1. TP-LINK無線路由器安全加密設置哪種好WEP,WPA,WPA2(PSK),WPA2(AES)
從性能和安全性的角度來說,WPA2-PSK(AES)是最好的,一般的路由器對於該類型的加密都能游刃有餘的處理,而且,WPA2-PSK(AES)是目前為止最安全,也是使用最廣泛的無線加密協議
WEP是Wired Equivalent Privacy的簡稱,有線等效保密(WEP)協議是對在兩台設備間無線傳輸的數據進行加密的方式,用以防止非法用戶竊聽或侵入無線網路。不過密碼分析學家已經找出 WEP 好幾個弱點,因此在2003年被 Wi-Fi Protected Access (WPA) 淘汰,又在2004年由完整的 IEEE 802.11i 標准(又稱為 WPA2)所取代。
WPA全名為Wi-Fi Protected Access,有WPA和WPA2兩個標准,是一種保護無線電腦網路(Wi-Fi)安全的系統,WPA實作了IEEE 802.11i標準的大部分,是在802.11i完備之前替代WEP的過渡方案。WPA的設計可以用在所有的無線網卡上,但未必能用在第一代的無線取用點上。
WPA2 是經由 Wi-Fi 聯盟驗證過的 IEEE 802.11i 標準的認證形式。WPA2 實現了 802.11i 的強制性元素 ,特別是 Michael 演算法由公認徹底安全的 CCMP 訊息認證碼所取代、而 RC4 也被 AES 取代。WPA2具備完整的標准體系,但其不能被應用在某些老舊型號的網卡上。
WPA/WPA2下的加密方式有TKIP和AES兩種,TKIP: Temporal Key Integrity Protocol(臨時密鑰完整性協議)負責處理無線安全問題的加密部分。TKIP在設計時考慮了當時非常苛刻的限制因素:必須在現有硬體上運行,因此不能使用計算先進的加密演算法。而AES(高級加密標准),在密碼學中又稱Rijndael加密法,是美國聯邦政府採用的一種區塊加密標准。這個標准用來替代原先的DES,已經被多方分析且廣為全世界所使用。經過五年的甄選流程,高級加密標准由美國國家標准與技術研究院(NIST)於2001年11月26日發布於FIPS PUB 197,並在2002年5月26日成為有效的標准。2006年,高級加密標准已然成為對稱密鑰加密中最流行的演算法之一。
方法/步驟
1
進入TP無線路由的WEB管理界面,瀏覽器輸入192.168.1.1即可,輸入用戶名和密碼,進入無線路由的web管理界面,選擇「無線設置」標簽,
END
方法/步驟2
在「無線設置」標簽的「基本設置」下,在右側取消「開啟SSID廣播」的勾選,保存。該操作是吧無線路由的SSID廣播取消,通常所說的隱藏SSID,隱藏後當無線連接此路由時,需要手動輸入正確的SSID號,不知道SSID號的人是無法和此路由器建立聯系的
在「無線設置」標簽下切換到「無線安全設置」,此頁面設置無線網路的安全密碼,根據系統提示,選擇WPA-PSK/WPA2-PSK加密類型,在PSK密碼處設置密碼(不少於8位),確定。
此操作是為了加密無線網路,提高安全性,不知道密碼的用戶,即是知道了SSID也不能和路由建立連接
經過以上步驟的設置,你的無線網路已經很安全了,但為了絕對的安全,下面將啟用終極設置,MAC過濾。
在「無線設置」標簽下切換到「無線mac地址過濾」,選擇「啟用過濾」,「過濾規則」選擇」禁止「,然後選擇「添加新條目」,彈出一個警告框,確定後進入下一個頁面,開始手動設置「無線網路MAC地址過濾設置」,在「mac地址」裡面手動輸入你打算可以連接到本無線網路的設備的mac(網卡地址,相當於身份證號碼,全球唯一性),狀態選擇「生效」,保存,返回,即可以將可以加入到本無線網路的設備添加進來,多次重復該步驟,可以添加多個設備,然後,保存路由。
PS:此步驟是將設備的mac和路由進行綁定,在允許列表的設備才可以上網,不在列表的設備,即使知道前2個步驟的SSID和無線密碼,也無法通過無線路由的安全認證,也不能加入本無線網路,這對於提高無線網路的安全有著極高的作用。
該步驟可以和前2步驟分離,也即是僅設置該步驟,將設備的mac進行綁定,這樣可讓有心蹭網的人抓狂,明明是無加密,信號很強的,為嘛不能連接?呵呵,這點是不是很強大呢?
3. 網路安全協議有哪些
問題一:網路安全協議包括什麼 SSL、TLS、IPSec、Telnet、SSH、SET 等
問題二:網路安全協議的分類 計算機網路安全的內容包括:計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題,實施網路安全增強方案,以保證計算機網路自身的安全性為目標。商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。計算機網路安全與商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可。沒有計算機網路安全作為基礎,商務交易安全就猶如空中樓閣,無從談起。沒有商務交易安全保障,即使計算機網路本身再安全,仍然無法達到電子商務所特有的安全要求。 未進行操作系統相關安全配置不論採用什麼操作系統,在預設安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作系統預設安裝後,再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」 是進行網路攻擊的首選目標。未進行CGI程序代碼審計如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。拒絕服務(DoS,Denial of Service)攻擊隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,范圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。2014年2月美國「雅虎」、「亞馬遜」受攻擊事件就證明了這一點。安全產品使用不當雖然不少網站採用了一些網路安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。缺少嚴格的網路安全管理制度網路安全最重要的還是要思想上高度重視,網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。 一個全方位的計算機網路安全體系結構包含網路的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火牆技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,並增加了審核信息的數量,利用這些審核信息可以跟蹤入侵者。在實施網路安全防範措施時:首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;其次要用各種系統漏洞檢測軟體定期對網路系統進行掃描分析,找出可能存在的安全隱患,並及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火牆,加強授權管理和認證;利用RAID5等數據存儲技術加強數據備份和恢復措施;對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網路上傳輸的敏感信息要進行強度的數據加密;安裝防病毒軟體,加強內部網的整體防病毒措施;建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。網路安全技術是伴隨著網路的誕生而出現的,但直到80年代末才引起關注,......>>
問題三:網路安全中,tcp/ip協議的缺陷是哪些 由於自身的缺陷、網路的開放性以及黑客的攻擊是造成互聯網路不安全的主要原因。TCP/IP作為Internet使用的標准協議集,是黑客實施網路攻擊的重點目標。TCP-/IP協議組是目前使用最廣泛的網路互連協議。但TCP/IP協議組本身存在著一些安全性問題。TCP/IP協議是建立在可信的環境之下,首先考慮網路互連缺乏對安全方面的考慮;這種基於地址的協議本身就會泄露口令,而且經常會運行一些無關的程序,這些都是網路本身的缺陷。互連網技術屏蔽了底層網路硬體細節,使得異種網路之間可以互相通信。這就給「黑客」們攻擊網路以可乘之機。由於大量重要的應用程序都以TCP作為它們的傳輸層協議,因此TCP的安全性問題會給網路帶來嚴重的後果。網路的開放性,TCP/IP協議完全公開,遠程訪問使許多攻擊者無須到現場就能夠得手,連接的主機基於互相信任的原則等等性質使網路更加不安全。
問題四:簡述常用的網路安全通信協議有哪些 多了 網路層:icmp arp等 傳輸層:udp tcp rstp sctp 等 應用層:gtp,,snmp,ftp,telnet, *** tp,ntp等
問題五:網路安全協議的介紹 網路安全協議是營造網路安全環境的基礎,是構建安全網路的關鍵技術。設計並保證網路安全協議的安全性和正確性能夠從基礎上保證網路安全,避免因網路安全等級不夠而導致網路數據信息丟失或文件損壞等信息泄露問題。在計算機網路應用中,人們對計算機通信的安全協議進行了大量的研究,以提高網路信息傳輸的安全性。
問題六:什麼是網路安全?常用的網路安全軟體有哪些 網路從外到內: 從光纖---->電腦客戶端
設備依次有: 路由器(可做埠屏蔽,帶寬管理qos,防洪水flood攻擊等)-------防火牆(有普通防火牆和UTM等,可以做網路三層埠管理、IPS(入侵檢測)、IDP(入侵檢測防禦)、安全審計認證、防病毒、防垃圾和病毒郵件、流量監控(QOS)等)--------行為管理器(可做UTM的所有功能、還有一些完全審計,網路記錄等等功能,這個比較強大)--------核心交換機(可以劃分vlan、屏蔽廣播、以及基本的acl列表)
安全的網路連接方式:現在流行的有 MPLS VPN ,SDH專線、VPN等,其中VPN常見的包括(SSL VPN \ipsec VPN\ PPTP VPN等)
問題七:網路安全軟體有哪些 很多,看你什麼方面。
之前的回答裡面都是殺毒軟體,相信一定無法滿足您的回答。
您需要的比如D-D-O-S軟體有Hoic,Loic和Xoic,當然還有效率較低級的國人開發的軟體。
漏洞測試軟體比如GoolagScanner
當然,線上工具也很多,比如Shodan可以尋找到網路上的任何一個存在的東西,包括攝像頭啊,網站的後台伺服器啊,之類的,注冊的話提供詳細物理位置。
OFCORS也有專門用來攻擊的AnonymousOS和魔方滲透系統之類的。
就看你想幹嘛了。至於為什麼圓角符號,這個,如果不用你就看不到了。
問題八:網路安全傳輸協議都有那些?具體意義是什麼? 網路協議即網路中(包括互聯網)傳遞、管理信息的一些規范。如同人與人之間相互交流是需要遵循一定的規矩一樣,計算機之間的相互通信需要共同遵守一定的規則,這些規則就稱為網路協議。
一台計算機只有在遵守網路協議的前提下,才能在網路上與其他計算機進行正常的通信。網路協議通常被分為幾個層次,每層完成自己單獨的功能。通信雙方只有在共同的層次間才能相互聯系。常見的協議有:TCP/IP協議、IPX/SPX協議、NetBEUI協議等。在區域網中用得的比較多的是IPX/SPX.。用戶如果訪問Internet,則必須在網路協議中添加TCP/IP協議。
TCP/IP是「tran *** ission Control Protocol/Internet Protocol」的簡寫,中文譯名為傳輸控制協議/互聯網路協議)協議, TCP/IP(傳輸控制協議/網間協議)是一種網路通信協議,它規范了網路上的所有通信設備,尤其是一個主機與另一個主機之間的數據往來格式以及傳送方式。TCP/IP是INTERNET的基礎協議,也是一種電腦數據打包和定址的標准方法。在數據傳送中,可以形象地理解為有兩個信封,TCP和IP就像是信封,要傳遞的信息被劃分成若干段,每一段塞入一個TCP信封,並在該信封面上記錄有分段號的信息,再將TCP信封塞入IP大信封,發送上網。在接受端,一個TCP軟體包收集信封,抽出數據,按發送前的順序還原,並加以校驗,若發現差錯,TCP將會要求重發。因此,TCP/IP在INTERNET中幾乎可以無差錯地傳送數據。 對普通用戶來說,並不需要了解網路協議的整個結構,僅需了解IP的地址格式,即可與世界各地進行網路通信。
IPX/SPX是基於施樂的XEROX』S Network System(XNS)協議,而SPX是基於施樂的XEROX』S SPP(Sequenced Packet Protocol:順序包協議)協議,它們都是由novell公司開發出來應用於區域網的一種高速協議。它和TCP/IP的一個顯著不同就是它不使用ip地址,而是使用網卡的物理地址即(MAC)地址。在實際使用中,它基本不需要什麼設置,裝上就可以使用了。由於其在網路普及初期發揮了巨大的作用,所以得到了很多廠商的支持,包括microsoft等,到現在很多軟體和硬體也均支持這種協議。
NetBEUI即NetBios Enhanced User Interface ,或NetBios增強用戶介面。它是NetBIOS協議的增強版本,曾被許多操作系統採用,例如Windows for Workgroup、Win 9x系列、Windows NT等。NETBEUI協議在許多情形下很有用,是WINDOWS98之前的操作系統的預設協議。總之NetBEUI協議是一種短小精悍、通信效率高的廣播型協議,安裝後不需要進行設置,特別適合於在「網路鄰居」傳送數據。所以建議除了TCP/IP協議之外,區域網的計算機最好也安上NetBEUI協議。另外還有一點要注意,如果一台只裝了TCP/IP協議的WINDOWS98機器要想加入到WINNT域,也必須安裝NetBEUI協議。
WAPI是WLAN Authentication and Privacy Infrastructure的英文縮寫。 它像紅外線、藍牙、GPRS、CDMA1X等協議一樣,是無線傳輸協議的一種,只不過跟它們不同的是它是無線區域網(WLAN)中的一種傳輸協議而已......>>
問題九:網路傳輸協議有哪些 TCP/IP,互聯網傳輸協議。
以下為各種網路傳輸協議列表(後面數字表示應用層協議默認服務埠):
A
ARP (ARP Address Resolution Protocol)
B
BGP (邊緣網關協議 Border Gateway Protocol)
藍牙(Blue Tooth)
BOOTP (Bootstrap Protocol)
D
DHCP(動態主機配置協議 Dynamic Host Configuration Protocol)
DNS(域名服務 Domain Name Service)
DVMRP (Distance-Vector Multicast Routing Protocol)
E
EGP (Exterior Gateway Protocol)
F
FTP (文件傳輸協議 File Transfer Protocol) 21
H
HDLC (高級數據鏈路控制協議 High-level Data Link Control)
HELLO(routing protocol)
HTTP 超文本傳輸協議 80
HTTPS 安全超級文本傳輸協議
I
ICMP (互聯網控制報文協議 Internet Control Message Protocol)
IDRP (InterDomain Routing Protocol)
IEEE 802
IGMP (Internet Group Management Protocol)
IGP (內部網關協議 Interior Gateway Protocol )
IMAP
IP (互聯網協議 Internet Protocol)
IPX
IS-IS(Intermediate System to Intermediate System Protocol)
L
LCP (鏈路控制協議 Link Control Protocol)
LLC (邏輯鏈路控制協議 Logical Link Control)
M
MLD (多播監聽發現協議 Multicast Listener Discovery)
N
NCP (網路控制協議 Network Control Protocol)
NNTP (網路新聞傳輸協議 Network News Transfer Protocol) 119
NTP (Network Time Protocol)
P
PPP (點對點協議 Point-to-Point Protocol)
POP (郵局協議 Post Office Protocol) 110
R
RARP (逆向地址解析協議 Reverse Address Resolution Protocol)
RIP (路由信息協議 Routing Information Protocol)
S
SLIP (串列鏈路連接協議Serial Link Internet Protocol)
SNMP (簡單網路管理協議 Simple Network Management Protocol)
SMTP (簡單郵件傳輸協議 Simple Mail Transport Protocol) 25
SCTP(流控制傳輸協議 Stream Control Tran *** ission Protocol)
T
TCP (傳輸控制協議 Tran *** ission Control Protocol)
TFTP (Trivial File Transfer Protocol)
Telnet (遠程終端協議 remote terminal protocol) 23......>>
問題十:網路安全管理包括什麼內容? 網路安全管理是一個體系的東西,內容很多
網路安全管理大體上分為管理策略和具體的管理內容,管理內容又包括邊界安全管理,內網安全管理等,這里給你一個參考的內容,金牌網管員之網路信息安全管理,你可以了解下:
ean-info/2009/0908/100
同時具體的內容涉及:
一、信息安全重點基礎知識
1、企業內部信息保護
信息安全管理的基本概念:
信息安全三元組,標識、認證、責任、授權和隱私的概念,人員角色
安全控制的主要目標:
安全威脅和系統脆弱性的概念、信息系統的風險管理
2、企業內部信息泄露的途徑
偶然損失
不適當的活動
非法的計算機操作
黑客攻擊:
黑客簡史、黑客攻擊分類、黑客攻擊的一般過程、常見黑客攻擊手段
3、避免內部信息泄露的方法
結構性安全(PDR模型)
風險評估:
資產評估、風險分析、選擇安全措施、審計系統
安全意識的培養
二、使用現有安全設備構建安全網路
1、內網安全管理
內網安全管理面臨的問題
內網安全管理實現的主要功能:
軟硬體資產管理、行為管理、網路訪問管理、安全漏洞管理、補丁管理、對各類違規行為的審計
2、常見安全技術與設備
防病毒:
防病毒系統的主要技訂、防病毒系統的部署、防病毒技術的發展趨勢
防火牆:
防火牆技術介紹、防火牆的典型應用、防火牆的技術指標、防火牆發展趨勢
VPN技術和密碼學:
密碼學簡介、常見加密技術簡介、VPN的概念、VPN的分類、常見VPN技術、構建VPN系統
IPS和IDS技術:
入侵檢測技術概述、入侵檢測系統分類及特點、IDS結構和關鍵技術、IDS應用指南、IDS發展趨勢、入侵防禦系統的概念、IPS的應用
漏洞掃描:
漏洞掃描概述、漏洞掃描的應用
訪問控制:
訪問控制模型、標識和認證、口令、生物學測定、認證協議、訪問控制方法
存儲和備份:
數據存儲和備份技術、數據備份計劃、災難恢復計劃
3、安全設備的功能和適用范圍
各類安全設備的不足
構建全面的防禦體系
三、安全管理體系的建立與維護
1、安全策略的實現
安全策略包含的內容
制定安全策略
人員管理
2、物理安全
物理安全的重要性
對物理安全的威脅
對物理安全的控制
3、安全信息系統的維護
安全管理維護
監控內外網環境
4. 無線網路安全機制怎樣設置
遵循下面的四個簡單步驟,我們就能查出我們擔心的事情列表中的網路安全問題。
步驟 1:我們首先要修改無線路由器設置菜單中允許我們訪問這個路由器的默認用戶名和口令。幾乎在所有的技術支持網站上都有這些默認的用戶名和口令,因此,任何人都能訪問採用廠商設置的路由器。更換用戶名和口令是非常重要的,因為如果向路由器輸入正確的口令,我們能夠採取的任何其它安全措施都會被繞過。
步驟 2:我們需要採用自己選擇的獨特的名稱修改默認的網路名稱,也就是SSID。播出的網路名稱是出現在我們的PC上的「可用無線網路」列表上的網路。一旦我們為自己的網路選擇了一個新的名稱,我們就會讓其他人看不到這個網路。各種不同品牌的路由器都採用不同的方法提供這個功能。在某些路由器上,這些路由器將詢問我們是否要「播出」這個SSID。有些路由器將詢問我們是隱藏還是公開這個SSIS。無論使用哪一個詞彙,它的意思都是一樣的。一旦啟用了這個功能,你的網路就不會出現在其他人的「可用網路」列表中,從而減少被其他人使用的麻煩。需要指出的是,在隱藏這個網路之後,Windows Vista用戶需要把連接設備設置為「即使網路不在廣播也要進行連接」。在「管理無線網路」窗口下的網路連接屬性中能夠找到這個選項。
步驟 3:配置「安全模式」。比較新的路由器最多有三項選擇:WEP、WPA或者WPA2。這三種選擇的區別是:WEP是一種老式的方法,不太安全;WPA有很大的改進;WPA2是目前最佳的選擇。最近幾年購買的大多數路由器應該至少都提供WEP和WPA的安全選擇。當選擇WPA或者WPA2安全選擇的時候,這些選項要求我們進一步選擇一種「加密類型」:TKIP或者AES。在這兩種選擇中,AES更好一些。當設置安全選項的時候,人們經常發現並非多有的網路設備都支持每一個可能的設置。有些路由器推薦使用不同的安全級別進行連接:筆記本電腦採用WPA2-AES,Xbox 360游戲機採用WPA-TKIP。如果沒有這個選擇,我們可以選擇較低的安全設置或者升級到擁有更安全的功能的比較新的網路設備。
步驟 4:啟用網路上的MAC地址過濾功能。能夠組成一個網路連接的所有的設備都有一個稱作MAC地址的獨特的12個字元的標識符。這個標識符通常能夠在我們設法連接的設備的網路屬性中找到。這個標識符以6個雙字元組的形勢出現,每一種字元用冒號「:」或者破折號「-」隔開。通過啟用MAC地址控制我們的路由器,我們能夠為允許進入我們網路的那些設備輸入一個標識符,其它所有的沒有標識符的設備都不允許訪問我們的網路。
通過採取這些步驟配置我們的路由器的安全功能,我們會為保護我們的信息隱私和系統的完整性創建「三重鎖」。這些安全措施幾乎可以勸阻最頑固的黑客進入我們的網路,因為在其它地方還有輕松的機會的時候,沒有人願意在這里費太大的氣力。如果其它地方是他們要去的地方,那對我們來說是很好的。
南京兆通網路有限公司
5. 鏃犵嚎璺鐢卞櫒瀹夊叏璁劇疆 鎬庝箞鍥炰簨
闅忕潃瓚婃潵瓚婂氱殑鐢ㄦ埛閫夋嫨鏃犵嚎鏉ユ彁楂樺伐浣滅殑縐誨姩鎬,鏃犵嚎鐨勫畨鍏ㄤ篃寮濮嬪囧彈澶у跺叧娉ㄣ傚彲浠ヨ,鏃犵嚎姣旀湁綰挎洿闅句繚鎶,鍥犱負鏈夌嚎鐨勫滻瀹氱墿鐞嗚塊棶鐐規暟閲忔湁闄,鑰屾棤綰誇腑淇″彿鑳藉熻揪鍒扮殑浠諱綍涓鐐歸兘鍙鑳借浣跨敤銆
鐩鍓,鍚勫ぇ鍝佺墝鍘傚晢鍦ㄦ棤綰胯礬鐢卞櫒鐨勯厤緗璁捐℃柟闈㈠炲姞浜嗗瘑閽ャ佺佹SSID騫挎挱絳夊氱嶆墜孌,浠ヤ繚璇佹棤綰跨殑瀹夊叏銆
璁劇疆瀵嗛掗
鏃犵嚎鍔犲瘑鍗忚(WEP)鏄瀵規棤綰誇腑浼犺緭鐨勬暟鎹榪涜屽姞瀵嗙殑涓縐嶆爣鍑嗘柟娉曘傜洰鍓,鏃犵嚎璺鐢卞櫒鎴朅P鐨勫瘑閽ョ被鍨嬩竴鑸鏈変袱縐,鍒嗗埆涓64浣嶅拰128浣嶇殑鍔犲瘑綾誨瀷,瀹冧滑鍒嗗埆闇瑕佽緭鍏10涓鎴26涓瀛楃︿覆浣滀負鍔犲瘑瀵嗙爜銆傝稿氭棤綰胯礬鐢卞櫒鎴朅P鍦ㄥ嚭鍘傛椂,鏁版嵁浼犺緭鍔犲瘑鍔熻兘鏄鍏抽棴鐨,蹇呴』鍦ㄩ厤緗鏃犵嚎璺鐢卞櫒鐨勬椂鍊欎漢宸ユ墦寮銆
紱佺敤SSID騫挎挱
閫氬父鎯呭喌涓,鍚屼竴鐢熶駭鍟嗘帹鍑虹殑鏃犵嚎璺鐢卞櫒鎴朅P閮戒嬌鐢ㄤ簡鐩稿悓鐨凷SID,涓鏃﹂偅浜涗紒鍥鵑潪娉曡繛鎺ョ殑鏀誨嚮鑰呭埄鐢ㄩ氱敤鐨勫垵濮嬪寲瀛楃︿覆鏉ヨ繛鎺ユ棤綰,灝辨瀬鏄撳緩絝嬭搗涓鏉¢潪娉曠殑榪炴帴,緇欐垜浠鐨勬棤綰垮甫鏉ュ▉鑳併傚洜姝,寤鴻浣犳渶濂借兘澶熷皢SSID鍛藉悕涓轟竴浜涜緝鏈変釜鎬х殑鍚嶅瓧銆
鏃犵嚎璺鐢卞櫒涓鑸閮戒細鎻愪緵鈥滃厑璁窼SID騫挎挱鈥濆姛鑳姐傚傛灉浣犱笉鎯寵╄嚜宸辯殑鏃犵嚎琚鍒浜洪氳繃SSID鍚嶇О鎼滅儲鍒,閭d箞鏈濂解滅佹SSID騫挎挱鈥濄備綘鐨勬棤綰誇粛鐒跺彲浠ヤ嬌鐢,鍙鏄涓嶄細鍑虹幇鍦ㄥ叾浠栦漢鎵鎼滅儲鍒扮殑鍙鐢ㄥ垪琛ㄤ腑銆
閫氳繃紱佹SSID騫挎挱璁劇疆鍚,鏃犵嚎鐨勬晥鐜囦細鍙楀埌涓瀹氱殑褰卞搷,浣嗕互姝ゆ崲鍙栧畨鍏ㄦх殑鎻愰珮,絎旇呰や負榪樻槸鍊煎緱鐨勩
紱佺敤DHCP
DHCP鍔熻兘鍙鍦ㄦ棤綰垮矓鍩熺綉鍐呰嚜鍔ㄤ負姣忓彴鐢佃剳鍒嗛厤IP鍦板潃,涓嶉渶瑕佺敤鎴瘋劇疆IP鍦板潃銆佸瓙緗戞帺鐮佷互鍙婂叾浠栨墍闇瑕佺殑TCP/IP鍙傛暟銆傚傛灉鍚鐢ㄤ簡DHCP鍔熻兘,閭d箞鍒浜哄氨鑳藉緢瀹規槗浣跨敤浣犵殑鏃犵嚎銆傚洜姝,紱佺敤DHCP鍔熻兘瀵規棤綰胯岃█寰堟湁蹇呰併傚湪鏃犵嚎璺鐢卞櫒鐨勨淒HCP鏈嶅姟鍣ㄢ濊劇疆欏逛笅灝咲HCP鏈嶅姟鍣ㄨ懼畾涓衡滀笉鍚鐢ㄢ濆嵆鍙銆
鍚鐢∕AC鍦板潃銆両P鍦板潃榪囨護
鍦ㄦ棤綰胯礬鐢卞櫒鐨勮劇疆欏逛腑,鍚鐢∕AC鍦板潃榪囨護鍔熻兘鏃,瑕佹敞鎰忕殑鏄,鍦ㄢ滆繃婊よ勫垯鈥濅腑涓瀹氳侀夋嫨鈥滀粎鍏佽稿凡璁綧AC鍦板潃鍒楄〃涓宸茬敓鏁堢殑MAC鍦板潃璁塊棶鏃犵嚎鈥濊繖綾葷殑閫夐」銆
鍙﹀,濡傛灉鍦ㄦ棤綰垮矓鍩熺綉涓紱佺敤浜咲HCP鍔熻兘,閭d箞寤鴻浣犱負姣忓彴浣跨敤鏃犵嚎鏈嶅姟鐨勭數鑴戦兘璁劇疆涓涓鍥哄畾鐨処P鍦板潃,鐒跺悗灝嗚繖浜汭P鍦板潃閮借緭鍏IP鍦板潃鍏佽稿垪琛ㄤ腑銆傚惎鐢ㄤ簡鏃犵嚎璺鐢卞櫒鐨処P鍦板潃榪囨護鍔熻兘鍚,鍙鏈塈P鍦板潃鍦ㄥ垪琛ㄤ腑鐨勭敤鎴鋒墠鑳芥e父璁塊棶,鍏朵粬浜哄垯鏃犳硶璁塊棶銆
6. 怎麼設置安全機制無線網路
涉及到無線網路安全性設計時,通常應該從以下幾個安全因素考慮並制定相關措施。
(1)身份認證:對於無線網路的認證可以是基於設備的,通過共享的WEP密鑰來實現。
它也可以是基於用戶的,使用EAP來實現。無線EAP認證可以通過多種方式來實現,比如EAP-TLS、EAP-TTLS、LEAP和PEAP。在無線網路中,設備認證和用戶認證都應該實施,以確保最有效的無線網路安全性。用戶認證信息應該通過安全隧道傳輸,從而保證用戶認證信息交換是加密的。因此,對於所有的網路環境,如果設備支持,最好使用EAP-TTLS或PEAP。
(2)訪問控制:對於連接到無線。
網路用戶的訪問控制主要通過AAA伺服器來實現。這種方式可以提供更好的可擴展性,有些訪問控制伺服器在802.1x的各安全埠上提供了機器認證,在這種環境下,只有當用戶成功通過802.1x規定埠的識別後才能進行埠訪問。此外還可以利用SSID和MAC地址過濾。服務集標志符(SSID)是目前無線訪問點採用的識別字元串,該標志符一般由設備製造商設定,每種標識符都使用默認短語,如101即指3COM設備的標志符。倘若黑客得知了這種口令短語,即使沒經授權,也很容易使用這個無線服務。對於設置的各無線訪問點來說,應該選個獨一無二且很難讓人猜中的SSID並且禁止通過天線向外界廣播這個標志符。由於每個無線工作站的網卡都有唯一的物理地址,所以用戶可以設置訪問點,維護一組允許的MAC地址列表,實現物理地址過濾。這要求AP中的MAC地址列表必須隨時更新,可擴展性差,無法實現機器在不同AP之間的漫遊;而且MAC地址在理論上可以偽造,因此,這也是較低級的授權認證。但它是阻止非法訪問無線網路的一種理想方式,能有效保護無線網路安全。
(3)完整性:通過使用WEP或TKIP,無線網路提供數據包原始完整性。
有線等效保密協議是由802.11標準定義的,用於在無線區域網中保護鏈路層數據。WEP使用40位鑰匙,採用RSA開發的RC4對稱加密演算法,在鏈路層加密數據。WEP加密採用靜態的保密密鑰,各無線工作站使用相同的密鑰訪問無線網路。WEP也提供認證功能,當加密機制功能啟用,客戶端要嘗試連接上AP時,AP會發出一個Challenge Packet給客戶端,客戶端再利用共享密鑰將此值加密後送回存取點以進行認證比對,如果正確無誤,才能獲准存取網路的資源。現在的WEP也一般支持128位的鑰匙,能夠提供更高等級的無線網路安全加密。在IEEE 802.11i規范中,TKIP:Temporal Key Integrity Protocol(暫時密鑰集成協議)負責處理無線網路安全問題的加密部分。TKIP在設計時考慮了當時非常苛刻的限制因素:必須在現有硬體上運行,因此不能使用計算先進的加密演算法。TKIP是包裹在已有WEP密碼外圍的一層「外殼」,它由WEP使用的同樣的加密引擎和RC4演算法組成。TKIP中密碼使用的密鑰長度為128位,這解決了WEP的密鑰長度過短的問題。
(4)機密性:保證數據的機密性可以通過WEP、TKIP或VPN來實現。
前面已經提及,WEP提供了機密性,但是這種演算法很容易被破解。而TKIP使用了更強的加密規則,可以提供更好的機密性。另外,在一些實際應用中可能會考慮使用IPSec ESP來提供一個安全的VPN隧道。VPN(Virtual Private Network,虛擬專用網路)是在現有網路上組建的虛擬的、加密的網路。VPN主要採用4項安全保障技術來保證無線網路安全,這4項技術分別是隧道技術、密鑰管理技術、訪問控制技術、身份認證技術。實現WLAN安全存取的層面和途徑有多種。而VPN的IPSec(Internet Protocol Security)協議是目前In-ternet通信中最完整的一種無線網路安全技術,利用它建立起來的隧道具有更好的安全性和可靠性。無線客戶端需要啟用IPSec,並在客戶端和一個VPN集中器之間建立IPSec傳輸模式的隧道。
(5)可用性:無線網路有著與其它網路相同的需要,這就是要求最少的停機時間。
不管是由於DOS攻擊還是設備故障,無線基礎設施中的關鍵部分仍然要能夠提供無線客戶端的訪問。保證這項功能所花費資源的多少主要取決於保證無線網路訪問正常運行的重要性。在機場或者咖啡廳等場合,不能給用戶提供無線訪問只會給用戶帶來不便而已。而一些公司越來越依賴於無線訪問進行商業運作,這就需要通過多個AP來實現漫遊、負載均衡和熱備份。
當一個客戶端試圖與某個特定的AP通訊,而認證伺服器不能提供服務時也會產生可用性問題。這可能是由於擁塞的連接阻礙了認證交換的數據包,建議賦予該數據包更高的優先順序以提供更好的QoS。另外應該設置本地認證作為備用,可以在AAA伺服器不能提供服務時對無線客戶端進行認證。
(6)審計:審計工作是確定無線網路配置是否適當的必要步驟。
如果對通信數據進行了加密,則不要只依賴設備計數器來顯示通信數據正在被加密。就像在VPN網路中一樣,應該在網路中使用通信分析器來檢查通信的機密性,並保證任何有意無意嗅探網路的用戶不能看到通信的內容。為了實現對網路的審計,需要一整套方法來配置、收集、存儲和檢索網路中所有AP及網橋的信息,有效保護無線網路安全。