【文章內(nèi)容簡介】 術，干擾技術等等，防止數(shù)據(jù)被監(jiān)聽。 　　二是被動防御，主要是采取數(shù)據(jù)加密技術，數(shù)據(jù)加密是對付監(jiān)聽的最有效的辦法。網(wǎng)上的信息絕大多數(shù)都是以明文的形式傳輸，容易辨認。一旦口令被截獲，入侵者就可以非常容易地登錄到另一臺主機。對在網(wǎng)絡上傳輸?shù)男畔⑦M行加密后，監(jiān)聽器依然可以捕獲傳送的信息，但顯示的是亂碼。使用加密技術，不但可以防止非授權用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一，但是它的缺點是速度問題。幾乎所有的加密技術都將導致網(wǎng)絡的延遲，加密技術越強，網(wǎng)絡速度就越慢。只有很重要的信息才采用加密技術進行保護。 　　三是主動防御，主要是使用安全的拓撲結構和利用交換機劃分VLAN，這也是限制網(wǎng)絡監(jiān)聽的有效方法，這樣的監(jiān)聽行為只能發(fā)生在一個虛擬網(wǎng)中，最大限度地降低了監(jiān)聽的危害，但需要增加硬件設備的開支，實現(xiàn)起來要花費不少的錢。 　　 　　非授權訪問 　　無線網(wǎng)絡中每個AP覆蓋的范圍都形成了通向網(wǎng)絡的一個新的入口。所以，未授權實體可以從外部或內(nèi)部進入網(wǎng)絡，瀏覽存放在網(wǎng)絡上的信息；另外，也可以利用該網(wǎng)絡作為攻擊第三方的出發(fā)點，對移動終端發(fā)動攻擊。而且，IEEE，只要求STA向AP進行認證，不要求AP向STA進行認證。入侵者可以通過這種協(xié)議上的缺陷對AP進行認證進行攻擊，向AP發(fā)送大量的認證請求幀，從而導致AP拒絕服務。 　　敏感信息泄露 　　WLAN物理層的信號是無線、全方位的空中傳播，開放傳輸使得其物理層的保密性無法保證。WLAN無線信號的覆蓋范圍一般都會超過實際需求，只要在信號覆蓋范圍內(nèi)入侵者就可以利用無線監(jiān)聽技術捕獲無線網(wǎng)絡的數(shù)據(jù)包，對網(wǎng)絡通信進行分析，從而獲取有用信息。目前竊聽已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。 　　WEB缺陷威脅 　　有線等效保密WEP是IEEE，它的主要作用是為無線網(wǎng)絡上的信息提供和有線網(wǎng)絡同一等級的機密性。IEEE選擇在數(shù)據(jù)鏈路層用RC4算法加密來防止對網(wǎng)絡進行竊聽。WEP在每一個數(shù)據(jù)包中使用完整性校驗字段來保證數(shù)據(jù)在傳輸過程中不被竄改，它使用了CRC32校驗。在WEP中明文通過和密鑰流進行異或產(chǎn)生密文，為了加密，WEP要求所有無線網(wǎng)絡連接共享一個密鑰。實際上，網(wǎng)絡只使用一個或幾個密鑰，也很少更換。WEP算法根據(jù)密鑰和初始化向量IV產(chǎn)生密鑰流，確保后續(xù)的數(shù)據(jù)包用不同的密鑰流加密。但IV在一個相當短的時間內(nèi)重用，使用24位的IV并不能滿足要求。一個24位的字段包含16777216個可能值,假設網(wǎng)絡流量是11M,傳輸2000字節(jié)的包，在7個小時左右,IV就會重用。CRC32不是一個很適合WEP的完整性校驗,即使部分數(shù)據(jù)以及CRC32校驗碼同時被修改也無法校驗出來。 　　無線局域網(wǎng)的安全措施 　　阻止非法用戶的接入 　?。?）基于服務設置標識符(SSID)防止非法用戶接入 　　服務設置標識符SSID是用來標識一個網(wǎng)絡的名稱，以此來區(qū)分不同的網(wǎng)絡，最多可以有32個字符。無線工作站設置了不同的SSID就可以進入不同網(wǎng)絡。無線工作站必須提供正確的SSID與無線訪問點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務區(qū)上網(wǎng)。因此可以認為SSID是一個簡單的口令，從而提供口令認證機制，阻止非法用戶的接入，保障無線局域網(wǎng)的安全。SSID通常由AP廣播出來，例如通過windowsXP自帶的掃描功能可以查看當前區(qū)域內(nèi)的SSID。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯(lián)。 　?。?）基于無線網(wǎng)卡物理地址過濾防止非法用戶接入 　　由于每個無線工作站的網(wǎng)卡都有惟一的物理地址，利用MAC地址阻止未經(jīng)授權的無限工作站接入。為AP設置基于MAC地址的AccessControl（訪問控制表），確保只有經(jīng)過注冊的設備才能進入網(wǎng)絡。因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權認證。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。如果用戶增加，則擴展能力很差，因此只適合于小型網(wǎng)絡規(guī)模。 　　實行動態(tài)加密 　　動態(tài)加密技術是基于對稱加密和非對稱加密的結合，能有效地保證網(wǎng)絡傳輸?shù)陌踩?。動態(tài)加密著眼于無線網(wǎng)絡架構中通信雙方本身，認為每個通信方都應承擔起會話中網(wǎng)絡信息傳輸?shù)陌踩熑?。會話建立階段，身份驗證的安全需要非對稱加密以及對PKI的改進來防止非授權訪問，同時完成初始密鑰的動態(tài)部署和管理工作，會話建立后，大量的數(shù)據(jù)安全傳輸必須通過對稱加密方式，但該系統(tǒng)通過一種動態(tài)加密的模式，摒棄了現(xiàn)有機制下靜態(tài)加密的若干缺陷，從而使通信雙方的每次“通信回合”都有安全保證。在一個通信回合中，雙方將使用相同的對稱加密密鑰，是每個通信方經(jīng)過共同了解的信息計算而得到的，在通信回合之間，所使用的密鑰將實時改變，雖然與上次回合的密鑰有一定聯(lián)系，但外界無法推算出來。 　　數(shù)據(jù)的訪問控制 　　訪問控制的目標是防止任何資源（如計算資源、通信資源或信息資源）進行非授權的訪問,所謂非授權訪問包括未經(jīng)授權的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過認證，只是完成了接入無線局域網(wǎng)的第一步，還要獲得授權，才能開始訪問權限范圍內(nèi)的網(wǎng)絡資源，授權主要是通過訪問控制機制來實現(xiàn)。訪問控制也是一種安全機制，它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術實現(xiàn)對用戶訪問網(wǎng)絡資源的限制。訪問控制可以基于下列屬性進行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時長等。 　　 　　雖然局域網(wǎng)采用的是專網(wǎng)形式，但因管理及使用方面等多種原因，計算機病毒也開始在局域網(wǎng)出現(xiàn)并迅速泛濫，給網(wǎng)絡工程安全帶來一定的隱患，對數(shù)據(jù)安全造成極大威脅，妨礙了機器的正常運行，影響了工作的正常開展。如何防范計算機病毒侵入計算機局域網(wǎng)和確保網(wǎng)絡的安全己成為當前面臨的一個重要且緊迫的任務。 　　局域網(wǎng)病毒 　　局域網(wǎng)病毒的入侵主要來自蠕蟲病毒，同時集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現(xiàn)。計算機病毒表現(xiàn)出以下特點：傳播方式和途徑多樣化；病毒的欺騙性日益增強病毒的傳播速度極快；病毒的制作成本降低；病毒變種增多；病毒難以控制和根治；病毒傳播更具有不確定性和跳躍性；病毒版本自動在線升級和自我保護能力；病毒編制采用了集成方式等。局域網(wǎng)病毒的傳播速度快，傳播范圍廣，危害也大。局域網(wǎng)病毒還特別難以清除，只要有一臺工作站的病毒未被徹底清除，整個網(wǎng)絡就有可能重新感染。 　　當計算機感染上病毒出現(xiàn)異常時，人們首先想到的是用殺毒軟件來清除病毒。但令人擔擾的是殺毒工具軟件被廣泛使用的今天，病毒的種類和數(shù)量以及所造成的損失不是逐年減少，反而是逐年增加。這表明殺毒工具軟件作為病毒防范的最主要工具，已顯露出重大缺陷對病毒的防范始終滯后于病毒的出現(xiàn)。如何加強局域網(wǎng)病毒防護是保障網(wǎng)絡信息安全的關鍵。 　　計算機局域網(wǎng)病毒的防治措施 　　計算機局域網(wǎng)中最主要的軟硬件就是服務器和工作站，所以防治計算機網(wǎng)絡病毒應該首先考慮這兩個部分，另外要加強各級人員的管理教育及各項制度的督促落實。 　?。?）基于工作站的防治技術。局域網(wǎng)中的每個工作站就像是計算機網(wǎng)絡的大門，只有把好這道大門，才能有效防止病毒的侵入。工作站防治病毒的方法有三種：一、是軟件防治，即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。二、是在工作站上插防病毒卡，防病毒卡可以達到實時檢測的目的，但防病毒卡的升級不方便，從實際應用的效果看，對工作站的運行速度有一定的影響。三、是在網(wǎng)絡接口卡上安裝防病病毒芯片它將工作站存取控制與病毒防護合二為一，可以更加實時有效地保護工作站及通向服務器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題，而且對網(wǎng)絡的傳輸速度也會產(chǎn)生一定的影響。上述三種方法都是防病毒的有效手段，應根據(jù)網(wǎng)絡的規(guī)模、數(shù)據(jù)傳輸負荷等具體情況確定使用哪一種方法。 　?。?）基于服務器的防治技術。服務器是網(wǎng)絡的核心，是網(wǎng)絡的支柱，服務器一旦被病毒感染，便無法啟動，整個網(wǎng)絡都將陷入癱瘓狀態(tài)，造成的損失是災難性的。難以挽回和無法估量的，目前市場上基于服務器的病毒防治采用NLM方法，它以NLM模塊方式進行