基于WLAN分析的網絡安全技術

劉 杰，梁馨月

（安徽省響洪甸蓄能發(fā)電有限責任公司，安徽 六安 237335）

0 引 言

在網絡信息化加速發(fā)展的大背景下，無線網絡更具節(jié)能、智能、高效、適時以及快速等優(yōu)勢，已然發(fā)展成為多個行業(yè)領域應用的主要網絡結構。而在實際使用無線網絡期間，必須要先完成對其安全性的充分考量，實施安全防護。

1 WLAN安全防護的必要性分析

網絡信息化加速發(fā)展的大背景下，網絡數據傳輸在多個行業(yè)領域均得到廣泛、深度利用。有線網絡因受自身物理架構局限性的影響，在實際的使用期間很容易成為黑客、非法用戶的攻擊目標。因此，無線網絡局部領域代替有線網絡成為必然選擇[1]。同時，為保證無線網絡能夠長時間安全運行，要引入網絡安全技術。針對無線局域網（Wireless Local Area Network，WLAN）落實安全防護極為必要，是保證計算機網絡和WLAN系統(tǒng)運行安全、平穩(wěn)性的重要舉措，在維護用戶信息安全方面也發(fā)揮著重要作用，避免產生不必要的損失，營造更為健康、安全的網絡環(huán)境。

2 影響計算機無線網絡安全的因素分析

2.1 惡意攻擊

現階段，非法用戶常使用假冒攻擊的方式完成對無線網絡的偽裝，并借助一定方法吸引更多的用戶點擊偽裝的無線網絡。與此同時，非法用戶會對用戶展開網絡攻擊，實現對用戶信息的惡意盜取。在此過程中，用戶很容易出現重要文件丟失、個人財產損失等問題[2]。由于無線網絡具備較為明顯的開放性特征，難以徹底根除惡意攻擊問題，只能應用多種預防技術并提高用戶安全使用網絡的意識，降低網絡安全威脅。目前，較為常見的幾項網絡安全威脅如表1所示。

表1 網絡安全威脅

2.2 非法用戶入侵

網絡非法用戶侵入的主要表現為以下幾方面內容。第一，網絡感染病毒的概率有所提高。當非法用戶入侵網絡后，可能會在用戶的計算機內放置病毒軟件，從而使用戶計算機網絡中毒的概率大幅提高，用戶個人隱私信息被泄露，最終引發(fā)不同程度的損失。第二，個人信息盜取。在非法用戶入侵網絡時，部分非法用戶會為獲取更大的經濟收益，更改用戶無線設備的設置，以盜取用戶隱私信息并進行非法販賣[3]。第三，降低網速。當網絡遭受非法用戶入侵后，用戶的寬帶會隨之減小，促使路由器無法繼續(xù)正常工作，導致用戶實際能夠獲取到的網速明顯下降。

2.3 重傳攻擊

重傳攻擊的技術難度并不高，但是可能引發(fā)的后果與損失較為嚴重。在重傳攻擊技術的支持下，非法用戶可以任意實施非法手段，竊聽、竊取用戶隱私信息，也可能對已經盜取的信息實施再次處理，轉變?yōu)閾郊俚男畔⒎答佒劣脩艚K端，以完成網絡詐騙，最終讓用戶產生不同程度的損失。

3 基于WLAN的網絡安全防護技術的具體應用探究

3.1 無線與有線一體化關聯分析技術的應用

為有效保障網絡整體安全性，應當聯合無線、有線安全，促使一體化防御成為現實。此時，需要綜合應用傳統(tǒng)有線安全防護技術和無線安全防護技術，包括防火墻、審計產品、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）以及入侵檢測系統(tǒng)（Intrusion Detection System，IDS）等。在分析無線網絡安全威脅期間，要充分考量無線網絡部分、WLAN最后落地的有線網絡落實，結合無線與有線一體化關聯分析的實施，精準定位無線網絡實際面對的安全威脅。在實際的無線與有線一體化關聯分析實踐中，要求認真掃描、探測有線網絡和無線網絡，持續(xù)性監(jiān)聽網絡中的攻擊特征，在此基礎上匯總分析有線網絡和無線網絡的攻擊特性和設備屬性。

在此過程中，可以著力搭建信息化集中的運營監(jiān)控平臺，實現可控、可管、可視的綜合智能運維監(jiān)控平臺支撐系統(tǒng)，全時、全域、全方位地監(jiān)測計算機設備硬件和環(huán)境運行狀態(tài)、網絡運行環(huán)境，監(jiān)測網絡安全隱患與漏洞，并判斷安全隱患與漏洞的類型和位置。先進的運維平臺可以實現網絡安全隱患與漏洞的自動預警，完成有線與無線的一體化關聯分析和安全監(jiān)控，提升計算機網絡安全水平與防護成效[4]。

3.2 無線網絡安全保障機制的應用

3.2.1 MAC地址認證

網絡內的所有用戶需要綁定媒體訪問控制（Media Access Control，MAC）地址，以此為基礎限制網絡中用戶的多種訪問行為。此時，用戶要想順利訪問網絡，其MAC地址必須要包含在MAC列表內；如果相應列表內并不包含用戶的MAC地址，則該用戶無法進行網絡訪問操作。

3.2.2 密鑰認證

針對無線網絡設備和接入點設備均設置相同的密碼，在用戶訪問無線網絡期間，必須要對用戶的身份進行驗證[5]。此時，如果用戶在身份驗證（登錄）期間所提交的密碼信息與無線網絡設備的密碼保持一致，則可以判定該用戶為合法用戶，允許其繼續(xù)進行網絡訪問操作。如果用戶在身份驗證期間所提交的密碼信息與無線網絡設備的密碼不一致，則可以判定該用戶為非法用戶，不允許其繼續(xù)進行網絡訪問操作。

3.3 WLAN安全技術的應用

3.3.1 端口訪問控制技術

使用802.1x協(xié)議和MAC地址聯合認證，即端口訪問控制，避免非授權用戶、非法用戶接入與訪問網絡，保證所有訪問網絡的用戶與客戶端設備均具有合法性。在802.1x中，落實了對3種身份的定義，即申請者、認證者和認證服務器[6-7]。在實際的端口訪問控制過程中，由申請者向認證服務器表明自己的身份，在身份服務器的支持下實現對申請者身份的精準認證；在身份認證通過后，身份認證服務器將通信所需要的密鑰加密發(fā)送至申請者處；利用該密鑰，申請者可以與接入點（Access Point，AP）順利完成通信。結合對端口訪問控制技術的應用，確保WLAN內的所有合法用戶均可以隨時接入無線網絡，并更好地維護訪問數據信息的安全性。

3.3.2 臨時用戶訪問認證技術

WLAN的臨時用戶對于網絡安全性的要求普遍較低，更關注網絡訪問和上網操作的便捷性[8]?；诖?，針對WLAN的臨時用戶，可以應用動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）+強制Portal認證的方式，完成對臨時用戶的訪問認證，確保其安全、順利接入WLAN。

3.3.3 WEP加密技術

在無線網絡中，用戶可以在不進行物理連接的基礎上順利接入網絡，因此IEEE 802.11標準中的有線等效保密（Wired Equivalent Privacy，WEP）更容易被攻破，且攻破時間相對較短[9]。出于對更好維護網絡安全的考量，應當在WLAN內加入支持128位的WEP，以此替代IEEE 802.11標準中的WEP，且不使用生產商自帶的WEP密鑰，以切實、有效地避免未經授權的用戶非法侵入無線網絡。

3.3.4 變更服務集標識符并禁用服務集標識符廣播

從網絡安全防護的角度來看，服務集標識符實際能夠提供的安全認證級別相對較低。服務集標識符可以理解為無線接入的標識符，即某一WLAN的簡單標志、口令。在服務集標識符的支持下，用戶能建立個人與接入點之間的連接。服務集標識符普遍由通信制造商完成設置，且各個廠商均具備自己的缺省值[10]。實踐中，為更好避免無線網絡被非法用戶發(fā)現，應當在實際使用階段對設置的缺省服務集標識符落實重新定義與變更，同時對服務集標識符廣播實施禁用處理。

3.3.5 無線入侵檢測技術

無線入侵檢測技術的應用是保護計算機網絡安全的重要舉措。通過在無線網絡內搭建、應用安全隱患警示系統(tǒng)，結合安全級別的合理劃分，能夠讓用戶充分了解個人計算機系統(tǒng)與網絡是否遭受非法入侵或是否存在安全隱患[11]。實踐中，應在無線入侵檢測系統(tǒng)內引入防火墻，如應用級防火墻，如圖1所示，以更好地維護計算機無線網絡安全水平。

圖1 應用級防火墻結構

4 結 論

針對WLAN落實安全防護措施，是保證計算機網絡和WLAN系統(tǒng)運行安全、平穩(wěn)的重要舉措，在維護用戶信息安全方面也發(fā)揮著重要作用，避免產生不必要的損失。實踐中，通過無線與有線一體化關聯分析技術、無線網絡安全保障機制、WLAN安全技術等網絡安全技術與防護措施的綜合應用，可以營造更為健康、安全網絡環(huán)境。