畢業(yè)設(shè)計(jì)（論文）校園無(wú)線網(wǎng)絡(luò)解決方案

1、目錄第一章 無(wú)線局域網(wǎng)概述- 5 -1.1無(wú)線局域網(wǎng)的技術(shù)特點(diǎn)- 5 -1.2無(wú)線局域網(wǎng)的優(yōu)點(diǎn)- 5 -1.3無(wú)線局域網(wǎng)組建將按以下相關(guān)技術(shù)實(shí)施- 6 -第二章 校園無(wú)線局域網(wǎng)的建設(shè)目標(biāo)- 7 -第三章 校園無(wú)線網(wǎng)的體系結(jié)構(gòu)- 7 -3.1無(wú)線網(wǎng)絡(luò)基礎(chǔ)架構(gòu)概括- 7 -3.2校園無(wú)線網(wǎng)絡(luò)的方體系結(jié)構(gòu)- 8 -第四章 校園無(wú)線網(wǎng)的具體實(shí)施方案- 9 -4.1大教室和會(huì)議廳- 9 -4.2.校園公共休息場(chǎng)所- 10 -4.3實(shí)現(xiàn)校園區(qū)內(nèi)建筑物間的高速橋接聯(lián)路- 10 -4.4方案落實(shí)與簡(jiǎn)介- 10 -第五章 無(wú)線局域網(wǎng)的安全機(jī)制- 11 -5.1無(wú)線局域網(wǎng)安全狀況- 11 -5.2授權(quán)訪問(wèn)威脅分析

2、- 12 -5.3無(wú)線局域網(wǎng)安全存在的主要問(wèn)題及安全技術(shù)- 12 -5.4無(wú)線網(wǎng)絡(luò)安全對(duì)策- 14 -第六章 總 結(jié)- 15 -致謝- 16 -參考文獻(xiàn):- 17 - 摘要在這個(gè)“網(wǎng)絡(luò)就是計(jì)算機(jī)”的時(shí)代，伴隨著有線網(wǎng)絡(luò)的廣泛應(yīng)用，以快捷高效，組網(wǎng)靈活為優(yōu)勢(shì)的無(wú)線網(wǎng)絡(luò)技術(shù)也在飛速發(fā)展。無(wú)線局域網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物。從專業(yè)角度講，無(wú)線局域網(wǎng)利用了無(wú)線多址信道的一種有效方法來(lái)支持計(jì)算機(jī)之間的通信，并為通信的移動(dòng)化、個(gè)性化和多媒體應(yīng)用提供了可能。通俗地說(shuō)，802.11b標(biāo)準(zhǔn)的無(wú)線局域網(wǎng)（wireless local-area network，wlan）就是在不采用傳統(tǒng)纜線的同時(shí)，提

3、供以太網(wǎng)或者令牌網(wǎng)絡(luò)的功能。 通常計(jì)算機(jī)組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在某些場(chǎng)合要受到布線的限制：布線、改線工程量大；線路容易損壞；網(wǎng)中的各節(jié)點(diǎn)不可移動(dòng)。特別是當(dāng)要把相離較遠(yuǎn)的節(jié)點(diǎn)連接起來(lái)時(shí)，敷設(shè)專用通信線路的布線施工難度大、費(fèi)用高、耗時(shí)長(zhǎng),對(duì)正在迅速擴(kuò)大的聯(lián)網(wǎng)需求形成了嚴(yán)重的瓶頸阻塞。無(wú)線局域網(wǎng)就是解決有線網(wǎng)絡(luò)以上問(wèn)題而出現(xiàn)的。 關(guān)鍵字：小ap、無(wú)線網(wǎng)橋、全向和定向天線。campus wireless network solutionabstract in this the network is the computer the time, is followi

4、ng the wirednetwork widespread application, to is quickly highly effective, thenetwork nimbly also rapidly is developing for the superiority wirelessnetwork technology. the wireless local area network is a product whichthe computer network and the wireless communication unifies. says fromthe special

5、ized angle, the wireless local area network used thewireless multi- sites channel one effective method to support betweenthe computer the correspondence, and for the correspondence migration,the individuality and the multimedia application has provided thepossibility. popularly speaking that, the wi

6、reless local area network(wireless local-area network, wlan) is while does not use thetraditional cable line, provides the ethernet or makes the signnetwork the function. usual computer network transmission medium main dependence coppercable or optical cable, constitution wired local area network. b

7、ut thewired network needs to receive the wiring in certain situations thelimit: the wiring, re-routes the resilience to be big; the line iseasy to damage; in the net various pitch points are intransportable.specially when must leave a farther pitch point connects, lays theprivate wire service the wi

8、ring construction difficulty big, theexpense high, consumes when is long, to the networking demand whichrapidly expanded is forming the serious bottleneck to block. thewireless local area network is above the solution wired network thequestion appears. keywords: small ap、 non- wire bridge、 omnidirec

9、tional anddirectional antenna.第一章 無(wú)線局域網(wǎng)概述1.1無(wú)線局域網(wǎng)的技術(shù)特點(diǎn) 無(wú)線局域網(wǎng)（wlan）利用電磁波在空氣中發(fā)送和接受數(shù)據(jù)，而無(wú)需線纜介質(zhì)。無(wú)線局域網(wǎng)的數(shù)據(jù)傳輸速率現(xiàn)在已經(jīng)能夠達(dá)到11mbps，傳輸距離可遠(yuǎn)至20km以上。它是對(duì)有線聯(lián)網(wǎng)方式的一種補(bǔ)充和擴(kuò)展，使網(wǎng)上的計(jì)算機(jī)具有可移動(dòng)性，能快速方便地解決使用有線方式不易實(shí)現(xiàn)的網(wǎng)絡(luò)聯(lián)通問(wèn)題。 1.2無(wú)線局域網(wǎng)的優(yōu)點(diǎn)與有線網(wǎng)絡(luò)相比，無(wú)線局域網(wǎng)具有以下優(yōu)點(diǎn)： 1）安裝便捷一般在網(wǎng)絡(luò)建設(shè)中，施工周期最長(zhǎng)、對(duì)周邊環(huán)境影響最大的，就是網(wǎng)絡(luò)布線施工工程。在施工過(guò)程中，往往需要破墻掘地、穿線架管。而無(wú)線局域網(wǎng)最大的優(yōu)勢(shì)就

10、是免去或減少了網(wǎng)絡(luò)布線的工作量，一般只要安裝一個(gè)或多個(gè)接入點(diǎn)ap(access point)設(shè)備，就可建立覆蓋整個(gè)建筑或地區(qū)的局域網(wǎng)絡(luò)。 2）使用靈活 在有線網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備的安放位置受網(wǎng)絡(luò)信息點(diǎn)位置的限制。而一旦無(wú)線局域網(wǎng)建成后，在無(wú)線網(wǎng)的信號(hào)覆蓋區(qū)域內(nèi)任何一個(gè)位置都可以接入網(wǎng)絡(luò)。 3）經(jīng)濟(jì)節(jié)約 由于有線網(wǎng)絡(luò)缺少靈活性，這就要求網(wǎng)絡(luò)規(guī)劃者盡可能地考慮未來(lái)發(fā)展的需要，這就往往導(dǎo)致預(yù)設(shè)大量利用率較低的信息點(diǎn)。而一旦網(wǎng)絡(luò)的發(fā)展超出了設(shè)計(jì)規(guī)劃，又要花費(fèi)較多費(fèi)用進(jìn)行網(wǎng)絡(luò)改造,而無(wú)線局域網(wǎng)可以避免或減少以上情況的發(fā)生。4）易于擴(kuò)展 無(wú)線局域網(wǎng)有多種配置方式，能夠根據(jù)需要靈活選擇。這樣，無(wú)線局域網(wǎng)就能勝任

11、從只有幾個(gè)用戶的小型局域網(wǎng)到上千用戶的大型網(wǎng)絡(luò)，并且能夠提供像“漫游(roaming)”等有線網(wǎng)絡(luò)無(wú)法提供的特性。由于無(wú)線局域網(wǎng)具有多方面的優(yōu)點(diǎn)，所以發(fā)展十分迅速。在最近幾年里，無(wú)線局域網(wǎng)已經(jīng)在醫(yī)院、商店、工廠和學(xué)校等不適合網(wǎng)絡(luò)布線的場(chǎng)合得到了廣泛應(yīng)用。 1.3無(wú)線局域網(wǎng)組建將按以下相關(guān)技術(shù)實(shí)施1). ieee 802.11b標(biāo)準(zhǔn)ieee 802.11b是由大量的局域網(wǎng)以及計(jì)算機(jī)專家審定通過(guò)的標(biāo)準(zhǔn)。ieee 802.11b規(guī)定了無(wú)線局域網(wǎng)在2.4ghz波段進(jìn)行操作，這一波段被全球無(wú)線電法規(guī)實(shí)體定義為擴(kuò)頻使用波段。 2). 無(wú)線局域網(wǎng)的相關(guān)方案在一個(gè)典型的無(wú)線局域網(wǎng)環(huán)境中，有一些進(jìn)行數(shù)據(jù)發(fā)送和接

12、收的設(shè)備，稱為接入點(diǎn)(ap)。通常，一個(gè)ap能夠在幾十至上百米的范圍內(nèi)連接多個(gè)無(wú)線用戶。在同時(shí)具有有線和無(wú)線網(wǎng)絡(luò)的情況下，ap可以通過(guò)標(biāo)準(zhǔn)的ethernet電纜與傳統(tǒng)的有線網(wǎng)絡(luò)相聯(lián)，作為無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的連接點(diǎn)。無(wú)線局域網(wǎng)的終端用戶可通過(guò)無(wú)線網(wǎng)卡等訪問(wèn)網(wǎng)絡(luò)。 3）.無(wú)線局域網(wǎng)在室外主要有以下幾種結(jié)構(gòu)：點(diǎn)對(duì)點(diǎn)型、點(diǎn)對(duì)多點(diǎn)型、多點(diǎn)對(duì)點(diǎn)型和混合型。 點(diǎn)對(duì)點(diǎn)型該類型常用于固定的要聯(lián)網(wǎng)的兩個(gè)位置之間，是無(wú)線聯(lián)網(wǎng)的常用方式，使用這種聯(lián)網(wǎng)方式建成的網(wǎng)絡(luò)，優(yōu)點(diǎn)是傳輸距離遠(yuǎn)，傳輸速率高，受外界環(huán)境影響較小。 點(diǎn)對(duì)多點(diǎn)型 該類型常用于有一個(gè)中心點(diǎn)，多個(gè)遠(yuǎn)端點(diǎn)的情況下。其最大優(yōu)點(diǎn)是組建網(wǎng)絡(luò)成本低、維護(hù)簡(jiǎn)單；其次，

13、由于中心使用了全向天線，設(shè)備調(diào)試相對(duì)容易。該種網(wǎng)絡(luò)的缺點(diǎn)也是因?yàn)槭褂昧巳蛱炀€，波束的全向擴(kuò)散使得功率大大衰減，網(wǎng)絡(luò)傳輸速率低，對(duì)于較遠(yuǎn)距離的遠(yuǎn)端點(diǎn)，網(wǎng)絡(luò)的可靠性不能得到保證。 混合型 這種類 型適用于所建網(wǎng)絡(luò)中有遠(yuǎn)距離的點(diǎn)、近距離的點(diǎn)，還有建筑物或山脈阻擋的點(diǎn)。在組建這種網(wǎng)絡(luò)時(shí)，綜合使用上述幾種類型的網(wǎng)絡(luò)方式，對(duì)于遠(yuǎn)距離的點(diǎn)使用點(diǎn)對(duì)點(diǎn)方式，近距離的多個(gè)點(diǎn)采用點(diǎn)對(duì)多點(diǎn)方式，有阻擋的點(diǎn)采用中繼方式。 本設(shè)計(jì)將以802.11b標(biāo)準(zhǔn)實(shí)施組網(wǎng)并做到節(jié)約材料、經(jīng)濟(jì)、利于穩(wěn)定傳輸而且易擴(kuò)展等。第二章 校園無(wú)線局域網(wǎng)的建設(shè)目標(biāo)對(duì)金肯學(xué)院西校區(qū),南校區(qū),東南校區(qū)以及各宿舍實(shí)現(xiàn)穩(wěn)定的無(wú)線信號(hào)覆蓋,提供支持移動(dòng)辦

14、公應(yīng)用系統(tǒng)所需的無(wú)線網(wǎng)絡(luò)高達(dá)54m帶寬,并可根據(jù)不同的無(wú)線終端設(shè)備自動(dòng)調(diào)整,提供安全可靠的無(wú)線數(shù)據(jù)加密和身份認(rèn)證.保證必須通過(guò)身份驗(yàn)證的合法用戶才能通過(guò)學(xué)校的無(wú)線ap接入校園網(wǎng)和互聯(lián)網(wǎng)絡(luò),防止非法用戶訪問(wèn)。該網(wǎng)絡(luò)具備完全擴(kuò)展的要求,為以后的升級(jí)和擴(kuò)容奠定基礎(chǔ).充分的保證現(xiàn)有的投資.所以選擇有線和無(wú)線結(jié)合的方式實(shí)現(xiàn)組網(wǎng).實(shí)現(xiàn)低成本,高穩(wěn)定,高效率,健壯性,高帶寬,全覆蓋,可擴(kuò)展的無(wú)限局域網(wǎng)絡(luò)。此外，本設(shè)計(jì)的目標(biāo)是實(shí)現(xiàn)校園信息話、網(wǎng)絡(luò)化。是師生都能盡情的無(wú)線上網(wǎng)。并做到校園的pc管理等。第三章 校園無(wú)線網(wǎng)的體系結(jié)構(gòu)3.1無(wú)線網(wǎng)絡(luò)基礎(chǔ)架構(gòu)概括1）無(wú)線局域網(wǎng)（wireless local area n

15、etwork，簡(jiǎn)稱wlan）技術(shù)。目前得到廣泛應(yīng)用的技術(shù)是ieee 802.11 系列。ieee 802.11b可支持11mbps共享接入速度，采用2.4ghz 頻段。因此無(wú)線校園網(wǎng)可選擇ieee 802.11b標(biāo)準(zhǔn)。2）無(wú)線局域網(wǎng)的組成包括無(wú)線網(wǎng)卡和無(wú)線接入點(diǎn)（access point，簡(jiǎn)稱ap）。無(wú)線局域網(wǎng)利用常規(guī)的局域網(wǎng)（如10/100/1000m以太網(wǎng)）及其互聯(lián)設(shè)備（路由器、交換機(jī)）構(gòu)成校園骨干網(wǎng)。利用無(wú)線接入點(diǎn)（ap）支持配有無(wú)線網(wǎng)卡的臺(tái)式pc機(jī)、筆記本電腦或其他設(shè)備就可以與無(wú)線網(wǎng)絡(luò)連接起來(lái)。3）對(duì)于客戶端，無(wú)線網(wǎng)卡作為無(wú)線網(wǎng)絡(luò)的接口實(shí)現(xiàn)與無(wú)線網(wǎng)絡(luò)的連接。無(wú)線網(wǎng)卡根據(jù)接口類型的不同有

16、：pc cdma無(wú)線網(wǎng)卡（適用于筆記本電腦，支持熱插拔）、pci無(wú)線網(wǎng)卡（適用于臺(tái)式機(jī)）和usb無(wú)線網(wǎng)卡（適用于筆記本電腦和臺(tái)式機(jī)，支持熱插拔）。4）無(wú)線接入點(diǎn)的作用是完成wlan和lan之間的橋接。wlan工作站也可漫游在不同的ap之間。若不加外接天線，ap的覆蓋理論上在視野所及之處約250m。但若在半開(kāi)放性空間，或有間隔的區(qū)域，則約3050m左右。由于微波是直線傳播，所以微波都是小角度穿透幾面墻體，墻體將減弱信號(hào)，如果墻體為鋼筋混凝土，信號(hào)則會(huì)更弱。所以，在實(shí)際情況下（通常在室外），還需要加上外接增益天線，使距離到達(dá)更遠(yuǎn)、信號(hào)更強(qiáng)。3.2校園無(wú)線網(wǎng)絡(luò)的方體系結(jié)構(gòu)該方案在原有的有線校園網(wǎng)基礎(chǔ)

17、上構(gòu)建無(wú)線校園網(wǎng)絡(luò)，可以分為室內(nèi)和室外兩個(gè)部分進(jìn)行。1）室內(nèi)單元（使用室內(nèi)ap）指原先沒(méi)有安裝有線網(wǎng)絡(luò)的教室、會(huì)議室、臨時(shí)移動(dòng)辦公室等房間。在室內(nèi)部署wlan的第一步是要確定ap的數(shù)量和位置。也就是要將多個(gè)ap形成的各自的無(wú)線信號(hào)覆蓋區(qū)域進(jìn)行交叉覆蓋，各覆蓋區(qū)域之間無(wú)縫連接。所有ap通過(guò)雙絞線與有線骨干網(wǎng)絡(luò)相連，形成以有線網(wǎng)絡(luò)為基礎(chǔ)，無(wú)線覆蓋為延伸的大面積服務(wù)區(qū)域。所有無(wú)線終端通過(guò)就近的ap接入網(wǎng)絡(luò)，訪問(wèn)整個(gè)網(wǎng)絡(luò)資源。覆蓋區(qū)的間隙會(huì)導(dǎo)致在這些區(qū)域內(nèi)無(wú)法連通。安裝人員可以通過(guò)地點(diǎn)調(diào)查來(lái)確定ap的位置和數(shù)量。地點(diǎn)調(diào)查可以權(quán)衡實(shí)際環(huán)境（如教室的面積等）和用戶需求，考慮到教學(xué)環(huán)境對(duì)網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)速度的

18、要求，這包括覆蓋頻率、信道使用和吞吐量需求等。多個(gè)ap通過(guò)線纜連接在有線網(wǎng)絡(luò)上，使無(wú)線終端能夠訪問(wèn)網(wǎng)絡(luò)的各個(gè)部分。通常，一個(gè)ap最多可以支持多達(dá)80臺(tái)計(jì)算機(jī)的接入，當(dāng)然，數(shù)量為2030臺(tái)時(shí)工作站的工作狀態(tài)最佳，ap的典型室內(nèi)覆蓋范圍是30100m。根據(jù)教室和會(huì)議廳的大小，可配置1個(gè)或多個(gè)無(wú)線接入點(diǎn)。2）室外單元：指校園操場(chǎng)及其他公共場(chǎng)所等。（使用室外ap） 2）室外考慮因素與教室、會(huì)議室不同的是，在校園區(qū)室外配置無(wú)線接入點(diǎn)要復(fù)雜一些，要把各自成一個(gè)局域網(wǎng)而又有一定距離的各棟樓房連接起來(lái)。在網(wǎng)絡(luò)的每一端接入ap，并在距離遠(yuǎn)或信號(hào)弱地方，同時(shí)外接高增益天線，這樣就可以實(shí)現(xiàn)幾公里以內(nèi)的兩個(gè)網(wǎng)段之間的

19、互聯(lián)了。網(wǎng)絡(luò)體系結(jié)構(gòu)如圖所示：分析：設(shè)備的選擇：交換機(jī)、路由器、ap、無(wú)線全向天線、無(wú)線定向天線。全向天線：在所有水平方位上信號(hào)的發(fā)射和接收都相等。定向天線：在一個(gè)方向上發(fā)射和接收大部分的信號(hào)。ap ：負(fù)責(zé)pc機(jī)的接入。交換機(jī)（s）和路右器（r）：構(gòu)成校園骨干網(wǎng)絡(luò)。并且路由器負(fù)責(zé)接入internet。第四章 校園無(wú)線網(wǎng)的具體實(shí)施方案4.1大教室和會(huì)議廳 現(xiàn)在的教育已經(jīng)與以前很不相同了，一方面教學(xué)的互動(dòng)性增強(qiáng)了，另一方面，教學(xué)的信息量增大了很多倍，在課堂上，學(xué)生不再僅僅是被動(dòng)的聽(tīng)者，也是互動(dòng)教育的參與者，學(xué)生可以用自己的資料來(lái)參與教學(xué)；同時(shí)這些數(shù)據(jù)需要共享，需要在課堂上顯示，并允許老師和同學(xué)們共

20、享文件；再者，同學(xué)們可以從此擺脫抄寫教案的傳統(tǒng)方式，更加集中精力參與教學(xué)，相助相長(zhǎng)。 4.2.校園公共休息場(chǎng)所 現(xiàn)在網(wǎng)絡(luò)已經(jīng)成為校園生活的重要組成部分，它已經(jīng)把學(xué)校中的學(xué)生、院系和社交、學(xué)術(shù)、業(yè)務(wù)活動(dòng)的行政人員緊密地聯(lián)系在一起。隨著越來(lái)越多的學(xué)生擁有了筆記本電腦，只有無(wú)線網(wǎng)絡(luò)才能滿足學(xué)生日益增長(zhǎng)的需要，只有無(wú)線網(wǎng)絡(luò)才能讓學(xué)生們?cè)谛@中隨時(shí)接入互聯(lián)網(wǎng)。在校園中，學(xué)生不光可以在教室、實(shí)驗(yàn)室和宿舍上網(wǎng)，也可以在休息期間上網(wǎng)，同時(shí)在考試前夕更可以減少實(shí)驗(yàn)室、圖書(shū)館等可以有線上網(wǎng)地區(qū)的學(xué)生上網(wǎng)壓力，改進(jìn)學(xué)校的學(xué)習(xí)環(huán)境，提高學(xué)生的學(xué)習(xí)效率與成績(jī)。 4.3實(shí)現(xiàn)校園區(qū)內(nèi)建筑物間的高速橋接聯(lián)路 在有些校園，并非

21、固定網(wǎng)絡(luò)間的通信問(wèn)題都已經(jīng)解決，或者原先的網(wǎng)絡(luò)互聯(lián)速率較低，已經(jīng)不能滿足目前對(duì)寬帶應(yīng)用的要求，在校園園區(qū)內(nèi)敷設(shè)線路雖然不象在公共場(chǎng)所動(dòng)土那般困難，但也決非易事，我們可以使用無(wú)線網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)園區(qū)內(nèi)建筑物間計(jì)算機(jī)網(wǎng)絡(luò)的高速互聯(lián)。 4.4方案落實(shí)與簡(jiǎn)介具體實(shí)施方案如下圖：假設(shè)現(xiàn)有的有線網(wǎng)絡(luò)中，每棟樓與中心機(jī)房都有光纖連接，在樓內(nèi)布有若干個(gè)接入交換機(jī)，這些接入交換機(jī) 接入到各校區(qū)（如東校區(qū)、南校區(qū)等）的匯聚層交換機(jī)，再由匯聚層交換機(jī)接入到設(shè)在中心機(jī)房的骨干交 換機(jī)。如以上圖所示，校園無(wú)線局域網(wǎng)由室內(nèi)與室外兩部分組成。 在室內(nèi)根據(jù)覆蓋需要，放置若干個(gè)無(wú)線局域網(wǎng)訪問(wèn)點(diǎn)，用于用戶無(wú)線網(wǎng)絡(luò)的接入，用戶在移動(dòng)時(shí)

22、，系統(tǒng)會(huì)自 動(dòng)漫游，在不同的訪問(wèn)點(diǎn)之間進(jìn)行信號(hào)的切換。這些訪問(wèn)點(diǎn)連接到各樓的接入交換機(jī)。在室內(nèi)做無(wú)線網(wǎng)覆蓋 時(shí)，一般將 ap放在室內(nèi)的頂部和樓道的開(kāi)闊處，這些ap設(shè)備的供電可能會(huì)比較麻煩，可以采用 以太網(wǎng)供電器（poe， power over ethernet），通過(guò)以太網(wǎng)線供電非常方便。 在室外，選擇合適的大樓樓頂安裝無(wú)線訪問(wèn)點(diǎn)，并安裝天線以增加信號(hào)的增益，該無(wú)線訪問(wèn)點(diǎn)連接到該棟樓 的接入交換機(jī)上。由于 ap多半安裝在不易維護(hù)的地點(diǎn)（如屋頂），遠(yuǎn)程管理變得非常重要。為解決無(wú)線局域 網(wǎng)安全及為使用者提供一個(gè)放心、易管理的使用環(huán)境，無(wú)線網(wǎng)絡(luò)產(chǎn)品通過(guò)web來(lái)實(shí)現(xiàn)遠(yuǎn)程管理，簡(jiǎn)單易操作。第五章 無(wú)線局

23、域網(wǎng)的安全機(jī)制5.1無(wú)線局域網(wǎng)安全狀況由于無(wú)線局域網(wǎng)通過(guò)無(wú)線電波在空中傳輸數(shù)據(jù),所以在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的幾乎任何一個(gè)無(wú)線局域網(wǎng)用戶都能接觸到這些數(shù)據(jù).無(wú)論接觸數(shù)據(jù)者是在另外一個(gè)房間,另一層樓或是在本建筑之外,無(wú)線就意味著會(huì)讓人接觸到數(shù)據(jù).與此同時(shí),要將無(wú)線局域網(wǎng)發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的.而防火墻對(duì)通過(guò)無(wú)線電波進(jìn)行的網(wǎng)絡(luò)通訊起不了作用,任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。因此,雖然無(wú)線網(wǎng)絡(luò)和無(wú)線局域網(wǎng)的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶的自由,它安裝時(shí)間短,增加用戶或更改網(wǎng)絡(luò)結(jié)構(gòu)時(shí)靈活,經(jīng)濟(jì),可提供無(wú)線覆蓋范圍內(nèi)的全功能漫游服務(wù).然而,這種自由也同時(shí)帶來(lái)了新的挑戰(zhàn),這些挑戰(zhàn)其中就包

24、括安全性.而安全性又包括兩個(gè)方面,一是訪問(wèn)控制,另一個(gè)就是保密性.訪問(wèn)控制確保敏感的數(shù)據(jù)僅由獲得授權(quán)的用戶訪問(wèn).保密性則確保傳送的數(shù)據(jù)只被目標(biāo)接收人接收和理解.由上述可見(jiàn),真正需要重視的是數(shù)據(jù)保密性,但訪問(wèn)控制也不可忽視,如果沒(méi)有在安全性方面進(jìn)行精心的建設(shè),布署無(wú)線局域網(wǎng)將會(huì)給黑客和網(wǎng)絡(luò)犯罪開(kāi)啟方便之門. 無(wú)線局域網(wǎng)必須考慮的安全威脅有以下幾種:1）所有常規(guī)有線網(wǎng)絡(luò)存在的安全威脅和隱患都存在；2）外部人員可以通過(guò)無(wú)線網(wǎng)絡(luò)繞過(guò)防火墻,對(duì)公司網(wǎng)絡(luò)進(jìn)行非授權(quán)存??；3）無(wú)線網(wǎng)絡(luò)傳輸?shù)男畔](méi)有加密或者加密很弱,易被竊取,竄改和插入；4)無(wú)線網(wǎng)絡(luò)易被拒絕服務(wù)攻擊和干擾；5)內(nèi)部員工可以設(shè)置無(wú)線網(wǎng)卡為p2p

25、模式與外部員工連接；6)無(wú)線網(wǎng)絡(luò)的安全產(chǎn)品相對(duì)較少,技術(shù)相對(duì)比較新；由于無(wú)線網(wǎng)絡(luò)只是在傳輸方式上和傳統(tǒng)的有些網(wǎng)絡(luò)有區(qū)別,所以常規(guī)的安全風(fēng)險(xiǎn)如病毒,惡意攻擊,非授權(quán)訪問(wèn)等都是存在的,這就要求繼續(xù)加強(qiáng)常規(guī)方式上的安全措施。5.2授權(quán)訪問(wèn)威脅分析無(wú)線網(wǎng)絡(luò)中每個(gè)ap覆蓋的范圍都形成了通向網(wǎng)絡(luò)的一個(gè)新的入口.由于無(wú)線傳輸?shù)奶攸c(diǎn),對(duì)這個(gè)入口的管理不像傳統(tǒng)網(wǎng)絡(luò)那么容易.正因?yàn)槿绱?未授權(quán)實(shí)體可以在公司外部或者內(nèi)部進(jìn)入網(wǎng)絡(luò):首先,未授權(quán)實(shí)體進(jìn)入網(wǎng)絡(luò)瀏覽存放在網(wǎng)絡(luò)上的信息,或者是讓網(wǎng)絡(luò)感染上病毒.其次,未授權(quán)實(shí)體進(jìn)入網(wǎng)絡(luò),利用該網(wǎng)絡(luò)作為攻擊第三方網(wǎng)絡(luò)的跳板.第三,入侵者對(duì)移動(dòng)終端發(fā)動(dòng)攻擊,或?yàn)榱藶g覽移動(dòng)終端上的

26、信息,或?yàn)榱送ㄟ^(guò)受危害的移動(dòng)設(shè)備訪問(wèn)網(wǎng)絡(luò),第四,入侵者和公司員工勾結(jié),通過(guò)無(wú)線交換數(shù)據(jù)。5.3無(wú)線局域網(wǎng)安全存在的主要問(wèn)題及安全技術(shù)無(wú)線網(wǎng)絡(luò)受大量安全風(fēng)險(xiǎn)和安全問(wèn)題的困擾,其中主要包括:1)來(lái)自網(wǎng)絡(luò)用戶的進(jìn)攻；2)未認(rèn)證的用戶獲得存取權(quán)；3)來(lái)自公司的竊聽(tīng)泄密等；針對(duì)以上威脅問(wèn)題,常規(guī)的無(wú)線網(wǎng)絡(luò)安全技術(shù)有以下幾種:1)服務(wù)集標(biāo)識(shí)符(ssid)通過(guò)對(duì)多個(gè)無(wú)線接入點(diǎn)ap設(shè)置不同的ssid,并要求無(wú)線工作站出示正確的ssid才能訪問(wèn)ap,這樣就可以允許不同群組的用戶接入,并對(duì)資源訪問(wèn)的權(quán)限進(jìn)行區(qū)別限制.但是這只是一個(gè)簡(jiǎn)單的口令,所有使用該網(wǎng)絡(luò)的人都知道該ssid,很容易泄漏,只能提供較低級(jí)別的安全;

27、而且如果配置ap向外廣播其ssid,那么安全程度還將下降,因?yàn)槿魏稳硕伎梢酝ㄟ^(guò)工具得到這個(gè)ssid。2)物理地址(mac,media access controller)過(guò)濾由于每個(gè)無(wú)線工作站的網(wǎng)卡都有唯一的物理地址,因此可以在ap中手工維護(hù)一組允許訪問(wèn)的mac地址列表,實(shí)現(xiàn)物理地址過(guò)濾.這個(gè)方案要求ap中的mac地址列表必需隨時(shí)更新,可擴(kuò)展性差,無(wú)法實(shí)現(xiàn)機(jī)器在不同ap之間的漫游;而且mac地址在理論上可以偽造,因此這也是較低級(jí)別的授權(quán)認(rèn)證。3)連線對(duì)等保密(wep,wired equivalent protection)在鏈路層采用rc4對(duì)稱加密技術(shù),用戶的加密金鑰必須與ap的密鑰相同時(shí)才能

28、獲準(zhǔn)存取網(wǎng)絡(luò)的資源,從而防止非授權(quán)用戶的監(jiān)聽(tīng)以及非法用戶的訪問(wèn).wep提供了40位(有時(shí)也稱為64位)和128位長(zhǎng)度的密鑰機(jī)制,但是它仍然存在許多缺陷,例如一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一個(gè)密鑰,一個(gè)用戶丟失或者泄漏密鑰將使整個(gè)網(wǎng)絡(luò)不安全.而且由于wep加密被發(fā)現(xiàn)有安全缺陷,可以在幾個(gè)小時(shí)內(nèi)被破解。4)虛擬專用網(wǎng)絡(luò)(vpn,virtual private network)vpn是指在一個(gè)公共ip網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性,它不屬于802.11標(biāo)準(zhǔn)定義;但是用戶可以借助vpn來(lái)抵抗無(wú)線網(wǎng)絡(luò)的不安全因素,同時(shí)還可以提供基于radius的用戶認(rèn)證以及計(jì)費(fèi)。5)端口訪問(wèn)控制

29、技術(shù)該技術(shù)也是用于無(wú)線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案.當(dāng)無(wú)線工作站與ap關(guān)聯(lián)后,是否可以使用ap的服務(wù)要取決于802.1x的認(rèn)證結(jié)果.如果認(rèn)證通過(guò),則ap為用戶打開(kāi)這個(gè)邏輯端口,否則不允許用戶上網(wǎng)。所以端口訪問(wèn)控制技術(shù)特別適合于無(wú)線接入解決方案。5.4無(wú)線網(wǎng)絡(luò)安全對(duì)策針對(duì)無(wú)線網(wǎng)絡(luò)安全性應(yīng)采用如下對(duì)策:1)擴(kuò)頻,跳頻無(wú)線傳輸技術(shù)本身使盜聽(tīng)者難以捕捉到有用的數(shù)據(jù);2)采取網(wǎng)絡(luò)隔離及網(wǎng)絡(luò)認(rèn)證措施;3)設(shè)置嚴(yán)密的用戶口令及認(rèn)證措施,防止非法用戶入侵;4)設(shè)置附加的第三方數(shù)據(jù)加密方案,即使信號(hào)被盜聽(tīng)也難以理解其中的內(nèi)容;擴(kuò)展頻譜技術(shù)擴(kuò)展頻譜技術(shù)用來(lái)進(jìn)行保密傳輸.從一開(kāi)始它就設(shè)計(jì)成抗噪音,干擾,阻塞和

30、未授權(quán)檢測(cè).擴(kuò)展頻儲(chǔ)發(fā)送器用一個(gè)非常弱的功率信號(hào)在一個(gè)很寬的頻率范圍內(nèi)發(fā)射出去,與窄帶射頻相反,它將所有的能量集中到一個(gè)單一的頻點(diǎn).擴(kuò)展瀕譜的實(shí)現(xiàn)方式有多種,最常用的兩種是直接序列和跳頻序列。用戶認(rèn)證-口令控制在無(wú)線網(wǎng)的站點(diǎn)上使用口令控制-當(dāng)然未必要局限于無(wú)線網(wǎng).諸如novell netware和microsoft nt/xp等網(wǎng)絡(luò)操作系統(tǒng)和服務(wù)器提供了包括口令管理在內(nèi)的內(nèi)建多級(jí)安全服務(wù).口令應(yīng)處于嚴(yán)格的控制之下并經(jīng)常予以變更.由于無(wú)線局域網(wǎng)的用戶要包括移動(dòng)用戶,而移動(dòng)用戶傾向于把他們的筆記本電腦移來(lái)移去,因此,嚴(yán)格的口令策略等于增加了一個(gè)安全級(jí)別,它有助于確認(rèn)網(wǎng)站是否正被合法的用戶使用。數(shù)據(jù)加密假如單位的數(shù)據(jù)要求極高的安全性,譬如說(shuō)是商用網(wǎng)或軍用網(wǎng)上的數(shù)據(jù),那么單位可能需要采取一些特殊的措施.最后也是最高級(jí)別的安全措施就是在網(wǎng)絡(luò)上整體使用加密產(chǎn)品.數(shù)據(jù)包中的數(shù)據(jù)在發(fā)送到局域網(wǎng)之前要用軟件或硬件的方法進(jìn)行加密.只有那些擁有正確密鑰的站點(diǎn)才可以恢復(fù),讀取這些數(shù)據(jù).如果需要全面的安全保障,加密是最好的方法,一些網(wǎng)絡(luò)操