【IT168专稿】随着无线网络产品价格的不断下降，无线网络的应用也越来越多，尤其是2006年以后推出的“本本”，无线网卡无一例外地成了标准的配置。无论是家庭还是企业用户都开始感受到无线网络的“无拘无束”，但无线网络的安全问题也备受关注。由于家庭用户与企业用户的应用范围和数据的重要程度都有所区别，因此对无线网络的安全性要求、配置等各方面都存在一些差异。以下将根据家庭和企业用户的特点，向各位网友介绍一些配置无线网络安全时的一些常用方法，希望能给大家的生活和工作提供些许的帮助。

    一、更改无线路由的默认密码：
    无论时传统的路由还是现在的无线路由设备，在出厂时都被厂家设置了一个默认的用户名和密码，如果用户不更改这个默认的密码，将是非常危险的，默认的用户名通常是“Admin”，是拥有管理员权限的。即使是初级的“黑客”利用简单的扫描工具即可得到这些设备的地址，然后利用默认的用户名和密码，去尝试登陆你的网络，访问网络中的资源。因此建议无论是传统的路由还是无线路由设备，在安装时，就登陆到设备的管理界面，将默认的密码修改掉，最好将用户也改了，这样至少可以阻止那些初级扫描工具的攻击。这一点是家庭和企业用户都需要做的。

    二、合理放置无线设备的位置：
    众所周知，无线网络的信号是弥漫在空气中的，我们是看不见、摸不着的。所以任何一个无线终端进入了设备信号的覆盖范围，都将有可能连接到我们网络，这通常是我们不希望出现的现象。尤其是家庭用户，现在大家很多居住的都是单元楼，房屋之间的距离太近，所以合理放置无线设备的位置，是控制信号范围一个有效的方法。不能接收到信号，就如同在传统的网络中没有插入网线一样，阻断了物理的连接。但这点对企业用户来说，就没有太大的意义了。企业在组建无线网络时，不仅需要信号的覆盖的范围尽量大，还想控制组网的成本，所以无线设备的位置一定是放在一些终端集中的位置。

    三、MAC地址过滤：
    稍微有点网络尝试的朋友都知道，无论是有线的网卡还是无线网卡都有一个唯一的MAC地址，目前市面上的无线设备几乎都支持MAC过滤的功能。一般的家庭用户可以进入设备的管理界面设置，从而完成比较初级的安全配置，虽然一些黑客仍然可以利用MAC地址欺骗的方式接入网络，但这也是要以时间为代价的。当然用户也可以使用我们下面介绍的其他高级的方法加强自身无线网络的安全。MAC地址过滤的方式比较适合家庭用户使用，对于企业用户来说，使用企业就比较麻烦了，一旦新的终端接入，或者更换无线终端的时候都需要对MAC的访问控制表进行维护，因此会非常麻烦。如果我是这个公司的网管的话，将不会采用这种方式的，几个终端还可以，要是几十个，甚至更多的话，那对网管来说将是非常“痛苦”的事情。特别是一些公共场所或者会议室之类的地方，MAC地址过滤的安全措施是很难实施的。

    四、禁用DHCP和SNMP设置：
    由于DHCP配置起来比较简单，许多家庭无线网络用户都使用DHCP服务来为客户端动态分配IP地址。这就带来了一个新的安全隐患，入侵者很容易通过DHCP服务得到一个合法的IP地址。然而家庭用户一般都是比较固定的，这样就可以为终端设备分配一个固定的IP，通过路由器上设定合法的IP地址列表，可以有效地防止非法入侵，保护你的无线网络。
禁用DHCP对家庭用户而言，是很有意义的。如果家庭用户采取这项措施，当入侵者试图接入你的网络时，不得不先破译你的IP地址、子网掩码及所需的TCP/IP参数，不仅破译的难度很高，同时也需要以时间为代价。无论入侵者怎样利用你的无线接入点，他都需要先搞清楚你的IP地址。对于SNMP设置，要么禁用，要么改变公开或专用的共用字符串。如果没有使用这项措施，入侵者就可能利用SNMP获得你的络的一些重要信息。企业用户也可以采取这两项措施来加强安全，同时还需要根据无线接入点的情况和实际的需要灵活选择。

    五、修改SSID（服务区标识符）：
    一般情况下，无线网络设备都有一个服务区标识符（SSID），无线客户端需要加入该网络的时候一般都需要获得一个与之相同的SSID，不然将无法接入。通常无线设备制造商都在他们的产品中设了一个默认的SSID。如果一个网络，不指定SSID或者只使用默认SSID的话，那么任何无线客户端都可以接入该网络。无疑这为入侵网络打开了方便之门。
这种措施比较适合家庭用户使用，原因还是因为无线网络应用的场所不同。企业用户的环境更加复杂，接入的要求各不相同，当每一个接入的无线终端都需要去更改SSID的时候，也是件非常麻烦的事情，这显然也违背了我们应用无线网络的初衷。

    六、禁用SSID广播：
    在无线网络设备中，很多路由设备都有个重要的功能，那就是服务区标识符（SSID）广播。刚开始，这个功能主要是为那些客户端流动量比较大的无线网络而设计的。如果是启动了SSID广播的网络，其路由设备会自动向该设备有效覆盖范围内的客户端广播自己的SSID标识符，客户端接收到这个SSID标识符后，利用这个SSID标识符就可以使用这个网络。这个功能虽然很方便，但同时，这个功能也存在极大的安全隐患，它犹如自动地为想接入此无线网络的黑客敞开了大门。对于家庭用户来讲，网络成员相对固定，所以最好禁止这项功能。但在企业或商业网络里，由于为了满足经常流动的无线网络客户端，必定要牺牲安全性来启用这项功能，

    七、使用WEP（Wired Equivalent Privacy）加密：
WEP是英文Wired Equivalent Privacy的简称，所有经过WIFI认证的设备都支持该安全协议。采用64位或128位加密密钥的RC4加密算法，它可以保证传输数据在无线网络间不会以明文方式被截获。此方法需要在每个AP和无线设备上设置密码，部署相对比较麻烦。它使用静态非交换式密钥，安全性也受到了一定的质疑，不过仍然可以阻挡简单的数据截获攻击，通常可以应用到家庭和中小型企业的安全加密。若只单独使用此措施，不结合使用AP隔离的话，在一些公共的场所就不太适合，例如会议室就是一个比较典型的例子。笔者就曾经到当地电信局的参加会议，他们当时使用了WEP加密的方法，但并没有采取AP隔离的措施。因此在会议开始之前他们的网管就要向每个与会者的邮箱发送WEP的密码，然而管理员并不知道我们每个与会者的邮箱地址，最后不得不当场直接告诉大家。大家都是在同一个会议室还没有什么问题，然而当同时使用的会议室比较多，参加会议的人又需要在各个会议之间来回穿插的话，就必将给网管带来不小的麻烦。

    八、AP隔离：
    AP隔离非常类似有线网络的VLAN（虚拟局域网），将所有的无线客户端设备之间完全隔离，使客户端只能访问AP接入的固定网络。该措施非常适合大型的会议室、酒店、机场等公共场所的无线网络建设，让各个接入的无线客户端之间相互保持隔离，提供彼此间更加安全的接入。该措施对于家庭用户来说没有太多的实际意义，但企业用户在一些特殊的场合可以采用这种方式来加强无线网络的安全性。例如有客户或外单位人员参加的会议等公共活动。

    九、未来趋势：
    WPA即Wi-Fi protected access的简称，是下一代无线协议802.11i出笼之前的一种过渡方案，其实也是该标准内的一个组成部分。WPA率先使用802.11i中的加密技术-TKIP (Temporal Key Integrity Protocol)，这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。目前企业应用这项安全协议的比较多，但TKIP加密还不能完全满足高端用户和政府的加密需求。WPA2与WPA后上兼容，支持高级的AES(Advanced Encryption Standard)加密，能够更好地解决无线网络的安全问题。但由于一部分的AP和大多数移动客户端并不支持该协议，虽然微软已经提供了WPA2补丁，但是仍需要对客户端逐个部署，相对麻烦。此加密方法适用于家庭、企业及政府用户。
802.11i ，IEEE正在开发的下一代的无线协议，目的是想彻底解决无线网络的安全问题，草案中包含加密技术AES(Advanced Encryption Standard)与TKIP，以及认证协议IEEE802.1x。虽然该协议号称可以彻底的解决无线网络的安全问题，但目前市面上支持该协议的产品还非常难觅。
802.1x协议由IEEE定义，用于传统的以太网和无线网络中的端口访问和控制。802.1x使用了扩展认证协议EAP。EAP采用了更多的认证机制，因此可以提供更高级别的安全。同时由于部署有一定的难度，费用也相对较高，比较适合企业用户的选择。

    束语：
    以上各项项措施虽然从一定程度上加强了无线网络的安全，但并没有彻底解决的无线网络的安全问题。这个世界永远是这样，有矛就有盾，因此完善的安全协议固然需要，但提高每个自身的安全知识和素养更加重要，希望能够给各位网友在组件无线网络的过程中提供一点参考！