无线局域网解决方案样本.doc

资源描述

1、无线局域网处理方案一、无线局域网介绍 1、无线局域网概述无线局域网是计算机网络和无线通信技术相结合产物。通俗点说，无线局域网（Wireless localarea network，WLAN）就是在不采取传统电缆线同时，提供传统有线局域网全部功效，网络所需基础设施不需要再埋在地下或隐藏在墙里，网络却能够伴随实际需要移动或改变。无线局域网技术含有传统局域网无法比拟灵活性。无线局域网通信范围不受环境条件限制，网络传输范围大大拓宽，最大传输范围可达成几十公里。在有线局域网中，两个站点距离在使用铜缆时被限制在500米，即使采取单模光纤也只能达成3000米，而无线局域网中两个站点间距离现在可达成50公

2、里，距离数公里建筑物中网络能够集成为同一个局域网。另外，无线局域网抗干扰性强、网络保密性好。对于有线局域网中很多安全问题，在无线局域网中基础上能够避免。而且相对于有线网络，无线局域网组建、配置和维护较为轻易，通常计算机工作人员全部能够胜任网络管理工作。 2、无线局域网传输媒体无线局域网基础还是传统有线局域网，是有线局域网扩展和替换。它只是在有线局域网基础上经过无线集线器、无线访问节点、无线网桥、无线网卡等设备使无线通信得以实现。和有线网络一样，无线局域网一样也需要传送介质。只是无线局域网采取传输媒体不是双绞线或光纤，而是红外线或无线电波，以后者使用居多。红外线系统红外线局域网采取小于1

3、微米波长红外线作为传输媒体，有较强方向性，因为它采取低于可见光部分频谱作为传输介质，使用不受无线电管理部门限制。红外信号要求视距传输，而且窃听困难，对邻近区域类似系统也不会产生干扰。在实际应用中，因为红外线含有很高背景噪声，受日光、环境照明等影响较大，通常要求发射功率较高，红外无线局域网是现在“100Mbits以上、性能价格比高网络”唯一可行选择。无线电波采取无线电波作为无线局域网传输介质是现在应用最多，这关键是因为无线电波覆盖范围较广，应用较广泛。使用扩频方法通信时，尤其是直接序列扩频调制方法因发射功率低于自然背景噪声，含有很强抗干扰抗噪声能力、抗衰落能力。这首先使通信很安全，基础避免了

4、通信信号偷听和窃取，含有很高可用性。其次无线局域使用频段关键是S频段（2.4GHz2.4835GHz），这个频段也叫ISM（Industry Science Medical）即工业科学医疗频段，该频段在美国不受美国联邦通信委员会限制，属于工业自由辐射频段，不会对人体健康造成伤害。所以无线电波成为无线局域网最常见无线传输媒体。 3、无线网络采取关键协议标准无线接入技术区分于有线接入特点之一是标准不统一，不一样标准有不一样应用。现在比较流行有802.11标准（包含802.11a 、802.11b 及802.11g等标准）、蓝牙（Bluetooth）标准和HomeRF（家庭网络）标准等。 802.

5、11标准 IEEE 802.11无线局域网标准制订是无线网络技术发展一个里程碑。802.11 标准除了介绍无线局域网优点及多种不一样性能外，还使得多种不一样厂商无线产品得以互联。另外，标准使关键设备实施单芯片处理方案，降低了无线局域网造价。802.11 标准颁布，使得无线局域网在多种有移动要求环境中被广泛接收。它是无线局域网现在最常见传输协议，各个企业全部有基于该标准无线网卡产品。不过因为802.11速率最高只能达成2Mbps，在传输速率上不能满足大家需要，所以，IEEE小组又相继推出了802.11b和802.11a两个新标准，前者已经成为现在主流标准，以后者也被很多厂商看好。 802.11b

6、标准采取一个新调制技术，使得传输速率能依据环境改变，它采取2.4GHz直接序列扩频，最大数据传输速率为11Mb/s，无须直线传输。动态速率转换当射频情况变差时，可将数据传输速率降低为5.5Mb/s、2Mb/s和1Mb/s。支持范围是在室外为300米，在办公环境中最长为100米。802.11b使用和以太网类似连接协议和数据包确定，来提供可靠数据传送和网络带宽有效使用。 802.11a标准是已在办公室、家庭、宾馆、机场等众多场所得到广泛应用802.11b无线局域网标准后续标准。802.11a标准传输更惊人，传输速度可达25Mbps，完全能满足语音、数据、图像等业务需要。伴随无线IEEE 802.

7、11标准开始深入人心，制造商开始寻求为以太网平台提供更为快速协议和配置。而蓝牙产品和无线局域网（802.11b）产品逐步应用，处理两种技术之间干扰问题显得日益关键。为此，IEEE成立了无线局域网任务工作组，专门从事无线局域网802.11g标准制订，力图处理这一问题。802.11g其实是一个混合标准，它既能适应传统802.11b标准，在2.4GHz频率下提供每秒11Mbit/s数据传输率，也符合802.11a标准在5GHz频率下提供56Mbit/s数据传输率。伴随802.11g标准认可，它将有利于深入推进802.11无线局域网飞速发展势头。蓝牙标准蓝牙（IEEE 802.15）是一项新标准，

8、对于802.11来说，它出现不是为了竞争而是相互补充。“蓝牙”是一个极其优异大容量近距离无线数字通信技术标准，其目标是实现最高数据传输速度1Mbps（有效传输速率为721Kbps）、最大传输距离为10厘米10米，经过增加发射功率可达成100米。蓝牙比802.11更具移动性，比如，802.11限制在办公室和校园内，而蓝牙却能把一个设备连接到局域网和广域网，甚至支持全球漫游。另外，蓝牙成本低、体积小，可用于更多设备。“蓝牙”最大优势还在于，在更新网络骨干时，假如搭配“蓝牙”架构进行，使用整体网路成本肯定比铺设线缆低。家庭网络HomeRF标准 HomeRF关键为家庭网络设计，是IEEE 802.1

9、1和数字无绳电话标准结合，意在降低语音数据成本。HomeRF也采取了扩频技术，工作在2.4GHz频带，能同时支持4条高质量语音信道。但现在HomeRF传输速率只有1M2Mbps，美国联邦通信委员会提议增加到10Mbps。二、无线局域网应用发展 1、无线局域网应用和发展在现阶段，中国市场上无线局域网关键是应用于公众服务、企业内部网、校园网、及地理位置较特殊政府机构等领域，从发展趋势来看，伴随产品价格和技术方面日渐成熟，校园网对无线局域网应用会增加快速，尤其是高等教育和科研机构对无线局域网需求不停增加，将为无线局域网发明宽广空间。像现在北京大学校园就构建了校园无线局域网网络。另外，在政府内部，

10、电子政务建设正如火如荼，无线局域网在政府网络建设中有非比平常机会。现在，在中国，北京、上海、广州和深圳是无线局域网应用最为普及城市。在这些城市酒店、宾馆、会展中心和机场等公众场所，已经成为运行商如中国网通、中国电信公网铺设关键场所。尤其是上海，因为APEC会议召开，其无线局域网应用得到了突飞猛进发展，现在已位居四城市之首。无线局域网即使不能替换有线网络，但它有着传统网络无法比拟优势，也正是这么优势，使无线局域网市场增加是无庸置疑。现在，不管是IT传统厂商还是新兴厂商全部已经把无线局域网应用推广视为重中之重，以后，会有更多企业用户使用无线局域网，而且伴随无线网卡成为笔记本电脑中标准配置这一事

11、实，更多人将会愈加方便地使用无线局域网。即使IEEE802.11a标准因为其高带宽被大家津津乐道，但从实际应用来看，到现在为止，在中国802.11b仍然是无线局域网主流标准，而市场中无线局域网产品大多还是基于802.11b协议。表一：有线网络和无线网络应用特点比较表二：802.11标准特征说明 2、无线局域网组网模式应用 Infrastructure模式（带有没有线接入点，以下图1所表示）这种模式经过数张无线网络卡（USB,PCI或PCMCIA接口）及一台无线网桥(AP)，经过AP实现无线网络内部及无线网络和有线网络之间互通。 Ad-Hoc模式（点对点无线网，以下图2所表示）数张无

12、线网卡（USB,PCI或PCMCIA接口）能够自成网络，无需AP，组成一个临时性松散网络组织方法，实现点对点和点对多点连接。不过这种方法就不能连接外部网络。当采取室外无线网桥进行连接时，网络方法以下图3所表示：三、无线局域网安全 1、无线局域网安全情况因为无线局域网经过无线电波在空中传输数据，所以在数据发射机覆盖区域内几乎任何一个无线局域网用户全部能接触到这些数据。不管接触数据者是在另外一个房间、另一层楼或是在本建筑之外，无线就意味着会让人接触到数据。和此同时，要将无线局域网发射数据仅仅传送给一名目标接收者是不可能。而防火墙对经过无线电波进行网络通讯起不了作用，任何人在视距范围之内全部能

13、够截获和插入数据。所以，即使无线网络和无线局域网应用扩展了网络用户自由，它安装时间短，增加用户或更改网络结构时灵活、经济，可提供无线覆盖范围内全功效漫游服务。然而，这种自由也同时带来了新挑战，这些挑战其中就包含安全性。而安全性又包含两个方面，一是访问控制，另一个就是保密性。访问控制确保敏感数据仅由取得授权用户访问。保密性则确保传送数据只被目标接收人接收和了解。由上述可见，真正需要重视是数据保密性，但访问控制也不可忽略，假如没有在安全性方面进行精心建设，布署无线局域网将会给黑客和网络犯罪开启方便之门。无线局域网必需考虑安全威胁有以下多个：全部常规有线网络存在安全威胁和隐患全部存在；外部人

14、员能够经过无线网络绕过防火墙，对企业网络进行非授权存取；无线网络传输信息没有加密或加密很弱，易被窃取、窜改和插入；无线网络易被拒绝服务攻击（DOS）和干扰；内部职员能够设置无线网卡为P2P模式和外部职员连接；无线网络安全产品相对较少,技术相对比较新。下面将针对上面内容进行分析： 1）常规安全威胁分析因为无线网络只是在传输方法上和传统有些网络有区分，所以常规安全风险如病毒，恶意攻击，非授权访问等全部是存在，这就要求继续加强常规方法上安全方法。 2）非授权访问威胁分析无线网络中每个AP覆盖范围全部形成了通向网络一个新入口。因为无线传输特点，对这个入口管理不像传统网络那么轻易。正因为如

15、此，未授权实体能够在企业外部或内部进入网络：首先，未授权实体进入网络浏览存放在网络上信息，或是让网络感染上病毒。其次，未授权实体进入网络，利用该网络作为攻击第三方网络跳板。第三，入侵者对移动终端发动攻击，或为了浏览移动终端上信息，或为了经过受危害移动设备访问网络，第四，入侵者和企业职员勾结，经过无线交换数据。 2、无线局域网安全存在关键问题及安全技术实际上，无线网络受大量安全风险和安全问题困扰，其中关键包含： 1）来自网络用户进攻。 2）未认证用户取得存取权。 3）来自企业窃听泄密等。针对以上威胁问题，常规无线网络安全技术有以下多个：服务集标识符（SSID，Service Set ID）

16、经过对多个无线接入点AP设置不一样SSID，并要求无线工作站出示正确SSID才能访问AP，这么就能够许可不一样群组用户接入，并对资源访问权限进行区分限制。不过这只是一个简单口令，全部使用该网络人全部知道该SSID，很轻易泄漏，只能提供较低等级安全；而且假如配置AP向外广播其SSID，那么安全程度还将下降，因为任何人全部能够经过工具得到这个SSID。物理地址（MAC，Media Access Controller）过滤因为每个无线工作站网卡全部有唯一物理地址，所以能够在AP中手工维护一组许可访问MAC地址列表，实现物理地址过滤。这个方案要求AP中MAC地址列表必需随时更新，可扩展性差，无法

17、实现机器在不一样AP之间漫游；而且MAC地址在理论上能够伪造，所以这也是较低等级授权认证。连线对等保密（WEP，Wired Equivalent Protection）在链路层采取RC4对称加密技术，用户加密金钥必需和AP密钥相同时才能获准存取网络资源，从而预防非授权用户监听和非法用户访问。WEP提供了40位（有时也称为64位）和128位长度密钥机制，不过它仍然存在很多缺点，比如一个服务区内全部用户全部共享同一个密钥，一个用户丢失或泄漏密钥将使整个网络不安全。而且因为WEP加密被发觉有安全缺点，能够在多个小时内被破解。虚拟专用网络（VPN，Virtual Private Network）

18、 VPN是指在一个公共IP网络平台上经过隧道和加密技术确保专用数据网络安全性，它不属于802.11标准定义；不过用户能够借助VPN来抵御无线网络不安全原因，同时还能够提供基于Radius用户认证和计费。端口访问控制技术（802.1x）该技术也是用于无线局域网一个增强性网络安全处理方案。当无线工作站和AP关联后，是否能够使用AP服务要取决于802.1x认证结果。假如认证经过，则AP为用户打开这个逻辑端口，不然不许可用户上网。802.1x除提供端口访问控制能力之外，还提供基于用户认证系统及计费，尤其适合于无线接入处理方案。 3、无线网络安全对策针对以上无线网络安全性应采取以下对策：扩频、跳

19、频无线传输技术本身使盗听者难以捕捉到有用数据；采取网络隔离及网络认证方法；设置严密用户口令及认证方法，预防非法用户入侵；设置附加第三方数据加密方案，即使信号被盗听也难以了解其中内容；处理来自企业内部职员泄密破坏。 1）扩展频谱技术扩展频谱技术在50年前第一次被军方公开介绍，它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频储发送器用一个很弱功率信号在一个很宽频率范围内发射出去，和窄带射频相反，它将全部能量集中到一个单一频点。扩展濒谱实现方法有多个，最常见两种是直接序列和跳频序列。 2）用户认证-口令控制我们推荐在无线网站点上使用口令控制-当然未必需局限于无

20、线网。诸如Novell NetWare和Microsoft NT等网络操作系统和服务器提供了包含口令管理在内内建多级安全服务。口令应处于严格控制之下并常常给予变更。因为无线局域网用户要包含移动用户，而移动用户倾向于把她们笔记本电脑移来移去，所以，严格口令策略等于增加了一个安全等级，它有利于确定网站是否正被正当用户使用。 3）数据加密假如单位数据要求极高安全性，譬如说是商用网或军用网上数据，那么单位可能需要采取部分特殊方法。最终也是最高等级安全方法就是在网络上整体使用加密产品。数据包中数据在发送到局域网之前要用软件或硬件方法进行加密。只有那些拥有正确密钥站点才能够恢复，读取这些数据。假如需要全

21、方面安全保障，加密是最好方法，部分网络操作系统含有加密能力，基于每个用户或服务器、价位较低第三方加密产品也能够胜任，并可为用户提供最好性能、质量服务和技术支持。 4）加强企业内部管理制度对于内部职员主动泄密情况，没有十分好安全策略，只能经过管理制度进行限制。采取安全方法以下：采取端口访问技术（802.1x）进行控制，预防非授权非法接入和访问。对于密度等级高网络采取VPN进行连接。部署AP时候要在企业办公区域以外进行检验，经过调整AP天线角度和发射功率预防AP覆盖范围超出办公区域，同时要让保安人员在企业周围进行巡查，预防外部人员在企业周围接入网络。严禁职员私自安装AP，经过笔记本配置无

22、线网卡和无线扫描软件能够进行扫描。制订无线网络管理要求，要求职员不得把网络设置信息告诉企业外部人员，严禁设置P2PAd hoc网络结构跟踪无线网络技术，尤其是安全技术（如802.11i规范了TKIP和AES），对网络管理人员进行知识培训。本文所用相关术语说明以下： AP（Access Point）无线访问接入，类似于有线网络集线器设备。 P2P（peer-to-peer）对等联网 802.11i规范了TKIP和AES技术说明： TKIP（Temporal Key Integrity Protocol）临时密钥完整性协议， AES（Advanced Encryption Standard）高级加密标准。

展开阅读全文