无线局域网解决方案范文
时间:2023-05-06 18:13:33
导语:如何才能写好一篇无线局域网解决方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
我系大二及大三学生居住的寝室属于80年代建筑,没有接入互联网,并且不久将拆除,在离该建筑约60M的地方是机房,机房可正常上网,机房与建筑之间无明显障碍物阻隔。
在这种情况下,如果将该建筑通过有线接入互联网的话,只能采用拉线或者另外开通互联网接入点。若采用直接拉线,不利于维护,网线悬空也不美观,断裂后重新拉线很麻烦,而且网线传输距离局限于100米左右;若采用另外开通接入点,则造成同单位的电脑处于不同网段中,不利于管理,且投资较高。
鉴于此,考虑利用无线局域网技术,使有线和无线混联,解决寝室的孤岛危机问题。下面就无线网络的几种工作模式进行分析,并提出既经济又易于维护管理的解决方案。
2无线网络的几种工作模式
2.1无线AP+无线客户机模式
AP是无线上网接入口,相当于网关的作用。只需一台笔记本和可以实现无线信号网络覆盖的AP,就能实现无线上网。
这种模式是最常见也是组建无线局域网最简单、最方便的模式。只需根据不同的网络环境将无线路由器配置成无线AP,即可使无线客户机连接局域网或者互联网。
例如:常采取ADSL modem+无线路由器来组建家庭局域网。这里的路由器一般要同时起到对modem拨号和路由等功能。
而一般单位由于很多是采用有线和无线混联,对无线的要求一般只需要转发数据。这种情况下AP就只相当于一个无线集线器的作用。
2.2无线AP+无线客户端+有线客户机模式
这种模式是为了使一些需用有线连接的客户机准备的模式。只需对无线路由器进行相应设置即可使其变成一台无线客户端,用来接收无线信号。这里的无线客户端其实就相当于一个无线网卡,可以对设置好的无线信号进行接收,对相连客户机发出的数据进行发送。但在该模式中,只能将无线客户端作为无线网卡使用,其本身并不能对无线信号进行扩展,因此对于一些远离源AP的无线客户机来说,想用无线接入将不可能。
2.3利用WDS无线分布式系统
无线分布式系统WDS是一项新兴技术,是建构在HFSS或DSSS底下,可让基地台与基地台间得以沟通,其功能相当于无线网络的中继器,且可多台基地台对一台,目前有许多无线基台都有WDS。
WDS把有线网络的资料,透过无线网络当中继架构来传送,藉此可将网络资料传送到另一个无线网络环境,或另一个有线网络。WDS架构可以做到一对多传送,并且桥接的对象可以是无线网络卡或是有线系统。所以WDS最少要有两台同功能的AP,其最多数量则要看厂商设计的架构来决定。
简而言之:就是WDS可以让无线AP之间通过无线进行桥接(中继),在这同时并不影响其无线AP覆盖的功能。
除了以上三种无线工作模式以外,还有很多模式,这里不再阐述。
3解决方案
首先,考虑距离机房最近的寝室的笔记本电脑上网问题:采用无线AP+无线客户机模式,将无线路由器设置成为无线AP以后可以成功转发数据,便可实现无线客户机正常上网。在设置时,直接将无线路由器的WAN口设置为自动获取IP地址,然后关闭路由器的DHCP服务器功能。需特别说明的是,如果学校路由器设置为不能再使用路由器中转,这时只能把无线路由器当作一个纯无线AP来使用,否则将不能正常登录互联网,具体做法就是将校园网的线插入到四个LAN口中的任意一个即可。
然后解决同寝室的台式机和距离AP较远的寝室的笔记本电脑上网问题:利用WDS系统可以很好地解决这一问题。需要说明的是,组建WDS网络的无线路由器和AP所选择的无线频段必须相同,此外,两个无线路由器的ESSID如果设置为相同,不仅能实现WDS无线桥接功能,还可实现无线漫游。在部署两台具有WDS功能的无线路由器时,配置与前面无线路由器的配置相同,只是需要两台路由器均打开WDS功能。在台式机连接时,只需将网线连接到寝室路由器的LAN口上即可,而距离源AP较远的笔记本电脑更是只需像平常用无线网卡一样连上路由器即可。
WDS改变了原有单一、简单的无线应用模式。比如:大型热点区域和企业用户选用无线WDS技术的解决方案的时候,可以通过各种可选的无线应用方式来连接各个AP,这样就大大提高了整个网络结构的灵活性和便捷性。与此同时,使无线网络使用者以购买最少无线设备达到更多用途的功能实现,实现了组网成本的降低。此外,WDS所搭建的无线网络环境内,各种带有无线信号收发功能的设备(如笔记本电脑、智能手机、PDA)都可以在覆盖范围内任意畅游!
篇2
第一阶段:普及认识
回顾无线局域网从开始进入市场、到现在发展到一个较为快速的发展时期,事实上不过才6年左右的时间。1999年9月,IEEE802.11b和IEEE802.11a标准正式推出,人们才开始较为广泛地了解无线局域网。
我们可以把2003年前认定为第一阶段――这是一个更多人开始对室内无线局域网标准和产品有了具体认识的阶段。
中国的企业级用户的无线局域网概念是从室外无线桥接开始的,在过去的较长时间中,企业由于需要在较远距离内解决数据网络通信的问题,采用了诸多无线桥接的解决方案。我们一般把这称之为室外的无线解决方案(Outdoor Wireless Bridge)。
当时的企业级室外桥接并不采用现在的IEEE802.11系列标准,一般情况下,其特点是速率较低(小于10Mbps)、距离较远、价格较贵,并且不同厂家的产品也不一定兼容。
从2002年前后开始,借助较多无线局域网厂商对基于IEEE802.11系列标准的介绍,尤其是Intel公司在2003年年初布的内置802.11b功能的 “迅驰”产品,从消费者到企业级用户对室内无线局域网的了解有了相当大的提升。在这个过程当中,可以说,Intel公司迅驰移动计算技术的推出对企业级用户开始大规模认识室内无线局域网居功至伟。
总结无线局域网在中国企业级用户市场的开始阶段,可以这么认为,在2002年之前的中国企业级商用无线局域网的主要特点是:
1. 从过去只大量使用室外无线应用,过渡到也开始注意室内无线局域网的应用了。
2. 开始了解到802.11标准系列的产品,但企业级的无线局域网部署并不多。早期较大规模应用的无线局域网标准IEEE 802.11b的特点是:速率较低,从而导致支持的应用较少,11Mbps的无线数据通信速率只能支持企业一些最基本的Web上网和办公应用的处理,而无法处理企业当中一些需要较高带宽要求的应用;覆盖距离较短,基本上室内典型的范畴均在30米之内;安全保障机制较少,当时的Wep有线等效加密解决方案确实不能保证用户的高级安全;另外,网络部署的供电问题(PoE网线供电交换机较少)也没有解决。这些原因都导致企业级用户真正部署无线局域网的案例并不是太多。
3. 在这一阶段,越来越多的人和企业组织已经认识到了无线局域网的好处。
第二阶段:迅猛发展
从2003年开始到2006年年底,无线局域网技术的发展可谓相当迅猛,许多新技术标准相继推出,国内越来越多的企业级用户已从了解技术和产品发展到开始在自己的企业内根据需要在部分场所部署无线局域网了。
这一阶段,在技术和标准还处在快速发展过程中的同时,企业用户开始根据自己的需要并结合技术发展的实际接受并部署无线局域网。无线局域网在企业级用户当中,首先是从一些如会展中心、仓储中心、机场、酒店、学校、公众场合的“Hotspot热点”以及办公室网络等特别能利用到无线局域网好处的行业中发展,然后扩及到其他行业的快速跟进。现在,越来越多的企业级用户已认同无线局域网技术,并开始考虑部署,企业级无线局域网的部署处在一个较为快速的发展阶段。
在这个阶段,促使企业级用户开始大量部署无线局域网的一个最主要原因是,许多重大技术标准的定型(如IEEE 802.3af 以太网供电标准、IEEE802.11g、IEEE 802.11i无线局域网安全标准、IEEE802.11e服务质量标准等的颁布),使得无线局域网技术和产品在企业当中的应用相对来说已比较成熟。
市面上支持802.11g/b系列的无线局域网设备终端的类型越来越多,数量也越来越多。笔记本电脑的发货量在这些年有了相当大的快速增长,而内置802.11g Wi-Fi功能的笔记本电脑在其中占了相当大的比例。正是由于无线局域网络可将越来越多类型的终端接入网络,才可能导致用户更大规模地部署无线局域网络。
越来越多厂商开始将它们所要推广的新型应用在无线局域网的架构上成功运行。如VoWLAN的话音设备、内置Skype软件的Wi-Fi话机等,也促使企业用户越来越多地考虑在自己的企业内部快速部署无线局域网络。
总体来看,目前企业用户在部署企业级室内无线局域网时的典型考虑是:基于IEEE802.11g标准的产品,全面实施IEEE802.11i的安全策略,针对企业当中的不同应用考虑QoS服务质量体系,以为不同的应用提供不同等级的服务,更多地采用基于IEEE802.3af的具网线供电能力的以太网交换机,以有线交换机的有线以太网络作为整体的有线分布系统来连接各个分布在不同位置的无线接入点AP,融入到企业整体的用户控制以及设备管理的控制体系当中,为多种不同的终端提供方便的无线接入,为各种不同的应用提供尽可能多的支持。
由于无线局域网的带宽较低(54Mbps),大型环境当中众多AP无线频道的合理分配以及众多AP的集中管理,以及支持话音应用的跨AP的二层漫游甚至跨子网的三层漫游,还有整体无线局域网的高可靠性,对不同应用服务的QoS严格服务质量保证等等因素,目前阶段企业级无线局域网还是首先在一些能够较快享受到无线局域网便利的行业当中率先应用,并在其他一些行业应用当中作为有线局域网的一个扩充或者延伸快速地发展。
无线局域网的2007
在刚刚到来的2007年内,由于支持更高速率的无线局域网标准 IEEE 802.11n并不会快速得到批准, IEEE 802.11g 54Mbps的无线局域网产品仍然是企业部署无线局域网络的主流选择。2007年,厂商会在其企业级无线局域网产品当中增强更多易于用户配置的安全功能,如增强的欺诈AP以及欺诈无线客户端的检测及防范功能,无线局域网会和有线的交换机网络构建统一的网络基础架构平台,成为一个安全的整体。同样,为了更好地协助用户在部署企业级无线局域网时合理控制RF,更多增强的RF协调控制功能会在2007年的商业产品中出现。安全的、易于部署的、支持更多应用的整体无线局域网方案将为用户提供更多的选择和信心。
同时我们也看到,正如拥有约35年发展历史的有线以太网络一样,才经过6年发展的无线局域网正处在极为快速的发展过程当中,一些正在发展的技术将促使企业级用户更为快速地部署自己的无线局域网络。
1. 更高速率标准的无线局域网技术――IEEE 802.11n正在快速发展当中。新的IEEE802.11n的标准产品将同时工作在2.4GHz 和5GHz,采用创新的“多进多出”MIMO技术,通过一个无线信道发送和接收两个或更多的不同数据流,让每个信道的最大数据速率随着在同一个信道中传输的不同数据流的数量呈现线性增长。MIMO技术结合已在802.11g中采用的OFDM(正交频分复用)技术就构成了现在规划中802.11n标准的技术基础。新的规划中,802.11n产品可提供高达600Mbps的数据通信速率。整个标准估计在2007年年底左右会得到正式批准。新的基于IEEE802.11n的产品将会同时兼容以往的802.11a、b、g标准,另外,新型的天线控制技术及传输技术将使得无线局域网的传输距离大大增加。更高速率的新无线局域网标准产品将会支持企业更多的需要高带宽的应用。从2006年年初开始,市场上已经出现众多的 802.11n草案家庭用产品,并且Wi-Fi联盟也已决定从2007年年初开始对不同厂家的 802.11n草案产品进行兼容性认证,在2006年年底,已有部分笔记本电脑厂商开始提供基于802.11n草案的无线笔记本电脑产品,所有这些都会促使更为高速的无线局域网产品快速应用到企业级用户当中。
2. 无线交换机(Wireless Switch 或者 Wireless Control)产品的出现促使整个大型企业级无线局域网架构转向新一代的网络设计。新的架构总体思想是要确保无论从设备管理(如AP各种参数的配置管理)的集中控制到接入用户的严格身份认证和基于每一用户或用户组的策略控制,以及到各种安全策略的统一规划控制和更多应用的支持(如话音和视频)等,都要符合企业级用户部署网络的基本原则。但现在来看,无线交换机的整体网络解决方案还处在一个较为前期的发展阶段,价格较贵,配置也较复杂,并且一般情况下还是专用协议,一个厂家的无线交换机产品较难很好地支持其他厂家的无线接入点AP产品,因此成熟的无线交换机的下一代无线网络解决方案的成熟还需要业界厂商的诸多努力。
3. 一些新的无线城域网技术如WiMAX开始引入,这些技术的发展将和现在的无线局域网技术如何协调,还要看技术和市场的具体发展变化。
总体来说,从数据通信速率看,未来的无线局域网产品将会越来越快,最近的产品将会提供高达600Mbps的数据通信速率;从安全保证功能来看,未来的无线局域网产品会设计IEEE 802.11i 功能,在具体的部署和实施时更为简易,从而促使从中小企业在部署无线局域网的同时也一定会部署相应的安全策略;从网络服务质量来看,越来越多的设备将会统一遵循IEEE802.11e规范,让作为基础架构的无线局域网络能够识别不同的应用,并且根据企业的实际需要统一部署端到端的服务质量QoS控制体系;从整体的网络可靠性以及整体的网络管理来看,快速发展的技术将会带给企业级用户一个更加美好的明天。
(本文作者为NETGEAR公司中国区技术经理)
链接:2006年企业级无线局域网发展特点
2006年刚刚过去,从多个层面来看,这一年里中国的企业级无线局域网部署发展的确相当快速:
首先,从市面上支持802.11g/b系列的无线局域网设备终端的类型以及数量来看,越来越多的终端类型已经内置了Wi-Fi功能(包括内置Wi-Fi的手机,内置Wi-Fi的Skype硬件话机以及内置Wi-Fi的诸多专用型设备,其中内置Wi-Fi功能的笔记本电脑已经相当主流),并且其数量也在快速增长。
篇3
关键词:无线局域网;安全;防范措施
中图分类号:TP393.08
文献标识码: A
文章编号:1002-2422(2010)06-0059-02
1 无线局域网中主机面临的威胁
无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线局域网移动设备,比如手机或者PDA的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。
2 无线局域网安全性
IEEE802.11b标准的安全性,IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)。当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。IEEE 802.11b标准详细定义了两种认证服务:一是开放系统认证:是802.1lb默认的认证方式。二是共享密钥认证,这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP)。IEEE802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是:接入控制:防止未授权用户接入网络,其没有正确的WEP密钥。
加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当其被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
硬件设备:在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用其接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。
虚假接入点:IEEE802.11b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
3 完整的安全解决方案
无线局域网完整的安全方案以IEEE802.11b比为基础,是标准的开放式的安全方案,能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。核心部分:
扩展认证协议(Extensible Authentication Protocol,EA-P)是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器进行双向认证,客户通过提供用户名和密码来认证。RA-DIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEES02.1x协议,站点和R-ADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密其广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
SSID是无线接人的身份标识符,用户用其来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为家里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。设置方法如下:
首先,在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能,把各电脑的“名称”即Windows系统属性里的“计算机描述”,以后要固定使用的IP地址,其网卡的MAC地址都如实填写好,最后点“执行”就可以了。
对于无线商用网络,基于VPN的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,VPN在不可信的网络上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,VPN技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络VLAN从局域网已经被VPN服务器和内部网络隔离出来。VPN服务器提供网络的认征和加密,并充当局域网网络内部。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。
当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时,可以尝试建立与AP关联。目前,有3种方法在用户建立与无线网络的关联前对其进行身份验证。开放身份验证通常意味着只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于,如果没有其他的保护或身份验证机制,那么无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这个机制。STA向AP发送申请,然后AP发回口令。接着,STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的,因此如果有人能够同时截取口令和响应,那么就可能找到用于加密的密钥。采用其他的身份验证,授权机制。使用802.1x,VPN或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。
4 结束语
可选择的加密运算法则和IEEE 802.11规定要求无线网络至少要和有线网络一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中。
参考文献
[1]左晓栋,戴英侠.无线局域网的安全性分析[J].北京:电信科学.2001(7).
[2]吴越,曹秀英,胡爱群,等.无线局域网安全技术研究[J].北京:电信科学,2002(6).
篇4
论文摘要:本文简要叙述了无线网络技术的发展现状及其优势,重点论述了无线网络技术在校园图书馆中的应用以及在建设图书馆无线局域网过程中需要注意的问题。
随着人们生活和工作方式的转变,生活工作地点的移动也越来越频繁,因此移动电话、笔记本电脑、PDA等移动设备大行其道。随着计算机技术和通信技术的迅猛发展,传统的有线网络也逐渐暴露出种种问题:难以解决远距离信息传递、无法铺设线缆环境(如施工工地、地形比较复杂的校园环境)中的网络建设、移动办公等等。随着无线局域网技术标准、无线产品的不断推出,无线局域网的应用和普及已发展到了一个新阶段。无线局域网技术的发展对校园图书馆的建设有何影响,如何将无线局域网技术应用到校园图书馆中去已经成为各个学校图书馆信息化建设探索的目标。
1什么是无线局域网
无线局域网是在有线局域网的基础上发展起来,以无线信道作传输媒介的局域网络(Wireless Local Area Net-work),简称WLAN。它是计算机网络与无线通信技术相结合的产物,它利用无线多址信道支持计算机之间的通信,为计算机在移动中通信提供了可能。因此,无线局域网是不通过传统网络传输介质提供以太网或者令牌网络服务的计算机网络。无线局域网在发展过程中还拓广了局域网技术概念:联接不仅仅是连接;“本地”的距离从米延伸到了公里;基础设施不需要再埋在地下或隐藏在墙里;网络能够随着机构的发展而移动或变化。只要在笔记本或PC上安装PC Card适配器,用户就能够在无线网络覆盖区内自由移动而保持与网络的联结。将无线局域网技术应用到台式机系统,则具有传统局域网无法比拟的灵活性。桌面用户能够安放在缆线所无法到达的地方,台式机的位置能够随时随地进行变换。
无线局域网技术应用到台式计算机,可以提供传统局域网无法比拟的灵活性。用户可以随心所欲地将桌面计算机安放在传统缆线无法到达的地方,且允许其位置能够随时随地进行变换。无线局域网对于那些临时建立的工作机构或者快速发展的组织而言是最合适不过的选择。无线局域网的组建、配置和维护都较为简单,一般计算机工作人员都可以胜任网络的管理工作。
2无线局域网图书馆解决方案
按与有线局域网的关系,无线局域网分为独立式和非独立式两种。独立式无线局域网指整个网络都使用无线通信的无线局域网,非独立式无线局域网指局域网中无线网络设备与有线网络设备相结合使用的局域网。目前非独立式无线局域网居于无线局域网的主流,在有线局域网的基础上通过无线访问节点、无线网桥、无线网卡等设备使无线通信得以实现,其本身还要依赖于有线局域网,是有线局域网的扩展和补充,而不是有线局域网的替代产品。非独立式无线局域网,带有无线网卡的电脑与接人点(Access Point,简称“AP")实现无线通信,访问点通过线缆与网络的其他部分相连接。一个接人点覆盖的半径在35-100米之间,实际连接距离和速度视环境有无障碍物而定。而本校的图书馆无线局域网接人方案采用的就是非独立式无线局域网的拓扑结构,现在就结合本校实例对方案进行说明。
本校之所以选择无线局域接人学校图书馆主要考虑到以下几个方面:
2.1接入网络信息系统
通过无线局域网络,在校的老师或学生可以用便携式计算机或移动设备(如:PDA、智能手机等),通过无线网卡在学校任何地方连人信息系统查看最新的图书信息和连人数字图书馆。
2.2难以布线的环境
由于本校图书馆大楼时间较长比较陈旧导致有些部门布线困难所以采用无线局域网结构。
2.3使用移动设备进行网络连接
考虑到近几年在校师生使用便携式计算机等可移动设备的人数较多,而大多数移动设备便携式计算机都支持无线网卡所以采用无线局域网结构。
3无线局域网图书馆应注意的问题
无线局域网必须支持高速突发数据业务,在室内使用时要解决包括多径衰落、相邻子网间串扰等问题。下面我们列出组建图书馆无线局域网时必须注意和克服的4项技术难点。
3.1可靠性
有线局域网的信道误比特率达10-9,这样保证了通信系统的可靠性和稳定性。无线局域网的信道误比特率应尽可能低,否则,当误比特率过高而不能被纠错码纠正时,该错误分组将被安排重发。这样大量的重发分组会使网络的实际吞吐性能大打折扣。根据我们的实验数据表明,如系统分组丢失率,10-5,或信道误比特率
3.2兼容性
对室内应用的局域网,应尽可能与现有有线局域网兼容,现有的网络操作系统和网络软件应能在无线局域网上不加修改地正常运行。
3.3数据传输数率
为了满足局域网的业务环境,无线局域网至少应具备1 Mbps以上的数据传输数率。
3.4电磁环境、无线电频段的使用范围
在室内使用的无线局域网,应考虑电磁波对人体健康的损害及其它电磁环境的影响。无线电管理部门应规定无线局域网能够使用的频段,规定发射功率及带外辐射等各项技术指标。
篇5
【关键词】无线局域网 安全技术 漏洞
正是基于计算机网络信息化技术的高速发展,无线局域网成为了网络运行的基本载体,采用的是磁波,由于其具有较强的穿透性,因此,在无线局与网连接后,能保证其接入点服务区域都能得到有效分析和综合性处理,并且对无线客户端的接入点电磁波信号进行控制。值得一提的是,在利用无线局域网信号处理的过程中,窃听以及干扰信号时隐藏的安全隐患,需要技术人员给予其正确的安全管控,确保处理效果的最优化。
1 无线局域网漏洞分析
在对无线局域网进行漏洞分析的过程中,要对其安全隐患进行及时清除和综合性管理,保证控制体系的完整性和处理效果的实效性,也为管理模型的升级提供支撑。
1.1 无线局域网的服务攻击漏洞
无线局域网在常规化运行过程中,会遭遇到拒绝服务攻击问题,这也是有线网络运行体系中较为重要的问题,需要相关部门给予高度关注,并且对其攻击内容以及攻击形式进行细化处理和综合性分析。由于攻击者能发送和无线局域网相同频率的干扰信号对其常规化运行产生影响,这就会导致用户在正常操作体制中无法有效对信息和数据进行及时的读取和管理,也就是无法正常浏览和访问网络,需要相关项目管理人员对其进行集中管理和综合控制。
1.2 无线局域网的无线窃听漏洞
在实际管理体系建立后,网络安全问题是重中之重,需要技术人员结合实际需求进行统筹分析和综合性处理,由于无线电信号在实际传递过程中能有效传播到建筑物外,就导致入侵者在建筑物外也能对无线局域网进行访问和读取,这就会窃听到网络中传输的数据信息,导致整体处理效果和处理模型失去实效性。另外,在实际入侵过程中,需要对无线局域网的网络访问代码进行读取和分析,并且保证处理效果的最优化。
1.3 无线局域网的遭遇攻击问题
在无线局域网运行过程中,遭遇攻击问题较为常见,而攻击者甚至能将自身伪装成基站,正是由于无线移动设备在常规化运行过程中将自己信号进行切换和数据分析,这就给侵袭者以可乘之机,其只要借助移动设备对登录者信息进行侵略,就能对无线局域网系统进行攻击,例如,在网络遭遇工艺后,软件的BUG、系统中配置错误以及配置结构失败等。
2 无线局域网安全技术分析
2.1 无线局域网地址过滤控制模型
在安全管理控制模型建立和运行的过程中,要对其控制技术和管理要求进行细化处理和综合性分析。由于不同五项工作站的运行网卡都是借助唯一的物理地址进行处理和综合性表示,这就需要对其编码结构进行综合处理,其结构和以太网物理地址较为相似,都是48位,网络管理人员对访问点钟的手工维护项目进行地质列表的读取,确保相关物理地址的访问过滤切实有效,也从理论上实现了授权访问管理项目的实效性。
(1)要借助MAC地址对明文进行集中传送和信息处理,一定程度上减少MAC地址的安全隐患问题。
(2)要减少恶性修改,保证软件重置效果的有效性,也为修改项目的升级和综合性优有优化奠定坚实基础。
除此之外,在对相关控制模型进行集中处理和综合性管理的过程中,也要对服务标识进行统筹分析和综合性管理,确保无线工作站能正确认知服务级标识结构,并且进一步优化其处理效果。目前,在实际安全技术管理机制建立过程中,也要多大多数网络设备的MAC地址等信息进行集中处理和综合管控,确保信息处理效果符合实际预期,也为某些软件重置提供平台,真正提高管理效果的实效性,为项目升级奠定坚实基础。例如,在黑客事件中,黑客能修改自己的MAC地址冒充合法用户,从而对信息和数据进行盗取,这就需要引起技术人员和管理人员的高度重视,MAC过滤只能解决有限的安全问题,要想提高处理效果要进一步建立更加系统化的处理措施,不允许AP对服务集标识信号进行传递和管理,能借助无线工作站的一段主动和服务集标识建立关联,确保控制模型符合要求,也为信号处理措施和工作的全面开展奠定坚实基础。
2.3 无线局域网安全技术增强模型
在无线局域网安全技术增强体系建立过程中,要结合管理系统和控制措施。
(1)要利用IEEE802.1x协议,能对实体网络设备的逻辑结构进行综合分析和检验,并且在其认证结果进行统筹管控,在认证通知结束后,能应用AP无线工作对AP进行全面关联,从而保证认证效果符合和实际标准,提高用户上网的频率。
(2)要利用无线VPN安全解决方案,能在提高公共平台对相关网络信息和数据进行统筹处理,确保网络安全性符合实际需求,也为技术模型的综合性认证提供支持,确保管理体系用户认证结构和计费效果符合预期。另外,WAP技术也具有自身的优势,能保证消息完整性检查符合标准,且具有序列功能的初始向量以及密钥生成项目,能实现整体结构和信息数据的定期更新。
4 结束语
总而言之,在对数据和信息进行综合性分析的过程中,要保证安全问题符合实际标准,保证无线局域网在信息和数据管理结构符合标准,升级处理效果的基础上,真正建立多层次和多方位的综合分析,集中考量升级处理效果,确保灵活试验操作模型的有效性,为防护体系的升级进行多元化的综合性处理,也能保证整合联动在防护体系中发挥其实际价值。
参考文献
[1]党三,唐雪飞.无线局域网安全技术和标准的发展与研究[J].计算机应用,2015,24(z2):54-57.
[2]徐海涛.无线局域网安全技术在校园网络中的应用探究[J].消费电子,2014,15(10):99-99.
[3]张华.基于802.1X协议的无线局域网安全机制与改进研究[J].现代计算机:下半月版,2016,14(04):42-44.
[4]张天.网络教学中的无线局域网安全问题解决方法的讨论[J].科技信息,2013,22(17):170-171.
[5]谭娟.浅谈校园无线局域网安全性分析与解决方案[J].中国信息技术教育,2016,14(08):109-110.
作者简介
丁一(1969-),男,甘肃省兰州市人。大学本科学历。工程师。研究方向为广播电视技术。
篇6
论文摘要:无线网络飞速发展过程中存在着潜在威胁,安全问题是自无线局域网诞生以来一直困扰其发展与应用的重要因素。本文旨在浅析现阶段无线局域网存在的安全问题,并介绍了相应的安全实现解决方案。
一、无线局域网应用
无线局域网的应用范围非常广泛,无线局域网(WLAN)是现代无线通信技术在计算机网络中的成功应用。它以IEEE802.11x标准为基础,让用户真正实现随时、随地的宽带网络接入。由于其采用通过无线的方式实现连接,从而使网络的构建及终端的移动都更加灵活。但也正是因为它是借助空气作为传输介质的组网模式,具有开放性,也就带来了更多的安全风险。笔者浅析了无线局域网存在的安全问题,并简单介绍了相关的解决方案,希望能给读者加强无线局域网的安全有所帮助。
二、无线局域网的安全问题
无线局域网非常容易被发现,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。在目前的实际应用中,无线局域网的安全问题主要表现在以下四个方面:
1.网络被侦测。入侵者通过利用互联网上的应用程序,能捕捉位于AP(接入点)信号覆盖区域内的数据包,收集足够的WEP(有线等效保密)弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,可以在较短时间内攻破WEP密钥。
2.网络被窃听。通常网络通信是以明文形式进行的,这会使处于无线信号覆盖范围之内的入侵者能监听并破解通信内容。目前,这种威胁已经成为无线局域网面临的最大问题之一。
3.信息被窃取或篡改。无线局域网在没有足够的安全防范技术的情况下,是很轻易受到利用非法AP进行的中间人欺骗攻击。中间人攻击会对授权客户端和AP进行双重欺骗,进而对信息进行窃取和篡改。
4.网络拒绝服务。攻击者能对AP进行泛洪攻击,使AP拒绝服务,这是一种后果最为严重的攻击方式。也能对移动网络内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能正常工作,通常这也称为能源消耗攻击。
三、无线局域网安全研究的发展与研究必要性
无线局域网在带来巨大应用便利的同时,也存在许多安全上的问题。由于无线局域网通过开放性的无线传输线路传输高速数据,很多有线网络中的安全策略在无线方式下不再适用,在无线发射装置功率覆盖的范围内任何接入用户均可接收到数据信息,而将发射功率对准某一特定用户在实际中难以实现。要实现无线局域网的安全,保证其能有效应用,可以从以下几方面入手:
1.合理规划天线的放置,掌控信号覆盖范围。
第一步就是合理放置访问点的天线,以便能够限制信号在覆盖区以外的传输距离。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到区域外。
2.通过使用WEP,来提高无线设备的安全性能。
并建议常对WEP密钥进行更换,在有条件的情况下启用独立的认证服务为WEP 自动分配密钥。另外,在部署无线网络的时候一定要将出厂时的缺省SSID 更换为自定义的SSID。现在的A P 大部分都支持屏蔽SSID 广播,除非有特殊理由,否则应该禁用SSID广播,这样能减少无线网络被侦测的可能。
3.禁用DHCP服务。
对无线局域网而言,这很有作用。入侵者不得不破译用户的IP 地址、子网掩码及其它所需的TCP/IP 参数。
4.禁用或改动SNMP 设置。
假如公司的访问点支持SNMP,要么禁用,要么改变公开及专用的共用字符串。假如不采取这项措施,黑客就能利用SNMP 获得有关公司网络的重要信息。
5.建立与使用访问控制机制。
访问控制的目标是防止任何资源被非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。
6.尽可能构建好AAA服务器。
AAA服务器是实现认证、授权和计费(AAA,Authentication,Authorization & Accounting)功能的网络服务器。认证服务器保存用户的认证信息和相关属性,当接收到认证申请时,支持在数据库中对用户数据的查询。在认证完成后,授权服务器根据用户信息授权用户具有不同的权限。
四、结束语
作为开放式传输的无线局域网不会因其传输方式的不同而改变整体网络的安全策略。并通过探讨无线局域网在网络安全方面的特性,分析无线局域网的安全构架,说明了开放式无线局域网的安全基础。提出了无线局域网的安全和管理策略。无线局域网现处在蓬勃发展时期,而无线局域网的安全问题是关注的焦点之一。并且随着无线局域网应用的深入,其安全问题也会更加突出。但笔者相信有关安全技术必然会不断进步,以满足信息化社会发展的需要。
参考文献:
篇7
全球无线局域网市场正以惊人的速度发展。据调研机构统计,2007年Wi-Fi设备将占据家庭网络连接市场的半壁江山,97%的笔记本电脑将内置Wi-Fi芯片。随着各种宽带多媒体业务的兴起,以及数字家庭等大趋势的演进,用户对于无线局域网的带宽要求更高。9月27日,Broadcom(博通)公司宣布推出全球首款全功能802.11n单芯片解决方案BCM4322,将有力推动全球Wi-Fi网络向下一代迈进。
据了解,BCM4322不仅是目前市场上最小和最经济的802.11n解决方案,而且率先使Wi-Fi产品的实际吞吐量超过了200Mbps,最高数据速率可达300Mbps,能同时支持几路多媒体应用(包括高清视频流)。高度集成的芯片可以将设备制造成本降低40%,由此降低802.11n设备的价格,并提高802.11n在路由器、DSL网关、打印机、笔记本电脑等传统无线设备中的采用率。由于芯片占板面积小,制造商能够将802.11n加到以前从未具有无线局域网功能的消费类电子产品上,如电视机、机顶盒和便携式摄像机。此外,据Broadcom公司无线连接集团无线局域网(WLAN)事业部副总裁兼总经理Michael Hurlston介绍,新芯片的定价将非常有竞争力,Broadcom目前正在提供BCM4322的样品,并将于2008年第一季度开始批量交付,这将加速802.11n产品在市场上的普及。
“802.11n的产品将带给用户10倍于802.11品的速率,覆盖范围为802.11g的2倍,设备性能也更可靠。对于家庭用户来说,802.11n能够更好地支持视频、音频等多媒体文件的传送;而对企业用户来说,802.11n产品的容量更大、覆盖面积更广,具有更高的经济效益。”Michael Hurlston认为。
Broadcom目前在全球Wi-Fi市场位居第一,市场份额达28%。该公司最近刚刚推出了全球首款面向PC的Wi-Fi+蓝牙芯片BCM4312,以及面向笔记本电脑的Wi-Fi+蓝牙参考设计BCM4312MCGB。此外,Broadcom在HSPA领域表现也很积极,在今年春天的3GSM大会上了HSPA芯片产品。随着越来越多的用户使用无线设备相互连接,Broadcom公司正利用其在Wi-Fi、蓝牙和集成解决方案方面的优势,通过完整的产品线构建真正的无线环境,为局域网和个人网络提供出色的网络体验。
篇8
关键词无线网络;网络安全;安全防范
1引言
随着信息技术的飞速发展,人们对网络通信的需求不断提高,对Internet访问的持续性、移动性和适应性等方面取得很大进展,近年来无线网络已经成为一种较为普及的网络访问方式,并且在一些领域已经占据了主流的地位。这表明无线网络有着传统网络不能比拟的优势,但是将无线网络接入传统的Internet中存在许多技术问题和安全问题。
2无线局域网的结构及其运行方式
无线局域网所涉及的主要设备包括:无线AP、无线路由器、无线网桥等。无线AP(ACCESSPOINT)即无线接入点,相当于一个无线集线器(HUB),接在有线交换机或路由器上,为跟它连接的无线网卡从路由器那里分得IP。它主要是提供无线工作站对有线局域网的访问和从有线局域网对无线工作站的访问,在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信;无线路由器:无线路由器就是AP、路由功能和集线器的集合体,支持有线无线组成同一子网,直接连接上层交换机或ADSL猫等,因为大多数无线路由器都支持PPOE拨号功能;无线网桥又叫桥接器,它是一种在链路层实现局域网互连的存储转发设备。网桥有在不同网段之间再生信号的功能,它可以有效地连接两个LAN(局域网),使本地通信限制在本网段内,并转发相应的信号至另一网段。网桥通常用于连接数量不多的、同一类型的网段。
无线局域网一般采取以下的几种网络结构来实现互联。以适应不同的需要:
(1)基站接入型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。如图1。
(2)网桥连接型:不同的局域网之间互联时,如果不便采取有线方式,则可利用无线网桥的方式实现二者的点对点连接,比如距离比较远的两栋或更多建筑物之间的互联互通。无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。如图2。图1基站接入型图2网桥连接型(3)Infrastructure接入型:计算机通过无线网卡与AP或桥接器进行通讯,AP或桥接器起到了有线网络中HUB的作用。可以组建星型结构的无线局域网,所有传输的数据均需通过AP或桥接器,由桥接器进行网络的控制管理。不同桥接器可以相互串联以形成更大规模的网络。在该结构基础上的WLAN,可采用类似于交换型以太网的工作方式,要求HUB具有简单的网内交换功能。实现了无线网络与有线网络的无缝连接。
(4)无中心结构(Ad-hoc):即不通过AP,各计算机通过无线网卡自行进行通讯。网络管理分散到各个计算机中。是一种点对点的应用方式。要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。图3Infrastructure图4Ad-hoc3无线局域网的运行方式
无线局域网采用的标准是IEEE802.11。该标准定义了物理层和媒体访问控制(MAC)规范,允许无线局域网及无线设备制造商建立互操作网络设备。后来又相继公布了802.11a和802.11b,IEEE802.11b使用开放的2.4GHz直接序列扩频,最大数据传输速率为108Mbps,也可根据信号强弱把传输率调整为54Mbps、11Mbps、5.5Mbps、2Mbps和1Mbps带宽。直线传播传输范围为室外最大300m,室内有障碍的情况下最大100m,是现在使用的最多的传输协议。2000年,IEEE成立专门工作组对802.11g进行标准化工作,目的是为了用户获得更高的数据速率服务,后向兼容802.11b,前向兼容802.11a。
4无线局域网络主要的安全威胁
由于无线网络的传输方式和物理结构等原因,导致其在安全问题上较有线网络更容易受到威胁,主要表现在:
(1)容易泄漏,无线局域网络主要采用无线通信方式,其数据包更容易被截获,由于不能在物理空间上的严格界定,所以传输的信息很容易被泄漏,任何能接受到信号的人,都可进入并解码破译。而事实上很多无线局域网络在默认状态下是没有加密的。
(2)易受干扰,由于目前802.1lb协议规定的工作频段的开放性,广泛用于很多电子产品,因此容易互相干扰,造成无法通信或者通信中断,如果恶意用户通过干扰器对特定无线网络进行拒绝服务攻击或者干扰,那么这个干扰源不是很容易就能查出来的。
(3)入侵容易,无线网络的接入点在设计上要求其具有公开、易获取的特性,以方便合法接入者,但这也为入侵者提供了必要的信息,利用这些信息,入侵者可以在能够接受信号的任何地方进入网络或发起攻击,即使被入侵检测系统发现也很难定位,在不改变原有安全配置的情况下,难以阻止入侵的继续。虽然,802.11在安全方面规定了WEP加密,但是WEP加密是不安全的,WEP的脆弱可能使整个网络受到更大的威胁。
(4)地址欺骗与会话拦截,由于802.11无线局域网对数据帧不进行认证操作,通过非常简单的方法就可以获得网络中站点的MAC地址,然后通过欺骗帧改变ARP表,进行地址欺骗攻击。同时,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,装扮成AP进入网络,进一步获取认证身份信息从而进入网络。
5无线局域网中主要的安全防范技术
经过业界几年的努力,现在已经有一些较为有效的安全防范技术应用于无线网络中,比较通行的有以下一些技术:
(1)服务集标识符(SSID):ServiceSetIdentifier相当于一个局域网的简单标志或口令,它设置于无线接入点AP(AccessPoint)上,无线工作站要与AP连接必须要有一个和AP一致的SSID,无线工作站可以籍此来选择想要来连接的网络,从安全的角度来看,SSID提供一个较低级别的安全认证。
(2)物理地址过滤(MAC):在小规模的网络中,每一个被允许访问AP无线工作站的网卡的物理地址被登记下来,设置在AP中作为允许访问的过滤条件,在AP中没有登记的网卡无法访问AP。
(3)连线对等保密(WEP):WEP是WiredEquivalentPrivacy的简称,是802.11b标准里定义的一个用于无线局域网(WLAN)的安全性协议。WEP被用来提供和有线LAN同级的安全性。WEP的目标就是通过对无线电波里的数据加密提供安全性,如同端对端发送一样。由于在WLAN中,无需物理连接就可以连接到网络,因此IEEE选择在数据链路层使用加密,采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。
(4)Wi-Fi保护接入(WPA):WPA(Wi-FiProtectedAccess)继承了WEP的基本原理,通过使用一种名为TKIP(暂时密钥完整性协议)的新协议,使用的密钥与网络上每台设备的MAC地址及一个更大的初始化向量合并,来确保每一节点均使用一个不同的密钥流对其数据进行加密。随后TKIP会使用RC4加密算法对数据进行加密,由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析也几乎无法计算出通用密钥,解决[本文由网站公文大全收集整理]了WEP的缺陷,WPA还包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。
(5)端口访问控制技术(802.1x):802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的无线工作站通过接入端口访问LAN/WAN。在通过AP获得各种业务之前,802.1x对连接到AP端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。该技术是一种增强型的网络安全解决方案,特别适合于公共无线接入解决方案。
利用这些技术,我们在下节中提出了一系列具有实用意义的安全防范措施。
6无线局域网安全防范措施
6.1建立更安全的网络构架
采用何种网络构架对于无线网络的安全具有决定性的作用,随着人们对无线网络的安全问题越来越重视,许多新的技术被集成到无线局域网上,我们这里仅给出一种采用典型端口访问技术和VPN技术相结合的范例,见图5。
(1)采用端口访问技术(802.1x)进行控制,防止非授权的非法接入和访问。802.1x在端口上实现基于MAC地址的认证方式。做到IP与MAC地址的绑定,防止了用户的假冒。通过EAP协议可以与RADIUS服务器进行通信,提供便捷的认证方式。
(2)对于密度等级高的网络采用VPN进行连接,目前广泛应用于局域网络及远程接入等领域的虚拟专用网(VPN)安全技术。与802.11b标准所采用的安全技术不同,在IP网络中,VPN主要采用IPSec技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的VPN安全技术与802.11b安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案。图5一个安全的无线局域网构架6.2无线接入点的安全措施
(1)在有条件的情况下,可以采用支持WPA规范的设备,WPA标准作为一种可替代WEP的无线安全技术,考虑到了不同的用户和不同的应用安全需要,在企业模式下,通过使用认证服务器和复杂的安全认证机制来保护无线网络通信安全。家庭模式(包括小型办公室)下,在AP(或者无线路由器)以及连接无线网络的无线终端上输入共享密钥来保护无线链路的通信安全。
(2)如果只能选择WEP加密技术,则最好采用128位WEP加密,并不要使用设备自带的WEP密钥。
(3)禁止AP向外广播其SSID,并设置复杂的SSID,由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。而且目前有的客户端跳过SSID安全功能,自动连接到AP。所以这些措施是比较脆弱的,但如果配置AP向外广播其SSID,那么安全程度还将下降。
(4)设置MAC过滤,在AP中可以设定哪些MAC地址不能与AP通信,这样可防止非法网卡登录到AP上,也可以防止非法客户机访问AP下的无线网客户机。但应该知道,实际上MAC是很容易被假冒的。
(5)注意对AP的管理,修改缺省的AP密码,各种主流AP产品的默认管理密码已为人们熟知,应修改缺省的密码,以防非法闯入。
6.3无线终端上的安全措施
系统管理员如果需要防止无线终端上的网络设置泄漏,可以选用支持修改属性需要密码的网卡,要开启该功能,防止网卡属性被修改和信息泄漏。
与在传统网络中相比,无线终端更应当注意安装防火墙等安全软件,并及时更新系统漏洞补丁。
6.4管理与培训
安全与管理是两个需要同等重视的问题,而且是互相影响互相推动的。
对于大型网络,我们应该制定周密的计划,支持多种安全策略应对不同的情况、,从而提高无线局域网的性能,并能在企业无线局域网内支持新的移动模式。
可以采用第三方的软件公司提供的软件解决方案,在一个统一的平台和界面上管理多种策略和各种类型的无线网络,实施监控和记录历史数据,从而实现一个安全、可靠的无线网络。
制定无线网络管理的相关规定,包括使用无线网络的指导性规定和特别的禁则,比如,规定员工不得把网络设置信息告诉公司外部人员,禁止设置P2P的Adhoc网络结构等。
对网络管理人员进行知识培训。普及无线网络的安全知识,加深员工的安全意识,明白违规使用无线网络的危害性。
7结语
无线网络在很大程度上突破了统有线网络的限制,使用户获得了可移动性和方便性,但正因如此无线网络也面临更大的安全威胁,要求我们有更高一级的安全防范意识和防范措施,不可掉以轻心。当然也没有必要“谈无线而色变”,因为其安全上的风险而不敢采用,事实上,根据不同的安全需要,对无线网络的固有物理特性和组网结构进行透彻的分析,在不同的层面采取恰当的措施,保障无线网络的安全可用是完全可行的。
参考文献
[1]蔡一郎.Windows2000Server网络技术与构架管理[M]北京:清华大学出版社,2002:302-378
[2]何军.无线通信与网络.北京:清华大学出版社,2004,6
[3]孙利民,李建中.无线局域网络.北京:清华大学出版社,2005:4~22
[4]AspinwallJ.Installing,TroubleshootingandRepairingWirelessNetworks[M].北京:电子工业出版社,2004
[5]湛成伟.网络安全技术发展趋势浅析[J].重庆工学院学报,2006,20(8):119-121
篇9
关键词:无线局域网(WLAN);设计;原则
无线局域网(Wireless Local Area Network,WLAN)是 20 世纪 90 年代计算机网络与无线通信技术相结合的产物。它是指无线信道作为传输媒介的计算机局域网络,实际上无线网络是有线网络的一种延伸,无线局域网是从有线局域网的基础上演变而来的,在高层应用上,两种网络使用相同的协议标准,无线局域网的推广,使得计算机拥有更高的可移动性,能便捷、快速、简易的实现网络连通功能,但是无论何种形式的无线网络都必须构建在安全、可靠的有线网络之上。
从无线局域网诞生以来,为了达到用户对办公的实时性、移动性、便捷性和部署的简易性,WLAN 的概念经历了从理论化到具体实现、商业应用的过程,无线局域网的发展和成熟,将人们对于计算机网络的认识从有形到无形、从繁琐到简易的转变。
一、无线局域网的分类
无线局域网按照连接方式来区分的话,这个标准可以分为两类:红外连接方式:红外无线连接需要发送器和接收器处于同一条直线上,并且其间不能有阻挡物,所以这种方式只能应用于点对点的小规模连接;射频(Radio Frequency,RF)连接方式:利用无线电波信号传播来进行通讯的连接方式,这种连接方式对于环境要求低,是无线局域网中使用的主要传输手段。
射频连接方式中,由于受到很多实际情况的限制,通常情况下使用的频段是 2.4GHz 和5.8GHz 附近的区域。
802.11 标准是 1997 年 IEEE 最初制定的一个无线局域网络标准,主要用于解决办公室无线局域网,由于原始的标准无法满足日益膨胀的使用需求,IEEE 组织相继推出了很多的后继标准―802.11a、802.11b、802.11g 和 802.11n 分别利用不同的物理层技术使得无线局域网的传输速率大大增加。
二、WLAN 相比有线网络的优势及劣势
1.优势
(1)部署便捷:总所周知,PDS综合布线系统是有线网络中必备的基础建设工程,线缆的铺设需要专业的施工人员,冗长的施工时间;而无线网络不再需要如此繁琐的工程,只需要设计好 AP 设备的安放地点,即可完成网络的部署工作;
(2)网络扩展简易:有线网络的建设,需要大量的规划工作,需要考虑网络承载力、网络用户数、网络的可扩展性等等,无线局域网络无需考虑太多的问题,无线局域网络的用户数取决于无线 AP 的数量,如果需要增加用户数,只需要增加相应的无线访问点即可,而用户减少时,减少 AP 数量即可。无线局域网即能为仅有几人或者一人的分支办公场所提供网络解决方案,也能为拥有成千上万人的商务楼提供高质量的网络服务;
(3)鲁棒性:有线网络的可用性受到线缆的限制,一旦线缆发生中断,有线网络则无法正常使用。无线局域网络相对有线网络来说,受到线缆的影响较小,只要无线AP和AP使用的有线线缆不被损坏,无线网络就能正常提供网络服务。
2.劣势
(1)信息传输的安全性:无线网络用于传输信息的无线信号漂浮在我们存在的空间内,这些信号如果没有相应的安全措施去保护,极易被窃听、干扰、影响,而有线网络在这方面不会面对太多的威胁;
(2)通信距离和稳定性:在高带宽传输的情况下,无线设备有限的功率,无法达到信号的无线扩散,无线局域网设备在不受干扰的情况下,最大覆盖范围不会超过 1 千米,而且由于无线电信号的多径衰减、多普勒效应等因素,即便在它信号覆盖的有效范围内,也无法保证无线电信号处于一个相对稳定的状态,因此,无线局域网目前仅适用于客户端连接,而重要的应用系统服务器群组仍然使用有线网络;
(3)通信速率:由于无线局域网络的通信功率有限,以及无线电信号的多变性,无线网络的通信速率还无法达到有线网络通信速率。现在千兆以太网已经是有线局域网的建设主流规范,有线局域网的主干更是达到了万兆(10Gbps)的数量级,而即便最新的 802.11n无线局域网标准,也仅能使无线局域网的传输速率接近 100Mbps。
三、无线网络设计原则
当今网络的发展已远远超出了单纯追求基本连通的历史阶段,在网络连通基础上需要更高要求的网络服务内容,包括服务质量(QoS)、安全(Security)、高可靠性(Reliability)、可扩展性(Scalability)、多媒体应用等增值服务。因此,为了实现高效、高性能的网络服务,应该将下面几点作为网络设计的原则:
(1)高性能。无线网络系统能够适应今后高带宽的要求,满足日益增长的业务量需求,这些需求不但包括今后巨大的业务数据量,同时也包括音频、视频等的需求。
(2)高可用性。无线网络系统具有较高的可靠性和可用性,具有强大的容错功能,以保证各种应用的正常运行。系统具备在线故障恢复能力,关键设备、模块、线路能做到实时备份、均衡负载和自动故障切换。
(3)可管理性。可以对网络进行在线监控,随时了解无线网络的“健康状态”,快速定位并排除故障,根据需要优化网络,更合理地对网络进行配置及资源分配,提高网络的利用率和性能。
(4)安全性。无线网络系统提供多种有效的安全控制机制,以防止信息泄露和影响正常工作。无线网络系统应提供一套完整的安全防范措施,能够有效地防止系统外部人员的非法侵入。
(5)可扩展性。应用的不断发展,要求网络在性能、协议、网络拓扑及各种业务等方面具备很好的可扩展性。在无线网络设计及选择设备时应完全满足目前的应用需求,同时充分考虑今后较长时间内应用发展的需要,网络系统应能方便地升级。
(6)开放性。无线网络系统应采用国际标准。无线网络体系结构与系统应用相互独立,支持各种通讯协议,各种数据库和客户机/服务器应用,与现有的 LAN 网络系统无缝地集成。
(7)经济性和实用性。完全从目前的应用需求出发,设计既能够满足目前的应用需求又能面向未来的应用需求升级的网络系统方案,同时又要保证提供服务时的经济性。在满足系统功能要求的前提下,尽量降低建设成本,考虑今后升级时设备的可持续使用,保护用户投资。
参考文献:
篇10
关键词:无线局域网;医院;信息化
最近的10年,是医院信息化建设飞速发展的10年,很多医院的HIS(医院信息系统)、LIS(检验信息系统)和RIS(放射科信息系统)等信息化系统都已初具规模,开创了一条通过信息化手段提高医疗水平与服务质量的康庄大道。虽然医院已经越来越离不开网络计算机系统,但是利用现有的信息系统,有些方面的效率还不能够真正得以提高。随着信息化技术的不断发展,无线局域网的推广应用,这些问题有了解决的办法。这对于更好的提高医疗效率、提高医疗服务质量,起到了推动作用。
1 无线局域网的特点以及在医院信息化建设中的优势
无线局域网(Wireless Local Area Network,缩写为“WLAN”)是计算机网络与无线通信技术相结合的产物,它将数据叠加到无线电波上,利用这个“载波”作为传输介质。它为通信的移动化、个性化和多媒体应用提供了一条途径。通俗地说,无线局域网就是在不采用传统缆线的同时,能够更好地为用户提供以太网的功能。无线局域网络绝不是用来取代有线局域网络,而是用来弥补有线局域网络之不足,以达到网络延伸之目的,现在有线局域网技术已经发展得比较完善,无线局域网所具有的无线特性是常规网络无可比拟的。目前,实现无线网络的技术,有蓝牙无线接入技术、家庭网络的HomeRF以及IEEE802.11标准的连接技术,这其中又以IEEE802.11标准的无线局域网解决方案更适合医院信息化网络的应用。
无线局域网在医院信息化建设中的优势在于:
(1)医院网络建设更加方便快捷。因为不再需要常规局域网的大规模网络布线,因此可以不影响医院正常的医疗工作。只要合理布置AP(Access Point,无线接入点),建立起一系列的医院“移动热点”区域,便可将医院信息化网络拓展至诊室和病房这些原先无法到达的地方。医生只要利用具有无线网络适配器的笔记本或PDA设备,就可以方便的接入医院信息化网络,医护人员从一间病房到另一间病房,可以不受连线的限制,从而在无线网络覆盖区内自由移动而保持与网络的联结。
(2)做到了检查数据的无纸化传递。目前不少医院的信息系统化在很大程度上只是医院管理流程的计算机化,并不是真正的医疗信息化、无纸化。大量的医技检查数据,如化验结果、放射报告,医生无法通过常规网络随时调阅,因此还是需要纸张传递。无线局域网的出现,就能使医生能够在“移动热点”区域,快速移动的随时调阅数据,避免了纸张浪费。
(3)做到了医护人员的无纸化查房。由于无线局域网的使用,医护人员在查房时,就可以通过PDA快速获取到患者的相关病史、用药情况以及检查信息等。然后就可以通过PDA快速记录病程情况,并根据需要直接调整医嘱,下达并发送到各个相关医技科室。这样做的好处在于,不仅大大的节省了时间,而且避免了因手工查房的字迹模糊潦草而导致的医疗事故,从而大大地提高了工作效率。
(4)监护设备可以更方便地接入信息化网络。在医院中,一般除了ICU、CCU具有病人监护网络以外,一般病房的监护设备如心电图监护仪、脑电图监护仪都是放在病人床边使用,都是不联网的,医护人员不能够随时获取和捕捉完整的病情信息。而无线局域网的出现,就能够将这些设备方便地接入医院信息化网络,从而更好地保证病人的生命安全。
2 常用的医院无线局域网的方案设计
由于很多医院的有线网络已初具规模,因此就可以利用原先的三层交换网络进行扩展,所有部署区域的无线设备,通过现有有线网络汇聚到信息中心,无线用户必须通过相关认证后方可访问医院的信息网络。从而能很好地将无线网络能与原有的有线网络、应用系统以及安全策略有机无缝地结合在一起。具体方案如图所示:
为了保证无线传输的良好质量与可靠性,需要通过安装AP对医院各病区楼层的相关区域进行无线信号的覆盖。该方案的设计重点在于AP的布置和选型,通过对医院无线局域网的探索,我们目前建议每个AP之间,以平均半径15~25米做水平180度作无线覆盖为最佳。AP可放置在吊顶上或挂在稍高位置的墙壁上。接着,无线局域网的AP利用自身的10/100M以太网端口,通过双绞线连接相关联的局域网交换机。
要尽可能减少AP与AP间的信号覆盖重叠区域,每个AP将负责本区域的无线用户以保证质量。此外,基于对访问的有效用户带宽的考虑,如果在某些特定区域,诸如医生办公室内计算机比较多,可考虑再增加一个AP,基本保证每个AP至多接入20~30个无线用户接入。另外,为了避免为安装AP而另外铺设接入电源的麻烦,无线局域网的AP可以使用远程供电单元(PoE)通过以太网线进行远程供电。
此外,根据无线局域网的工作原理,在多个子频道同时工作的情况下,为保证频道之间不相互干扰,要求两个频道的中心频率间隔不能低于25MHz。在一个蜂窝区(Cell)内,直序扩频技术最多可以提供3个不重叠的频道同时工作。因此我们在具体的配置时可将位于每个病区内的3个AP的工作子频道按频道1、6、11的规律错开设置,相邻的AP在具体布置时也尽可能避开工作子频道的干扰问题。这样,在楼内就形成了微蜂窝覆盖的无线网络。无线微蜂窝覆盖,就是将多个AP形成的各自的无线信号覆盖区域进行交叉覆盖,各覆盖区域之间无缝连接。所有AP通过双绞线与有线骨干网络相连,形成以固定有线网络为基础,无线覆盖为延伸的大面积服务区域。所有无线终端通过就近的AP接入网络,访问整个网络资源。微蜂窝覆盖大大扩展了单个AP的覆盖范围,从而突破了无线网络覆盖半径的限制,用户可以在AP群覆盖的范围内漫游,而不会和网络失去联系,通信也不会中断。
目前,性价比较高的AP产品,主要有:NETGEAR WG602,Linksys WAP54G,D-Link DWL-2000AP+等等。这些产品均支持IEEE802.11g标准,提供的数据通信高达54Mbps,相当现有802.11b网络的五倍,且兼容现有所有的802.省略/jianli/>站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤,对于非法的外界设备一律不允许接入。另外,通过物理地址(MAC)和IP地址的绑定,也可以达到一定的安全防范作用,并且还可以起到防止终端桌面篡改IP地址的作用。
其二,必须启用Wi-Fi 保护访问(WPA,Wi-Fi Protected Access)技术。
原先无线局域网普遍采用连线对等保密(WEP)方式,它存在很大的缺陷,例如一个服务区内的所有用户都共享一个密钥,一个用户丢失钥匙将使整个网络产生安全影响。
WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。WPA包含了认证、加密和数据完整性校验三个组成部分,是当前无线局域网中一个完整的安全性方案。
由于WLAN是一个开放性的网络,一个没有接入控制的WLAN易受攻击,所以接入控制、数据加密、无线网与有线网之间隔离等问题都是非常重要的,而且由于医院的特殊性,其信息系统的安全是特别重要的。因此,无线网络控制器和无线接入点,必须启动WPA,这样才能提供完整的无线局域网安全机制。所有医院信息系统的终端用户必须通过WPA认证才能登录网络,这样就能有效地保护医院的信息网络和终端电脑的安全。
当然,WPA中也许可能存在其他安全方面的缺陷,只是目前尚未发现。对于确保医院无线局域网的安全性,目前利用WPA可以说已经足够了。
医院无线局域网部署后,通过将新建的无线网络与原来的有线网络、应用系统有机地结合起来,大大帮助了医院实现信息的高度共享和有效利用,从而达到提高效率和提高服务质量的目的。由于技术上的不断创新和进步,无线局域网技术也在不断发展中,通过技术和实际相结合,逐步优化,才能不断达到更好的应用效果。
参考文献
[1]牛伟,郭世泽,吴志军.无线局域网[M].北京:人民邮电出版社,2003.
