一毛二小军官儿
范文一:无线网络安全设置
无线网络安全设置
无线网络安全设置之一:DHCP功能
DHCP 是 Dynamic HostConfiguration Protocol(动态主机分配协议)缩写,主要功能就是帮助用户随机分配IP地址,省去了用户手动设置IP地址、子网掩码以及其他所需要的TCP/IP 参数的麻烦。这本来是方便用户的功能,但却被很多别有用心的人利用。一般的路由器DHCP功能是默认开启的,这样所有在信号范围内的无线设备都能自动分配到IP地址,这就留下了极大的安全隐患。攻击者可以通过分配的IP地址轻易得到很多你的路由器的相关信息,所以禁用DHCP功能非常必要。
无线网络安全设置之二:加密
现在很多的无线路由器都拥有了无线加密功能,这是无线路由器的重要保护措施,通过对无线电波中的数据加密来保证传输数据信息的安全。一般的无线路由器或AP都具有WEP加密和WPA加密功能,WEP一般包括64位和128位两种加密类型,只要分别输入10个或26个16进制的字符串作为加密密码就可以保护无线网络。WEP协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络,但WEP密钥一般是是保存在Flash中,所以有些黑客可以利用你网络中的漏洞轻松进入你的网络。
WEP加密出现的较早,现在基本上都已升级为WPA加密,WPA是一种基于标准的可互操作的WLAN安全性增强解决方案,可大大增强现有无线局域网系统的数据保护和访问控制水平;WPA加强了生成加密密钥的算法,黑客即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。WPA的出现使得网络传输更加的安全可靠。
无线网络安全设置之三:SSID广播
简单来说,SSID便是你给自己的无线网络所取的名字。在搜索无线网络时,你的网络名字就会显示在搜索结果中。一旦攻击者利用通用的初始化字符串来连接无线网络,极容易入侵到你的无线网络中来,所以笔者强烈建议你关闭SSID广播。
还要注意,由于特定型号的访问点或路由器的缺省SSID在网上很容易就能搜索到,比如“netgear,linksys等”,因此一定要尽快更换掉。对于一般家庭来说选择差别较大的命名即可。
关闭SSID后再搜索无线网络你会发现由于没有进行SSID广播,该无线网络被无线网卡忽略了,尤其是在使用Windows XP管理无线网络时,可以达到“掩人耳目”的目的,使无线网络不被发现。不过关闭SSID会使网络效率稍有降低,但安全性会大大提高,因此关闭SSID广播还是非常值得的。
无线网络安全设置之四:IP过滤和MAC地址列表
由于每个网卡的MAC地址是唯一的,所以可以通过设置MAC地址列表来提高安全性。在启用了IP地址过滤功能后,只有IP地址在MAC列表中的用户才能正常访问无线网络,其它的不在列表中的就自然无法连入网络了。另外需要注意在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”选项,要不无线路由器就会阻止所有用户连入网络。对于家庭用户来说这个方法非常实用,家中有几台电脑就在列表中添加几台即可,这样既可以避免邻居“蹭网”也可以防止攻击者的入侵。
无线网络安全设置之五:主动更新
搜索并安装所使用的无线路由器或无线网卡的最新固件或驱动更新,消除以前存在的漏洞。还有下载安装所使用的操作系统在无线功能上的更新,比如Windows XP SP3或Vista SP1等,这样可以更好的支持无线网络的使用和安全,使自己的设备能够具备最新的各项功能。
无线网络的速度越来越快,无线网络也该越来越安全。其实只要进行上述简单的几个设置就可以把你的安全等级提升不少。无线网络环境不是连接上这么简单,把安全工作做到家才能使使用更安心畅快。
教你如何用WORD文档 (2012-06-27 192246)转载?
标签: 杂谈
1. 问:WORD 里边怎样设置每页不同的页眉,如何使不同的章节显示的页眉不同,
答:分节,每节可以设置不同的页眉。文件――页面设置――版式――页眉和页脚――首页不同。
2. 问:请问word 中怎样让每一章用不同的页眉,怎么我现在只能用一个页眉,一改就全部改了,
答:在插入分隔符里,选插入分节符,可以选连续的那个,然后下一页改页眉前,按一下“同前”钮,再做的改动就不影响前面的了。简言之,分节符使得它们独立了。这个工具栏上的“同前”按钮就显示在工具栏上,不过是图标的形式,把光标移到上面就显示出”同前“两个字来。
3. 问:如何合并两个WORD 文档,不同的页眉需要先写两个文件,然后合并,如何做,
答:页眉设置中,选择奇偶页不同与前不同等选项。
4. 问:WORD 编辑页眉设置,如何实现奇偶页不同 比如:单页浙江大学学位论文,这一个容易设;双页:(每章标题),这一个有什么技巧啊,
答:插入节分隔符,与前节设置相同去掉,再设置奇偶页不同。
5. 问:怎样使WORD 文档只有第一页没有页眉,页脚,
答:页面设置,页眉和页脚,选首页不同,然后选中首页页眉中的小箭头,格式,边框和底纹,选择无,这个只要在“视图”――“页眉页脚”,其中的页面设置里,不要整个文档,就可以看到一个“同前”的标志,不选,前后的设置情况就不同了。
6. 问:如何从第三页起设置页眉,
答:在第二页末插入分节符,在第三页的页眉格式中去掉同前节,如果第一、二页还有页眉,把它设置成正文就可以了
?在新建文档中,菜单―视图―页脚―插入页码―页码格式―起始页码为0,确定;?菜单―文件―页面设置―版式―首页不同,确定;?将光标放到第一页末,菜单―文件―页面设置―版式―首页不同―应用于插入点之后,确定。第2 步与第三步差别在于第2 步应用于整篇文档,第3 步应用于插入点之后。这样,做两次首页不同以后,页码从第三页开始从1 编号,完成。
7. 问:WORD 页眉自动出现一根直线,请问怎么处理,
答:格式从“页眉”改为“清除格式”,就在“格式”快捷工具栏最左边;选中页眉文字和箭头,格式,边框和底纹,设置选无。
8. 问:页眉一般是---------,上面写上题目或者其它,想做的是把这根线变为双线,WORD 中修改页眉的那根线怎么改成双线的
答:按以下步骤操作去做:
?选中页眉的文字,包括最后面的箭头?格式,边框和底纹?选线性为双线的?在预览里,点击左下小方块,预览的图形会出现双线?确定?上面和下面自己可以设置,点击在预览周围的四个小方块,页眉线就可以在不同的位置。
9. 问:Word 中的脚注如何删除,把正文相应的符号删除,内容可以删除,但最后那个格式还在,应该怎么办,
答:步骤如下:1、切换到普通视图,菜单中“视图”――“脚注”,这时最下方出现了尾注的编辑栏。2、在尾注的下拉菜单中选择“尾注分隔符”,这时那条短横线出现了,选中它,删除。3、再在下拉菜单中选择“尾注延续分隔符”,这是那条长横线出现了,选中它,删除。4、切换回到页面视图。尾注和脚注应该都是一样的。
10. 问:Word 里面有没有自动断词得功能常常有得单词太长了,如果能设置下自动断词就好了
答:在工具―语言―断字―自动断字,勾上,word 还是很强大的。
11. 问:如何将word 文档里的繁体字改为简化字,
答:工具―语言―中文简繁转换。
12. 问:怎样微调WORD 表格线,WORD 表格上下竖线不能对齐,用鼠标拖动其中一条线,可是一拖就跑老远,想微调表格竖线让上下对齐,请问该怎么办,
答:选定上下两个单元格,然后指定其宽度就可以对齐了,再怎么拉都行pressAlt,打开绘图,其中有个调整坐标线,单击,将其中水平间距与垂直间距都调到最小值即可。打开绘图,然后在左下脚的绘图网格里设置,把水平和垂直间距设置得最小。
13. 问:怎样微调word 表格线,我的word 表格上下竖线不能对齐,用鼠标拖动其中一条线,可是一拖就跑老远,我想微调表格竖线让上下对齐,请问该怎么办,
答:可以如下操作:?按住ctl 键还是shift,你have a try?double click the line, try
it )?打开绘图,设置一下网格(在左下角)。使水平和垂直都为最小,试一把~,?press Alt
14. 问:怎么把word 文档里已经有的分页符去掉,
答:先在工具―― 选项―― 视图―― 格式标记,选中全部,然后就能够看到分页符,delete 就ok了。
15. 问:Word 中下标的大小可以改的吗
答:格式―字体
16. 问:Word 里怎么自动生成目录啊
答:用“格式样式和格式”编辑文章中的小标题,然后插入-索引和目录
17. 问:Word 的文档结构图能否整个复制 论文要写目录了,不想再照着文档结构图输入一遍,有办法复制粘贴过来吗,
答:可以自动生成的,插入索引目录。
18. 问:做目录的时候有什么办法时右边的页码对齐,比如:1.1 标题..........11.2 标题...............2
答:画表格,然后把页码都放到一个格子里靠右或居中,然后让表格的线条消隐就可以了,打印出来就很整齐。
19. 问:怎样在word 中将所有大写字母转为小写,比如一句全大写的转为全小写的答:格式-更改大小写-小写
20. 问:在存盘的时候,出现了问题,症状如下:磁盘已满或打开文件过多,不能保存,另开新窗口重存也不管用。如何解决,
答:把word 文档全选,然后复制,然后关掉word,电脑提示你粘贴板上有东西,要不要用于别的程序,选是,然后,再重
新打开word,然后粘贴,然后,保存。
21. 问:WORD 中的表格一复制粘贴到PPT 中就散掉了,怎么把WORD 里面的表格原样粘贴到PPT 中,
答:1)比较好的方法是:先把表格单独存为一WORD 文件,然后插入,,对象,选由文件创建,然后选中上面的WORD 文件,确定;2)还可以先把表格copy 到excel 中,然后copy 到PPT 中,这个也是比较好的办法;3)可以先做成文本框,再粘贴过去;4)复制粘贴,但是在PPT 中不能粘在文本框里面;5)拷屏,做成图片,再弄到PPT 里面。
22. 问:有没有办法将PPT 的文字拷入WORD 里面,
答:另存就可以了。只要以.rtf 格式另存即可
23. 问:word 中图片的分栏如何处理,假如有:1 2 图3 4 这样的结构,我想实现:1 3 图(要横跨两栏)2 4 但是,试了半天总是:1 2 图3 4 怎么办呀,help~
答:设置图片格式――版式――高级――文字环绕――环绕方式选上下型――图片位置――对齐方式选居中――度量依据选页面,要先改文字环绕,然后才能改图片位置
24. 问:用word 写东西时字距老是变动,有时候自动隔得很开,有时候进入下一行的时侯,上一行的字距又自动变大了,这是为什么,怎么纠正啊,
答:是因为自动对齐的功能,格式――段落――对齐方式可以选。还有允许断字的功能如果check 上,就不会出现你说的情况了。
25. 问:在使用WORD 的样式之后,如标题1、标题2 之类的,在这些样式前面总会出现一个黑黑的方块,虽然打印的时候看不到,但看着总是不舒服,有没有办法让它不要显示呢, 答:“视图”,,“显示段落标志”,把前面的勾去掉。其实这个很有用,可以便于知道哪个是标题段落
26. 问:文章第一页下面要写作者联系方式等。通常格式是一条短划线,下面是联系方式,基金支持等。这样的格式怎么做出来,就是注明页脚吗,
答:插入――脚注和尾注
27. 问:文字双栏,而有一张图片特别大,想通栏显示,应该怎么操作, 答:可以选择的内容,按双栏排。选择其他内容,按单栏排。
28. 问:Word 里面如何不显示回车换行符,
答:把视图-显示段落标记的勾去掉或工具-选项-视图-段落标记
29. 问:有没有方法把WORD 里的软回车一下子替换掉,识别出来的文字全带着软回车,能把他们一次全删掉吗,,
答:查找,替换,按CTRL+H;软回车好象是^l,在特殊字符里有
30. 问:在WORD 里的框框里怎么打勾,
答:画个文本框,文本框里写一个钩,然后拖过去;或者先在WORD 里插入符号“?”,然后选中“?”,到-》格式-》中文版式-》带圈字符-》选“?”
31. 问:还是不行,这样拷过去的框框字体是windings 的,而原来的是宋体的,两者有很大的区别。
答:根据模板新建专业型传真,里面有框,双击后打勾,copy 就ok
32. 问:Word 中怎么在一个英文字母上打对号,
答:透明方式插入图片对象,内容是一个?
33. 问:WORD 里怎么显示修订文档的状态,文档修订后,改后标记很多,但是在菜单里没有“显示修订最终状态”等,怎么调出来,
答:工具,自定义,命令,类别(工具),命令(修订),把“修订”等拖到工具栏上
34. 问:怎样把许多分开的word 文档合并成一个文档。我的论文是按照章节分开写的,但现在图书馆要提交电子版的学位论文,是一个文档的,我找了很多选项但好象不能合并,选择插入文件功能,可以加入内容,但文档中的页眉却插不进去,有谁有高见, 答:acrobat6 可以直接把多个文档打印成一个pdf 文档。可以提交pdf 格式的论文,先一个一个word 文档转换为pdf 格式的,然后在pdf 文档菜单的文件菜单中,选上作为pdf 格式打开,追加上就可。
35. 问:Word 里面要写方程式怎么办啊,
答:插入,对象,公式编辑器equation,如果没有公式编辑器Equation,要自己从光盘中安装,或者安装Mathtype 公式编辑器按右键把它拖出来,,插入,,命令,,自定义,,工具应该是倒过来
36. 问:想在WORD 里面表示矩阵,怎样才能画出那个很大的矩阵括号, 答:装公式编辑器mathtype 好了~:)
37. 问:Word 的公式编辑器怎么安装,
答:工具,自定义,插入,公式编辑器,把它拖到工具条上即可;或者安装OFFICE 后,再次安装,选增加功能吧,会有提示的
38. 问:Word2000 下调用公式编辑器的快捷键
答:点击菜单[工具]-[自定义],点击对话框下方[键盘],在[类别]里选择[插入],在命令里选择[InsertEquation],指定你的快捷方式
39. 问:WORD 中出现公式的行往往要比只有文字的行来得宽,如何把这些行改的跟只有文字的行一样宽,
答:段落行距设为固定值即可。这样会有一个问题,比如设置为18 磅,有些公式符号(特别是有下标的)不能全部显示打印稿可以显示。怎么解决这个问题,这个如何解决还需要考虑。
40. 问:我的文档就是公式多,应该怎么办,
答:公式多的时候,最好的消除这个问题的办法就是每打几个公式就要存盘,如果连续打太
C?把WORD 所有文档关多,就会出现这个问题。出现问题的时候:?选中所有内容,ctrl,
闭。
?最关键:出现一条信息,务必选择“是”?重新打开WORD 编辑器,?ctrl,V,粘贴?ctrl,S,存盘
41. 问:怎样在word 里面的公式编辑器中输入空格,
答:ctrl+shift+space
42. 问:如何使word 中公式全都小一号,一个一个选实在麻烦
答:在Mathtype公式编辑器中:首先,在Mathtype 中的菜单Size 中选define,定义所需的字号大小;再次,在Mathtype 中的菜单preferences 中的equation preference 的save to file 存贮所定义的字号文件;返回word 中:在Mathtype菜单中选Format equation1)在MathType preference file 中,选你刚才所定义的文件;2)在Range 中,选Whole document。最后,选OK,即OK了。
43. 问:如何将WORD 中的公式编缉拉到外面
答:工具,自定义,命令,插入,右边找公式编辑器,往上脱
44. 问:怎样可以去掉word 里面公式,或是图片上方总是出现的灰色的横条啊,以前没有的,不知道怎么跑出来了,看着怪晕糊的。。。。。
答:工具,选项-视图-域底纹,选不显示,或选取时显示,就可以了
45. 问:整个论文用一个WORD 文档,太大,不好编辑,一个地方有增删,后面那么长一个文档版面分布会变得乱七八糟,特别是图表之类的东东。想让每章的偶数页自动显示自己的章号和题目,WORD 里这个能够自动实现吗,
答:不要整个论文放一个WORD 文档,一章一个,然后每章就可以奇偶分开处理了
46. 问:论文按照章节写的,想把它们合并成一个文件,并保持原有的文件格式。采用了在文件末尾插入分节符的方法,但插入后有些文件的部分格式发生了变化,请问如何解决, 答:用主控文档的方法比较好,在大纲模式里设置的;采取插入文件的方式,格式有些变化
47. 问:WORD 里边怎么样显示行号,
答:在页面设置那里,板式选项,最下面有个行号选项
48. 问:Word 里面怎么插入半个空格,
答:先在word 的工具栏上,点中双箭头那个纽,就可以看到原先看不到的空格,然后再编辑一下这个空格的大小,比如小五或小四什么的。
49. 问:只要一回车,或是改变光标位置的任何操作,都会使上一行的)变成,,有人遇到过这个问题么,
答:是不是设置了自动替换啊,符号里的自动替换看看吧~
50. 问:WORD 有没有可以按单词的首字母进行排序,就是从A-Z 进行排 答:表格中的内容可以按照拼音排序,弄到excel 里,排序,再回来
51. 问:怎么在word 里面打R^2
答:先打R2,然后用鼠标选中2,同时按Ctrl,“shift”和+
52. 问:Word 中发现空格都是小圆点,是怎么回事情,每输入一个空格就出现一个小圆点,怎么把它消除掉啊,这个空格会打印出来吗,
答:不会打印出来,如果想不显示:工具,选项,视图格式标记中前面的勾去掉即可
53. 问:word 如何使两个表格能排在一起,我做的表格每一个都比较小,但是表格数比较多,我想两个表格排成一行,请问该怎么做,
答:试试在局部分栏,每个分栏中一个表格。
54. 问:为什么换机器打开WORD 文档排版变了,在一台机器上排好板的WORD 文档换在另一台机器打开就变了,页码都不对了,怪哉。
答:是默认的页面设置不一样吧,或者版本不同
55. 问:Word 里面插入表格的问题,同一表格前后两行被分在了不同的页上,想他们在同一页怎么做,
答:转换成图文框可能更容易排版一点,或者加个文本框
56. 问:怎么在word 里画坐标图在word 里有了坐标图,文字却加不加去怎么办 答:作图时直接将文字加上去;word 中的绘图工具条,文字环绕里面寻找合适的方案,把图放在文字的底层
57. 问:WORD 文件有密码,怎么办呢,
答:找破解软件,比如advanced_office_2000_password_recovery_pro_v1.03,但不一定好用。
58. 问:怎么给word 文档加密,
答:打开文档,另存为―工具―常规选项―打开、修改权限密码,保存
59. 问:Word 文件怎么转化为postscript 文件,
答:先转化为pdf,然后打印到文件,通过distiller 生成ps。
60. 问:Word 无法识别origin 中的汉字怎么办,用origin 做的图形中有汉字,copy 到word 中就成了问号,因此我不得不先用export 把图形变为jpg 文件才能解决这个问题,有没有方便的解决办法,
答:ORIGIN 里面的字体改成宋体或者仿宋
61. 问:请教怎么把Origin 中的图表拷贝到Word,
答:点origin 的Edit 菜单里的copy page 到word 里粘贴就行了
62. 问:把origin 的图复制粘贴到word,总有一大块的空白,这个空白有什么工具可以去掉吗,还有就是用word 自带的图表工具画图时,也是有一大块空白去不掉,这个可以解决吗,
答:右键选择图片工具栏,点裁减
63. 问:插入的图片为什么老是处于页面的顶端,想拖下来放到其他地方,却又自动跑到顶端去,就是拖不下来,请问该如何处理
答:改变图片的属性,就可以了。
64. 问:如何保证一幅图像固定在某一段的后面,另一段的前面,而不会因为前面段落的删减而位置改变,
答:右键点击图片,设置对象格式―版式―嵌入型
65. 问:如何把在WORD 里面图形工具画的图转化为jpg,
答:另存为html 格式,然后在html 文件对应的文件夹里找
66. 问:请问什么格式的图片插入word 最清晰,手头持有png 和tif 格式,复制粘贴到word 中模糊一片,请问转换成什么图片格式用于word 最清晰,什么方法(插入图片来自文件还是直接复制粘贴)对清晰度有否影响,
答:emf,eps 等矢量图最清晰,不会因为缩放损失分辨率,而jpeg,bmp 等点阵图就不行了。
67. 问:在WORD 中如何让图片的左、上、下边都是文本,
答:在分栏的数量为1的情况下实现。图片选中后右键,设置图片格式--版式-四周型就可以了
68. 问:jpg 文件插入word 文件以后怎么让文件变小,jpg 格式图片插到word文件以后文件变的巨大,有什么方法可以让它小一点,最好能一张软盘放的下。
答:两个方法:?用photoshop 改变图片的分辨率,当然要看得清楚,然后插入word?word 有强大的压缩功能,把文档另存为比如:temp.doc,看看是不是小了很多。
69. 问:Matlab 仿真图片大家一般怎么弄到word 里面的相对横轴和纵轴修改一下的说 答:一般都是在Matlab 里面把所有的直接修改好了,然后再保存的时候用jpg 格式,在word 中间导入就好了
70. 问:如何向WORD 中的图片添加文本,想在图片上输入一些说明文字 答:插入文本框,将版式设成“悬浮”在WORD 的绘图工具里面有个自选图形,找到你要的括号,直接在页面上画就可以了。可以移动,大小也可以改。然后把他挪到文字边上,即可。一个小窍门就是用CTRL+箭头可以进行微调。如果你觉得经常需要对这些文字编辑,怕图形错位的话,可以将需要的文字打在一个文本框里,记得将文本框设置成透明无色的(这样就看不见文本框了),然后将文本框和你的括号(或其他符号)组合成一个图形,就万无一失了
71. 问:AUTOCAD 的图拷贝到WORD 下如何处理
答:有几种办法:一是可以在WORD 中进行CAD 编辑的方法:将CAD 的背景设为白色,然后将CAD 窗口缩小,到你想复制的图形的大小,正好可以容纳就可以了,否则WORD 里面有很大的空白,然后,拷贝,选中所有的图形中的线条,右键。到WORD 中粘贴。二是,先转为wmf 文件,具体先将窗口缩小,如上,然后,按emport,选中线条,存储。WORD 中,插入,图形,来自, 文件,找到文件就可以插入了。
72. 问:文章用WORD 打开时,原有的公式全是红叉,以及WORD 中图变成red cross(红叉)怎么办,
答:基本上没有办法挽救回来了,只能重新插一遍图。据微软的技术支持所说,红叉是由于资源不够引起的。也就是说,如果你所编辑的文档过大,可能因为资源问题导致图片无法调入,从而显示红叉。可是实际情况是,有时候所编辑的文档并不大,可是还是出现红叉。这就可能是因为你设置了快速保存,在选项菜单中可以找到。这是由WORD 的文档结构所决定的。当你设置为快速保存时,每次保存的时候只是把你改动过的部分添加到文档尾部,并不重写文档本身,以达到快速的目的。所以,你会看到一个本来并不长的文档的实际大小可能有好几兆。当取消了快速保存后,文档长度将大大减小。还有一个减小红叉出现可能性的办法是把图片的属性中的浮动去掉。这样可能在编辑的时候有一定的困难,但是对于避免红叉的出现确实很灵。再说一句,一旦红叉出现了,应该是没有办法恢复的,只有再重新贴图。
73. 问:如果Word 突然定在那里了怎么办,
答:重新打开会回复,或者在word自身的templates 里面找到近期文件,重写的不用太多。
74. 问:如何解决word 说磁盘已满不让保存的问题,
答:有时候,当要保存一个文件时,Word 会弹出一个对话框说是磁盘空间已满,无法保存文件,可实际上磁盘上空间还很大。这是非常令人恼火的一件事情。这一信息最常见的原因是Temp 文件夹已经达到了一个文件夹中可以包含的最多文件数的上限。这时的解决方法很简单:在【资源管理器】中右击安装有Windows 系统的磁盘,在出现的快捷菜单中单击【属性】,将出现【属性】对话框,从【常规】选项卡中选择【磁盘清理】按钮,此时将出现【磁盘清理】对话框。执行磁盘清理完毕以后,Windows 会弹出一个新的对话框。在【要删除的文件】框中选中【临时文件】选项,然后选择【确定】。Windows 将删除临时文件。要人工删除临时文件,进入临时文件夹,删除任何旧的临时文件(临时文件以波浪号开始,以(tmp 扩展名结束),返回Word,再次试着保存文件。如果此时还不能正确保存文档,可以采取以下的方法,步骤如下:(l)按Ctrl,A 选定整个文档。(2)按Ctrl,C 将整个文档复制到内存中。(3)关闭Word 程序。此时系统会提示:您将大量文本放在了'剪贴板'中,是否希望在退出Word 后这些文本仍可用于其他程序,。(4)选择【是】按钮。(5)重新打开Word 程序。(6)按Ctrl,V,将复制下来的文本粘贴到新文件中。注意:在删除临时文件时,可能会出现一个对话框,提示不能删除正在使用的文件。这是因为Windows 运行的时候,需要不断地用到一些临时文件。因而,在人工删除临时文件时,试着在开始时只删除几个文件,然后对桌面上的回收站进行清空。否则可能无法删除所有选择的文件。
范文二:路由器无线安全设置
问题:笔记本经路由器上网,连网线能上,但用无线则不行。
现在已经可以把问题锁定在无线网安全设置上了!
下面以我的路由器配置页面为例给你说一下。
在浏览器里面输入 192.168.1.1进入路由器的设置,在“无线设置” —
“无线安全设置”页面有四种选择
分别为:
1. 关闭无线安全选项(不要密码就能联网,显然是不可选的)
2. WEP
3. WPA/WPA2
4. WPA-PSK/WPA2-PSK
后面三种为无线网的 3种加密方式,现在最普遍的是选择 WPA-PSK/WPA2-PSK选项。
至于“认证类型”与“加密算法”如何选择,必
须与无线网属性中的保持一致。 例如 “认证类型”
为 WPA2-PSK , “加密算法”为 AES ,
则下图中的必须同样是 WPA2-PSK 和 AES
如果你的无线网属性里面没有 WPA2-PSK 选项,即你的网卡不支持 WPA2-PSK 加密算法, 但是你的无线路由器中使用的是 WPA2-PSK , 那么笔记本铁定不能上网。 所以务必两者保持 一致!
最后,如果你更改了路由器的设置,务必要重启才能生效
范文三:无线局域网安全设置策略
《移动通信技术》课程设计
设计题目: 无线局域网安全设置策略 班 级: XXX
作 者: XXX 等
指导教师: XXX
2010年7月13日
《移动通信技术》课程设计任务书
课题 无线局域网安全设置策略
指导教师 李翠然 人 数 8人
1. 了解与WLAN安全相关的基础知识与基本内容,理解并掌握设计
任务要求的学习内容;
2. 学习WEP、WPA加密方式、802.1x认证方式;
设
3. 学习IP地址过滤,MAC地址过滤等技术原理
计 4. 结合具体无线路由器的配置,对无线局域网的安全设置策略进行学
习和实际操作;
任
5. 完成课程设计论文
务
1. 文献阅读:查阅相关文献与技术资料,学习与课程设计题目相关的
知识,认真做好读书笔记和学习心得,做到潜心分析,真正理解并
掌握设计任务要求的学习内容;
2. 组织形式:各课程设计题目设组长一名,负责设计总体事务,组中
各同学相互合作、合理分工、组织讨论、完成报告; 设 3. 学习交流:设计完成后,组长们组织同学们开展学习讨论,各组向
其他同学汇报设计内容,使同学们对各课程设计的内容均有认识和计 了解;
4. 文档整理:依据设计任务制定学习和写作计划,严格按照设计规范要
要求完成各个环节的任务,各设计需要提供课程设计论文一本,要
求按照课程设计论文格式认真撰写、按时完成设计论文; 求
5. 文档结构:上交文档包含以下内容:封面、摘要、目录、正文、参
考文献、附录(程序文件、交流时使用的PPT等)。
ii
作者列表(按学号排列)
序号 学号 姓名 在设计中所作的工作 成绩 1 XXX XXX 概述,WEP,WPA部分 2 XXX XXX 802.1x认证部分 3 XXX XXX 总结,WPA部分 4 XXX XXX 演示文稿PPT 5 XXX XXX 802.1x认证部分 6 XXX XXX 无线路由器配置部分 7 XXX XXX IP、MAC地址过滤 8 XXX XXX 无线路由器配置部分
指导教师签字:
年 月 日
iii
摘 要
由于在现在局域网建网的地域越来越复杂,很多地方应用了无线技术来建设
局域网,但是由于无线网络应用电磁波作为传输媒介,因此安全问题就显得尤为
突出。本文通过对危害无线局域网的一些因素的叙述,给出了一些应对的安全措
施,以保证无线局域网能够安全,正常的运行。
关键词:无线局域网,网络安全,WEP,WPA,802.1x,SSID,IP地址过滤,
MAC地址过滤
Abstract
Because the region now in LAN arrangement is more and more complicated, many places use wireless technology to build local area networks, but due to a wireless network use medium wave for transmission, so security questions appears particularly outstanding. Based on some factors do harm to WLAN, some measures have been given to ensure the safety, security, and the normal operation of WLAN.
Key Words: WLAN,Network Security,WEP,WPA,802.1x,SSID,IP address
filtering,MAC address filtering
iv
目 录
1 概述 ...................................................................................................................... 1
安全发展概况 ....................................................................... 1 1.1无线局域网的
1.2 无线局域网安全技术研究的必要性........................................................... 3
1.3 无线局域网的安全措施 ............................................................................................. 4
2 无线局域网的加密方式 ....................................................................................... 7
2.1有线等效保密协议WEP ................................................................................ 7
2.2 Wi-Fi保护接入WPA ................................................................................... 11
2.3 802.1x认证方式 ....................................................................................... 143 IP与MAC地址过滤........................................................................................... 16
3.1IP地址过滤 ................................................................................................ 16
3.2 MAC地址过滤 .......................................................................................... 18 4 无线路由器配置 ................................................................................................. 20 5 总结 .................................................................................................................... 25 参考文献 ................................................................................................................ 27 附录 ........................................................................................................................ 27
v
1 概述
1.1 无线局域网安全发展概况
无线局域网(Wireless Local Area Network,简称为“WLAN”)本质上是一种网络互连技术,它是计算机网络与无线通信技术相结合的产物。是通用无线接入的一个子集,可支持较高的传输速率(可达2Mbps,108Mbps)。利用射频无线正交频分复用(OFDM),借助直接序列扩频(DSSS)或跳频扩频(UWBT)技术,可实现固定的、半移动的以及移动的网络终端对英特网进行较远距离的高速连接访问。由于WLAN产品不需要铺设通信电缆,可以灵活机动地应付各种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入。WLAN已广泛应用于各行各业中,受到人们的青睐,已成为无线通信与Internet技术相结合的新兴。但是,随着无线局域网应用领域的不断拓展,无线局域网受到越来越多的威胁,无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还受到基于IEEE 802.11标准本身的安全问题而受到威胁,其安全问题也越来越受到重视,并成为制约WLAN发展的主要瓶颈。
因此对越权存取和窃听的行为由于无线局域网采用公共的电磁波作为载体,
也不容易防备。现在,大多数厂商生产的无线局域网产品都基于802.11b标准,802.11b标准在公布之后就成为事实标准,但其安全协议WEP一直受到人们的质疑。如今,能够截获无线传输数据的硬件设备已经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在Internet上下载。无线局域网安全问题已越发引起人们的重视,新的增强的无线局域网安全标准正在不断研发中。
我国现已制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003年12月执行。WAPI使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元3部分组成,类似于802.11工作组制定的安全草案中的基本认证结构。了解无线局域网安全技术的发展,使我们能够更加清楚地认识到无线局域网安全标准的方方面面.有利于无线局域网安全技术的研究。
1
由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和窃听的行为也更不容易防备。具体分析,无线局域网存在如下两种主要的安全性缺陷:
(一)静态密钥的缺陷
静态分配的WEP密钥一般保存在适配卡的非易失性存储器中,因此当适配卡丢失或者被盗用后,非法用户都可以利用此卡非法访问网络。除非用户及时告知管理员,否则将产生严重的安全问题。及时的更新共同使用的密钥并重新发布新的密钥可以避免此问题,但当用户少时,管理员可以定期更新这个静态配置的密钥,而且工作量也不大。但是在用户数量可观时,即便可以通过某些方法对所有AP(接入点)上的密钥一起更新以减轻管理员的配置任务,管理员及时更新这些密钥的工作量也是难以想象的。
(二)访问控制机制的安全缺陷
1(封闭网络访问控制机制:几个管理消息中都包括网络名称或SSID,并且这些消息被接入点和用户在网络中广播,并不受到任何阻碍。结果是攻击者可以很容易地嗅探到网络名称,获得共享密钥,从而连接到“受保护”的网络上。
2(以太网MAC地址访问控制表:MAC地址很容易的就会被攻击者嗅探到,如激活了WEP,MAC地址也必须暴露在外;而且大多数的无线网卡可以用软件来改变MAC地址。因此,攻击者可以窃听到有效的MAC地址,然后进行编程将有效地址写到无线网卡中,从而伪装一个有效地址,越过访问控制。
由于WLAN还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机,甚至会产生比普通网络更加严重的后果。
因此,WLAN中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。
2
1.2 无线局域网安全技术研究的必要性
由于WLAN通过无线电波在空中传输数据,不能采用类似有线网络那样通过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯无法起作用,任何人在视距范围之内都可以截获和插入数据。因此,无线网络给网络用户带来了自由,同时带来了新的挑战,这些挑战其中就包括安全性。
无线局域网必须考虑的安全要素有3个:信息保密、身份验证和访问控制。如果这3个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。
IEEE标准化组织在发布802.11标准之后,也已经意识到其固有的安全性缺陷,并针对性的提出了加密协议(如WEP)来实现对数据的加密和完整性保护。通过此协议保证数据的保密性、完整性和提供对无线局域网的接入控制。但随后的研究表明,WEP协议同样存在致命性的弱点。为了解决802.11中安全机制存在的严重缺陷,IEEE802.11工作组提出了新的安全体系,并开发了新的安全标准IEEE802.11i,其针对WEP机密机制的各种缺陷作了多方面的改进,并定义了RSN(Robust Security Network)的概念,增强了无线局域网的数据加密和认证性能。IEEE802.11i建立了新的认证机制,重新规定了基于802.1x的认证机制,主要包括TKIP,CCMP(Counter CBCMAC Protoco1)和WRAP(Wireless Robust
Authenticated Protoco1)等3种加密机制,同时引入了新的密钥管理机制,也提供了密钥缓存、预认证机制来支持用户的漫游功能,从而大幅度提升了网络的安全性。
3
1.3 无线局域网的安全措施
采用无线加密协议防止未授权用户:
保护无线网络安全的最基本手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换,有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSID),在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线网络被发现的可能。
但是目前IEEE 802.11标准中的WEP安全解决方案,在15分钟内就可被攻破,已被广泛证实不安全。所以如果采用支持128位的WEP,破解128位的WEP的是相当困难的,同时也要定期的更改WEP,保证无线局域网的安全。如果设备提供了动态WEP功能,最好应用动态WEP,值得我们庆幸的,Windows XP本身就提供了这种支持,您可以选中WEP选项“自动为我提供这个密钥”。同时,应该使用IPSec,**,SSH或其他WEP的替代方法。不要仅使用WEP来保护数据。
改变服务集标识符并且禁止SSID广播:
SSID是无线接人的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。例如,3COM 的设备都用“101”。因此,知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。如果可能的话。还应该禁止你的SSID向外广播。这样,你的无线网络
4
就不能够通过广播的方式来吸纳更多用户(当然这并不是说你的网络不可用(只是它不会出现在可使用网络的名单中。
静态IP与MAC地址绑定:
无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为家里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。
**技术在无线网络中的应用:
对于高安全要求或大型的无线网络,**方案是一个更好的选择。因为在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。对于无线商用网络,基于**的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。**方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,**在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,**技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络VLAN (AP和**服务器之问的线路)从局域网已经被**服务器和内部网络隔离出来。**服务器提供网络的认征和加密,并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同,**方案具有较强的扩充、升级性能,可应用于大规模的无线网络。 无线入侵检测系统:
无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶
5
魔攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。他是通过一种顺序分析,找出那些伪装WAP的无线上网用户无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。[1]
采用身份验证和授权:
当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时,他们可以尝试建立与AP关联。目前,有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么您的无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制。STA向AP发送申请,然后AP发回口令。接着,STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的,因此如果有人能够同时截取口令和响应,那么他们就可能找到用于加密的密钥。采用其他的身份验证,授权机制。使用802.1x,**或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。
其他安全措施:
除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术,例如设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理等等的方法来加强WLAN的安全性。
6
2 无线局域网的加密方式
2.1有线等效保密协议WEP
WEP(Wired Equivalent Privacy)有线等效保密协议是由802.11 标准定义的,是最基本的无线安全加密措施,用于在无线局域网中保护链路层数据,其主要用途是:
?提供接入控制,防止未授权用户访问网络;
?WEP 加密算法对数据进行加密,防止数据被攻击者窃听;
?防止数据被攻击者中途恶意纂改或伪造。
WEP 加密采用静态的保密密钥,各 WLAN 终端使用相同的密钥访问无线网络。 WEP 也提供认证功能,当加密机制功能启用,客户端要尝试连接上 AP 时, AP 会发出一个 Challenge Packet 给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。 40 位 WEP 具有很好的互操作性,所有通过 Wi-Fi 组织认证的产品都可以实现 WEP 互操作。现在的 WEP 也一般支持 128 位的钥匙,提供更高等级的安全加密。
WEP协议使用RC4算法进行数据加密,用CRC-32算法校验数据完整性。RC4的状态空间非常大,对实际应用的8位S盒,它就有1700位的状态。又因为其方便快捷,很多软件应用都使用了这个算法。
WEP中的加密使用一个密钥K,这个K有所有的移动站点和AP共享,即它们都必须知道这个K。为了得到一个WEP加密帧,首先计算明文M的校验和C(M)。然后网卡选择一个初级化向量IV,添加到密钥K前,产生“包密钥”,RC4算法就是用这个包密钥初始化S盒,产生随机数输出序列,这个序列再校验后的明文异或产生密文。
7
加密过程如图所示:
IV 为初始化向量,PASSWORD 为密码 KSA=IV+PASSWORD。DATA 为明文 CRC-32为明文的完整性校验值 PRGA=RC4(KSA) 的伪随机数密钥流 XOR 异或的加密算法。ENCRYPTED DATA 为最后的密文。最后 IV+ENCRYPTED DATA 一起发送出去。
WEP的数据帧结构:32位的IV数据项;24位的初始向量值(Init Vector);2位的Key ID;6位的纯填充数据(以0填充);32位的ICV循环校验码。
8
接收端的解密过程如图所示:
CIPHERTEXT 为密文。它采用与加密相同的办法产生解密密钥序列,再将密文与之XOR 得到明文,将明文按照 CRC32 算法计算得到完整性校验值 CRC-32′,如果加密密钥与解密密钥相同,且 CRC-32′= CRC-32,则接收端就得到了原始明文数据,否则解密失败。
9
WEP 算法通过以上的操作试图达到以下的目的:
采用 WEP 加密算法保证通信的安全性,以对抗窃听;
采用 CRC32 算法作为完整性检验,以对抗对数据的篡改。
WEP的身份认证过程:
1.由用户客户端自行搜索无线网卡接收范围内的Wi-Fi信号,并显示公开了SID的接入点的情况;若接入点选择不公开自己的SSID,则在默认情况下无法取得该接入点的SSID信息,也就无法进行连接。
2.客户端向期望连接的接入点发送申请认证的数据帧,接入点的识别是由SSID来完成的。
3.接入点收到申请认证的数据帧后,用WEP加密算法中的伪随机数生成一个128位的Challenge Text加载到管理数据帧,再将其返回客户端。
4.客户端再将该Challenge Text加载到管理帧,用共享密钥与新的IV向量对该帧加密,再传送给接入点。
5.接入点校验该帧的信息正确性与CRC正确性判断该用户是否为合法用户。
WEP 是目前最普遍的无线加密机制,但同样也是较为脆弱的安全机制,存在许多缺陷:
缺少密钥管理:用户的加密密钥必须与 AP 的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。WEP 标准中并没有规定共享密钥的管理方案,通常是手工进行配置与维护。由于同时更换密钥的费时与困难,所以密钥通常长时间使用而很少更换,倘若一个用户丢失密钥,则将殃及到整个网络。而且,一旦攻击者获得了由相同的密钥流序列加密后所得的两段密文,再将两段密文异或,则得到的是两段明文的异或,由此密钥失效。
ICV 算法不合适: WEP ICV 是一种基于 CRC-32 的用于检测传输噪音和普通错误的算法。CRC-32 是信息的线性函数,这意味着攻击者可以篡改加密信息,
10
并很容易地修改 ICV,使信息表面上看起来是可信的。能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。
RC4 算法存在弱点:在 RC4 中,人们发现了弱密钥。所谓弱密钥,就是密钥与输出之间存在超出一个好密码所应具有的相关性。在24位的 IV 值中,有9000多个弱密钥。攻击者收集到足够的使用弱密钥的包后,就可以对它们进行分析,只须尝试很少的密钥就可以接入到网络中。
IV冲撞问题:IV数值的可选范围只有224个,这样在理论上只要传输224个数据帧以后就会发生一次IV重用。
2.2 Wi-Fi保护接入WPA
WPA(无线保护接入Wi-Fi Protected Access)/TPKI(临床密钥完整性协议Temporal Integrity Protocol)是专为保护无线局域网络通信机密性和完整性的安全协议。WPA的出现旨在弥补WEP(有限对等加密协议)存在的缺陷,WEP一直是用很多无线LAN产品的安全保护协议。WPA主要使用两种形式的密钥,包括64位信息完整性检查(MIC)密钥和128位加密密钥。前者主要用于检查伪造/虚假信息,而后者主要用于加密和解密数据包。这些密钥都是从共有的主密钥(master key)中生成的。
WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。其加密特性决定了它比WEP更难以入侵,所以如果对数据安全性有很高要求,那就必须选用WPA加密方式了。
WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。
WPA是目前最好的无限安全加密系统,它包含两种方式:Pre-shared密钥和Radius密钥:
1)、Pre-shared密钥有两种密码方式:TKIP和AES,
11
2)、RADIUS密钥利用RADIUS服务器认证并可以动态选择TKIP、AES、WEP方式。
WPA使用临时密钥完整性协议(TKIP)的加密是必选项。TKIP使用了一个新的加密算法取代了WEP,比WEP的加密算法更强壮,同时还能使用现有的无线硬件上提供的计算工具去实行加密的操作。
WPA标准里包括了下述的安全特性:WPA认证、WPA加密密钥管理、临时密钥完整性协议(TKIP)、Michael消息完整性编码(MIC)、AES支持。
WPA改善了我们所熟知的WEP的大部分弱点,它主要是应用于公司内部的无线基础网络。无线基础网络包括:工作站、AP和认证服务器(典型的RADIUS服务器)。在无线用户访问网络之前,RADIUS服务掌控用户信任(例如:用户名和口令)和认证无线用户。
WPA的优势来自于一个完整的包含802.1x/EAP认证和智慧的密钥管理和加密技术的操作次序.它主要的作用包括:网络安全性能可确定。它可应用于802.11标准中,并通过数据包里的WPA信息进行通信、探测响应和(重)联合请求。这些基础的信息包括认证算法(802.1x或预共享密钥)和首选的密码套件(WEP,TKIP或AES)。 认证。WPA使用EAP来强迫用户层的认证机制使用802.1x基于端口的网络访问控制标准架构,802.1x端口访问控制是防止在用户身份认证完成之前就访问到全部的网络。802.1xEAPOL-KEY包是用WPA分发每信息密钥给这些工作站安全认证的。
在工作站客户端程序(Supplicant)使用包含在信息元素里的认证和密码套件信息去判断哪些认证方法和加密套件是使用的。例如,如果AP是使用的预共享密钥方法,那么客户端程序不需要使用成熟的802.1x。然而,客户端程序必须简单地证明它自己所拥有的预共享密钥给AP;如果客户端检测到服务单元不包含一个WPA元素,那么它必须在命令里使用预WPA802.1x认证和密钥管理去访问网络。
密钥管理。WPA定义了强健的密钥生成/管理系统,它结合了认证和数据私密功能。在工作站和AP之间成功的认证和通过4步握手后,密钥产生了。数据加密。临时密钥完整性协议(TKIP)是使用包装在WEP上的动态加密算法和安全技术来克服它的缺点。数据完整性:TKIP在每一个明文消息末端都包含了一个信息完整性编码(MIC),来确保信息不会被“哄骗”。
12
WPA 安全规则:
针对于 WEP 的安全漏洞 WPA 也相应更新了安全规则:
A( 增强至 48bit 的 IV。
B(Sequence Counter,防止 IV 重复。
C(Dynamic key management,动态 key 管理机制。
D( Per-Packet Key 加密机制,每个包都使用不同的 key 加密。
E( MIC (Message Integrity Code ) 解说:动态 key 管理机制在通讯期间: 如果侦测到 MIC 错误,将会执行如下程序。 记录并登录 MIC 错误,60 秒內发生两次 MIC 错误。 反制措施会立即停止所有的 TKIP 通讯。 然后更新数据加密的用的 TEK WPA 安全机制作用: 1.加密通信流程图、Per-Packet Key 加密机制、动态 key 管理机制使得使用类似,于 WEP 中分析子密码攻击的方案,在 WPA 中将变得异常困难,和不可实现。 2. 身份验证机制杜绝了-1 fakeauth count attack mode,建立伪连的攻击。 3.增强至 48bit 的 IV、防止 IV 重复、MIC 信息编码完整性机制。使得要伪造一个合法数据包变得异常的困难。同时也致使-2 Interactive,-4 Chopchop,5 Fragment 此类攻击对于 WPA 无效。 13 WPA 安全性的前景: WEP 由原来的安全到今天的不安全。你是否同样也会担心是不是很多年之后的 WPA也会是同样的命运。但我们也要看到 WEP 的破解不是某个算法的漏洞导致的。而是整个WEP 的安全体系有很多漏洞所共同导致的。而 WPA 的安全体系很强壮。使用的大多是混合算法。所以某一个算法的弱点往往不能给 WPA 这样的安全体系以致命的打击。WPA 这种依靠算法的安全体系也许某一天会被破解。但是可能 WPA 被完全破解的那一天比 WPA 废弃的那一天都晚。如果这样的话,那么的确该说 WPA 是一种很强壮的安全体系。 2.3 802.1x认证方式 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。 802.1x工作过程: 1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。 2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 14 4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。 5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。 6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。 802.1x认证特点: 基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能 802.1x应用环境特点: (1)交换式以太网络环境:对于交换式以太网络中,用户和网络之间采用点到点的物理连接,用户彼此之间通过VLAN隔离,此网络环境下,网络管理控制的关键是用户接入控制,802.1x不需要提供过多的安全机制。 (2)共享式网络环境:当802.1x应用于共享式的网络环境时,为了防止在共享式的网络环境中出现类似“搭载”的问题,有必要将PAE实体由物理端口进一 15 步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系,并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中,用户之间共享接入物理媒介,接入网络的管理控制必须兼顾用户接入控制和用户数据安全,可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。在实际网络环境中,可以通过加速WEP密钥重分配周期,弥补WEP静态分配密钥导致的安全性的缺陷。 802.1x认证的安全性分析: 802.1x协议中,有关安全性的问题一直是802.1x反对者攻击的焦点。实际上,这个问题的确困扰了802.1x技术很长一段时间,甚至限制了802.1x技术的应用。但技术的发展为这个问题给出了答案:802.1x结合EAP,可以提供灵活、多样的认证解决方案。 3 IP与MAC地址过滤 3.1IP地址过滤 IP地址转换过滤器的基本工作原理: (1) IP地址转换过滤器(CONFIG_IP_NF_NAT)用来实现各种IP续接.。当主机之间不能直接进行IP寻径时,通过双方都能寻径的代理主机的IP地址转换器进行相互翻译,形成一个透明的IP回路。常见的地址转换类型有IP伪装(IP MASQUERADE), 端口转发(PORT FORWARDING),IP重定向(IP REDIRECT)。 (2) IP伪装可以使内网中的主机共享网关主机在外网中的地址来与外网主机通信, 当内网主机的IP包要传送到外网主机时, 网关的地址转换器将IP包的源地址和端口置换成自己的地址传递到外网目的主机, 当目的主机应答时, 网关再将应答包的目的地址和端口恢复成内网主机的IP地址和端口。 16 (3) 当外网主机首先与内网网关主机建立连接时, 网关的地址转换器可以将不同端口的IP包转接到不同的内网主机中, 这就是端口转发。 网关修改外网IP包的源地址和目的地址以及端口传递到相应的内网主机中, 内网主机的应答包再被网关恢复其源地址和目的地址及其端口发送回外网主机。 (4) 通过网关的IP包可以被网关将其目的地址替换为本地地址, 把通过网关的外部连接定向到主机本身, 这就是IP重定向, 可以用来实现IP透明代理。 (5) IP地址变换器建立在IP轨迹跟踪的基础上, IP轨迹可看成主机与主机之间的IP回路在网关主机内产生的映像。 当IP包从内网主机通过网关主机向外网主机发出初次请求时, 就在网关主机内产生了一条请求轨迹, 当外网主机通过网关向内网主机发出应答时, 通过网关主机的应答包就被IP轨迹跟踪器绑定在对应的请求轨迹上.。每条轨迹具有正向地址元和逆向地址元分别与请求IP包地址与应答IP包地址匹配。 在正常的网关路由过程中, 轨迹的正向请求与逆向应答地址元是对称的, 当引入了地址转换操作以后, 轨迹的正向与逆向地址元的对称性被破坏, 成为转移轨迹, 绑定在转移轨迹上的IP包通过地址转换过滤器后, IP包的地址将发生变化, 即请求包的地址被置换为转移轨迹逆向应答地址元的逆地址, 应答包的地址被置换为转移轨迹前向请求地址元的逆地址。 由此可见, 标准的IP寻径操作可以看成IP地址转换操作的一种特例。 (6) IP地址变换器是IP轨迹跟踪器的后级过滤器, 它有3个过滤端。 IP包的地址转换并不是一次完成的, IP包目的地址转换在路由前端或本地输出端完成, IP包的源地址转换在路由后端完成, 地址变换器输出注入到IP轨迹跟踪器的未端输出。 ip_nat_info描述轨迹的地址转换信息, 它是IP轨迹结构(ip_conntrack)的一部分。 对于新建轨迹,转换器将从地址转换规则表(nat_table)建立轨迹的地址转换信息,ip_nat_info结构中的 ip_nat_info_manip结构用于完成IP包地址的映射和逆映射。 17 3.2 MAC地址过滤 MAC(Medium Access Control)地址,或称为硬件位址,用来定义网络设备的位置。在OSI模型中,第三层网络层负责 IP地址,第二层数据链路层则负责 MAC位址。因此一个主机会有一个IP地址,而每个网络位置会有一个专属于它的MAC位址。MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的,IP地址是32位的,而MAC地址则是48位的。MAC地址的长度为48位(6个字节),通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D 就是一个MAC地址,其中前6位16进制数08:00:20代表网络硬件制造商的编号,它由IEEE(电气与电子工程师协会)分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。只要不去更改MAC地址,那么MAC地址在世界是惟一的。 无线MAC地址过滤功能通过MAC地址允许或拒绝无线客户端接入无线网络,有效控制无线客户端的接入权限。无线MAC过滤可以让无线网络获得较高的安全性。每一个网络设备,不论是有线网卡还是无线网卡,都有一个唯一的标识叫做MAC地址(媒体访问控制地址)。 MAC 地址过滤配置过程如下: 1、无线设置/MAC地址过滤然后确认访问控制列表中没有任何生效的条目,如有,将该条目改为“失效”、删除该条目或删除所有条目。 2. 点击“增加新条目”按钮,添加MAC地址为“00-0A-EB-00-07-BE”,类型为“允许”,状态为“生效”。 3. 点击“增加新条目”按钮,添加MAC地址为“00-0A-EB-00-07-5F”,类型为“禁止”,状态为“生效”。 18 4. 如果将过滤规则设为“允许列表中生效规则之外的MAC地址访问本无线网络”,那么MAC地址为“00-0A-EB-00-07-5F”的主机仍然不可访问,但MAC未在列表中出现的主机变成可以访问。 5. 开启无线网络的访问控制功能,单击“启用”按钮。 6. 过滤规则选择“禁止列表中生效规则之外的MAC地址访问本无线网 络”。 7、可以试着修改条目中的内容,如修改和删除,再看一下结果 8、基本设置中修改为自动选择/16进制,并设密钥 9、客户机1设为密钥后能够进入无线网络管理器了,然后点击“增加新条目”按钮,添加MAC地址为“00-0A-EB-00-07-8A”,类型为“128位密钥”,密钥为“2F34D20BE2E54B326C5476586A”,状态为“生效”。 10、客户2修改安全设置再试一下。 MAC地址过滤模块可以设定内部电脑按网卡MAC地址过滤,并能将MAC地址绑定固定的IP地址。配置对话框如下所示。 19 操作说明: 1. [缺省MAC地址过滤策略]中选择默认策略为通过或拦截。 2. 在列表框选择要做更改的项目,单击鼠标右键,在弹出菜单中可以单击[地址绑定]绑定当前所选地址;单击[取消绑定]取消所选地址的绑定,单击[删除地址]删除当前所选地址;单击[导入地址]可以导入在主程序界面中所有电脑的MAC与IP地址。 3. 要编辑某项,可在列表中双击该项,编辑完成后单击<增加>按钮保存。 4. 要添加新地址,先输入[MAC地址]和[IP地址],在[策略]中选择策略,然后单击<增加>按钮。 5. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。 4 无线路由器配置 在无线路由器的网络参数设置中,必须对LAN口、WAN口两个接口的参数设置。在实际应用中,很多用户只对WAN口进行了设置,LAN口的设置保持无线路由器的默认状态。 路由器的WAN口设置: 如果WAN口接出设备是动态分配IP,那应该选择动态IP用户,不过这种情况很少遇到,一般家庭都是才用PPPoE模式或者是静态IP的模式。要用到无线路由器拨号的用户,应该选择PPPoE模式,相应填入相应的ADSL用户名和用户密码。如果是固定IP接入到WAN口,则采用静态IP用户摸索,如果下图。 20 路由器的LAN口设置: LAN口和WAN口的配置完成之后,下面我们要配置无线参数。在配置无线路由器时,严格来说没有步骤,笔者建议用户按照无线路由器配置页面中的次序进行配置。 21 无线配置: 在基本设置中,当用户不需要无线网络时,可以选择关闭,这功能目前很多品牌都不具备。拥有14条信道选择,一般品牌多是11~13条信道,这里建议大家使用自动切换最佳频道。 22 无线加密是一定要设置的,万一忘记设置密码,很有可能会被人盗用宽带,而且还有可能被入侵到电脑中,如果碰上的是个黑客高手,中植一些木马或病毒,那可够痛苦了。所以当开启无线网络后,一定要记得修改无线的加密。设置密码的方法都很简单,只要在无线路由器中设定一个密码,然后在无线网卡端输入即可。 访问控制是通过MAC地址进行管理,有允许和禁止相向来管理,就好比MAC地址绑定管理一样。 高级设置中建议选择自动,比如速率和前导帧类型。 23 连接列表中可看到无线连接的数量,分别有MAC地址、状态、频段、速度等。 设置网络密钥 无线加密协议(WEP)是对无线网络中传输的数据进行加密的一种标准方法。目前,无线路由器或AP的密钥类型一般有两种,分别为64位和128位的加密类型,它们分别需要输入10个或26个字符串作为加密密码。许多无线路由器或AP在出厂时,数据传输加密功能是关闭的,必须在配置无线路由器的时候人工打开。 禁用SSID广播 通常情况下,同一生产商推出的无线路由器或AP都使用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络,就极易建立起一条非法的连接,给我们的无线网络带来威胁。因此,建议你最好能够将SSID命名为一些较有个性的名字。 无线路由器一般都会提供“允许SSID广播”功能。如果你不想让自己的无线网络被别人通过SSID名称搜索到,那么最好“禁止SSID广播”。你的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。 通过禁止SSID广播设置后,无线网络的效率会受到一定的影响,但以此换取安全性的提高,笔者认为还是值得的。 禁用DHCP DHCP功能可在无线局域网内自动为每台电脑分配IP地址,不需要用户设置IP地址、子网掩码以及其他所需要的TCP/IP参数。如果启用了DHCP功能,那么别人就能很容易使用你的无线网络。因此,禁用DHCP功能对无线网络而言很有必要。在无线路由器的“DHCP服务器”设置项下将DHCP服务器设定为“不启用”即可。 启用MAC地址、IP地址过滤 24 在无线路由器的设置项中,启用MAC地址过滤功能时,要注意的是,在“过 滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问 无线网络”这类的选项。 另外,如果在无线局域网中禁用了DHCP功能,那么建议你为每台使用无 线服务的电脑都设置一个固定的IP地址,然后将这些IP地址都输入IP地 址允许列表中。启用了无线路由器的IP地址过滤功能后,只有IP地址在列 表中的用户才能正常访问网络,其他人则无法访问。 5 总结 无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突 出,在文中分析了WLAN的不安全因素,针对不安全因素给出了解决的安全 措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等 的攻击手段,但是由于现在各个无线网络设备生产厂商生产的设备的功能不 一样,所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不 一样,但是安全措施的思路是正确的,能够保证无线网络内的用户的信息和 传输消息的安全性和保密性,有效地维护无线局域网的安全。 对本次课程设计的心得体会: 一、温故而知新。课程设计发端之始,思绪全无,举步维艰,对于理论知识学习不过扎实的我深感“书到用时方恨少”,于是想起圣人之言“温故而知新”,便重拾教材,对知识系统而全面进行梳理,遇到难处显示苦思冥想再向同学请教,终于熟练掌握了基本理论知识,而且领悟诸多平时学习难以理解掌握的较难知识,学会了如何思考的思维方式,找到了设计的灵感。 二、思路即出路。当初没有思路,诚如举步维艰,对理论知识梳理掌握后茅塞顿开,柳暗花明,没有思路便无出路,原来思路即出路。 25 三、实践出真知。在教材上,过程只是简简单单的在我们大脑中进行,而现在通过组队讨论和查资料,我们越发的清晰的理解各种操作的过程。同时认知更为深刻。在课堂上,我们大多接触的是专业课,我们在课堂上掌握的仅仅是专业课的理论知识,如何去锻炼我们的实践能力,如何把我们所学的专业知识用到实践中去呢,这次课程设计给了我们一个非常好的平台。 四、培养了我们扎实的学习作风。我们在做这次课程设计的时候,我们感触最深的当属查阅大量的设计资料了。为了让我们自己的设计更加完善,查阅这方面的设计资料是十分必要的,同时也是必不可少的。我们一切都要有据可依,有理可循,不切实进的构想只能是构想,永远无法升级为设计。 总之,我们一直认为,通过这次课程设计我们得到的不仅仅是对现有知识的应用能力,最重要的是我们学会了团队合作。在将来,任何大事都不是一个人能够独自完成的,需要很多人。所以我们学会了团队合作这一点是很重要的。我们提高了团队精神的认识;在团队成员之间关系上我们学会了更好的如何处理,我们都对这次的课程设计投入了很大的时间和精力,互相协作,追求团队内的和谐。所以这次课程设计既是对这学期所学知识的总结,又是我们小组成员提高友谊,锻炼能力的平台。 26 参考文献 [1]陈鹤、曹科,无线局域网技术研究与安全管理[J].现代机械, 2006,(04). [2]赵琴.浅谈无线网络的安全性研究[J].机械管理开发,2008,(01). [3]李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施[J].现代电子 94. 技术.2007, (5):91- [4]王茂才等:无线局域网的安全性研究.计算机应用研究, 2007年01期. [5]http://www.bitscn.com/network/cisco/200803/135654.html 附录:演示文稿 27 28 lSSN 1009—3044 Computer Knowtodgo a『,d rechno坳电脑知识与技术 V01.5,No.18,June 2009,PP.4704-4705 浅谈无线网络安全的设置 张友恭 (中科院福建物质结构研究所,福建福州350002) E—mail:info@ecce.net.en http://www.dnzs.net.CI] Tel:+86—551-56909635690964 摘要:无线网络比有线网络更容易受到入侵.因为被攻击端的电脑与攻击端的电脑并不需要网线在设备上的连接。无线网络的安全 设置,是现在无线网络安装时遇到的主要问题,舍理配置无线网络。使之能够安全地工作,更好地发挥无线网络的优势。文章提供一 些安全措施让无线网络更安全可靠。 关键词:无线网络:客户端;网络安全 中图分类号:TP393文献标识码:A 文章编号:10眇一3044(2009)18-4704—02 On the Wirdess Network Security Settings ZHANG You—gor塔 (FujJan Imtitute of Research On the Structure ofMatter,Chinese Academy nf Sciences,Fuzhou 350002。China) Abstract:Wireless Network is more vulnerable to invasion than wired network.became it can be used tO conneO:the computers of Te卜 miml attack and end—attack without tedcles.Wireless network security settings,is nOW the main problems encountered when a reasomble allocadon of wireless network.!幻enable them tO work safely.and give better play tO the advantages of wireless networks.the article intro— duces some methods of em.ring wireless network security nD.ol-e safely. Key words:wireless network;client;network security 目前,随着无线网络产品的推广,无线网络的应用也越来越多,特别是笔记本电脑的普及,无线网卡成了标准的配置,通过组建 无线网络来访问因特网已经成为一个趋势。在广大家庭以及企业用户感受到无线网络使用方便快捷的同时,无线网络的安全问题 也尤显突出。广大无线网络用户面临首要问题是怎样能够让自己的无线网络更加安全。原则上,无线网络比有线网络更容易受到入 侵.因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接,入侵者只要在用户无线路由器或中继器的有效范围内,就可 以进入用户的内部网络,访问用户的资源,如果用户在内部网络传输的数据并未加密的话,更有可能被入侵者窥探用户的数据隐 私。此外,无线网络就其安全理论和解决方案还不够完善。所有的这些都将导致无线网络的安全性较有线网络差。下面将为无线网 络用户提供一些安全措施来让无线网络变的更安全、更可靠。 1合理放置无线设备的位置 , 无线网络的信号是在空气中传播的。所以任何一个无线终端进入了设备信号的覆盖范围,都将有可能连接到我们网络。特别是 家庭用户。现在大家很多居住的都是单元楼,房屋之间的距离太近,所以合理放置无线设备的位置,是控制信号范围一个有效的方 法。让非法用户接收不到信号,这就阻断了网络物理上的连接。 2修改用户名和密码 通常为了方便设置无线路由器或中继器,设备制造商都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络 地址以及帐号等信息。无线路由设备在出厂时都被厂家设置r一个默认的用户名和密码,如果用户小更-哑这个默认的密码,将是非 常危险的,默认的用户名通常是“Admin”,是拥有管理员权限的。黑客利用简单的扫描工具即可得到这牡设备的地址,然后利用默认 的用户名和密码.去尝试登陆网络,访问网络中的资源。因此在安装无线网络时,及时登陆到设备的管理界面,将默认的密码修改 掉,最好将用户也改了,这样可以阻止那些初级扫描工具的攻击。 3使用加密 所有的无线网络都提供某些形式的加密。前面提过,攻击端电脑只要在无线路由器,中继器的有效范围内的话,那么它有很 大机会访问到该无线网络.一旦它能访问该内鄢网络时。该网络中所有传输的数据对它来说都是透明的。如果这些数据都没经 过加密的话,黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启用户的无线网络加密,这样即使用户在 无线网络上传输的数据被截取了也没办法(或者是说没那么容易)被解读。目前,无线网络中已经存在好几种加密技术。通常用户选 用能力最强的那种加密技术,目前强度比较高的的有WEP及WPA加密。此外要注意的是,如果用户的网络中同时存在多个无线网 络设备的话,这些设备的加密技术应该选取同一个。 4设置MAC地址过滤 众所周知,基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址,当然无线网络设备也不例外。 所有路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC地址。通常,许多这类设备都提供对MAC地址的操作,这样 用户可以通过建立用户自己的标准通过MAC地址列表,来防止非法设备(主机等)接入网络。但是值得一提的是,该方法并不是绝对 收稿日期:2009—05—30 作者简介:张友恭(1970一),男,福建福州市人,中科院福建物质结构研究所,工程师,主要从事计算机网络维护与应用研究工作。 4704?-计算机网络与僖息安垒-??-?-?-本栏目责任编辑:冯蕾 万方数据 第5卷第18期(2009年6月) Computor J(nowIed9e国'd协^∞fo钞电脑知识与技术 的有效的。因为用户很容易修改自己电脑网卡的MAC地址。 5修改默认的服务区标识符(SSm) 一般每个无线网络都有一个服务区标识符(SSID),无线客户端需要加入该网络的时候需要获得一个与之相同的SSID,否则将无 法接入。通常路由器,中继器设备制造商都在他们的产品中设了一个默认的相同的SSID。如果一个网络.不为其指定一个SSID或者 只使用默认SSID的话,那么任何无线客户端都可以进人该网络,这无疑这为黑客的入侵网络打开厂方便之门。 6蒡用SSm广播 在无线网络中,各路由设备有个很重要的功能,那就是服务区标识符广播。即SSID广播。最初,这个功能主要是为那些无线网 络客户端流动量特别大的商业无线网络而设计的。开启了SSID广播的无线网络,其路由设备会自动向其有效范围内的无线网络客 户端广播自己的SSID号,无线网络客户端接收到这个SSID号后.利用这个SSID号才町以使用这个网络。但是,这个功能却存在极 大的安全隐患,它自动地为想进人该网络的黑客打开了门户。特别作为家庭无线网络来讲。网络成员相对固定。一般没必要开启这 项功能。 7禁用DHCP和SNMP设置 由于DHCP配置起来比较简单,许多无线网络用户都使用DHCP服务来为备户端动态分配端口地址。这就带来了一个新的安 全隐患,入侵者很容易通过DHC}’服务得到一个合法的rP地址。家庭用户一般比较固定,可以为终端设备分配一个固定的IP。通过 路由器上设定合法的端口地址歹lJ表,可以有效地防止非法入侵。保护无线网络不受攻击。禁用DHCP对用户而言,是很有意义的。如 果用户采取这项措施,当入侵者试图接入无线网络时,不得不先破译IP地址、子网掩码及所需的TCP/IP参数,不仅破译的难度很 高,同时也需要耗费大量的时间,I论入侵者怎样利用无线接入点,都需要先知道无线网络的端L】地址。对于SNMP设置,可以采用 禁用或改变公开或专用的共用字符串。如畏没有采用这项措旅,入侵者就可能利用SNMP获得网络的一些重要信息。 8AP隔离 AP隔离非常类似有线网络的VLAN(虚拟局域网),将所有的无线客户端设备之间完全隔离,使客户端只能访问AP接人的固定 网络。该措施非常适合大型的会议室、机场等公共场所的无线网络建设。让各个接入的无线客户端之间相互保持隔离,提供彼此问 更加安全的接入。企业用户在一些特殊的场合可以采用这种方式来加强无线网络的安全性。 参考文献: 【11苏英如.局域网技术与组网工程【M1.|匕京:中国水利水电出版社,2005. 【2】程代伟.网络安全完全手册【M1.1版.北京:电子工业出版社,2005. (上接第4696页) 要实通过两个ISP流出的数据进行负载均衡.这次是设置缺省路由为多路路由.在Unux内核中,可以均衡两个ISP的路由。实现 方法如下: 在main表中添加下面两条路由: ip route add default scope global nexthop via 216.36.6.146dev ethl weight 1 ip route add default scope global nexthop via 222.216.1lO.50dev eth2weight 1 通过调整”weight”参数可以指定其中一个ISP的优先权高于另一个,就可以均衡两个ISP的路由,在网络繁忙时不同的访问量分 别由两个1SP来分担。 4结束语 通过多次试验。采用LINUX实现多WAN出口网关.可以有效解决当前校园网,企业网以及网吧的多出口问题,有效解决资金 不足带来的问题,同时还町利用LINUX包过滤,来实现防火墙功能,对于资金不足的单位面言,采取LINUX不失为一种最佳方案。 参考文献: 【1】邵闯珠,徐燕。周淑萍.基于Linux校园网双出口的实现明.计算机工程与设计,2006,27(11). 『21王劲松,苗玲.Cicso路由器实用技术IM】.北京:中国铁道出版社,2001. 【3【田林.利用Linux策略路由实现Interact多出口链路互联【J】.楚雄师范学院学报+2002.17(6), 【4】周华平,林浩伟.基于Linux防火墙的可视化管理系统的研究与实现叨.微计算机信息,2006,(3):28—30. 本栏目责任编辑:冯蕾 -??????-14 浅谈无线网络安全的设置 作者:张友恭 , ZHANG You-gong 作者单位:中科院福建物质结构研究所,福建,福州,350002 刊名: 电脑知识与技术 英文刊名:COMPUTER KNOWLEDGE AND TECHNOLOGY 年,卷(期):2009,5(18) 参考文献(2条) 1. 苏英如 局域网技术与组网工程 2005 2. 程代伟 网络安全完全手册 2005 本文链接:http://d.g.wanfangdata.com.cn/Periodical_dnzsyjs-itrzyksb200918041.aspx 网络对于电脑爱好者来说,已经不是一个陌生的名词;网络的出现,可以使多台计算机之间快速方便的进 行数据交换;目前网络可以分为有线网络和无线网络,二者根本的区别再于,有线网络是通过网卡、网线 与交换机相联接,无线网络是通过无线网卡与无线交换机相联接;而且各自有各自的特点,有线网线通过 网线与交换机联接,优点是传输速度快,抗干扰能力强,缺点是联接麻烦,而且要事先布线;无线网络是 通过无线与交换机联接,优点是安装方便,不需要事先布线,缺点是传输速度慢,抗干扰能力差;正是由 于无线网络安装方便这种特点,现在好多网友都倾向于无线网络。(特别对于一些无法布线的空间) 最近好多网友询问关于无线网络设置的问题,重复回复,难免麻烦,因此,将无线网络的设置过程做一说明,以便新接触无线网络的网友做一参考。 无线局域网的组建,需要用到无线网卡、无线AP(相当有交换机)、如要上网还需要用于无线路由器;此文章将以家庭无线网络为例,用到无 线网卡和无线路由器。 耗子所有设备为,TP-LINK WR541G 54M无线路由器和DELL 630M笔记本,自带Intel(R) PRO/Wireless 2200BG Network Connection 54M无线网卡。 一、路由器的设置 现在的路由器设置,多是通过WEB进行设置;由于路由器在没有正确设置以前,无线功能可能无法使用,因此我们通过网线与路由器联接;首 先我们在浏览器地址栏中输入WR541G默认的IP地址,192.168.1.1。路由器的默认IP地址可能不相同,因此可在路由器上的标明或说明书中找到。 在这里,需要说明一下:在通过WEB设置路由器时,当台与路由器联接的电脑的IP地址,必须设置成与路由器同一网关中;如耗子的路由器IP地址是192.168.1.1,因此与之联接的电脑的IP可设置成192.168.1.2---192.168.1.255之间任一地址。 对于电脑IP地址的设置,可如此设置: 在电脑正确安装好网卡驱动的情况下,选择控制面板--网络联接--本地联接,如下图 选择Internet协议(TCP/IP),点击属性--选择使用下面的IP地址;IP地址输入:192.168.1.2---192.168.1.255之间任一地址,耗子在此 输入192.168.1.2,子网掩码输入255.255.255.0,默认网关输入192.168.1.1即路由器的IP地址。如下图 在浏览器地址栏中输入路由器的IP,192.168.1.1确定后即可进入路由器的WEB设置界面。一般路由器在进入WEB设置界面时,需要管理员密 码,如第一次输入,按说明介绍,输入原始密码即可。 输入正确用户名和口令后,即进入路由器设置界面。 TP-LINK路由器设置安装简单,而且性价比也不错,特别适合家庭网络;耗子用过几款TP-LINK的路由器,感觉不错。再说国人也要支持国货呀。 如果只想简单的设置路由器,只要选择设置向导,然后根据你的上网方式,配置好网络,即可实现路由功能。对于上网方式,请您根据自身情 况进行选择。在这里,耗子以最常用的家庭ADSL虚拟拨号(PPPoE)拔号方式为例。 选择ADSL虚拟拨号(PPPoE),点击下一步,输入你的帐户名和密码,如不知道,请与你当地的IP服务商联系。点击下一步,进入无线设置界面,TP-LINK默认为无线打开,由于我们此文章主要介绍无线设置,因此,如果此设置界面的无线功能没有打开,选择打开后,点击下一步,即可 完成路由器设置。由于新设置了路由器,因此路由器会重新联接,如果正确启动,选择设置界面上的运行状态,应正确显示路由器当时状态,如果 WAN口状态,显示错误,为你设置错误,请重新设置。 路由器正确联接后,当前状态如图 如果想让下面的客户机方便的配置网络,可以在路由器中打开DHCP服务,这样,所有与路由器联接的局域网中的电脑的TCP/IP协议设置为“自动获得IP地址”,路由器即可自动为每台机器配置网络。这样无需每台机器分别指定IP地址,当然,就是打开了DHCP服务,你也可手动为每台电脑指定IP地址。 二、无线网卡设置 首先正确安装无线网卡的驱动,然后选择控制面板--网络联接--选择无线网络联接,右键选择属性。在无线网卡联接属性中选择配置,选择属 性中的AD Hoc信道,在值中选择6,其值应与路由器无线设置频段的值一致,点击确定。 一般情况下,无线网卡的频段不需要设置的,系统会自动搜索的。耗子的无线网卡即可自动搜索到频段,因此如果你设置好无线路由后,无线 网卡无法搜索到无线网络,一般多是频段设置的原因,请按上面设置正确的频段即可。 设置完面后,选择选择控制面板--网络联接--鼠标双击无线网络联接,选择无线网络联接状态,正确情况下,无线网络应正常联接的,如图所 示。 如果无线网络联接状态中,没有显示联接,点击查看无线网络,然后选择刷新网络列表,在系统检测到可用的无线网络后,点击联接,即可完 成无线网络联接。 其实无线网络设置与有线网站设置基本差不多的。只是比有线网络多了个频段设置,如果只是简单的设置无线网络,以上设置过程即可完成。 上述文章只是介绍了一台电脑与无线路由器联接,如是多台机器,与单机设置是一样的。因为我们在路由器中设置了DHCP服务,因此无法指定IP,即可完成多台机器的网络配置。如果要手动指定每台机器的IP,只要在网卡TCP/IP设置中,指定IP地址即可,但一定要注意,IP地址的设置要与路由器在同一网段中,网关和DNS全部设置成路由器的IP即可。如下图。 注意:1、如果在选择刷新网络列表中,无法检测到无线网络,请检查无线路由器中的无线网络是否打开,电脑上的无线网卡是否打开,频段是 否设置正确。 2、如要手动指定机器IP,只要将网关和DNS全部设置成路由器的IP即可。 3、无线网络有一定的传输距离,只有在有效距离内,才可能正常联接。 上一文章中,我们介绍了如何设置无线局域网,无线局域网(路由器)详细安装设置过程,但其只是如何设置 使用无线网络,由于无线网络,没有网线的束缚,任何在无线网络范围之中的无线设备,都可搜索到无线网络, 并共享联接无线网络;这就对我们自己的网络和数据造成了安全问题,如何解决这种不安全因素呢;这就需 要对我们的无线网络进行安全设置,详细过程及步骤如下: 无络网络安全设置,只要从路由器中设置即可,现在路由器多是使用WEB设置,因此从浏览器地址栏中 输入路由器的IP地址,进入路由器设置;对于如何进入路由器设置,请参考上一文章介绍. 对路由器无线安全设置,可通过取消SSID广播(无线网络服务用于身份验证的ID号,只有SSID号相同 的无线主机才可以访问本无线网络)或采用无线数据加密的方法.下面耗子将一一详细介绍. 一、设置取消SSID广播 SSID,(Service Set Identifier)也可以写为ESSID,用来区分不同的网络,最多可以有32个字符, 无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过XP自带的扫描功能可 以相看当前区域内的SSID。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。简单说,SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。 禁用SSID广播 通俗地说,SSID便是你给自己的无线网络所取的名字。需要注意的是,同一生产商推出的无线路由器 或AP都使用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络, 就极易建立起一条非法的连接,从而给我们的无线网络带来威胁。因此,笔者建议你最好能够将SSID命名为一些较有个性的名字。 无线路由器一般都会提供“允许SSID广播”功能。如果你不想让自己的无线网络被别人通过SSID名称搜索到,那么最好“禁止SSID广播”。你的无线网络仍然可以使用,只是不会出现在其他人所搜索到的 可用网络列表中。 注意:通过禁止SSID广播设置后,无线网络的效率会受到一定的影响,但以此换取安全性的提高,耗 子认为还是值得的。而且由于没有进行SSID广播,该无线网络被无线网卡忽略了,尤其是在使用Windows XP管理无线网络时,达到了“掩人耳目”的目的。 首先我们进入路由器设置,选择无线参数,取消允许SSID广播,一般路由器设置的SSID,厂家都会默认使用厂家的标识或机型,因此,如果不想别人猜出无线网络的SSID,我们可手动修改SSID,可指定任意个性化的,但也可不指定,采用默认的SSID。 但是我们禁用SSID广播,虽然达到了防范别人检测无线网络,但也会使我们自己无法检测和管理网络, 因此我们需要在自己机器无线网络配置中手动指定SSID;选择控制面板--网络联接--鼠标单击无线网络联接,右键点属性,进入无线网络联接属性;选择无线网络配置,点击添加,输入与路由器一样的SSID确定即可。 由于我们在路由器中只设置了取消SSID广播,其它数据加密并没有设置,因此在无线网络属性中设置 SSID时,其它并不需要设置,设置好SSID,确定即可。设置完成后,在无线网络联接状态中,选择查看无 线网络--刷新网络列表,选择搜索到的无线网络,联接即可。 二、无线数据加密 WEP数据加密 WEP(Wired Equivalent Privacy:有线对等保密)协议来设置专门的安全机制,进行业务流的加密和节 点的认证。它主要用于无线局域网中链路层信息数据的保密。WEP采用对称加密机理,数据的加密和解密采用相同的密钥和加密算法。WEP 使用加密密钥(也称为 WEP 密钥)加密 802.11 网络上交换的每个数据包的数据部分。启用加密后,两个 802.11 设备要进行通信,必须具有相同的加密密钥,并且均配置为使用 加密。如果配置一个设备使用加密而另一个设备没有,则即使两个设备具有相同的加密密钥也无法通信。 进入路由器设置界面,选择无线参数,开启安全设置;安全类型选择WEP,安全选项选择自动选择 开 放系统 共享密钥,这个可根据需要自行选择(自动选择 - 根据主机请求自动选择使用开放系统或共享密 钥方式。开放系统 - 使用开放系统方式。共享密钥 - 使用共享密钥方式。)耗子在此选择共享密钥;密 钥格式选择,16进制 ASCII码,耗子在此设置ASCII码;然后在密钥内容中按需要输入密码等设置,然后 确定即可,确定后路由器会提示重启,只有重启后设置才可起作用。 设置好路由器后,在需要设置的电脑上,选择控制面板--网络联接--鼠标单击无线网络联接,右键点属性,进入无线网络联接属性;选择无线网络配置,进入界面后,如果此时在首选网络中已经检测到可用 无线网络,只要单击检测到的无线网络名,点击下面的属性即可进入设置;如果我们设置了取消SSID广播,没有检测到可用无线网络,我们选择添加。进入设置界面,按路由器中设置在此设置好后,确定退出即可 完成设置。 设置完成后,在无线网络联接状态中,选择查看无线网络--刷新网络列表,选择搜索到的无线网络, 点击联接,此时系统会提示密码确认,由于我们已经设置好密码,直接点击联接即可。 由于WEP的局限性及加密的可循环性,因此,破解的可能性也增大了,所以,目前已经不适合于用于 安全等级高的无线网络中。 如果你再意自己无线数据的安全性,最好使用WPA-PSK/WPA2-PSK - 基于共享密钥的WPA模式;WPA是一种基于标准的可互操作的WLAN安全性增强解决方案,可大大增强现有以及未来无线局域网系统的数据保 护和访问控制水平。WPA源于正在制定中的IEEE802.11i标准并将与之保持前向兼容。部署适当的话,WPA可保证WLAN用户的数据受到保护,并且只有授权的网络用户才可以访问WLAN网络。 进入路由器设置界面,选择无线参数,开启安全设置;在安全类型中选择WPA-PSK/WPA2-PSK,安全选项中选择WPA-PSK,加密方法选择AES,然后按要求输入正确的密码,设置完成后点击确定。 确定后路由器会提示重启,只有重启后设置才可起作用。 设置好路由器后,在需要设置的电脑上,选择控制面板--网络联接--鼠标单击无线网络联接,右键点 属性,进入无线网络联接属性;选择无线网络配置,进入界面后,如果此时在首选网络中已经检测到可用 无线网络,只要单击检测到的无线网络名,点击下面的属性即可进入设置;如果我们设置了取消SSID广播,没有检测到可用无线网络,我们选择添加。进入设置界面,按路由器中设置在此设置好后,确定退出即可 完成设置。 设置完成后,在无线网络联接状态中,选择查看无线网络--刷新网络列表,选择搜索到的无线网络, 点击联接,此时系统会提示密码确认,由于我们已经设置好密码,直接点击联接即可。 无线网络的安全设置,其实很简单的。而且路由器在WEB设置中,都有提示的,只要按正确的提示操 作即可。另需要注意,如果使用无线网络设置路由器,如果无线安全设置出错或你在电脑无线网卡网络设 置中不正确,此时将无法再使用无线网络联接路由器,只有接有线网络来重新设置了。范文四:浅谈无线网络安全的设置
范文五:无线局域网安全设置(实战篇)
