無線局域網(wǎng)很方便，但同時也存在一些安全隱患，某公司開通了無線局域網(wǎng)，將AP架設在公司會議室，但是最近發(fā)現(xiàn)經(jīng)常有不明身份的電腦訪問公司局域網(wǎng)，怎樣才能禁止非授權人員聯(lián)入公司無線局域網(wǎng)呢?其實，這是因為公司的AP沒有進行安全設置造成的。下面我們就給大家講解一些無線局域網(wǎng)的安全設置。

　　1、采用無線加密協(xié)議防止未授權用戶

　　保護無線網(wǎng)絡安全的最基本手段是加密，通過簡單的設置AP和無線網(wǎng)卡等設備，就可以啟用WEP加密。無線加密協(xié)議(WEP)是對無線網(wǎng)絡上的流量進行加密的一種標準方法。許多無線設備商為了方便安裝產(chǎn)品，交付設備時關閉了WEP功能。但一旦采用這種做法，黑客就能利用無線嗅探器直接讀取數(shù)據(jù)。建議經(jīng)常對WEP密鑰進行更換，有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外一個必須注意問題就是用于標識每個無線網(wǎng)絡的服務者身份(SSID)，在部署無線網(wǎng)絡的時候一定要將出廠時的缺省SSID更換為自定義的SSID。現(xiàn)在的AP大部分都支持屏蔽SSID廣播，除非有特殊理由，否則應該禁用SSID廣播，這樣可以減少無線網(wǎng)絡被發(fā)現(xiàn)的可能。

　　2、靜態(tài)IP與MAC地址綁定

　　無線路由器或AP在分配IP地址時，通常是默認使用DHCP即動態(tài)IP地址分配，這對無線網(wǎng)絡來說是有安全隱患的，“不法”分子只要找到了無線網(wǎng)絡，很容易就可以通過DHCP而得到一個合法的IP地址，由此就進入了局域網(wǎng)絡中。因此，建議關閉DHCP服務，為家里的每臺電腦分配固定的靜態(tài)IP地址，然后再把這個IP地址與該電腦網(wǎng)卡的MAC地址進行綁定，設置方法如下：

　　首先，在無線路由器或AP的設置中關閉“DHCP服務器”。然后激活“固定DHCP”功能，把各電腦的“名稱”(即Windows系統(tǒng)屬陸里的“計算機描述”)，以后要固定使用的IP地址，其網(wǎng)卡的MAC地址都如實填寫好，最后點“執(zhí)行”就可以了。

　　3、采用身份驗證和授權

　　當攻擊者了解網(wǎng)絡的SSID、網(wǎng)絡的MAC地址或甚至WEP密鑰等信息時，他們可以嘗試建立與AP關聯(lián)。目前，有3種方法在用戶建立與無線網(wǎng)絡的關聯(lián)前對他們進行身份驗證。開放身份驗證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗證的問題在于，如果您沒有其他的保護或身份驗證機制，那么您的無線網(wǎng)絡將是完全開放的，就像其名稱所表示的。共享機密身份驗證機制類似于“口令一響應”身份驗證系統(tǒng)。在STA與AP共享同一個WEP密鑰時使用這一機制。STA向AP發(fā)送申請，然后AP發(fā)回口令。接著，STA利用口令和加密的響應進行回復。這種方法的漏洞在于口令是通過明文傳輸給STA的，因此如果有人能夠同時截取口令和響應，那么他們就可能找到用于加密的密鑰。采用其他的身份驗證/授權機制。使用802.1x，VPN或證書對無線網(wǎng)絡用戶進行身份驗證和授權。使用客戶端證書可以使攻擊者幾乎無法獲得訪問權限。

　　各個無線網(wǎng)絡設備生產(chǎn)廠商生產(chǎn)的設備的功能不一樣，所以本文中介紹的一些安全措施也許在不同的設備上會有些不一樣，但是安全措施的思路是正確的，能夠保證無線網(wǎng)絡內(nèi)的用戶的信息和傳輸消息的安全性和保密性，有效地維護無線局域網(wǎng)的安全。

原文鏈接：http://wireless.it168.com/a2011/0516/1190/000001190609.shtml