日益广泛的应用。无线网络在一定程度上能够作为有线网络的拓展和补充。但是, 在无线网络发展的过程中, IEEE802.11协议在接入控制、身份认证和加密算法等各个方面都存在着各种各样的漏洞。这些安全问题影响了无线网络在企业中的有效应用。因此, 研究企业无线网络常见的威胁及其应对措施是非常重要的。

2 企业无线网络常见的威胁

在无线网络中, 传送的数据是利用无线电波在空中辐射传播, 它可以被接入点覆盖范围内的任何无线网络客户收到, 因而非常容易被发现。另外, 为了能够使用户发现无线网络的存在, 网络必须发送有特定参数的信标帧, 这样就给攻击者提供了必要的网络信息。企业无线网络常见的威胁主要包括:易受窃听、易遭受IP重定向攻击、易遭受TCP响应攻击、易遭受中间人攻击、易遭受拒绝服务攻击、易遭受MAC地址欺骗、易遭受伪造认证攻击。

3 企业无线网络常见的威胁的应对措施

3.1 合理安装配置无线网络设备

企业无线网络的访问点 (Access Poirit, AP) 的安放位置必须恰当合理, 防止其在企业无线网络的物理管辖范围之外, 只有这样, 才能够从位置上避免窃听者对于企业无线网络进行窃听。与此同时, 必须将企业无线网络默认的服务集标识符 (Service Set Identifier, SSID) 更改掉, 从而避免其被入侵者所识破, 并且将定期广播功能关闭。另外, 通过将允许访问企业无线网络的客户端计算机的MAC地址加入到访问控制列表的方式来避免非授权人员访问企业无线网络。

3.2 客户端要加强安全防范

对于企业无线网络的广大的用户而言, 一定要注意到企业无线网络的安全性问题, 在利用较为复杂的密码以及个人防火墙来保护客户端的同时, 也应该定期和不定期地更改企业无线网络的密钥, 从而加大黑客入侵的困难。

3.3 定期检测AP, 企业无线网络和核心网络要隔离

对于企业无线网络的访问点AP, 必须进行定期检测, 确保企业无线网络的安全。与此同时, 企业无线网络和核心网络必须隔离, 将企业无线网络接在防火墙等安全设备的外面, 避免黑客通过流量侦听和流量分析等方式来破坏企业无线网络的安全。另外, 也能够通过SSH、SSL、IPSEC等各种各样的加密技术来加强数据的安全性。

3.4 部署虚拟专用网VPN

对于安全要求比较高的大型企业无线网络来说, 部署虚拟专用网 (Virtual Private Network, VPN) 能够起到非常良好的效果, 这种技术通过在一个公共IP网络平台上借助于隧道以及加密技术来确保专用数据的网络安全性。VPN技术可以通过DES, 3DES等技术来保障数据传输的安全。在现阶段, 广泛采用的两种VPN技术就是IPSec VPN和SSL VPN。其中, IPSEC VPN在网络层运行, 保护在站点之间的数据传输安全, 要求远程接入者必须正确地安装和配置客户端软件或接入设备, 将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上, 提供了较高水平的安全性。SSL VPN被预先安装在主机的浏览器中, 是一种无客户机的解决方案, 能够在一定程度上节约安装和维护成本。在当前形势下, 比较理想的企业无线网络安全解决方案就是把VPN安全技术与其他无线安全技术结合起来。

3.5 采用无线入侵检测系统

以往的适用于有线局域网的入侵检测系统在企业无线网络中不再适用, 必须采用新型的企业无线网络入侵检测系统。企业无线网络基础结构模式可以利用分布式网络入侵检测系统, 也可以利用基于主机的入侵检测系统, 用于检测异常的节点活动和发现恶意节点, 从而能够最大限度地确保企业无线网络的安全, 避免黑客的恶意入侵。

4 结束语

综上所述, 本文研究了企业无线网络常见的威胁及其应对措施。随着企业无线网络的应用的日益广泛, 其也会受到越来越多的安全风险和安全问题的困扰, 这就要求相关领域的专家和学者结合企业无线网络的特征以及具体的用户的需求情况, 对于无线网络安全问题进行更加深入的研究, 从而使企业能够采取适当的安全措施, 切实确保企业无线网络的安全。

摘要：在当今时代, 无线网络技术的飞速发展为人类的通信带来了方便、快捷的服务, 与此同时, 我们也应该看到, 无线网络技术的安全问题也正在演变为当前阻碍无线网络技术更快地发展的一个重要限制, 尤其是对于企业来说, 其无线网络的安全问题的解决直接关系到企业中的重要数据的保密性, 关系到企业是否能够健康发展。基于此, 研究企业无线网络常见的威胁及其应对措施具有非常重要的意义。

关键词：企业,无线网络,常见的威胁,应对措施

参考文献

[1]郑莹.无线网络安全方法与技术研究[J].硅谷, 2011, (07) .[1]郑莹.无线网络安全方法与技术研究[J].硅谷, 2011, (07) .

[2]陈泽鑫.计算机无线网络安全的浅谈[J].科技信息, 2011, (03) .[2]陈泽鑫.计算机无线网络安全的浅谈[J].科技信息, 2011, (03) .

[3]陈亮.无线网络安全防范措施探讨[J].信息与电脑 (理论版) , 2011, (03) .[3]陈亮.无线网络安全防范措施探讨[J].信息与电脑 (理论版) , 2011, (03) .

[4]杨敬华.论计算机有线无线网络的安全威胁及对策[J].硅谷, 2011, (05) .[4]杨敬华.论计算机有线无线网络的安全威胁及对策[J].硅谷, 2011, (05) .

企业无线网络安全篇10

1餐饮企业无线网络传播的内容

餐饮企业的无线网络传播是以计算机为载体, 以互联网为媒介, 向平板电脑、智能手机及其他移动终端的用户介绍餐饮产品, 通过无线传输对受众传播企业形象的一种新型现代化传播方式。[1]目前餐饮企业主要是应用Web网站、博客、QQ、微博、微信等互动的这些无线网络传播模式, 不受时空限制的传播餐饮企业信息的同时, 还能让传播受众能表达自己最想要的食品及订餐, 使得企业了解到客户的直接需求, 并且使这些受众客户享有更多的服务一种互动传播。

餐饮企业的无线网络传播具有较强的传播优势。因为它利用无线网络传播技术, 没有时空限制的引导受众参与到企业的生产活动中来, 对餐饮产品、品牌产生了解、认同以及共鸣, 来达到双向交流的创新过程。

2餐饮业信息传播的特点

改革开放三十多年来, 我国餐饮业发展迅猛, 日新月异, 各种风味特色, 各种经营形式, 各种组织结构的餐饮企业星罗棋布, 而由于餐饮产品的地域消费特点, 区域传播应该是餐饮信息信息渠道的主旋律。餐饮业信息传播有以下特点:

(1) 由于餐饮原料的贮藏时间短, 这就决定了餐饮业的信息传播及时性突出。

(2) 生产、销售、售后服务同时进行, 信息传播时就需要能够当场解决受众遇到的问题, 这就要去在餐饮业信息传播能的互动。

(3) 由于餐饮业的顾客忠诚度较低, 这就决定了建立传播受众“客户关系管理的数据库”的重要性, 对顾客什么时侯购买, 买什么等记录在案, 才能提高传播信息的针对性。

(4) 餐饮业的产品多, 顾客的个性化需求也多, 所以餐饮的产品的口味特色和经营特色传播非常重要, 使得传播信息的多样性突出。

(5) 由于受众的流动性较大, 临时性、突发性的需求较大, 餐饮业的信息传播集中性、快速响应性也同样突出。

二、餐饮企业无线网络传播的优势和不足

(1) 通过无线网络传播能扩大市场。无线网络传播不受时间和空间的限制, 特别是现在的移动网络传播方式, 使受众能随时随地获得服务信息。因此, 一家拥有无线网络传播渠道的餐饮企业, 它的市场就可以不受地理和时间因素的限制而大大扩展。

(2) 受众的的自主参与感强。由于网络传播渠道可以是通过受众拥有的无线终端设备双向提供服务信息的, 因此, 传播方式实际上也是受众的一种自助服务, 因而, 也能增强受众的自由参与感。

(3) 能使企业更好地了解受众。通过无线网络, 餐饮企业可以很方便地进行受众调研, 了解他们需求、欲望和消费心理, 改进企业的产品和服务, 保证营销决策的正确性。

(4) 满足受众个性化需要。通过无线网络传播渠道可以方便地接受顾客个性化的订单, 并迅速将订单信息通知餐饮企业的生产部门和服务部门, 及时满足顾客的个性化需要。

(5) 了解竞争对手。餐饮企业可以通过了解其它企业的无线网络传播渠道更多、更快地捕捉对手的信息和由此制定更有效的经营对策。同时, 餐饮企业也可以通过无线网络与竞争对手进行及时信息交流与合作, 促进共同发展和连锁经营。

(6) 能够优化传播方式。无线网络传播可以根据受众的点击数来及时了解传播效果, 这些都有利于传播内容进行改进和优化。

餐饮企业的无线网络传播的存在不足之处:首先, 无线网络传播只能通过互联网这一媒介来传播, 硬件设施主要是平板电脑, 手机等这些有数码终端受众, 传播有一定的局限性。其次, 餐饮企业传播设备一次性投入和后续的传播信息维护上成本比较高。第三, 信息传播的私密性较差, 竞争对手较易模仿。还有就是传播信息缺乏法律约束, 容易产生虚假信息。

三、餐饮企业无线网络传播的实施对策

针对餐饮企业无线网络传播的不足, 餐饮企业应有针对性的采取如下应对措施。

(1) 要进行传播的总体规划, 建立多样化的传播渠道。通过报纸、广播、电视等结合无线网络的本地生活社区网站、博客、手机短信、微博、微信、QQ、论坛、贴吧等多种传播工具的合理运用, 建立合适自己企业的立体传播体系。

(2) 加强传播信息的双向沟通和互动, 与受众建立长期友好关系。餐饮企业不仅要把双向沟通看成是为受众提供的一种便利服务, 而应该把它看作是获取企业的市场信息、品牌理念传递的有效手段。同时互动要强调受众的参与感, 使受众从信息接收者变为创造者、传播者。

(3) 建立与顾客长期友好关系。与受众者进行的双向沟通大致可以分为两个层面, 一个是基本、低层次的双向直接沟通, 另一个是深层次的双向沟通, 所以在无线网络传播过程中一定要建设企业自己的“客户关系数据库”, 对受众的访问信息记录在案, 有针对性的进行信息传播。

(4) 走特色化传播道路, 强化传播中创新意识。首先要做的是根据自己企业的餐饮特色来打造一个富有特色的Web网站, 这个网站必须要外观上能够吸引人, 同时又必须能够体现产品的特色, 传达产品的饮食文化。

(5) 根据企业的运营和发展情况, 认真研究, 选择合适的无线传播手段。根据餐饮企业的不同特点, 企业可以选取适合自己的传播模式或者模式组合:比如“受众导向型网络传播模式”, 通过逐步的信息导向, 让受众能感兴趣的去了解公司的产品的话, 这样就会和公司了解情况, 询问疑难问题;“受众服务型网络传播模式”, 提供与顾客交流的网络传播平台, 通过与受众进行一对一的交流来传播企业产品和服务信息;“电子商务B2C的网络传播模式”, 选择第三方电子商务平台, 借助第三方平台的技术和人流量进行在网络传播。[2]