網(wǎng)絡(luò)安全鄭萬波網(wǎng)絡(luò)安全9

上傳人:痛*** 文檔編號:148413367 上傳時間:2022-09-05 格式:PPT 頁數(shù):79 大?。?.16MB
收藏 版權(quán)申訴 舉報 下載
網(wǎng)絡(luò)安全鄭萬波網(wǎng)絡(luò)安全9_第1頁
第1頁 / 共79頁
網(wǎng)絡(luò)安全鄭萬波網(wǎng)絡(luò)安全9_第2頁
第2頁 / 共79頁
網(wǎng)絡(luò)安全鄭萬波網(wǎng)絡(luò)安全9_第3頁
第3頁 / 共79頁

下載文檔到電腦,查找使用更方便

10 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《網(wǎng)絡(luò)安全鄭萬波網(wǎng)絡(luò)安全9》由會員分享,可在線閱讀,更多相關(guān)《網(wǎng)絡(luò)安全鄭萬波網(wǎng)絡(luò)安全9(79頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、LOGO第第 9 講講LOGO2LOGO3LOGO4LOGO5LOGO6無線局域網(wǎng)概述1 無線局域網(wǎng)的概念和特點 p 無線局域網(wǎng)的概念 無線局域網(wǎng)(Wireless Local Area Network,即WLAN)是利用無線通信技術(shù),在一定的局部范圍內(nèi)建立的網(wǎng)絡(luò),是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。它以無線傳輸媒體作為傳輸介質(zhì),提供傳統(tǒng)有線局域網(wǎng)的功能,并能使用戶實現(xiàn)隨時、隨地的網(wǎng)絡(luò)接入。之所以稱其是局域網(wǎng),是因為受到無線連接設(shè)備與計算機之間距離的限制而影響傳輸范圍,必須在區(qū)域范圍之內(nèi)才可以組網(wǎng)。LOGO7無線局域網(wǎng)概述v 無線局域網(wǎng)的特點(1)安裝便捷、維護方便安裝便捷、維護方便 免去

2、或減少了網(wǎng)絡(luò)布線的工作量,一般只要安裝一個或多個接入點(Access Point,AP)設(shè)備,就可以建立覆蓋整個建筑物或區(qū)域的局域網(wǎng)。(2)使用靈活、移動簡單使用靈活、移動簡單 一旦無線局域網(wǎng)建成后,在無線網(wǎng)的信號覆蓋范圍內(nèi)任何一個位置都可以接入網(wǎng)絡(luò)。使用無線局域網(wǎng)不僅可以減少與布線相關(guān)的一些費用,還可以為用戶提供靈活性更高、移動性更強的信息獲取方法。(3)易于擴展、大小自如易于擴展、大小自如 有多種配置方式,能夠根據(jù)需要靈活選擇,能勝任從只有幾個用戶的小型局域網(wǎng)到上千用戶的大型網(wǎng)絡(luò)。LOGO無線局域網(wǎng)無線局域網(wǎng)標準標準v 無線局域網(wǎng) WLAN 技術(shù)定義在 IEEE 802.11 規(guī)范說明系列

3、中。IEEE 802.11標準定義了三種物理層介質(zhì):跳頻擴展頻譜FHSS(Frequency Hopping Spread Spectrum)直接序列擴展頻譜DSSS(Direct Sequence Spread Spectrum)紅外線。v 所有這些說明都采用以太網(wǎng)協(xié)議和載波監(jiān)聽多路訪問/沖突避免技術(shù)(CSMA/CA)替代了CSMA/CD來實現(xiàn)鏈路共享。LOGO802.11棧結(jié)構(gòu)LOGO無線局域網(wǎng)種類v(1)802.11:應(yīng)用于無線局域網(wǎng),在 2.4 GHz 波段中傳輸速率為 1 Mbps 或 2 Mbps。既支持跳頻技術(shù) FHSS 也支持直接序列擴頻 DSSS。v(2)802.11a:80

4、2.11 的擴展說明,在 5GHz 波段,傳輸速率為 54 Mbps。802.11a 支持正交頻分復用 OFDM 編碼方式,而不支持 FHSS 或 DSSS。802.11a 應(yīng)用于無線 ATM 系統(tǒng)并用于接入集線器 access hubs。v(3)802.11b:又稱為 802.11 高速率或 Wi-Fi,802.11 的擴展說明,在 2.4 GHz波段中傳輸速率為 11 Mbps(也可能降低為 5.5 Mbps、2 Mbps 或 1 Mbps)。802.11b 只支持 DSSS。802.11b 是原 802.11 標準的修訂版,其無線功能的性能不亞于以太網(wǎng)。v(4)802.11g:支持短距離

5、無線傳輸,在 2.4 GHz 波段中傳輸速率為 20 Mbps 到 54 Mbps。802.11g 支持 OFDM 編碼方式。LOGOCSMA/CA協(xié)議協(xié)議vIEEE 802.11的MAC層采用CSMA/CA(載波偵聽多路訪問/沖突避免)協(xié)議進行無線介質(zhì)的共享訪問。CSMA/CA與CSMA/CD的區(qū)別在于:CSMA/CD是帶有沖突檢測的載波偵聽多路訪問,發(fā)送包的同時可以檢測到信道上有無沖突;CSMA/CA是帶有沖突避免的載波偵聽多路訪問,發(fā)送包的同時不能檢測到信道上有無沖突,只能盡量“避免”。LOGOv IEEE 802.11的載波偵聽機制與IEEE 802.3的載波偵聽機制基本相同。要發(fā)送數(shù)

6、據(jù)的站點首先要偵聽無線信道,如果信道處于“空閑”狀態(tài),則等待一個很短的時間(IFS),若信道仍然空閑,它就可以發(fā)送數(shù)據(jù)。如果信道上有信號傳播,它就推遲自己的數(shù)據(jù)發(fā)送而繼續(xù)偵聽直到信道空閑。當一幀傳輸結(jié)束后,站點再等待一個IFS時間,如果在此時間內(nèi)信道忙,站點便執(zhí)行二進制指數(shù)退避算法并繼續(xù)偵聽信道,如果信道空閑便可以傳送下一幀。接收端收到完整的數(shù)據(jù)報則回發(fā)一個ACK,接收端如果收到,則完成一次數(shù)據(jù)收發(fā);否則發(fā)送端重傳。v CSMA/CA協(xié)議的關(guān)鍵在于沖突避免CA(Collision Avoidance)。IEEE 802.11的沖突避免采用了三種機制來實現(xiàn):預(yù)約信道、正向確認和RTS/CTS機制

7、LOGO13無線局域網(wǎng)概述2 無線局域網(wǎng)標準 v IEEE802.11x標準標準(1)IEEE802.11 1990年IEEE802標準化委員會成立IEEE802.11無線局域網(wǎng)(WLAN)標準工作組,主要為研究1Mbps和2Mbps數(shù)據(jù)速率、工作在2.4GHz開放頻段的無線設(shè)備和網(wǎng)絡(luò)發(fā)展的全球標準,并于1997年6月公布了該標準,它是第一代無線局域網(wǎng)標準之一。該標準定義了物理層和媒體訪問控制(MAC)規(guī)范,允許無線局域網(wǎng)及無線設(shè)備制造商建立互操作網(wǎng)絡(luò)設(shè)備。后來又相繼公布了802.11b和802.11a,這兩個標準是對802.11的補充。LOGO14無線局域網(wǎng)概述2 無線局域網(wǎng)標準 v IEE

8、E802.11x標準標準(2)IEEE802.11b IEEE802.11b標準規(guī)定無線局域網(wǎng)工作頻段在2.42.4835GHz,數(shù)據(jù)傳輸速率達到11Mbps,傳輸距離控制在50150英寸。IEEE802.11b已成為當前主流的無線局域網(wǎng)標準,被多數(shù)廠商所采用,所推出的產(chǎn)品廣泛應(yīng)用在辦公室、家庭、賓館、車站、機場等眾多場合。LOGO 802.11b標準標準功能速度動態(tài)速率轉(zhuǎn)換使用范圍可靠性互用性電源管理漫游支持加載平衡可伸縮性安全性特點2.4ghz直接序列擴頻無線電提供最大為11mbps的數(shù)據(jù)傳輸速率,無須直線傳播當射頻情況變差時,降低數(shù)據(jù)傳輸速率為5.5mbps、2mbps和1mbps802

9、.11b支持以百米為單位的范圍(在室外為;在辦公環(huán)境中最長為)與以太網(wǎng)類似的連接協(xié)議和數(shù)據(jù)包確認提供可靠的數(shù)據(jù)傳送和網(wǎng)絡(luò)帶寬的有效使用與以前的標準不同的是,802.11b只允許一種標準的信號發(fā)送技術(shù)。weca將認證產(chǎn)品的互用性 802.11b網(wǎng)絡(luò)接口卡可轉(zhuǎn)到休眠模式,訪問點將信息緩沖到客戶,延長了筆記本電腦的電池壽命 當用戶在樓房或公司部門之間移動時,允許在訪問點之間進行無縫連接802.11b NIC更改與之連接的訪問點,以提高性能(例如,當前的訪問點流量較擁擠,或發(fā)出低質(zhì)量的信號時)最多三個訪問點可以同時定位于有效使用范圍中,以支持上百個用戶同時支持語音和數(shù)據(jù)內(nèi)置式鑒定和加密LOGO16無線

10、局域網(wǎng)概述2 無線局域網(wǎng)標準 v IEEE802.11x標準標準(3)IEEE802.11a 802.11a標準規(guī)定無線局域網(wǎng)工作頻段在5.158.825GHz,數(shù)據(jù)傳輸速率達到54Mbps,傳輸距離控制在10100m。802.11a標準的優(yōu)點是傳輸速度快,可達54Mbps,完全能滿足語音、數(shù)據(jù)、圖像等業(yè)務(wù)的需要。缺點是無法與802.11b兼容,使一些早購買802.11b標準的無線網(wǎng)絡(luò)設(shè)備在新的802.11a網(wǎng)絡(luò)中不能用。LOGO17無線局域網(wǎng)概述2 無線局域網(wǎng)標準 v IEEE802.11x標準標準(4)IEEE802.11g最早推出的是802.11b,它的傳輸速率為11Mbps,因為它的連

11、接速度比較低,隨后推出了802.11a標準,它的連接速度可達54Mbps。但由于兩者互不兼容,所以IEEE又正式推出了完全兼容802.11b且與802.11a速率上兼容的802.11g標準,這樣通過802.11g,原有的802.11b和802.11a兩種標準的設(shè)備就可以在同一網(wǎng)絡(luò)中使用。LOGO18無線局域網(wǎng)概述2 無線局域網(wǎng)標準 v HomeRF(家庭網(wǎng)絡(luò))標準(家庭網(wǎng)絡(luò))標準 HomeRF(RF意思是射頻)無線標準是由HomeRF工作組開發(fā)的,旨在家庭范圍內(nèi),使計算機與其他電子設(shè)備之間實現(xiàn)無線通信的開放性工業(yè)標準。2001年8月推出HomeRF 2.0版,集成了語音和數(shù)據(jù)傳送技術(shù),工作頻段

12、在10GHz,數(shù)據(jù)傳輸速率達到10Mbps,在WLAN的安全性方面主要考慮訪問控制和加密技術(shù)。LOGO19無線局域網(wǎng)概述2 無線局域網(wǎng)標準 v 藍牙(藍牙(Bluetooth)標準)標準 對于802.11來說,藍牙(IEEE 802.15)技術(shù)的出現(xiàn)不是為了競爭而是相互補充?!八{牙”是一種先進的近距離無線數(shù)字通信的技術(shù)標準,其目標是實現(xiàn)最高數(shù)據(jù)傳輸速度1Mbps(有效傳輸速率為721kbps)、傳輸距離為10厘米10米,通過增加發(fā)射功率可達到100米。從目前的藍牙產(chǎn)品來看,藍牙主要應(yīng)用在手機、筆記本計算機等數(shù)字終端設(shè)備之間的通信和以上設(shè)備與Internet的連接。藍牙系統(tǒng)也嵌入微波爐、洗衣機、

13、電冰箱、空調(diào)等傳統(tǒng)家用電器。LOGO20無線局域網(wǎng)概述3 無線局域網(wǎng)的拓撲結(jié)構(gòu) v 無中心拓撲結(jié)構(gòu)無中心拓撲結(jié)構(gòu) 該結(jié)構(gòu)又稱對等模式,每臺計算機只需一塊無線網(wǎng)卡就能實現(xiàn)無線數(shù)據(jù)傳輸。要求網(wǎng)中任意兩點均可直接通信。采用這種結(jié)構(gòu)的網(wǎng)絡(luò)一般使用公用廣播信道,而信道接入控制協(xié)議多采用CSMA類型的多址接入?yún)f(xié)議。這種結(jié)構(gòu)的優(yōu)點是網(wǎng)絡(luò)抗毀性好、建網(wǎng)容易且費用較低。但當網(wǎng)中用戶數(shù)(站點數(shù))過多時,信道競爭成為限制網(wǎng)絡(luò)性能的瓶頸。LOGO21無線局域網(wǎng)概述v 蜂窩系統(tǒng)中是以信道來區(qū)分通信對象的,一個信道只容納一個用戶進行通話,許多同時通話的用戶,互相以信道來區(qū)分,這就是多址。移動通信系統(tǒng)是一個多信道同時工作的

14、系統(tǒng),具有廣播和大面積覆蓋的特點。在移動通信環(huán)境的電波覆蓋區(qū)內(nèi),如何建立用戶之間的無線信道的連接,是多址接入方式的問題。解決多址接入問題的方法叫多址接入技術(shù)。v 具體來說:從移動通信網(wǎng)的構(gòu)成可以看出,大部分移動通信系統(tǒng)都有一個或幾個基站和若干個移動臺?;疽驮S多移動臺同時通信,因而基站通常是多路的,有多個信道,而每個移動臺只供一個用戶使用,是單路的。許多用戶同時通話,以不同的信道分隔,防止相互干擾,各用戶信號通過某些特定的方式進行信道的復用,從而建立各自的信道,以實現(xiàn)雙邊通信的聯(lián)接稱多址聯(lián)接。多址聯(lián)接方式是移動通信網(wǎng)體制范疇,關(guān)系到系統(tǒng)容量、小區(qū)構(gòu)成、頻譜和信道利用效率以及系統(tǒng)復雜性。v 蜂

15、窩是指移動網(wǎng)的組網(wǎng)形狀像蜂窩煤一樣,蜂窩通信系統(tǒng)經(jīng)歷了第一代(1G),第二代(2G),并正向第三代(3G)發(fā)展,和第4代(4G)邁進。LOGO22無線局域網(wǎng)概述3 無線局域網(wǎng)的拓撲結(jié)構(gòu) v 有中心拓撲結(jié)構(gòu)有中心拓撲結(jié)構(gòu) 該結(jié)構(gòu)又稱中心模式,以接入點AP為中心,所有的基站通信都要通過AP轉(zhuǎn)接,需要一個無線接入點,N塊無線網(wǎng)卡。該結(jié)構(gòu)的優(yōu)點是當網(wǎng)絡(luò)業(yè)務(wù)量增大時網(wǎng)絡(luò)吞吐性能及網(wǎng)絡(luò)時延性能的惡化并不劇烈,網(wǎng)絡(luò)中地點布局受環(huán)境限制小。弱點是抗毀性差,中心站點的故障易導致整個網(wǎng)絡(luò)癱瘓,且中心站點的引入增加了網(wǎng)絡(luò)成本。在實際應(yīng)用中,無線局域網(wǎng)往往與有線主干網(wǎng)結(jié)合起來使用。這時,中心站點充當無線局域網(wǎng)與有線主

16、干網(wǎng)的轉(zhuǎn)接器。LOGO23無線局域網(wǎng)的組建1 無線局域網(wǎng)的主要設(shè)備 v 無線網(wǎng)卡無線網(wǎng)卡 無線網(wǎng)卡安裝在計算機上,用于計算機之間或計算機與無線AP、路由器之間的無線連接。其作用和功能跟普通網(wǎng)卡一樣,是用來連接到局域網(wǎng)上的,差別在于前者的數(shù)據(jù)傳送是借助無線電波,而后者則是通過實際的網(wǎng)絡(luò)線。根據(jù)接口類型的不同,無線網(wǎng)卡主要分為3種類型,即PCMCIA無線網(wǎng)卡、PCI無線網(wǎng)卡和USB無線網(wǎng)卡。LOGO24無線局域網(wǎng)的組建1 無線局域網(wǎng)的主要設(shè)備 v 無線接入器無線接入器 無線接入器有3種基本類型:無線收發(fā)器、無線網(wǎng)橋和無線路由器。無線收發(fā)器又稱無線AP,其作用類似于集線器或交換機,是無線局域網(wǎng)的核心

17、。它是無線終端接入有線骨干網(wǎng)的接入點,典型覆蓋距離在幾十米至上百米。LOGO25無線局域網(wǎng)的組建1 無線局域網(wǎng)的主要設(shè)備 v 無線接入器無線接入器無線寬帶路由器=無線AP+寬帶路由器 (路由器+交換機+防火墻):無線AP功能 無線網(wǎng)絡(luò)接入點 寬帶接入功能 接入Internet(LAN/ADSL)路由器功能 網(wǎng)絡(luò)互連功能(局域網(wǎng)網(wǎng)關(guān))交換機功能 局域網(wǎng)組網(wǎng) 防火墻功能 安全措施(含過濾、ACL、NAT等)LOGO26無線局域網(wǎng)的組建1 無線局域網(wǎng)的主要設(shè)備 v 無線接入器無線接入器 無線網(wǎng)橋可以用于連接兩個或多個獨立的網(wǎng)段,這些網(wǎng)段通常位于不同的建筑內(nèi),相距幾百米到幾十公里,所以說它可以廣泛應(yīng)用

18、在不同建筑物間的互聯(lián)。它通常是用于室外,使用無線網(wǎng)橋不可能只使用一個,必需兩個以上,而AP可以單獨使用。無線網(wǎng)橋功率大,傳輸距離遠(最大可達約50km),抗干擾能力強等,不自帶天線,一般配備拋物面天線實現(xiàn)長距離的點對點連接。LOGO27無線局域網(wǎng)的組建1 無線局域網(wǎng)的主要設(shè)備 v 無線天線無線天線 當計算機與無線AP或其他計算機相距較遠時,隨著信號的減弱,或者傳輸速率明顯下降,或者根本無法實現(xiàn)與AP或其他計算機間通訊,此時,就必須借助于無線天線對所接收或發(fā)送的信號進行增益。增益表示天線功率放大倍數(shù),數(shù)值越大表示信號的放大倍數(shù)就越大,也就是說當增益數(shù)值越大,信號越強,傳輸質(zhì)量就越好。增益的單位是

19、:dB。LOGO28無線局域網(wǎng)的組建2 無線局域網(wǎng)的組網(wǎng)模式 v Ad-Hoc模式,即點對點無線網(wǎng)絡(luò)模式,即點對點無線網(wǎng)絡(luò) Ad-Hoc網(wǎng)絡(luò)是一種點對點的對等式移動網(wǎng)絡(luò),不需要具有控制轉(zhuǎn)換功能的無線AP,所有的終端設(shè)備都能對等地相互通信,如右圖所示。在Ad-Hoc模式的局域網(wǎng)中,一個基站會自動設(shè)置為初始站,并對網(wǎng)絡(luò)進行初始化,使所有同域(SSID相同)的基站成為一個局域網(wǎng)。LOGO29無線局域網(wǎng)的組建2 無線局域網(wǎng)的組網(wǎng)模式 v Ad-Hoc模式,即點對點無線網(wǎng)絡(luò)模式,即點對點無線網(wǎng)絡(luò) 基站是固定的高功率多信道雙向無線電發(fā)送機。典型的被應(yīng)用于低功率信道雙向無線通訊,如移動電話、無線路由器等。當

20、使用手機打電話時,信號就會同時由附近的一個基站發(fā)送和接收。通過基站,電話被接入到移動電話網(wǎng)的有線網(wǎng)絡(luò)中。中國移動的基站采用小區(qū)制,覆蓋范圍幾KM;而聯(lián)通采用大區(qū)制,可以覆蓋幾十KM,輻射的頻率大小和能量決定覆蓋范圍。SSID(Service Set Identifier):服務(wù)集標識。SSID技術(shù)可以將一個無線局域網(wǎng)分為幾個需要不同身份驗證的子網(wǎng)絡(luò),每一個子網(wǎng)絡(luò)都需要獨立的身份驗證,只有通過身份驗證的用戶才可以進入相應(yīng)的子網(wǎng)絡(luò),從而防止未被授權(quán)的用戶進入。SSID用來區(qū)分不同的網(wǎng)絡(luò),無線網(wǎng)卡設(shè)置了不同的SSID就可以進入不同網(wǎng)絡(luò),SSID通常由AP廣播出來,通過XP自帶的掃描功能可以查看當前區(qū)

21、域內(nèi)的SSID。出于安全考慮可以不廣播SSID,此時用戶就要手工設(shè)置SSID才能進入相應(yīng)的網(wǎng)絡(luò)。簡單說,SSID就是一個局域網(wǎng)的名稱,只有設(shè)置為名稱相同SSID的值的電腦才能互相通信。LOGO30無線局域網(wǎng)的組建2 無線局域網(wǎng)的組網(wǎng)模式 v Infrastructure模式,即集中控制式網(wǎng)絡(luò)模式,即集中控制式網(wǎng)絡(luò) 集中控制式模式網(wǎng)絡(luò),是一種整合有線與無線局域網(wǎng)架構(gòu)的應(yīng)用模式。在這種模式中,無線網(wǎng)卡與無線AP進行無線連接,再通過無線AP與有線網(wǎng)絡(luò)建立連接。Infrastructure模式網(wǎng)絡(luò)還可以分為3種模式:室內(nèi)移室內(nèi)移動辦公,室外點對點和室外點對多點。動辦公,室外點對點和室外點對多點。LOG

22、O31無線局域網(wǎng)的組建u 室內(nèi)移動辦公室內(nèi)移動辦公 這種方式以星型拓撲為基礎(chǔ),以AP為中心,所有的基站通信都要通過AP接轉(zhuǎn)。由于AP有以太網(wǎng)接口,這樣,既能以AP為中心獨立建立一個無線局域網(wǎng),也能以AP作為一個有線局域網(wǎng)的擴展部分,如圖所示。LOGO32無線局域網(wǎng)的組建u 室外點對點室外點對點 A網(wǎng)與B網(wǎng)分別為兩個有線局域網(wǎng),在距離較遠無法布線的情況下,可通過兩臺無線網(wǎng)橋?qū)蓚€有線局域網(wǎng)連在一起,通過網(wǎng)橋上的RJ-45接口與有線的交換機相連。LOGO33無線局域網(wǎng)的組建u 室外點對多點室外點對多點 A是有線中心局域網(wǎng),B、C、D分別是外圍的3個有線局域網(wǎng)。在無線設(shè)備上中心點需要全向天線,其它各

23、點采用定向天線,此方案適用于總部與多個分部的局域網(wǎng)連接,其傳輸速率為11Mbps,傳輸距離小于10km,工作頻率為2.4GHz。LOGO3411.3 無線局域網(wǎng)的配置1 配置無線AP 這里以TL-WR641G 108M無線路由器為例,首先介紹AP的配置,TL-WR641G默認設(shè)置IP為192.168.1.1(不同的AP其默認IP不同),用戶名和密碼均為admin,如果配置信息丟失,可以在啟動時按Reset恢復默認設(shè)置。無線AP的配置一般是通過一臺計算機,利用Web方式進行,具體操作是:LOGO35無線局域網(wǎng)的配置1 配置無線AP第第1步:給無線步:給無線AP通電通電 將無線AP自帶的交直流電源

24、線一端插入220V電源插座,另一端插入無線AP的電源接口,使其接通電源。第第2步:給計算機安裝網(wǎng)卡驅(qū)動程序步:給計算機安裝網(wǎng)卡驅(qū)動程序 將無線網(wǎng)卡插入計算機,系統(tǒng)自動提示發(fā)現(xiàn)新硬件,根據(jù)屏幕提示進行網(wǎng)卡驅(qū)動程序的安裝。安裝過程完成后,在計算機【設(shè)備管理器】里面可以看到網(wǎng)卡驅(qū)動正常安裝。如下頁圖所示。LOGO36無線局域網(wǎng)的配置LOGO37無線局域網(wǎng)的配置1 配置無線AP第第3步:計算機連接無線步:計算機連接無線AP 網(wǎng)卡驅(qū)動安裝完成,計算機屏幕右下方出現(xiàn)處于斷開狀態(tài)的“無線連接”圖標,單擊鼠標右鍵,出現(xiàn)如下左圖所示。單擊【查看可用的無線網(wǎng)絡(luò)(V)】,出現(xiàn)如下右圖所示,顯示查找到的無線AP。單擊

25、【連接】按鈕,計算機與選擇的無線AP建立連接,計算機屏幕右下的“無線連接”圖標變?yōu)橐堰B接狀態(tài)。LOGO38無線局域網(wǎng)的配置1 配置無線AP第第4步:配置無線步:配置無線AP 打開配置用計算機的瀏覽器(如IE),在地址欄內(nèi)輸入:http:/192.168.1.1,單擊回車鍵,出現(xiàn)如下左圖所示。輸入用戶名和密碼(這里默認均為admin),單擊【確定】按鈕,顯示如下右圖所示瀏覽器的界面。該圖左邊列出了無線AP配置的項目,單擊【無線參數(shù)】選項,出現(xiàn)無線網(wǎng)絡(luò)基本配置對話框,如下頁圖所示。LOGO39無線局域網(wǎng)的配置v SSID:用于識別無線設(shè)備的服務(wù)集標志符??刹捎媚J值TP-LINK,也可根據(jù)自己的喜

26、好更改。v 頻道:用于確定本網(wǎng)絡(luò)工作的頻率段,選擇范圍從111,默認是6。v 模式:用于設(shè)置AP的工作模式,一般不必做改動,默認就可以。v 開啟無線功能:使TL-WR641G的無線功能打開或關(guān)閉。v 允許SSID廣播:默認情況下AP都是向周圍空間廣播SSID通告自己的存在,這種情況下無線網(wǎng)卡都可以搜索到這個AP的存在。v 開啟安全設(shè)置:對無線網(wǎng)絡(luò)安全設(shè)置。在右圖對話框內(nèi)配置完無線AP的基本參數(shù)后單擊【保存】。這時,會在WR641G周圍生成一個無線網(wǎng)絡(luò),該網(wǎng)絡(luò)的SSID標識符是“TP-LINK”,工作信道是6,網(wǎng)絡(luò)沒有加密,可以提供給無線網(wǎng)卡來連接。LOGO40無線局域網(wǎng)的配置2 無線局域網(wǎng)的組

27、建實例:Ad-Hoc(點對點)模式無線局域網(wǎng)的組建(點對點)模式無線局域網(wǎng)的組建 一般的無線網(wǎng)卡在室內(nèi)環(huán)境下傳輸距離通常為40m左右,當超過此有效傳輸距離就不能實現(xiàn)彼此之間的通信。因此,該種模式比較適合一些小規(guī)模甚至臨時性的無線局域網(wǎng)互連需求。這里以兩臺計算機為例,介紹組建Ad-Hoc無線局域網(wǎng)的具體過程(無線網(wǎng)卡以USB接口的TL-WN320G為例)。其中,要求兩臺計算機共享一條帶寬接入Internet。第第1步:步:把USB接口的無線網(wǎng)卡接到其中的一臺計算機上,機器提示找到新硬件,根據(jù)屏幕提示安裝無線網(wǎng)卡的驅(qū)動程序。第第2步:步:鼠標右擊桌面的“網(wǎng)上鄰居”圖標,選擇“屬性”選項,可以看到該

28、機除了原有的連接外網(wǎng)的圖標之外,還新增加了一個“無線網(wǎng)絡(luò)連接”圖標,這就是無線網(wǎng)卡對應(yīng)的連接圖標。LOGO41無線局域網(wǎng)的配置2 無線局域網(wǎng)的組建實例:Ad-Hoc(點對點)模式無線局域網(wǎng)(點對點)模式無線局域網(wǎng)的組建的組建第第3步:步:設(shè)置無線網(wǎng)絡(luò) 無線網(wǎng)卡驅(qū)動程序安裝完成后,在屏幕右下角出現(xiàn)一個閃動的圖標。鼠標雙擊“無線網(wǎng)絡(luò)圖標”,出現(xiàn)右圖所示的無線網(wǎng)絡(luò)配置對話框。在網(wǎng)絡(luò)模式選項框內(nèi),選擇“對等(Ad-Hoc)”,在網(wǎng)絡(luò)名稱(SSID)選項框內(nèi),勾擇“自動掃描網(wǎng)絡(luò)名稱”。其他的設(shè)置采用默認設(shè)置,完成后單擊【連接】按鈕并關(guān)閉該對話框。LOGO42無線局域網(wǎng)的配置2 無線局域網(wǎng)的組建實例:Ad

29、-Hoc(點對點)(點對點)模式無線局域網(wǎng)的組建模式無線局域網(wǎng)的組建第第4步:步:設(shè)置第一臺計算機的IP地址 右擊桌面的“網(wǎng)上鄰居”圖標,選擇【屬性】,右擊“無線網(wǎng)絡(luò)連接”,選擇【屬性】,在出現(xiàn)的對話框中雙擊“Internet協(xié)議(TCP/IP)”,彈出屬性對話框,選擇“使用下面的IP地址”,并在“IP地址”文本框中輸入“192.168.0.1”,“子網(wǎng)掩碼”由系統(tǒng)自動生成(255.255.255.0),默認網(wǎng)關(guān)和其它選項均可不設(shè),單擊【確定】按鈕。LOGO43無線局域網(wǎng)的配置2 無線局域網(wǎng)的組建實例:Ad-Hoc(點對點)模式無線局域網(wǎng)的組建(點對點)模式無線局域網(wǎng)的組建第第5步:步:設(shè)置第

30、二臺計算機 重復上述第1步第4步,對第二臺計算機完成無線網(wǎng)絡(luò)的配置。不同之處有兩點:在第3步設(shè)置無線網(wǎng)絡(luò)完成后,單擊【連接】按鈕時,由于已經(jīng)存在一個設(shè)置好的無線對等網(wǎng)絡(luò)終端,所以,第二臺計算機通過自動搜索找到第一臺無線終端,二者并自動建立連接,構(gòu)成對等網(wǎng)絡(luò),狀態(tài)如下圖所示。在第4步設(shè)置第二臺計算機的IP地址時,需將該機的IP地址設(shè)置為192.168.0.2192.168.0.254之間的任何一個即可,完成后單擊【確定】按鈕。LOGO44無線局域網(wǎng)的配置2 無線局域網(wǎng)的組建實例:Ad-Hoc(點對點)模式無(點對點)模式無線局域網(wǎng)的組建線局域網(wǎng)的組建第第6步:步:對等網(wǎng)絡(luò)的資源共享 分別在兩臺計

31、算機上完成以下操作(以Windows XP系統(tǒng)為例):鼠標右擊“我的電腦”,單擊【屬性】,在彈出的“系統(tǒng)屬性”窗口中單擊“計算機名”選項卡里的【更改】按鈕,在“工作組”里輸入任意工作組名稱,單擊【確定】按鈕。這樣,在兩臺計算機的“網(wǎng)上鄰居”中,就可以看到另一臺計算機。設(shè)置好共享文件,兩臺計算機就能夠共享資源了。LOGO45無線局域網(wǎng)的配置2 無線局域網(wǎng)的組建實例:Ad-Hoc(點對點)模式無線局域網(wǎng)的組建(點對點)模式無線局域網(wǎng)的組建第第7步:步:利用校園網(wǎng)共享連接接入Internet 其中,第一臺計算機要求安裝有兩塊網(wǎng)卡,有線網(wǎng)卡通過網(wǎng)線接入校園網(wǎng),無線網(wǎng)卡與第二臺計算機組成無線對等網(wǎng)絡(luò)。在

32、第一臺計算機上做如下設(shè)置:右擊桌面的“網(wǎng)上鄰居”,選擇【屬性】,右擊“本地連接”,選擇【屬性】,再單擊“高級”選項卡,出現(xiàn)如下頁左圖所示對話框。在“Internet連接共享”內(nèi)容框內(nèi),勾選“允許其他網(wǎng)絡(luò)用戶通過此計算機的Internet連接來連接”復選框,單擊【確定】按鈕,顯示如下頁右圖所示提示框,單擊【是】按鈕完成設(shè)置。在第二臺計算機的“無線網(wǎng)絡(luò)連接”屬性對話框中,選擇“Internet協(xié)議(TCP/IP)”,單擊【屬性】按鈕,出現(xiàn)屬性設(shè)置窗口,在“默認網(wǎng)關(guān)”文本框內(nèi)輸入第一臺計算機的IP地址(即“192.168.0.1”),并在“首選DNS服務(wù)器”文本框中也輸入“192.168.0.1”,

33、單擊“確定”按鈕。完成設(shè)置。至此,Ad-Hoc結(jié)構(gòu)的無線局域網(wǎng)就組建完成 。LOGO46無線局域網(wǎng)的配置LOGO47v無線局域網(wǎng)的安全問題無線局域網(wǎng)的安全問題v無線局域網(wǎng)安全技術(shù)無線局域網(wǎng)安全技術(shù) LOGO48v 隨著移動電話、個人數(shù)字助理、筆記本計算機、掌上計算機等各種便攜式終端的迅速發(fā)展,可以隨時隨地進行通信的無線網(wǎng)絡(luò)日益受到重視,無線網(wǎng)絡(luò)為移動計算提供了支撐環(huán)境。相對于有線網(wǎng)絡(luò),無線網(wǎng)絡(luò)為用戶提供便利性的同時,也為基于無線鏈路和智能移動終端蓄意破環(huán)、篡改、竊聽、假冒、泄露和非法訪問信息資源的各種惡意行為提供了方便。因此,無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)存在更多的安全隱患和威脅。v 此外,由于無線網(wǎng)絡(luò)本

34、身體系結(jié)構(gòu)復雜、傳輸速率慢、信號易受干擾、安全隱患多、通信成本高等固有的局限性,目前有線網(wǎng)絡(luò)仍然是計算機網(wǎng)絡(luò)的主體,無線網(wǎng)絡(luò)只是有線網(wǎng)絡(luò)的補充,主要用于不便布線和要求移動計算的場合。LOGO49v存在的威脅 竊聽:任何人都可以用一臺帶無線網(wǎng)卡的PC機或者廉價的無線掃描器進行竊聽,但是發(fā)送者和預(yù)期的接收者無法知道傳輸是否被竊聽,且無法檢測竊聽。修改替換:在無線局域網(wǎng)中,較強節(jié)點可以屏蔽較弱節(jié)點,用自已的數(shù)據(jù)取代,甚至會代替其他節(jié)點作出反應(yīng)。傳遞信任:當公司網(wǎng)絡(luò)包括一部分無線局域網(wǎng)時,就會為攻擊者提供一個不需要物理安裝的接口用于網(wǎng)絡(luò)入侵。因此,參與通信的雙方都應(yīng)該能相互認證。LOGO50無線網(wǎng)絡(luò)面

35、臨的安全問題無線網(wǎng)絡(luò)面臨的安全問題基礎(chǔ)結(jié)構(gòu)攻擊:基礎(chǔ)結(jié)構(gòu)攻擊是基于系統(tǒng)中存在的漏洞如軟件bugs、錯誤配置、硬件故障等發(fā)起的攻擊。針對這種攻擊進行的保護幾乎是不可能的,所能做的就是盡可能地降低破壞所造成的損失。拒絕服務(wù):無線局域網(wǎng)存在一種比較特殊的拒絕服務(wù)攻擊,攻擊者可以發(fā)送與無線局域網(wǎng)相同頻率的干擾信號來干擾網(wǎng)絡(luò)的正常運行,從而導致正常的用戶無法使用網(wǎng)絡(luò)。置信攻擊:通常情況下,攻擊者可以將自己偽造成基站。當攻擊者擁有一個很強的發(fā)送設(shè)備時,就可以讓移動設(shè)備嘗試登錄到他的網(wǎng)絡(luò),通過分析竊取密鑰和口令,以便發(fā)動針對性的攻擊。LOGO51無線網(wǎng)絡(luò)面臨的安全問題無線網(wǎng)絡(luò)面臨的安全問題v 戰(zhàn)爭驅(qū)車探測

36、無線網(wǎng)絡(luò)攻擊步驟與有線網(wǎng)絡(luò)攻擊類似,第一步是發(fā)現(xiàn)目標無線網(wǎng)絡(luò)。多數(shù)機構(gòu)都使用防火墻作為內(nèi)部網(wǎng)絡(luò)的第一道安全防線,但內(nèi)部網(wǎng)中私自與Internet連接的調(diào)制解調(diào)器給內(nèi)部網(wǎng)安全留下了隱患,使用戰(zhàn)爭撥號器(war dialers)軟件隨機撥打電話號碼,能夠迅速發(fā)現(xiàn)接入Internet的調(diào)制解調(diào)器,人們將尋找隱藏調(diào)制解調(diào)器的方法稱為戰(zhàn)爭撥號(war dialing)技術(shù),其中,戰(zhàn)爭撥號中的戰(zhàn)爭(war)一詞取自著名電影真假戰(zhàn)爭(war games)。由于探測WLAN的方法有些類似戰(zhàn)爭撥號技術(shù),人們將攜帶移動設(shè)備驅(qū)車到處轉(zhuǎn)悠尋找WLAN的方法稱為戰(zhàn)爭驅(qū)車(war driving)技術(shù)。目前網(wǎng)絡(luò)上有Win

37、dows、Unix、Linux和Mac OS操作系統(tǒng)平臺下運行的多種無線局域網(wǎng)探測和定位軟件,其中最著名的WLAN探測和定位軟件是由Marius Milner開發(fā)的Netstumbler。無線網(wǎng)絡(luò)面臨的安全問題無線網(wǎng)絡(luò)面臨的安全問題LOGO53無線網(wǎng)絡(luò)面臨的安全問題無線網(wǎng)絡(luò)面臨的安全問題v 使用車載筆記本電腦,配合多種高靈敏度無線網(wǎng)卡,加上天線強化,實現(xiàn)探測、遠程破解及入侵無線接入點的黑客行為。LOGO54無線網(wǎng)絡(luò)面臨的安全問題無線網(wǎng)絡(luò)面臨的安全問題LOGO551.服務(wù)集標識符v SSID是相鄰的無線接入點(AP)區(qū)分的標志,無線接入用戶必須設(shè)定SSID才能和AP通信。通常SSID須事先設(shè)置于

38、所有使用者的無線網(wǎng)卡及AP中。嘗試連接到無線網(wǎng)絡(luò)的系統(tǒng)在被允許進入之前必須提供SSID,這是唯一標識網(wǎng)絡(luò)的字符串。SSID只是一個簡單的口令身份認證機制。v SSID對于網(wǎng)絡(luò)中所有用戶都是相同的字符串,其安全性差,人們可以輕易地從每個信息包的明文里竊取到它。v 2600黑客雜志網(wǎng)站收集了幾乎所有廠商的默認SSID和WEP密鑰。v 無線路由器一般都會提供允許SSID廣播功能。如果不想讓自己的無線網(wǎng)絡(luò)被別人通過SSID名稱搜索到,那么最好“禁止SSID廣播”。此時無線網(wǎng)絡(luò)仍然可以使用,只是不會出現(xiàn)在其他人所搜索到的可用網(wǎng)絡(luò)列表中。通過禁止SSID廣播設(shè)置后,無線網(wǎng)絡(luò)的效率會受到一定的影響,但可換取

39、安全性的提高。LOGO56LOGO572.物理地址過濾v 每個無線工作站的網(wǎng)卡都有唯一的物理地址,應(yīng)用媒體訪問控制(MAC)技術(shù),可在無線局域網(wǎng)的每一個AP設(shè)置一個許可接入的用戶的MAC地址清單,MAC地址不在清單中的用戶,接入點將拒絕其接入請求。媒體訪問控制屬于硬件認證,而不是用戶認證。媒體訪問控制只適合于小型網(wǎng)絡(luò)規(guī)模。這是因為:MAC地址在網(wǎng)上是明碼模式傳送,只要監(jiān)聽網(wǎng)絡(luò)便可從中截取或盜用該MAC地址,進而偽裝使用者潛入企業(yè)或組織內(nèi)部偷取機密資料。部分無線網(wǎng)卡允許通過軟件來更改其MAC地址,因此可通過訪問控制的檢查從而獲取訪問受保護網(wǎng)絡(luò)的權(quán)限。LOGO583.有線對等保密v 有線等效保密(

40、WEP)是常見的資料加密措施,WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù),以滿足用戶更高層次的網(wǎng)絡(luò)安全需求。只有當無線客戶端的密鑰和服務(wù)設(shè)置標識SSID(service set identity)與接入點完全相同時,客戶端才能接入WLAN,從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。它包括多種不同的實現(xiàn)方式:無加密表示數(shù)據(jù)以明文方式傳輸,無加密不提供任何保密性。40位和104位等密鑰長度分別向用戶提供不同加密強度選擇。LOGO59LOGO60LOGO61v WEP目的是向無線局域網(wǎng)提供與有線網(wǎng)絡(luò)相同級別的安全保護,它用于保障無線通信信號的安全,即保密性和完整性。但WEP提供的密鑰機制存

41、在許多缺陷,表現(xiàn)在:密鑰是手工輸入與維護,更換密鑰費時和困難,密鑰通常長時間使用而很少更換,若一個用戶丟失密鑰,則將危及到整個網(wǎng)絡(luò)。WEP標準支持每個信息包的加密功能,但不支持對每個信息包的驗證。v 針對WEP的不足之處,對WEP加以擴展,提出了動態(tài)安全鏈路技術(shù)(DSL)。DSL采用了128 位動態(tài)分配的密鑰,每一個會話都自動生成一把密鑰,并且在同一個會話期間,對于每256個數(shù)據(jù)包,密鑰將自動改變一次。LOGO624.Wi-Fi保護接入v Wi-Fi保護性接入(WPA)是繼承了WEP基本原理而又解決了WEP缺點的一種新技術(shù)。其原理為根據(jù)通用密鑰,配合表示電腦MAC地址和分組信息順序號的編號,分

42、別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過這種處理,所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。WPA還具有防止數(shù)據(jù)中途被篡改的功能和認證功能。v WPA標準在保持Wi-Fi認證產(chǎn)品硬件可用性的基礎(chǔ)上,解決802.11在數(shù)據(jù)加密、接入認證和密鑰管理等方面存在的缺陷。LOGO802.11i 臨時密鑰完整性協(xié)議TKIP63LOGO802.11i 消息認證碼協(xié)議CCMP64LOGO655.國家標準WAPIv WAPI((Wireless LAN Authentication and Privacy Infrastructure)無線局域網(wǎng)鑒別和

43、保密基礎(chǔ)結(jié)構(gòu),是一種安全協(xié)議,同時也是中國無線局域網(wǎng)安全強制性標準。國家標準WAPI,即無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu),它是針對IEEE802.11中WEP協(xié)議安全問題,在中國無線局域網(wǎng)國家標準GB15629.11中提出的WLAN安全解決方案。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰密碼體制的分組密碼算法,分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密,從而實現(xiàn)設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。v WAPI的主要特點是采用基于公鑰密碼體系的證書機制,真正實現(xiàn)了移動終端(MT)與無線接入點(AP)間雙向鑒別。另外,它充分考慮了市場應(yīng)用,

44、從應(yīng)用模式上可分為單點式和集中式。采用WAPI可以扭轉(zhuǎn)目前WLAN多種安全機制并存且互不兼容的現(xiàn)狀,從而解決安全和兼容性問題。LOGOWAPI 的優(yōu)越性與其他無線局域網(wǎng)安全機制(如802.11i)相比,WAPI 的優(yōu)越性集中體現(xiàn)在以下幾個方面:v 雙向身份鑒別在WAPI安全體制下,無線客戶端和WLAN設(shè)備二者處于對等地位,二者身份的相互鑒別在公信的鑒別服務(wù)器控制下實現(xiàn)。雙向鑒別機制既可防止假冒的無線客戶端接入WLAN網(wǎng)絡(luò),同時也可杜絕假冒的WLAN設(shè)備偽裝成合法的設(shè)備。而在其它安全體制下,只能實現(xiàn)WLAN設(shè)備對無線客戶端的單向鑒別,缺乏有效的WLAN設(shè)備身份鑒別手段。v 數(shù)字證書身份憑證WAP

45、I 強制使用數(shù)字證書作為無線客戶端和WLAN設(shè)備的身份憑證,既方便了安全管理,又提升了安全性。對于無線客戶端申請或取消入網(wǎng),管理員只需要頒發(fā)新的證書或取消當前證書。這些操作均可以在證書服務(wù)器上完成,管理非常方便。其它安全機制沒有強制要求用戶使用數(shù)字證書,當使用用戶名和口令作為用戶的身份憑證時,由于用戶身份憑證簡單,易被盜取和仿冒。v 完善的鑒別協(xié)議在WAPI 中使用數(shù)字證書作為用戶身份憑證,在鑒別過程中采用橢圓曲線簽名算法,并使用安全的消息雜湊算法保障消息的完整性,攻擊者難以對進行鑒別的信息進行修改和偽造,所以安全等級度高。在其它安全體制中,鑒別協(xié)議本身存在一定缺陷,鑒別成功信息的完整性校驗不

46、夠安全,鑒別消息易被篡改或偽造。66LOGO加密封裝67v WPI封裝過程封裝過程 數(shù)據(jù)發(fā)送時,WPI的封裝過程為:v 1.利用加密密鑰和數(shù)據(jù)分組序號PN,通過工作在OFB模式的加密算法對MSDU(包括SNAP)數(shù)據(jù)進行加密,得到MSDU密文;v 2.利用完整性校驗密鑰與數(shù)據(jù)分組序號PN,通過工作在CBC-MAC模式的校驗算法對完整性校驗數(shù)據(jù)進行計算,得到完整性校驗碼MIC;v 3.封裝后再組幀發(fā)送。v WPI解封裝過程:解封裝過程:數(shù)據(jù)接收時,WPI的解封裝過程為:v 1.判斷數(shù)據(jù)分組序號PN是否有效,若無效,則丟棄該數(shù)據(jù);v 2.利用完整性校驗密鑰與數(shù)據(jù)分組序號PN,通過工作在CBC-MA

47、C模式的校驗算法對完整性校驗數(shù)據(jù)進行本地計算,若計算得到的值與分組中的完整性校驗碼MIC不同,則丟棄該數(shù)據(jù);v 3.利用解密密鑰與數(shù)據(jù)分組序號PN,通過工作在OFB模式的解密算法對分組中的MSDU密文進行解密,恢復出MSDU明文;v 4.去封裝后將MSDU明文遞交至上層處理。LOGOv這里簡要描述WAPI協(xié)議的整個鑒別及密鑰協(xié)商過程。圖1中AP為提供無線接入服務(wù)的WLAN設(shè)備,鑒別服務(wù)器主要幫助無線客戶端和無線設(shè)備進行雙向身份認證,而AAA服務(wù)器主要提供計費服務(wù)。68LOGO(1)無線客戶端首先和WLAN設(shè)備進行802.11鏈路協(xié)商該過程遵循802.11標準中定義的協(xié)商過程。無線客戶端主動發(fā)送

48、探測請求消息或偵聽WLAN設(shè)備發(fā)送的Beacon幀,藉此查找可用的網(wǎng)絡(luò),支持WAPI安全機制的AP將會回應(yīng)或發(fā)送攜帶有WAPI信息的探測應(yīng)答消息或Beacon幀。在搜索到可用網(wǎng)絡(luò)后,無線客戶端繼續(xù)發(fā)起鏈路認證交互和關(guān)聯(lián)交互。(2)WLAN設(shè)備觸發(fā)對無線客戶端的鑒別處理無線客戶端成功關(guān)聯(lián)到WLAN設(shè)備后,設(shè)備在判定該用戶為WAPI用戶時,則會向無線客戶端發(fā)送鑒別激活觸發(fā)消息,觸發(fā)無線客戶端發(fā)起WAPI鑒別交互過程。(3)鑒別服務(wù)器進行證書鑒別無線客戶端在發(fā)起接入鑒別后,WLAN設(shè)備會向遠端的鑒別服務(wù)器發(fā)起證書鑒別,鑒別請求消息中同時包含有無線客戶端和WLAN設(shè)備的證書信息。鑒別服務(wù)器對二者身份進

49、行鑒別,并將驗證結(jié)果發(fā)給WLAN設(shè)備。WLAN設(shè)備和無線客戶端任何一方如果發(fā)現(xiàn)對方身份非法,將主動中止無線連接。(4)無線客戶端和WLAN設(shè)備進行密鑰協(xié)商WLAN設(shè)備經(jīng)鑒別服務(wù)器認證成功后,設(shè)備會發(fā)起與無線客戶端的密鑰協(xié)商交互過程,先協(xié)商出用于加密單播報文的單播密鑰,然后再協(xié)商出用于加密組播報文的組播密鑰。69LOGO完整的WAPI鑒別協(xié)議交互過程70LOGO基于痩基于痩AP方案實施無線安全方案實施無線安全71LOGO726.端口訪問控制技術(shù)v 端口訪問控制技術(shù)(802.1x)是由IEEE定義的,用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。該協(xié)議定義了認證和授權(quán),可以用于局域網(wǎng),也可以用于城域網(wǎng)

50、。802.1x引入了PPP協(xié)議定義的擴展認證協(xié)議EAP。EAP采用更多的認證機制,如MD5、一次性口令等等,從而提供更高級別的安全。v 802.1x認證層次包括兩方面:客戶端到認證端,認證端到認證服務(wù)器。802.1x定義客戶端到認證端采用EAP over LAN 協(xié)議,認證端到認證服務(wù)器采用EAP over RADIUS協(xié)議。LOGO73v 802.1x要求無線工作站安裝802.1x客戶端軟件,無線訪問站點要內(nèi)嵌802.1x認證代理,同時它還作為Radius客戶端,將用戶的認證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。當無線工作站STA與無線訪問點AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認

51、證結(jié)果。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統(tǒng)及計費,特別適合于公共無線接入解決方案。v 但是802.1x采用的用戶認證信息僅僅是用戶名與口令,在存儲、使用和認證信息傳遞中可能泄漏、丟失,存在很大安全隱患。加上無線接入點AP與RADIUS服務(wù)器之間用于認證的共享密鑰是靜態(tài)的,且是手工管理,也存在一定的安全隱患。LOGO747.虛擬專用網(wǎng)絡(luò)v VPN,通過隧道和加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性。無線LAN也可以采用該安全框架,即安裝兩道防火墻:一個作為進入內(nèi)部網(wǎng)的網(wǎng)關(guān),另一個處于無線LAN和內(nèi)部網(wǎng)之間,無線防火墻只允許VPN通信,如下頁圖所示。v 無線用戶可以向無線基礎(chǔ)

52、設(shè)施認證自己。實際上,把無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)隔離,只允許VPN通信經(jīng)過,是利用了緩沖區(qū)的辦法來增強網(wǎng)絡(luò)安全性。此外,基于IPsec的VPN技術(shù)采用的IP層加密協(xié)議,可以防止通信被竊聽。LOGO75LOGO76LOGO77v 圖圖8.228.22無線虛擬專用網(wǎng)安全框架無線虛擬專用網(wǎng)安全框架LOGO78v VPN技術(shù)應(yīng)用于無線網(wǎng)絡(luò)有其局限性,具體表現(xiàn)在:運行脆弱。因突發(fā)干擾或AP間越區(qū)切換等因素導致的無線鏈路質(zhì)量波動或短時中斷是很常見的。吞吐量小。在一個VPN網(wǎng)絡(luò)里進行的任何交換必須經(jīng)過一個VPN服務(wù)器,一臺典型的VPN服務(wù)器能夠達到30-50Mbps的數(shù)據(jù)吞吐量。擴展性差。改變一個VPN網(wǎng)絡(luò)的拓撲結(jié)構(gòu)或內(nèi)容,用戶將不得不重新規(guī)劃并進行網(wǎng)絡(luò)配置。LOGO

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!

五月丁香婷婷狠狠色,亚洲日韩欧美精品久久久不卡,欧美日韩国产黄片三级,手机在线观看成人国产亚洲