@贝壳儿
2年前 提问
1个回答

无线局域网安全防护策略有哪些

房乐
2年前

无线局域网安全防护策略如下:

  • 静态IP与MAC地址绑定:无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为家里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。

  • 有效隔离:在WLAN中,可以利用虚拟局域网把一个局域网从逻辑上分成几个独立的广播域。网络将根据无线客户端的身份,而不是它的物理位置分配和执行 WLAN 策略。根据不同的身份为每个VLAN分配不同的SSID,当 WLAN与某个特定的VLAN关联时,用户通过SSID可以获得对该VLAN上的网络资源的访问权限。同时若将AP安装在像防火墙这样的网络安全设备的外面,可以阻止流量监听和流量分析等攻击手段。此外,通过对无线网络设备的设定,建立基于MAC地址的访问控制列表,AP将对收到的每个数据包的源地址做出过滤,只有在访问控制列表中的地址才能被转发,否则将会被丢弃或拦阻。

  • 加强WLAN的身份认证:身份认证是防护网络安全的前提,一般家庭用户可以启用预共享密钥PSK来进行用户的身份认证,但如果对安全要求较高的企业和政府部门的WLAN系统必须使用增强的企业级安全认证方案 802.1x/EAP。

  • 监测非法无线局域网设备:无线局域网环境下的设备安全状况可以借助监控装置捕获到的结果来进行分析评估,首先对捕获设备部署数据帧以作为数据采集点。采集点设备的性能越高,则无线环境信息采集的精确度越高,同时部署的密度越高,信息采集的覆盖率越高。然后通过监测捕获无线环境下的数据帧,获取到各种 AP与无线终端设备的相关信息,再通过分析采集到的终端设备和AP发送信息,可以绘制出无线局域网拓扑结构,检测出钓鱼接入点、 违规外联内网终端与 Ad-Hoc(点对点)无线直连模式,进而评估整个无线局域网环境下的设备安全状况,除此之外,对于设备的严格控制,可以通过设置黑白名单实时对非授权设备进行报警。

  • 部署无线入侵防御系统(WIPS):WIPS可以对有恶意的用户攻击和入侵行为进行早期检测,保护企业网络和用户不被无线网络上未经授权的设备访问。WIPS可以在不影响网络性能的情况下对无线网络进行监测,从而提供对各种攻击的实时防范。可以进行对非法 AP及非法的客户端进行检测,防御DOS攻击及进行无线网络的接入控制。

  • 改变服务集标识符并且禁止SSID广播:SSID是无线接人的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。如果可能的话。还应该禁止你的SSID向外广播。这样,你的无线网络就不能够通过广播的方式来吸纳更多用户。当然这并不是说你的网络不可用.只是不会出现在可使用网络名单中。