无线局域网WLAN安全防护浅析

　　无线局域网的安全技术在不断地发展，研究人员正在将各种已有的和新出现的安全技术尝试应用于WLAN环境，力求找到安全高效的解决方案。

　　无论是WEP、WPA还是WAPI与802.11i，想必都不能单独解决无线局域网的安全问题，如何与现有的安全技术结合应用，最大限度地确保WLAN的安全势在必行。

　　合理配置是前提

　　合理配置无线局域网是确保安全的首要前提，主要包括：

　　*改变ESSID的缺省值，使用不易被猜到的ESSID号；

　　*关闭对ESSID的定期广播，这样设置之后，虽然客户机必须发送探测帧以询问ESSID，但入侵者则需借助一些无线数据包捕获及分析工具，增加了窃听难度；

　　*改变缺省密钥并定期更换；

　　*在网络规模较小且用户相对固定的场合使用MAC地址过滤来控制客户的访问。

　　加强客户端的防御

　　客户端的数据同样是不法分子觊觎的对象，加强防御也是保证WLAN安全的有效措施之一。在客户端可以通过以下三种方法保证数据的安全：

　　*使用口令及个人防火墙，防止对客户机的驱动器和文件夹的非授权访问；

　　*通信过程使用一次一密的会话密钥，因为密钥频繁改变，窃听者难以获得足够的数据以破解密钥；

　　*选择具有强加密算法的、基于应用层的第三方加密软件，可以绕过对Wi-Fi的各种攻击，保证数据不被解密。

　　抵御对内部网的攻击

　　在无线局域网与内部有线局域网相连通的环境，由于WLAN的不安全会殃及内部有线网，因此采取相应的抵御策略也是不可忽视的环节。使用企业级防火墙将AP（接入点）置于防火墙之外，只让IP或MAC地址合法的用户进入内部网，再配以VPN（VirtualPrivateNetworking虚拟专网）功能，既可使出差在外和在家办公的员工通过Internet访问内部有线网，又可以阻止通过WLAN对内部网的非授权访问。在这种应用中，通过无线访问内部网的企图被防火墙及VPN服务器隔离，同时，VPN服务器提供鉴别服务，而支持完全加密且基于VPN的方案易于扩展，能够做到支持大量用户。

　　加强检测与鉴别

　　在网络中加入RADIUS（RemoteAuthenticationDial-inUser Service，远程鉴定拨入用户服务）服务器，实现客户与AP间的相互鉴别，进而做到检测和隔离欺诈性AP。RADIUS服务器可以同时承担VPN服务器的任务，同时使用基于端口的鉴定标准802.lx，通过访问中心数据库对多种服务客户（如VPN客户及普通无线客户）进行鉴别。

　　网络管理不可忽视

　　除解决好上述安全策略之外，网络管理也是确保安全的有效措施。对于网络管理者而言，如果知道所有合法用户的MAC和IP地址，使用入侵检测工具（也是黑客常用的工具）定期扫描搜索便可发现非法用户。此外，使用静态IP地址在一定程度上也可以防止对无线网的非授权访问。因为使用DHCP服务器动态配置IP地址的网络会给一个“偷来”的ESSID配置一个合法的IP地址。

　　综上所述，由于无线局域网安全机制本身固有的安全脆弱性及无线传输介质特有的开放性和穿透性，如果再加上安装实施或使用过程中的疏漏，其安全性将变得十分脆弱。为了保证无线局域网的数据安全，除了安装配置和管理上应加强防范之外，用户端同样要加强防范。使用口令及个人防火墙可防止数据被非授权访问；对于安全级别要求较高且无线网又与内部有线网相连的场合，可以使用企业级防火墙并配以VPN和RADIUS；对高度敏感的数据使用第三方的、基于应用层的强加密算法对数据进行加密，可以绕过各种对无线网的有效攻击。只有确保无线网应用各环节的安全，才能充分发挥无线网的优越性。