关于无线网络安全管理的几点建议

面对不同的网络问题，我们总会措手不及，但是如果在平日里加强网络安全管理，这些问题也许能得到一定的解决，这里就为大家介绍一些安全建议。

　　无线网路安全管理之 使用无线加密协议

　 　无线加密协议(WEP)是无线网络上信息加密的一种标准方法，它可以对每一个企图访问无线网络的人的身份进行识别，同时对网络传输内容进行加密。许多无 线设备厂商为了使产品安装简单易行，都把他们产品的出厂配置设置成禁止WEP模式，这样做最大的弊端是数据可以被直接从无线网络上读取，因此黑客从你的无 线网络建成开始就能立即扫描该无线网络上的各类信息。使用无线加密协议尽管不是完美的方法，但如果能够正确使用WEP的全部功能，那么WEP仍提供了在一 定程度上比较合理的安全措施，对阻止黑客仍然有一定效用。

　　(注：在目前建议使用WPA等新一些的加密协议，WEP密钥的破解已经非常成熟，通常破解一个正在使用中的无线网的WEP密钥2个小时就可以实现，成功率是100%，而破解WPA则需要很长的时间和复杂的配置，成功率也低一些。)

　　无线网路安全管理之 关闭网络线路

　 　无线网络和有线网络的一个最大的区别在于：无线网络可以从天线允许范围内的任意一点接入，而有线网络只有限定的若干固定的接入点。保障无线网络的安全比 保障有线网络的安全要困难得多。保证无线接入点安全的关键是禁止非授权用户访问网络，即安全的接入点对非授权用户是关闭的。

　　无线网路安全管理之 设计天线的放置位置

　　使无线接入点保持封闭的第一步是正确放置天线，从而限制能够到达天线有效范围的信号量。天线的理想位置是目标覆盖区域的中心，并使泄露到墙外的信号尽可能的少。不过，完全控制无线信号是几乎不可能的，所以还需要同时采取其它一些措施来保证网络安全。

　　无线网路安全管理之 禁用动态主机配置协议

　　无线网络使用这个策略后，将迫使黑客去破解目标的IP地址，子网掩码，和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点，他还必需要知道你的IP地址。

　　无线网路安全管理之 禁用或修改SNMP设置

　　如果你的无线接入点支持SNMP(简单网络管理协议), 那么你需要禁用它或者修改默认的公共和私有的标识符。不这么做的话，黑客将可以利用SNMP获取关于你网络的重要信息。

　　无线网路安全管理之 尽量使用访问列表

　 　设置一个访问列表可以更好地保护你的网络。如果你能够这样做的话，你就可以使无线路由器只允许部分MAC地址的网络设备进行通讯，或者禁止那些黑名单中 的MAC地址访问。启用MAC地址过滤，无线路由器获取数据包后，就会对数据包进行分析。如果此数据包是从所禁止的MAC地址列表中发送而来的，那么无线 路由器就会丢弃此数据包，不进行任何处理。因此对于恶意的主机，即使不断改变IP地址也没有用。但是，不是所有的无线接入点都支持这一功能，而且它必须手 动输入MAC地址过滤标准。支持这项功能的接入点可以利用TFTP(简单文件传输协议)定期地来下载更新访问列表，从而避免了必须使所有设备上的列表保持 同步的巨大的管理工作量。

　　无线网路安全管理之 改变服务集标识符并且禁止SSID广播

　　服务集标识 符(SSID)是无线接入的身份标识符，是无线网络用于定位服务的一项功能，用户用它来建立与接入点之间的连接，为了能够进行通讯，无线路由器和主机必须 使用相同的SSID。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM的设备都用“101”。在通讯过程中，无线 路由器首先广播其SSID，任何在此接收范围内的主机都可以获得SSID，使用此SSID值对自身进行配置后就可以和无线路由器进行通讯。知道这些标识符 的黑客可以不经过授权就享受你的无线服务。尽管目前大部分无线路由器都已经支持禁用自动广播SSID功能，你仍需要给你的每个无线接入点设置一个唯一并且 难以推测的SSID，同时尽可能禁止你的SSID向外广播。这样，你的无线网络就不能通过广播的方式来吸纳更多用户，这不是说你的网络不可用，只是它不会 出现在可使用网络的名单中。