网络安全实用教程 工业和信息化普通高等教育“十二五”规划教材立项项目 教学课件 作者 刘远生 ch9.pptVIP

第9章 无线网络安全与应用;无线技术与网络技术的融合提供了即时通信和永久在线的可能性。无线通信中信息是利用无形介质传输的，因此更容易被截收，信息安全问题更加突出。本章将探讨无线网络的安全与应用。 本章有两小节： 9. 1 无线网络安全技术 9. 2 无线网络的安全配置实例;9．1 无线网络安全技术;9.1.1 无线广域网安全 1．无线广域网技术 (1) MMDS技术 (2) LMDS技术 (3) 扩频技术 (4) 无线应用协议(WAP);2．无线通信技术 第一代无线通信技术(1G)是基于模拟信号的，其传输速率为9.6Kbps或更低。第二代无线通信技术(2G)是基于数字信号的，其典型标准有TDMA、CDMA和GSM，它们能够提供更高的传输速率和更好的安全性。2.5G(如HSCSD和GPRS)是2G的功能提升及向3G的过渡。3G(如UMTS、WCDMA和TD-SCDMA)的传输速率可达到14.4K～2Mbps。4G着眼于无线异步传输模式(WATM)，能够提供10M～150Mbps的高质量、低差错率的服务，它就是真正的高速无线数据网络。;3．无线通信的安全性 (1) 无线设备的安全 (2) 无线数据加密 (3) 无线技术的安全性;9.1.2 无线局域网安全 无线局域网(WLAN)是利用无线通信技术在局部范围内建立的网络，是计算机网络与无线通信技术相结合的产物，它以无线多址信道作为传输媒介，提供传统有线局域网的功能，能够使用户真正实现随时、随地、随意的宽带网络接入。当然，WLAN也存在着严重的安全问题。它提供给用户的方便也可能成为攻击者入侵网络的捷径。 在WLAN应用中，对于家庭用户、公共场所安全性要求不高的用户，使用VLAN(虚拟局域网)隔离、MAC地址过滤、服务区域认证ID(ESSID)、密码访问控制和有线等效保密 (WEP) 协议等可以满足其安全性需求。但对于公共场所安全性要求较高的用户，仍然存在着安全隐患，需要将有线网络中的一些安全机制引进到WLAN中。在无线AP (无线访问点)实现复杂的加密算法，通过无线接入控制器，利用PPPoE或DHCP Web认证方式对用户进行认证，对用户的业务流实行实时监控。;1．无线AP安全 在无线网络中，攻击者发起攻击将不再受必须在建筑物内部连接网络端口等限制，也不受相应的物理限制，也不必设法绕过路由器、防火墙和服务器安全系统等网络边界措施。攻击者即使没有与WLAN连接，也可使用WLAN嗅探器来监视WLAN上的通信数据。因此，攻击者为监视网络并不需要成为网络的一部分。实际上，现已有很多工具(如AirSnort)都可以扫描无线网络信号。这些工具允许远程计算机监听特定频道的WLAN信号。也有很多程序可以使掌上或袖珍计算机转化为无线网络嗅探器，虽然这些工具是用来帮助网络管理员保护WLAN的，但攻击者也同样可以利用。典型的WLAN中多个工作站连接一个无线AP，无线AP接入网络，负责在工作站和网络其他部分之间转发流量。嗅探工具一旦定位到信号，即可收集经空间传播的数据。;2．无线局域网安全措施 (1) WEP (2) MAC地址过滤 (3) RADIUS验证 (4) IEEE 802.11i;9．2 无线网络的安全配置实例;9.2.1 无线网络路由器配置 1．禁用DHCP功能 2．无线加密 3．安全设置 (1) 关闭SSID广播 (2) 网站域名过滤设置 (3) 主动更新 4．无线路由器“高级”设置 (1) 设置MAC过滤规则 (2) 设置端口转发 (3) 设置应用程序规则;9.2.2 无线网卡配置 1. Windows XP客户端配置 2．专用配置程序;9.2.3 无线网络的防火墙功能配置 防火墙可以被安装在一个单独的路由器中，用来过滤不需要的信息包。无线路由器的防火墙支持IP过滤、域名过滤??MAC地址过滤等功能。可以帮用户简单方便地过滤一些不良网站，并可控制访问Internet的用户数量和用户的上网权限。通过无线路由器的定时功能，用户还能控制这些规则在指定的时间段生效。防火墙的IP地址过滤功能可用来阻挡某些特定的对网络有损害的外部IP地址，以保护用户上网安全。使用域名过滤功能可对色情、暴力、毒品等网站进行过滤，以使用户有一个健康的上网环境。