無線局域網(wǎng)的組建與安全設(shè)計

李國華

（秦皇島通信站，秦皇島 066000）

無線局域網(wǎng)是20世紀90年代計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，可極大地提高經(jīng)濟效益，提高生產(chǎn)率，提高企業(yè)效率，改善收益與利潤，降低成本。使用無線局域網(wǎng)不僅可以減少對布線的需求和與布線相關(guān)的一些開支，還可以為用戶提供靈活性更高、移動性更強的信息獲取方法。

1 組建無線局域網(wǎng)的準備工作

1.1 現(xiàn)有設(shè)備統(tǒng)計

建立無線局域網(wǎng)之前要對現(xiàn)有設(shè)備進行調(diào)查統(tǒng)計，然后再確定無線組網(wǎng)方案。

1.2 網(wǎng)絡(luò)接入方式

無線網(wǎng)絡(luò)有兩種建網(wǎng)模式，Ad-Hoc對等模式和Infrastructure的集中控制模式。根據(jù)部門多臺計算機的無線組網(wǎng)的實際情況選用Infrastructure模式，計算機通過無線網(wǎng)卡與AP進行通信，AP起到了有線網(wǎng)絡(luò)中的作用?？梢越M建星型結(jié)構(gòu)的無線局域網(wǎng)，所有傳輸?shù)臄?shù)據(jù)均需通過AP，由AP或路由器進行網(wǎng)絡(luò)的控制管理。多個AP可以相互串聯(lián)以形成更大規(guī)模的網(wǎng)絡(luò)。

1.3 組建設(shè)備

除了配備無線路由器和AP外，還需要準備網(wǎng)線，用于連接無線路由器和AP，還需要為工作室的每臺臺式電腦配備一塊無線網(wǎng)卡。

2 組建無線局域網(wǎng)

2.1 設(shè)備的連接

首先，給每臺臺式安裝PCI無線網(wǎng)卡，將PCI無線網(wǎng)卡和計算機的USB接口連接，Windows XP會自動提示發(fā)現(xiàn)新硬件。然后，將無線路由器的端口和進入辦公網(wǎng)絡(luò)的Internet接口用網(wǎng)線連接，另外選擇一個端口與無線接入點的端口連接。最后，分別接通無線路由器、AP電源就可以了。

2.2 無線局域網(wǎng)的配置

（1）使用何種無線標準。無線網(wǎng)絡(luò)能提供以下的應(yīng)用：共享上網(wǎng)、從簡單的文件共享與打印共享、辦公自動化，到復(fù)雜的電子商務(wù)等。

（2）選擇加密方式。在使用WPA時，系統(tǒng)頻繁地更新主密鑰，確保每一個用戶的數(shù)據(jù)分組使用不同的密鑰加密，即使截獲很多的數(shù)據(jù)，破解起來也非常地困難[3]。

2.3 測試無線網(wǎng)絡(luò)

無線網(wǎng)的安全問題主要分為非法入侵和惡意攻擊兩大類。針對無線局域網(wǎng)的安全測試方案就是要在可能的情況下，發(fā)現(xiàn)并定位對網(wǎng)絡(luò)實施攻擊的可行性方案：一是物理隔離測試；二是加密與認證狀況的測試。本文在大量現(xiàn)場測試的基礎(chǔ)之上，提出了一套以加密狀況和惡意攻擊測試為主的安全測試方案。

3 無線局域網(wǎng)的安全配置

3.1 設(shè)置網(wǎng)絡(luò)環(huán)境

在安裝完網(wǎng)絡(luò)設(shè)備后，還需要對無線AP或無線路由器、以及安裝了無線網(wǎng)卡的計算機進行相應(yīng)網(wǎng)絡(luò)設(shè)置。

3.1.1 無線路由器設(shè)置

（1）基本設(shè)置

當連接到無線網(wǎng)絡(luò)后，在局域網(wǎng)中的任何一臺計算機中打開IE瀏覽器，首先在地址框中輸入192.168.1.1，再輸入登錄用戶名和密碼（用戶名默認為空，密碼為admin），點擊“確定”按鈕打開路由器設(shè)置頁面。在左側(cè)窗口點擊“基本設(shè)置”鏈接，在右側(cè)的窗口中除了可以設(shè)置IP地址、是否允許無線設(shè)置、SSID名稱、頻道、WEP外，還可以為WAN口設(shè)置連接類型，包括自動獲取IP、靜態(tài)IP等。

把DHCP自動分配IP地址的功能關(guān)掉后，把路由器的IP地址改掉，因為一般的路由器分配的IP地址都是“192.168.1.* ”，而且網(wǎng)關(guān)都是“192.168.1.1”，即使關(guān)掉DHCP自動分配有些人也可以進入網(wǎng)絡(luò)，把路由器IP地址改掉，路由器的IP地址要和計算機的網(wǎng)關(guān)一致，路由器的IP地址要和計算機的IP地址在同一個網(wǎng)段。使用以太網(wǎng)方式接入Internet的網(wǎng)絡(luò)，可以選擇靜態(tài)IP，然后輸入WAN口IP地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)、DNS服務(wù)器地址等內(nèi)容。最后點擊“應(yīng)用”按鈕完成設(shè)置。

（2）為網(wǎng)絡(luò)環(huán)境設(shè)置訪問控制

首先，在路由器管理頁面左側(cè)點擊“訪問控制”鏈接，接著在右側(cè)的窗口中可以分別對IP訪問、URL訪問進行設(shè)置，在IP訪問設(shè)置頁面輸入需要禁止的局域網(wǎng)IP地址和端口號，如果要禁止IP地址為192.168.1.100到192.168.1.102的計算機使用QQ，可以在“協(xié)議”列表中選擇“UDP”選項，在“局域網(wǎng)IP范圍”框中輸入“192.168.1.100～192.168.1.102”，在“禁止端口范圍”框中分別輸入“4000”、“8000”。最后點擊“應(yīng)用”按鈕。這樣的設(shè)置是因為QQ聊天軟件使用的是UDP協(xié)議，4000（客戶端）和8000（服務(wù)器端）端口。如果不確定哪種協(xié)議的端口，可以在“協(xié)議”列表中選擇“所有”選項，端口的范圍在0～65535之間；要禁止某個端口，例如，F(xiàn)TP端口，可以在范圍中輸入21～21。對于“沖擊波”病毒使用的RPC服務(wù)端口可以輸入135～135。

要設(shè)置URL訪問控制功能，在訪問控制頁面中點擊“URL訪問設(shè)置”鏈接，在打開的頁面中點擊“URL訪問限制”選項中的“允許”選項。在“網(wǎng)站訪問權(quán)限”選項中選擇訪問的權(quán)限，可以設(shè)置“允許訪問”或“禁止訪問”。

3.1.2 客戶端設(shè)置

在辦公無線局域網(wǎng)中，要注意工作室中的所有計算機需要設(shè)定相同的訪問方式。另外，還要將每臺計算機的工作組設(shè)置為相同的名稱?？梢栽诿恳慌_計算機中設(shè)置共享文件夾，實現(xiàn)無線局域網(wǎng)中的文件的共享；設(shè)置共享打印機和傳真機，實現(xiàn)無線局域網(wǎng)中的共享打印和傳真等操作。

3.1.3 無線訪問節(jié)點設(shè)置

進入AP的設(shè)置界面，點擊“Configure”，進入配置窗口；在“General”項，Access Point Name和ESSID中可隨意填寫便于記憶的名稱。Channel也可任意選取，但筆記本電腦中的無線網(wǎng)卡要與其統(tǒng)一；“Rates”設(shè)為“Auto”；在“IP Setting”項，為了網(wǎng)絡(luò)安全，各設(shè)備都需要指定IP地址，選擇不使用DHCP（動態(tài)分配IP地址），選擇關(guān)閉（Disable），然后為AP指定一個與局域網(wǎng)各機器同一網(wǎng)段，而且沒有沖突的網(wǎng)址，而且子網(wǎng)掩碼和默認網(wǎng)關(guān)欄的值也必需指定與局域網(wǎng)其他機器一樣，AP設(shè)置完成。

打開“網(wǎng)上鄰居”的“屬性”到“無線網(wǎng)絡(luò)連接狀態(tài)”，在“屬性”中的“無線網(wǎng)絡(luò)連接屬性”，點擊“無線網(wǎng)絡(luò)配置”，在“首選網(wǎng)絡(luò)”下的“添加”點擊“關(guān)聯(lián)”項，將服務(wù)名SSID設(shè)為與AP的ESSID統(tǒng)一，全部設(shè)置完成。

3.2 IP與MAC的相互綁定

綁定MAC地址和IP地址功能時，選擇不使用自動獲取IP地址，關(guān)閉DHCP服務(wù)，并使用MAC地址過濾，記下各計算機的Internet Address及對應(yīng)的Physical Address，然后在AP設(shè)置中的允許訪問的MAC地址列表和指定IP地址區(qū)域輸入所有用戶的地址即可完成網(wǎng)關(guān)的IP address與MAC address的綁定。

3.3 防火墻

防火墻的實施就是把局域網(wǎng)和ISP之間的包過濾器換成防火墻就可以了。這是一個防火墻的最安全的應(yīng)用，因為它保護了防火墻后面的所有計算機。值得注意的是，防火墻本身并沒有保障安全的能力，需要定期的檢查防火墻對可疑事件做出的日志記錄，還需要去發(fā)現(xiàn)和使用軟件的安全補丁。

4 結(jié)束語

本文詳細就部門小型無線局域網(wǎng)的基礎(chǔ)架構(gòu)模式的構(gòu)建做了介紹，并對該網(wǎng)絡(luò)的組建及安全維護做了闡述。針對目前無線網(wǎng)絡(luò)中存在的多項安全漏洞，提出了一套切實可行的無線局域網(wǎng)組網(wǎng)方案，符合企業(yè)部門的實際情況，節(jié)約成本，保證了信息安全，對企業(yè)各部門之間的聯(lián)系和信息交流產(chǎn)生了巨大作用，為部門的發(fā)展提供了基礎(chǔ)保障。