【正文】 10 室內(nèi)區(qū)域無線覆蓋方案一C、室內(nèi)區(qū)域無線覆蓋方案二針對(duì)辦公樓、教學(xué)樓、宿舍等結(jié)構(gòu)較為復(fù)雜的室內(nèi)區(qū)域，可根據(jù)建筑結(jié)構(gòu)具體情況，選用以下兩種方案：方案A：采用多個(gè)無線路由器整合交叉覆蓋形成大面積覆蓋區(qū)域，每個(gè)無線路由器都獨(dú)立接到交換機(jī)上，以保證有更高的帶寬。如圖29圖211 室內(nèi)區(qū)域無線覆蓋方案二A方案B：采用室外覆蓋方式，選用室外無線路由器，通過天線聚集無線信號(hào)，使無線覆蓋范圍更大、更遠(yuǎn)，穿透能力更強(qiáng)。設(shè)備與天線安置于樓宇頂部，以無線信號(hào)向下整體覆蓋樓宇。如圖210圖212 室內(nèi)區(qū)域無線覆蓋方案二BD、機(jī)房無線覆蓋方案機(jī)房內(nèi)容量和布置相對(duì)固定，一般不會(huì)有太大變動(dòng)，可以采用傳統(tǒng)的以太網(wǎng)。如有必要可以將無線局域網(wǎng)作為有線網(wǎng)絡(luò)的擴(kuò)展，以達(dá)到增加機(jī)房容量的效果。第3章 安全防護(hù) 概述 從忽視到重視的轉(zhuǎn)變 學(xué)校布設(shè)無線局域網(wǎng)絡(luò)的需求一般包括為：“教師或者學(xué)生安裝無線網(wǎng)卡，進(jìn)行簡單的設(shè)置就可以在教學(xué)區(qū)和辦公區(qū)漫游使用，在整個(gè)校園內(nèi)連接到校園網(wǎng)上，從辦公區(qū)到教學(xué)樓、從操場到主席臺(tái)都可以實(shí)現(xiàn)移動(dòng)漫游連接互聯(lián)網(wǎng)。”　　非法授權(quán)的用戶可利用無線局域網(wǎng)（WLAN）的漏洞，入侵到有線局域網(wǎng)當(dāng)中，去竊聽或干擾信息非常容易。　　早期的無線網(wǎng)絡(luò)標(biāo)準(zhǔn)安全性并不完善，技術(shù)上存在一些安全漏洞。　　，例如：，在鏈路層進(jìn)行RC4對(duì)稱加密，、微波爐等很多設(shè)備相同，這樣很容易造成相互干擾。 WLAN面臨的威脅　　對(duì)WLAN來說，其安全性主要體現(xiàn)在訪問控制和數(shù)據(jù)加密兩個(gè)方面?？梢哉f，所有有線網(wǎng)絡(luò)存在的安全威脅和隱患都同樣存在。同時(shí)，任何不可信的無線設(shè)備可以在信號(hào)覆蓋范圍內(nèi)進(jìn)行網(wǎng)絡(luò)接入的嘗試，一定程度上暴露了網(wǎng)絡(luò)的存在?！　⊥瑫r(shí)，外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻，對(duì)學(xué)校內(nèi)部數(shù)據(jù)非法存?。粌?nèi)部教師和學(xué)生可以私自設(shè)置無線網(wǎng)卡，使用例如P2P等方式與外界通信，大量占據(jù)可用帶寬。在實(shí)際工作中，有可能遇到的威脅主要包括以下幾個(gè)方面：　　A 信息重放　　在沒有足夠的安全防范措施的情況下，是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。對(duì)于這種攻擊行為，即使采用了VPN等保護(hù)措施也難以避免。中間人攻擊則對(duì)授權(quán)客戶端和AP進(jìn)行雙重欺騙，進(jìn)而對(duì)信息進(jìn)行竊取和篡改。　　B WEP破解　　現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序，能夠捕捉位于AP信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集到足夠的WEP弱密鑰加密的包，并進(jìn)行分析以恢復(fù)WEP密鑰?！　「鶕?jù)監(jiān)聽無線通信的機(jī)器速度、WLAN內(nèi)發(fā)射信號(hào)的無線主機(jī)數(shù)量，最快可以在兩個(gè)小時(shí)內(nèi)攻破WEP密鑰?！　 網(wǎng)絡(luò)竊聽　　一般說來，大多數(shù)網(wǎng)絡(luò)通信都是以明文（非加密）格式出現(xiàn)的，這就會(huì)使處于無線信號(hào)覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解（讀?。┩ㄐ拧Ｓ捎谌肭终邿o需將竊聽或分析設(shè)備物理地接入被竊聽的網(wǎng)絡(luò)，所以，這種威脅已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。　　D MAC地址欺騙　　通過上面提到的網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù)，從而進(jìn)一步獲得AP允許通信的靜態(tài)地址池，這樣不法之徒就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。　　E 拒絕服務(wù)　　攻擊者可能對(duì)AP進(jìn)行泛洪攻擊，使AP拒絕服務(wù)，這是一種后果最為嚴(yán)重的攻擊方式。此外，對(duì)移動(dòng)模式內(nèi)的某個(gè)節(jié)點(diǎn)進(jìn)行攻擊，讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能繼續(xù)工作，通常也稱為能源消耗攻擊。 實(shí)現(xiàn)目標(biāo)與協(xié)議標(biāo)準(zhǔn)為了保護(hù)無線網(wǎng)路免于攻擊入侵的威脅，用戶主要應(yīng)該在提高使用的安全性、達(dá)成通信數(shù)據(jù)的保密性、完整性、使用者驗(yàn)證及授權(quán)等方面予以改善，實(shí)現(xiàn)最基本的安全目的?！　√峁┙尤肟刂疲候?yàn)證用戶，授權(quán)他們接入特定的資源，同時(shí)拒絕為未經(jīng)授權(quán)的用戶提供接入；　　確保連接的保密與完好：利用強(qiáng)有力的加密和校驗(yàn)技術(shù)，防止未經(jīng)授權(quán)的用戶竊聽、插入或修改通過無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)；　　防止拒絕服務(wù)（DoS）攻擊：確保不會(huì)有用戶占用某個(gè)接入點(diǎn)的所有可用帶寬，從而影響其他用戶的正常接入。安全問題一直是制約無線局域網(wǎng)技術(shù)的推廣的關(guān)鍵因素之一，越來多的決策者認(rèn)為安全問題是影響他們做出無線局域網(wǎng)部署決定的首要因素。實(shí)際上，IEEE以及Wifi聯(lián)盟、Microsoft、Cisco等無線局域網(wǎng)標(biāo)準(zhǔn)的制定機(jī)構(gòu)和軟硬件廠商，一直致力于重新定義和改進(jìn)無線局域網(wǎng)安全標(biāo)準(zhǔn)，以便無線局域網(wǎng)能經(jīng)受惡劣的安全環(huán)境的考驗(yàn)。本方案對(duì)無線局域網(wǎng)各種安全標(biāo)準(zhǔn)和協(xié)議進(jìn)行分析與研究，提出了選擇無線局域網(wǎng)的安全策略，并給出了無線局域網(wǎng)安全技術(shù)在校園網(wǎng)工程建設(shè)中的應(yīng)用。如圖31 表31 無線局域網(wǎng)安全技術(shù) 無域網(wǎng)的安全認(rèn)證在無線線局客戶端和無線無線路由器交換數(shù)據(jù)之前，它們之間必須先進(jìn)行一次對(duì)話。，IEEE在其中加入了一項(xiàng)功能：當(dāng)無線客戶端和無線無線路由器對(duì)話后，就立即開始認(rèn)證工作，在通過認(rèn)證之前，設(shè)備無法進(jìn)行其他關(guān)鍵通信。這種認(rèn)證方式有兩種：開放認(rèn)證和共享密鑰認(rèn)證。 開放認(rèn)證，在明文狀態(tài)下進(jìn)行認(rèn)證，認(rèn)證過程如圖所示：客戶端向無線路由器發(fā)送認(rèn)證請(qǐng)求，無線路由器確認(rèn)認(rèn)證，注冊(cè)客戶端；客戶端發(fā)送連接請(qǐng)求給無線路由器，無線路由器確認(rèn)請(qǐng)求，注冊(cè)客戶端。通常無線路由器的開放認(rèn)證有三種策略：第一種策略為默認(rèn)方式，允許任何客戶端認(rèn)證；第二種是只允許認(rèn)證帶有合法服務(wù)器標(biāo)識(shí)ID(實(shí)際為SSID)的客戶端，SSID相當(dāng)于密碼的作用。第三種是無線路由器只允許認(rèn)證MAC地址在無線路由器的訪問控制列表中的客戶端。如圖32表32 開放認(rèn)證 共享密鑰認(rèn)證共享密鑰認(rèn)證是基于WEP共享密鑰的認(rèn)證方法，前提是客戶端和無線路由器中己經(jīng)預(yù)先手動(dòng)設(shè)置好了共享密鑰，共享密鑰認(rèn)證與開放認(rèn)證相似，只不過它使用WEP對(duì)認(rèn)證過程進(jìn)行加密，因而其安全性要高于開放認(rèn)證。 如圖33表33 共享密鑰認(rèn)證 無線局域網(wǎng)的加密技術(shù)加密技術(shù)是網(wǎng)絡(luò)安全的一項(xiàng)重要技術(shù)。IEEE為無線局域網(wǎng)提供了三種安全性保護(hù)協(xié)議:WEP、TKIP、CCMP。主要的方法有無線局域網(wǎng)E無線路由器策略、。其中W無線路由器I是我國自主研發(fā)的、擁有自主知識(shí)產(chǎn)權(quán)的無線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)而TKIP主要進(jìn)行無線網(wǎng)絡(luò)產(chǎn)品的互通性測試。然而，這些還聯(lián)夠，還需要一些增強(qiáng)方法和策略等。 選擇無線局域網(wǎng)安全策略的原則確保無線局域網(wǎng)網(wǎng)安全可以說“三分靠技術(shù)，七分靠策略”，無線局域網(wǎng)部署中要適當(dāng)應(yīng)用安全技術(shù)，合理選擇安全策略。在部署無線局域網(wǎng)時(shí)，只要結(jié)合自身的網(wǎng)路安全實(shí)際需求，合理選擇無線局域網(wǎng)的安全策略，提供足夠的網(wǎng)絡(luò)安全防護(hù)，就可以安心的享受無線接入的便捷，同時(shí)也能保證重要數(shù)據(jù)的安全。首先對(duì)無線局域網(wǎng)的各種安全措施以及無線路由器類型進(jìn)行比較，最后選擇基本安全、增強(qiáng)安全和擴(kuò)展安全三種無線局域網(wǎng)部署方案。如圖34表34 安全策略原則參考文獻(xiàn)[1] 于雷，[2] 張圣，[3] 余智，[4] [5] ，2003，(14)[6] 馮錫平，2005，(03)[7] [J].網(wǎng)絡(luò)世界，2007（06）