安全措施及应对方案

　　由于流氓软件和黑客程序充斥着Internet，于是就保障无线网吧的网络安全问题，可以采取如下措施：

　　（1）修改无线设备的默认用户名和密码

　　无线网吧一般通过无线路由器或中继器来访问外部网络。通常设备制造商为了方便用户设置无线网络，都提供了相应的管理软件，该软件可以用来设置设备的网络地址以及帐号等信息。然而在设备出售时，制造商给每一个型号的设备提供的默认用户名和密码都是一样，就会使得黑客们有机可乘获取路由器的控制权。

　　所以，最基本的是要更改默认的管理员密码，而且如果设备支持的话，最好把管理员的用户名也一同更改，使其他用户无法获得整个网络的管理权限。同时，口令应处于严格的控制之下并经常予以变更，有助于确认网吧是否正被合法的用户使用。

　　（2）开启无线设备的加密

　　一般而言，现有的无线路由器/中继器的产品都支持WEP加密，对无线网络上的流量进行加密。如果开启无线设备加密，这样即使无线网吧传输的数据被黑客截取了也变得安全了。

　　（3）修改默认SSID和屏蔽SSID广播

　　通常无线网吧每台机器都有一个SSID，客户需要加入该网络的时候需要有相同的SSID，否则将被拒之门外，但通常路由器/中继器设备制造商都在产品中设了默认的SSID。因此，修改默认的SSID和屏蔽SSID 广播，可以防范黑客的扫描。

　　（4）设置MAC地址过滤

　　无线网吧每台机器都有一个少有的标识，称之为物理地址或MAC地址。通过建立MAC允许地址列表实现物理地址过滤，防止非法设备接入网络。MAC地址过滤可以通过预先在AP 写入合法的MAC地址列表。

　　（5）加强网络访问控制，防范网络入侵

　　无线网络发送有特定参数的信标帧，给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。为了防范网络入侵，可以将AP安置在像防火墙这样的网络安全设备的外面，使用基于IEEE802.1x的新的无线网络产品，通过VPN技术连接到核心网。

　　（6）通过网络检测，限制服务和性能

　　无线带宽是被AP所有用户共享的，可以被几种方式吞噬：来自有线网络的大带宽流量，如从快速以太网发送大量的Ping流量；发送广播流量，同时阻塞多个AP；传输较大的数据文件或者复杂的Client/Server系统都会产生很大的网络流量。

　　因此，通过SNMP报告统计信息，或者用无线网络测试仪，实时检测网络的质量和健康情况。而测试仪还可以有效识别网络速率、帧的类型，帮助进行故障定位。

　　（7）进行流量分析与流量侦听，并采用可靠的协议对数据进行加密

　　802.11无法防止攻击者采用被动方式监听网络流量，而无线网络分析仪可以不受任何阻碍地截获未进行加密的网络流量。作为防护功能的扩展，最新的无线路由器产品的扩展防护功能，利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。