无线网络论文 论校园无线网络的构建及安全—校园无线网络安全技术.doc

论校园无线网络的构建及安全 ——校园无线网络安全技术 姓名： 班级： 专业：网络系统管理 学号： 课程：无线网络 日期： 2011年1月3日 星期一 内容提要 该文简述学校无线网络存在的安全隐患，列举了保护无线网络安全多种策略和相关技术。并对这些技术进行分析和总结，提出了一个综合性的校园无线网络安全方案。 关键词 WPA； 网络安全； SSID； MAC过滤；安全隐患;wep; 目录 校园无线网络安全 一、校园无线网络的安全隐患 4 二、无线网络安全技术分析 5 （一）、完善连线保密协议 5 （二）、WEP(Wired Equivalent Privacy)保密协议 5 （三）、WAH是国家强制标准的技术核心部分 5 三、万方数据 5 （一）、设置SSID坚固网络 6 （二）、 VPN技术增强安全性能 6 （三）、 MAC过滤防不速之客  PAGEREF _Toc281895763 \h 6  HYPERLINK \l "_Toc281895764" （四）、禁用动态主机配置协议’  PAGEREF _Toc281895764 \h 7  HYPERLINK \l "_Toc281895765" （五）、端口访问控制技术(802．Ix)控制网络接入  PAGEREF _Toc281895765 \h 7  HYPERLINK \l "_Toc281895766" 四、校园无线网络安全任重道远  PAGEREF _Toc281895766 \h 7  HYPERLINK \l "_Toc281895767" （一）、在校园网络构建之前要考虑从前期设计与规划人手  PAGEREF _Toc281895767 \h 7  HYPERLINK \l "_Toc281895768" （二）、在无线网络运行过程中，自身的健壮性建设  PAGEREF _Toc281895768 \h 7  HYPERLINK \l "_Toc281895769" （三）、安全技术手段要在充实考虑自身条件下做到最佳的配置  PAGEREF _Toc281895769 \h 7  HYPERLINK \l "_Toc281895770" 1、先进的网络架设技术；  PAGEREF _Toc281895770 \h 8  HYPERLINK \l "_Toc281895771" 2、微机的安装、保养与故障维护；  PAGEREF _Toc281895771 \h 8  HYPERLINK \l "_Toc281895772" 3、网络管理维护和故障维修。  PAGEREF _Toc281895772 \h 8  HYPERLINK \l "_Toc281895773" 4、软件管理系统  PAGEREF _Toc281895773 \h 8  HYPERLINK \l "_Toc281895774" 五、要包括以下4个内容：  PAGEREF _Toc281895774 \h 8  HYPERLINK \l "_Toc281895775" 1、软件开发平台与开发工具的培训；  PAGEREF _Toc281895775 \h 8  HYPERLINK \l "_Toc281895776" 2、数据库技术的学习与应用；  PAGEREF _Toc281895776 \h 8  HYPERLINK \l "_Toc281895777" 3、系统设计的原理和故障的排除与维护管理。  PAGEREF _Toc281895777 \h 8  HYPERLINK \l "_Toc281895778" 六、对网络使用者的培训  PAGEREF _Toc281895778 \h 8  HYPERLINK \l "_Toc281895779" 七、结束语  PAGEREF _Toc281895779 \h 9 校园无线网络安全 目前．很多学校应用无线网络进行校园网络组建，无线网络具有组网简单、安装容易、移动方便等特点，给学校组网带来极大方便。但由于无线局域网应用具有信号的开放性、数据传播范围很难控制等特点也带来安全的隐患，给校园网建设带来不稳定因素。 本文对无线网络安全技术进行列举和分析，希望通过这些分析对相关从业人员有所启发。 一、校园无线网络的安全隐患 无线局域网(WLAN)m广泛应用于单位、校园、公司内部及家用网络等场所。另一方面，由于无线网络信号由于传送的数据是利用无线电波在空中辐射传播，发射的数据可能到达预期之外接收设备，这些外部接收设备给网络带来不安全因素。因为外部可以利用这些广播的信号进行对网络发起攻击，无线网络比有线网络更容易受到入侵，因为被攻击端的电脑与攻击端的电脑并不需要物理上的连接，攻击者只要在网域的无线路由器或中继器的有效范围内，就可以进入你的内部网络，访问你的资源。常有的无线网线络攻击包括有非法的AP、经授权使用服务、地址欺骗和会话拦截、流量分析与流量侦听、高级入侵等。 二、无线网络安全技术分析 目前，无线网络安全技术有很多，但由于无线网络存在较大安全隐患，单一的技术不能完全解决问题。我们必须明白：只有结合多种安全设置和技术才能构建安全的无线网络。下面是对这些安全技术进行列举及分析。 （一）、完善连线保密协议 在链路层采用对称加密技术，让用户的加密钥必须与AP的密钥相同时才能使用网络的资源，从而防止非授权用户监听以及非法用户访问。目前有多种的无线网络加密算法，我们简单介绍一下： （二）、WEP(Wired Equivalent Privacy)保密协议 WEP(Wired Equivalent Privacy)保密协议，是一种数据加密算法，用于提供等同于有线局域网的保护能力，密钥的长度有40位或128位两种。WEP编码的弱点在于IV实作的基础过于薄弱，只要将将两个使用同样IV的封包记录起来，再施以互斥运算，就能得到IV的值。然后算出RC4的值，最后得到整组数据，从而造成密码的泄密。 WPA(Wi—Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理。所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全方案。 （三）、WAH是国家强制标准的技术核心部分 WAH是国家强制标准的技术核心部分。其全称为WLAN Authentication and Privacy Infrastructure，这种安全机制由WAI(WLAN Authentication Infrastructure)和WH(WLAN Privacy Infrastmc—ture)两部分组成，WAI和WPl分别实现对用户身份的鉴别和对传输的数据加密，一同为用户的无线网络系统提供全面的安全保护。不过由于种种原因，WAPI最终没能成为强制执行的标准，其普及度还不高。在802．1li颁布之后，Wi—Fi联盟推出了WPA2，它支持AES(高级加密算法)，WPA2需要新的硬件支持，它使用CCMP(计数器)。 三、万方数据 模式密码块链消息完整码协议)。在WPA／WPA2中，PTK的生成依赖PMK，而PMK获的有两种方式，一个是PsK的形式就是预共享密钥，在这种方式中PMK=PSK，而另一种方式中，需要认证服务器和站点进行协商来产生PMK。 WPA-IEEE 802．1 li draft 3=IEEE802．1X／EAP+WEP(选择性项目)／TKIP WPA2=IEEE 802．1li=IEEE 802．1X／EAP+WEP(选择性项目1／TKIP／CCMP 目前最广为使用的就是WPA—PSK(TKIP)和WPA2一PSK(AES)两种加密模式。WPA2加密非常安全，但是WPA2协议许多硬件商还不支持，因此采取WPA加密也是一种适当的选择。而WEP加密由于是一种很不安全加密方式，只是在没有其他加密协议选择情况下才使用。． （一）、设置SSID坚固网络 SSID(Setrice Set Identifier)也可以写为ESSIDj是无线访问点应用的辨认字符串，最多可以有32个字符，客户端利用它就能建立连接。选择难于猜中的SSID字符并禁止通过天线向外广播SSID的措施可以隐藏无线网络却不会影响网络的正常使用，而且可以增加无线网络的坚固性。 通过对多个无线接入点AP(Access Point)设景不同的SSID。并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接人．并对资源访问的权限进行区别限制也一样增加安全系数。 （二）、 VPN技术增强安全性能 VPN(Virtual Private Network)虚拟私人网络，又称为虚拟专用网络，指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性．它是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。 将WLAN设置成单独的局域网部分，VPN所有无线用户在得到许可访问校园局域网之前首先由VPN网关进行鉴权。VPN网关只向拥有机器中所具有的有效软件证书或令牌的用户授权。客户机到VPN服务器的数据包使用安全协议IPSCc(IP Security)力。 因此黑客将无法破解专用网络，让所有的无线客户机使用虚拟专用网软件，无线网络会更安全。 （三）、 MAC过滤防不速之客 MAC过滤技术是在路由设置中只允许特定MAC网卡访问路由的方法。它拒绝了使用其他MAC地址的设备发送过来的连接请求，客观