无线局域网在为用户提供便捷高效的网络部署方式时，也为黑客入侵创造了一条高速通路，因此无线网络设置多层防御措施迫在眉睫。

一位美国休斯顿的电脑安全分析师曾入侵哈里斯县地方法院办公处的无线计算机系统，迫使该县的无线局域网在启动一个月后被迫关闭，而且花费了5万美元才得以修复。无线局域网在为公众带来便捷的同时，也为黑客的入侵创造了一条高速通路。当企业使用没有安全防护的无线局域网技术时，即使一些初级黑客都有可能利用容易得到的廉价设备对企业网络进行攻击。安全问题已经成为阻碍WLAN进入信息化应用领域的最大障碍。

无线网络技术的安全

可以从以下几个方面来保障无线网络的安全性:

1. 控制访问设备的合法性

控制访问设备的合法性可以从 MAC地址访问控制、SSID的设置、合理选择接入点位置和禁用 DHCP四个方面加以考虑。

(1)MAC地址访问控制:

可以通过限制接入终端的MAC地址来确保只有经过登记的设备才可以接入无线网络。由于每一块无线网卡拥有唯一的MAC地址，在接入点（AP: Access Point）内部可以建立一张“MAC地址控制表”，只有在表中列出的MAC地址才是合法可以连接的无线网卡，否则将会被拒绝连接。

虽然有可能出现MAC地址欺骗，即攻击者将自己设备的MAC地址修改成合法设备的MAC地址，但是MAC地址过滤仍然可以使对网络的攻击变得困难。

(2)SSID(Service Set Identifier)的设置规则:

每个制造厂商的接入点都具有不同的配置界面，结合了不同的硬件和软件，但是基本配置选项相同。在把接入点插入到网络之前，修改缺省设置是至关重要的。每一个AP内可以设置一个服务区域认证ID（SSID: Service Set Identifier），无线终端设备（如无线网卡）也可以设置SSID。每当无线终端设备要连上AP时，AP会检查其SSID是否与自己的ID一致，只有当AP和无线终端的SSID相匹配时，AP才接受无线终端的访问并提供网络服务。利用SSID，可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。值得注意的是，SSID和接入点名称的默认值一定要修改，而且要注意SSID和名称中不要出现公司名称、公司所在地、制造商名称等可以给攻击者任何提示的信息; 还要注意关闭接入点的SSID广播。

(3)合理选择接入点位置:

当局域网中安装了接入点，整个网络都会处于风险之中。网络中不受保护的接入点就像一扇打开的大门，吸引攻击者进入。因此需要把接入点放在网络中一个风险尽可能小的地方。应该把接入点看作非信任设备，放置在非信任网段中，采取一定的措施将非信任网段与原有网络隔离，这样即使攻击者接入接入点，破解了WEP密钥，它们也无法访问网络中的数据。而且还要确保接入点不能通过远程方式被配置，尤其是无线远程方式进行配置。

(4)禁用DHCP:

许多接入点和网络上提供的另一个功能是动态主机配置协议DHCP。从网络管理的角度看，DHCP提供了一种为请求方提供IP地址的方法。但是，从安全角度看，这对得到地址的请求方的控制很少。因此，应该关闭该服务，尤其是在无线局域网中。因为DHCP提供了IP地址和路由信息，所以攻击者会立刻加入到WLAN网段中。通过对用户无线网卡的IP地址进行分别配置，可以迫使攻击者不得不花费更多时间进行窥探，为网络管理员提供了更长的时间来追捕攻击者。

2. 控制无线信号泄露

WLAN中使用的是无线信号，无线信号可以穿越墙壁和窗户，没有明显的界限。一定要对无线信号进行测量，确定接入点的放置位置，使得合法用户范围内信号强度较强，合法用户范围之外信号强度较弱。比如，接入点要远离窗户，这样信号在离开建筑物之前就已经很弱了。

典型的WLAN拓扑图

3. 启用无线加密协议

由于完全控制无线信号的泄露几乎是不可能的，所以还需要采取其他措施，如使用无线加密协议。

(1)有线对等保密WEP （Wired Equivalent Privacy）:

WEP是IEEE 802.11b协议中最基本的无线安全加密措施，它是所有经过 Wi-Fi认证的无线局域网络产品所支持的一项标准功能。利用一套基于40位/128位共享加密秘钥的RC4加密算法对网络中所有通过无线传送的数据进行加密，由IEEE制定，其主要用途包括提供接入控制、防止未授权用户访问网络、防止数据被攻击者窃听、防止数据被攻击者中途恶意纂改或伪造，从而有效地保护无线网络。

WEP的局限性是: 静态密钥使得WLAN很容易受到“密码再度使用”式攻击。静态WEP密钥对于WLAN上的所有用户都是通用的，这意味着如果某个无线设备丢失或者被盗，所有其他设备上的静态WEP密钥都必须进行修改，以保持相同等级的安全性。类似AirSnort这样的破解工具使攻击者可以主动地监控、接收和分析数据分组，破解静态WEP密钥。所以WEP密钥要定期修改，防止被攻破。

虽然WEP存在一定的漏洞，但在整体安全计划中，它仍然是比较有效的一种手段，可以阻止初级攻击者的攻击，或者延长攻击者花费的时间，提高攻击的代价。所以在无线覆盖范围不是很大、终端用户数量不是很多以及对安全要求不是很高的应用环境下使用WEP技术是最经济且方便的。

(2)新一代无线安全协议——IEEE 802.11i

大型企业的网络结构比较复杂、对网络的安全性要求很高，仅使用基本的安全措施并不能完全达到其安全需求。为了帮助解决WEP的缺陷，进一步加强无线网络的安全性，同时降低用户的成本， IEEE802.11工作组成立了I工作组（Tasks groups I），开发了一种802.11的升级标准——IEEE 802.11i无线安全标准，并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。

多层防御抵制黑客入侵

保障WLAN的安全只是整个企业安全框架的一个组成部分，所以应在网络中部署多层防御措施，以减轻黑客攻击的威胁。其他的安全组件包括防火墙、入侵检测系统和分段网络。

1. 部署入侵检测系统（IDS）

考虑添加入侵检测系统（IDS），这样可以发现无线局域网中即将发生的攻击活动。入侵检测系统可以放置在接入点所在的非信任网段，这样有助于提醒管理员可能发生的潜在威胁。如果攻击者获得了访问权限，并试图扫描其他用户或者防火墙，管理员就会得到有人滥用网络的警告。一旦这种行为发生，就意味着WEP密钥已经被破解，此时应该立即修改WEP。要正确维护IDS，就必须经常阅读警告日志，还需要经常查看防火墙日志和系统日志，以及其他一些应用程序的日志。

2. 使用访问控制列表 ACL

进一步保护无线网络，可以使用访问控制列表 ACL。虽然不是所有的无线接入点都支持这项特性，但如果网络支持，就可以具体地指定允许哪些机器连接到接入点。支持这项特性的接入点有时会使用普通文件传输协议（TFTP），定期下载更新的列表，以省去管理员必须在每台设备上手工设置使列表保持同步的麻烦。

3. 合理配置SNMP

网络管理协议（SNMP）是目前TCP/IP网络中应用最为广泛的网络管理协议，它提供了一种监控和管理计算机网络的系统方法。但由于SNMP缺少身份验证（Authentification）和加密机制（Privacy），所以在WLAN中容易成为泄密的突破口，因此如果接入点支持SNMP，建议禁用或者改变公开的共用字符串。如果不采取这项措施，黑客就可能利用SNMP获得有关网络的重要信息。

4. 启用RADIUS认证服务

一个能够支持上千名用户，具有最先进加密和认证技术的大型系统通常需要一套能够进行集中化管理的安全性解决方案。这些系统通过RADIUS （拨号用户远程认证服务） 进行管理。RADIUS能够对授权访问网络资源的网络用户进行集中化管理。不论是对有线的以太网络还是无线的802.11网络，RADIUS都是标准化的网络登录技术。

5. 分段网络隔离

对于安全网络来说，应该把VPN服务器放在非军事区（Demilitarized Zone，DMZ）中，接入点应置于防火墙外部。DMZ是一个添加在受保护网络和外部网络之间的网络，可以将敏感信息和公用信息隔离，以便提供另外一层安全。DMZ是分层安全设计的一个优秀实例。通过将VPN服务器隔离到一个网络段中，两个网络间数据共享的几率几乎为0。对已经获得DMZ中某个服务器访问权限的攻击者而言，这种隔离能阻止他在网络中进一步渗透。