當前位置:吉日网官网 - 傳統文化 - 高分求解tp-link的問題

高分求解tp-link的問題

無線網安全與防範實用手冊

(《天極網》特約作者 高飛)

如今,基於IEEE 802.11a/b/g的無線局域網(WLAN)和CDMA/GPRS/WAP的無線電話網絡已被廣泛應用。不過,在無線網絡發展的同時,它的安全問題也慢慢顯現出來。本文將分析無線網絡中存在的安全問題,並提出相應的防範措施,最大程度保證無線網絡的使用安全。

壹、無線網絡的安全機制

雖然無線網絡存在眾多的安全隱患、安全漏洞,但其本身還是采取了眾多安全機制,例如,WLAN使用的WEP加密、WPA加密、IEEE 802.1x驗證等,以及未來將要應用和可能應用的IEEE 802.11i標準、WPAI等。下面,我們將著重介紹基於無線局域網的安全機制。

1.傳統安全機制——SSID、MAC

傳統意義上,無線局域網使用的安全機制主要包括SSID和MAC兩種:

(1)SSID機制

SSID(Service Set Identifier)即服務設置標識,也稱ESSID,表示的是無線AP(Access Point)或無線路由器的標識字符,無線客戶端只有輸入正確的SSID值(壹般最多有32個字符組成,例如,wireless)才能訪問該無線AP或無線路由器。通過SSID技術可以區分不同的無線局域網。它相當於壹個簡單的口令,保證無線局域網的安全。

(2)MAC機制

MAC(Media Access Control)即媒體訪問控制,壹般稱為物理地址過濾。因為每壹個無線網卡都有唯壹的物理地址,通過MAC技術可以在無線局域網中為無線AP或無線路由器設置壹個許可接入的用戶的MAC地址列表,如果接入的無線網卡的MAC地址不在該列表中,無線AP或無線路由器將拒絕其接入,以實現物理地址過濾,並保證無線局域網的安全。在無線局域網中,MAC地址過濾屬於硬件認證,而不是用戶認證。

2.老當益壯——IEEE 802.11中的安全技術

隨著無線局域網IEEE 802.11b/g標準的風行,IEEE 802.11系列標準采用的安全技術也慢慢被大家所熟知,其中主要包括用戶認證、加密等幾種技術。

(1)用戶認證技術

在無線網絡環境中,要保證網絡的安全,必須對用戶的身份進行驗證。在IEEE 802.11系列標準中,對用戶進行認證的技術包括3種:

開放系統認證(Open System Authentication)。該認證是IEEE 802.11默認認證,允許任何用戶接入到無線網絡中去,實際上根本沒有提供對數據的保護。

封閉系統認證(Closed System Authentication)。該認證與開放系統認證相反,通過網絡設置可以保證無線網絡的安全,例如,關閉SSID廣播等。

***享密鑰認證(Shared Key Authentication)。該認證是基於WEP的***享密鑰認證,它事先假定壹個站點通過壹個獨立於802.11網絡的安全信道,已經接收到目標站點的壹個WEP加密的認證幀,然後該站點將該幀通過WEP加密向目標站點發送。目標站點在接收到之後,利用相同的WEP密鑰進行解密,然後進行認證。

(2)加密技術

在IEEE 802.11b/g標準中,主要使用的加密技術就是WEP。WEP(Wired Equivalent Protocol,有線等效協議)屬於IEEE 802.11b標準的壹個部分,它是壹種對稱加密,加密和解密的密鑰以及算法相同,采用RC4加密算法,24位初始化向量。通過WEP加密可以保證在無線網絡環境中傳輸的數據的安全性,以防止第三者竊取數據內容。

提示:RC4是1987年提出的加密算法,作為壹種分組密碼體系,被廣泛使用於計算機保密通信領域。

從網絡上更新此圖片

WEP加密示意

理論上,WEP協議標準只建議進行40位加密。不過,目前市場上的無線局域網產品壹般都支持64/128位WEP加密,部分產品支持256位WEP加密。

3.新壹代安全標準——IEEE 802.11i

為了彌補無線局域網自身存在的缺陷,在2004年6月24日,IEEE標準委員會正式批準了新壹代的Wi-Fi安全標準——IEEE 802.11i。IEEE 802.11i標準規定使用了IEEE 802.1x認證和密鑰管理方式,在數據加密方面,定義了TKIP、CCMP和WRAP三種加密機制。

(1)IEEE 802.1x標準

IEEE 802.1x是基於端口的網絡訪問控制的標準,它可以提供對IEEE 802.11無線網絡和對有線局域網驗證的網絡訪問權限。例如,當無線客戶端(要求安裝IEEE 802.1x客戶端軟件)與無線AP連接後,無線AP會使用標準的安全協議(例如,Radius等)對無線客戶端進行認證,通過認證後將打開邏輯端口,允許使用AP的服務,例如,***享上網。如果驗證沒有通過,將不允許享受AP服務。

目前,Windows 2000/XP等操作系統都已經提供了IEEE 802.1x的客戶端功能。

(2)TKIP技術

TKIP(Temporal Key Integrity Protocol,臨時密鑰完整性協議)是壹種過渡的加密技術,與WEP壹樣,采用RC4加密算法。不同的是,TKIP將WEP密鑰的長度從40位加長到128位,初始化向量(Initialization Vector,IV)的長度從24位加長到48位,這樣就提高了密碼破解難度。

(3)CCMP技術

CCMP(Counter-Mode/CBC-MAC Protocol,計數模式/密碼塊鏈接消息鑒別編碼協議)是基於AES(Advanced Encryption Standard,高級加密標準)加密算法和CCM(Counter-Mode/CBC-MAC,計數模式/密碼塊鏈接消息鑒別編碼)認證方式的壹種加密技術,具有分組序號的初始向量,采用128位加密算法,使得WLAN的安全程度大大提高。

(4)WRAP技術

WRAP(Wireless Robust Authenticated Protocol,無線鑒別協議)是基於AES加密算法和OCB(Offset Codebook,偏移電報密碼本)認證方式的壹種可選的加密機制,和CCMP壹樣采用128位加密算法。

(5)WPA、WPA2協議

WPA(Wi-Fi Protected Access,Wi-Fi保護訪問)是壹種基於標準的可互操作的無線局域網安全性協議,可以保證無線局域網數據的安全,只有授權用戶才可以訪問該網絡。其核心使用IEEE 802.1x和TKIP來實現對無線局域網的訪問控制、密鑰管理與數據加密。

從網絡上更新此圖片

WPA加密示意

WPA與WEP壹樣采用基於RC4加密算法,不過它引入了擴展的48位初始化向量和順序規則、每包密鑰構建機制、Michael消息完整性代碼、密鑰重新獲取和分發機制等新算法。

為了進壹步提高無線局域網的安全性,Wi-Fi聯盟還進行了WPA2的認證,WPA2認證的目的在於支持IEEE 802.11i標準,以此代替WEP、IEEE 802.11標準的其他安全功能、WPA產品尚不包括的安全功能。該認證引入了AES加密算法,首次將128位高級加密標準應用於無線局域網,同時也支持RC4加密算法。目前,包括有3Com、思科等公司的產品提供了對WPA2的支持。

4.國產WLAN安全標準——WAPI

除了國際上的IEEE 802.11i和WPA安全標準外,我國在2003年5月也發布了無線局域網國家標準GB15629.11,該標準中提出了全新的WAPI安全機制。WAPI即WLAN Authentic

ation and Privacy Infrastructure,WLAN鑒別與保密基礎架構。

WAPI由WAI和WPI兩個部分組成:WAI(WLAN Authenti

-cation Infrastructure,WLAN鑒別基礎架構)可以實現對用戶身份的鑒別,采用公開密鑰體制,利用證書來對無線局域網中的用戶進行驗證;WPI(WLAN Privacy Infrastructure,WLAN保密基礎架構)可以采用對稱密碼算法實現對MAC層MSDU進行加、解密操作,以保證傳輸數據的安全。

但是,WAPI標準不能與Wi-Fi聯盟制訂的主流WEP及WPA兼容,該標準自發布以來就被爭議所包圍。目前,WAPI標準還處在與美國的IEEE 802.11i標準的調解階段,未來兩種針對無線局域網的安全標準可能會“合並”,但是談判之路較曲折。

二、信號幹擾與設備擺放

眾所周知,無線局域網信號的傳輸介質是空氣,所以無線信號很容易受到大氣噪音、環境和其他發射設備的信號幹擾,尤其是附近的無線網絡設備、無線電波設備的幹擾,例如,家用微波爐、無繩電話等。那麽,在使用無線局域網時具體會受到那些信號幹擾呢?我們該如何避免呢?

1.信號幹擾

無線局域網所受到的信號幹擾主要表現在兩個方面:

(1)附近設備幹擾

目前,我們使用的無線局域網采用的是ISM(工業、科學、醫學)無線頻段,其中常用的IEEE 802.11b/g標準使用的是2.4GHz工作頻率(IEEE 802.11a標準使用5.8GHz工作頻率),與微波爐、藍牙設備、無繩電話等設備使用相同工作頻率。

因此,在使用無線局域網時容易受到這些無線設備的射頻幹擾,例如,在靠近無線網絡設備的地方使用微波爐,使用的是S段(頻率為2.4~2.5GHz),那麽無線局域網的信號將受到嚴重幹擾,而出現信號延遲、信號時斷時續或者幹脆中斷等情況。

除了微波爐外,無繩電話、藍牙手機、復印機、防盜裝置、等離子燈泡等也會產生幹擾。

(2)同類設備幹擾

同類設備的幹擾主要來自於附近,例如,同樓層、相鄰建築物的無線AP或無線路由器的幹擾。

隨著,無線局域網的發展,目前很多家庭、公司等都安裝了無線基站,如果在無線信號覆蓋範圍內的無線AP或無線路由器使用相同的信道,例如,壹個是IEEE 802.11b無線網絡(使用6信道)、另壹個是IEEE 802.11g無線網絡(同樣使用6信道),那麽可能會產生網絡速度下降、信號不穩定等情況。

2.設備擺放

為了避免無線電波、網絡設備對無線局域網的信號幹擾,以及為了獲得更好的無線網絡信號。在擺放無線AP或無線路由器、調整無線網卡天線方向以及無線天線時需遵循如下原則:

(1)居中原則

在無線局域網中,無線AP或無線路由器處在各無線客戶端居中的位置是獲得最佳信號覆蓋效果的位置。即以無線AP或無線路由器為中心,進行無線信號的發射。例如,在家居中,建議將無線AP或無線路由器放置在幾個房間的交匯口處,最好是高處,並將無線網卡的天線調整到最佳位置。這樣,還可以避免無線信號的“死角”。

(2)避讓原則

前文中我們介紹了,微波爐、無繩電話、藍牙手機等設備會對無線局域網的信號產生幹擾,那麽在擺放無線AP或無線路由器時壹定要註意避開這些設備。例如,5米範圍內避免有微波爐、無繩電話等。

另外,室內的墻壁、門(尤其是金屬門)、金屬障礙物等,對無線信號的影響非常大。因為無線局域網采用的是無線微波頻段,微波是近乎直線的傳播,繞射能力非常弱(也就是我們常說的“穿墻”能力),因此在障礙物後面的無線接收設備只能接收到微弱的信號。

因此,在放置無線設備時,要盡量避免無線接收設備之間的障礙物。另外,在放置無線AP或無線路由器時,最好放置在天花板、墻壁等高處,這樣便於信號向下輻射,減少障礙物的阻攔。

(3)可視原則

在擺放無線網絡設備時,無線AP(或無線路由器)與無線客戶端之間最好可見,而且盡量少地穿越墻壁、障礙物以及其他無線設備,這樣可以保證獲得最強的信號。

3.信道沖突對策

前文中我們介紹了,如果相鄰的或同樓層的無線局域網使用了相同或相近的信道,那麽在無線AP覆蓋範圍內可能會出現信道沖突。

我們知道,IEEE 802.11b/g標準規定工作頻率在2.4~2.4835GHz,傳輸速率分別為11Mbps、54Mbps,這些頻率又被分成11或13個信道。IEEE 802.11b/g標準只支持3個不重疊的傳輸信道,只有信道1、6、11或13是不沖突的。不過,使用信道3的設備會幹擾信道1和信道6的設備,使用信道9的設備會幹擾信道6和信道13的設備。

提示:IEEE 802.11a標準工作頻率為5GHz,有12個不重疊的傳輸信道,傳輸速率範圍為6~54Mbps,不過,IEEE 802.11a標準與IEEE 802.11b/g標準不兼容。

要解決信道沖突的問題,可以手工來修改信道值,以避免信道沖突。以TP-LINK TL-WR245 1.0無線路由器為例(下面的所有操作均以該產品為例),具體的設置步驟如下:

首先,使用網頁瀏覽器輸入無線路由器管理頁面的地址,例如,192.168.1.1,輸入用戶名(默認為空)和密碼(默認為admin)。在打開的管理頁面右側的頁面中可以看到“頻道”設置選項,可以將其修改成1、6、11或13。最後單擊“應用”按鈕即可。

三、非法接入與防範措施

由於無線局域網自身的特點,它的無線信號很容易被發現。入侵者只需要給電腦安裝無線網卡以及無線天線就可以搜索到附近的無線局域網,獲取SSID、信道、是否加密等信息,例如,常用的Windows XP就可以自動搜索附近的無線網絡。很多家用無線局域網壹般不會進行相應的安全設置,很容易接入他人的無線網絡。如果被非法入侵者利用,將會對搜索到的網絡發起攻擊。

為了避免來自附近的非法入侵,我們可采取如下防範措施:

1.更改管理密碼

不管是無線AP、無線路由器還是其他可管理的網絡設備,在出廠時都預設了管理密碼和用戶名,例如,用戶名為“admin”或空等,管理密碼為“admin”、“administrator”等,這些密碼都可以在產品說明書中找到。為了防止非法入侵者使用預設的用戶名和密碼登錄,建議更改無線AP或無線路由器的管理密碼。

首先,打開管理頁面,輸入預設的用戶名和密碼。在打開的管理頁面左側單擊“管理設置”區域中的“設備管理”選項。然後在右側的窗口中,在“管理員密碼”框中輸入新密碼和確認密碼(建議使用至少8位的密碼並夾雜特殊字符)。最後單擊“應用”按鈕即可。

技巧:如果忘記了無線AP或無線路由器的管理密碼,可以使用鉛筆等工具頂住設備面板上的“Reset”按鈕大約5秒鐘,這樣將恢復設備的默認用戶名、密碼設置。

2.更改SSID值

通常情況下 ,無線AP和無線路由器在出廠時為了使用方便,預設狀態為開放系統認證,也就是說任何使用者只要安裝了無線網卡就可以搜索到附近的無線網絡並建立連接。而且,各廠家給無線AP和無線路由器都預設了SSID值。例如,Cisco的產品為“tsunami”、TP-Link的為“Wireless”、D-Link的為“Default”、Linksys的為“linksys”等。

為了防止他人連接妳的無線網絡,建議修改預設的SSID值。打開無線路由器的管理頁面,在左側單擊“基本設置”選項,然後在右側頁面的“SSID”區域中更改名稱。例如“officewlan”。最後單擊“應用”按鈕即可。

3.關閉SSID廣播

除了更改SSID值以外,建議將無線網絡的認證方式改為不廣播SSID的封閉系統認證方式。

打開無線路由器的管理頁面,同樣是在“基本設置”頁面中,在“SSID廣播”中選擇“禁止”選項,單擊“應用”按鈕即可。這樣,無線網絡覆蓋範圍內的用戶都不能看到該網絡的SSID值,從而提高無線網絡的安全性。

4.更改無線AP的IP地址

通常,在無線AP和無線路由器的產品說明書中會標明LAN口的IP地址,這也是管理頁面的地址,例如,TP-LINK TL-WR245 1.0無線路由器默認的IP地址為192.168.1.1,子網掩碼為255.255.255.0。為了防止其他用戶使用該IP地址登錄管理頁面,可以事先打開管理頁面,在“基本設置”頁面的LAN口IP地址區域修改IP地址。

5.啟用IEEE 802.1x驗證

IEEE 802.1x認證作為彌補WEP部分缺陷的過渡性安全機制,得到了Windows XP的支持。所以,如果使用的是Windows XP系統,同時無線AP(無線路由器)和無線網卡支持IEEE 802.1x,可以打開無線網卡的屬性窗口,單擊“身份驗證”選項卡,選中“啟用使用IEEE 802.1x的網絡訪問控制”選項,單擊“確定”按鈕即可。

四、MAC地址欺騙和會話攔截

通常情況下,IEEE 802.11系列的無線局域網對數據幀是不進行認證操作的。雖然它提供了MAC(介質訪問控制),但是因為它不能防止欺騙所以常常被忽略。這樣給無線局域網的安全帶來不利的影響,下面我們將介紹入侵者進行MAC地址欺騙和會話攔截的手段,並給出相應的防範措施。

1.欺騙、攔截手段

因為無線局域網不對數據幀進行認證操作,這樣,入侵者可以通過欺騙幀去重新定向數據流,攪亂ARP緩存表(表裏的IP地址與MAC地址是壹壹對應的)。入侵者可以輕易獲得網絡中站點的MAC地址,例如,通過Network Stumbler軟件就可以獲取信號接收範圍內無線網絡中的無線網卡的MAC地址,而且可以通過MAC地址修改工具來將本機的MAC地址改為無線局域網合法的MAC地址,或者通過修改註冊表來修改MAC地址。

除了MAC地址欺騙手段外,入侵者還可以攔截會話幀來發現無線AP中存在的認證漏洞,通過監測AP發出的廣播幀發現AP的存在。可是,由於IEEE 802.11無線網絡並沒有要求AP必須證明自己是壹個AP,所以入侵者可能會冒充壹個AP進入網絡,然後進壹步獲取認證身份信息。

2.防範措施

在IEEE 802.11i標準沒有廣泛應用之前,我們只有借助於壹些常規的手段來防範這些攻擊。例如,設置MAC地址訪問控制、並定期進行更新,關閉DHCP服務器等。

(1)MAC地址過濾

每壹塊無線網卡在出廠之前都設定了MAC地址,該地址跟IP地址壹樣是唯壹的,壹般是無法更改的。在無線局域網中,無線AP或無線路由器內部可以建立壹張MAC地址控制表,只有在控制表中列出的MAC地址才是合法可以連接的無線網卡,否則會拒絕連接到該無線網絡。具體設置方法如下:

從網絡上更新此圖片

MAC地址過濾示意

打開管理頁面,在左側單擊“無線設置”,在右側的“終端MAC過濾”區域選中“允許”選項,單擊“應用”按鈕啟用MAC地址過濾功能。然後回到該頁面單擊“終端MAC過濾”區域下方的“有效MAC地址表”按鈕,打開的窗口會顯示有效的MAC地址,選中這些地址,單擊“更新過濾列表”按鈕,在打開的窗口中可以添加其他的MAC地址,添加到該過濾列表中的MAC地址對應的計算機將不能連接到該無線網絡。

從網絡上更新此圖片

MAC地址過濾設置

此外,除了MAC地址過濾功能外,有的無線AP或無線路由器提供了MAC地址訪問控制功能,通過該功能可以控制訪問Internet的計算機。在下面的內容中我們將介紹這方面的內容。

提示:MAC地址過濾功能壹般適用於規模不大的無線網絡,對於規模比較大的企業來說,所組建的無線網絡包括多個無線AP,無線客戶端並可以進行漫遊,就需要通過Radius(遠程驗證撥入用戶服務)服務器來提供更加復雜的過濾功能。

(2)關閉DHCP服務器

在無線局域網中,通過DHCP服務器可以自動給網絡內部的計算機分配IP地址,如果是非法入侵者同樣可以分配到合法的IP地址,而且可以獲得網關地址、服務器名稱等信息,這樣給網絡安全帶來了不利的影響。

所以,對於規模不大的網絡,可以考慮使用靜態的IP地址配置,關閉無線AP或無線路由器的DHCP服務器。關閉的方法比較簡單:以無線路由器為例,打開的管理頁面,在左側的頁面中單擊“DHCP設置”,在右側頁面的“DHCP服務器”中,將“起始IP地址”設為“禁止”,單擊“應用”按鈕即可。

五、流量監聽與數據加密

1.流量監聽

因為IEEE 802.11無線網絡自身的特點,容易被暴露在大庭廣眾之下,任何無線網絡分析儀都可以不受任何阻礙地截獲未經加密的無線網絡流量,例如,AiroPeek NX、Airodump等。AiroPeek NX可以利用WildPackets的WLAN分析技術來進行如延時和流量分析、主機圖和會話圖以及幾十種常見的故障診斷等,可以對無線網絡進行精確的全面的分析。

除了無線網絡分析軟件外,還有的無線網絡掃描工具也可以進行流量的監聽,例如,Network Stumbler,該軟件不僅可以搜索到無線網卡附近的所有無線網絡,還可以顯示包括MAC地址、速度、頻道、是否加密、信號、連接類型等信息,通過這些信息,入侵者可以很容易地進行非法接入並試圖進行攻擊。

2.WEP加密

為了防止入侵者通過對監聽的無線網絡流量分析來進行攻擊,網絡的加密還是必須的。目前,無線網絡常見的加密方式就是WEP。

(1)無線AP端

要啟用WEP加密,首先需要在無線AP或無線路由器端開啟該功能,並設置密鑰。

以無線路由器為例,打開管理頁面,單擊左側的“基本設置”,然後在右側的“WEP”區域選擇“開啟”選項,並單擊右邊的“WEP密鑰設置”按鈕,在打開的窗口中可以選擇創建64位或128位的密鑰,例如,選擇64bit,輸入密碼短語(由字符和數字組成),單擊“創建”按鈕將自動創建4組密鑰(128位只能創建壹組密碼),記下其中的壹組密鑰。單擊兩次“應用”按鈕使無線路由器的WEP密鑰生效。

(2)無線客戶端

在系統中打開“無線網絡連接屬性”對話框,單擊“無線網絡配置”選項卡,在“首選網絡”中選擇設置加密的無線網絡名稱,單擊“屬性”按鈕。接著在打開的對話框中選中“數據加密(WEP啟用)”選項,取消“自動為我提供此密鑰”選項,在“網絡密鑰”框中輸入在無線路由器中創建的壹組密鑰。連續單擊“確定”按鈕即可。

提示:如果在無線客戶端沒有設置WEP密鑰,那麽在連接加密的無線網絡時,將無法連接,有的系統可能會提示輸入網絡密鑰,例如,Windows XP。

3.WPA/WPA2加密

(1)破解WEP基本原理

雖然通過WEP加密可以保護無線網絡的安全,但就目前來說,WEP加密因為采用的24位的初始化向量,而且采用對稱加密原理,所以WEP本身容易被破解。

早期WEP非常容易被Airsnort、WEPcrack等工具解密。如今,要破解WEP,入侵者壹般采用多個工具組合進行破解,例如,使用Kismet掃描整個區域的WLAN,並收集SSID、頻道、MAC地址等信息;使用Airodump來對目標WLAN進行掃描並捕獲數據包;使用Void11可以從目標AP中驗證某臺計算機,並強制這個客戶端計算機重新連接到目標AP,並申請壹個ARP請求;使用Aireplay可以接受這些ARP請求,並回送到目標AP,以壹個合法的客戶端身份來截獲這個ARP請求;最後,使用Aircrack接受Airodump生成的捕獲文件並從中提取WEP密鑰。

(2)啟用WPA/WPA2加密

在安全性方面,WPA/WPA2要強於WEP,在Windows XP中就提供了對WPA的支持(不支持WPA2),不過這需要獲取WPA客戶端。而在Windows XP SP2中提供了對WPA/WPA2的支持,並不需要獲取WPA客戶端。下面以Windows XP SP2為例,介紹如何啟用WPA/WPA2加密。

首先,打開“無線網絡連接屬性”對話框,單擊“無線網絡配置”選項卡。接著在“首選網絡”選項組中選擇要加密的網絡名稱,單擊“屬性”按鈕。然後在打開的對話框中,在“網絡驗證”選項組中選擇WPA(WPA適用於企業網絡,WPA-PSK適用於個人網絡),在“數據加密”選項組中選擇加密方式,例如,AES或TKIP。

提示:WPA2的設置與WPA相同,不過無線網絡使用的必須是支持WPA2的無線AP、無線網卡以及Windows XP SP2系統。

六、網絡攻擊與訪問控制

除了非法入侵、MAC地址欺騙、流量監聽外,無線局域網與傳統的有線局域網壹樣,如果連接到Internet,也會遇到網絡病毒、拒絕服務(DoS)的攻擊。針對這些網絡攻擊,我們可以采取設置防火墻、設置訪問控制等措施。

1.啟用防火墻

因為Windows XP SP2在安全性方面做了很大的改進,而且提供對WLAN強大的支持,所以下面介紹在Windows XP SP2系統中啟用防火墻:

首先,打開“無線網絡連接屬性”對話框,單擊“高級”選項卡,在“Windows防火墻”選項組中單擊“設置”按鈕打開“Windows防火墻”對話框,在“常規”選項卡中選擇“啟用”選項。

為了保證無線網絡的安全,可以在“例外”選項卡中添加允許訪問網絡的例外程序和服務,例如,QQ、MSN Messenger等。單擊“添加程序”按鈕還可以添加其他需要訪問網絡的程序。單擊“添加端口”按鈕可以添加要訪問網絡的端口號,例如,FTP服務的21端口。在“高級”選項卡中,為了保證無線網絡連接的安全,建議選中“無線網絡連接”選項。

最後,單擊“確定”按鈕即可啟用無線網絡的防火墻。

2.網絡訪問控制

通常情況下,無線AP或無線路由器都提供了網絡訪問控制功能,常見的包括有IP訪問控制、URL訪問控制和MAC訪問控制。

(1)IP訪問控制

通過IP訪問控制可以對網絡內部計算機服務端口發送的協議數據包進行過濾,來控制局域網內部計算機對網絡服務的使用權限。例如,要禁止無線局域網內部192.168.1.101~192.168.1.110的所有計算機使用QQ、FTP,可以進行如下設置:

以無線路由器為例,打開管理頁面,在左側單擊“訪問控制”,在右側的頁面中單擊“IP訪問設置”,在協議中選擇“UDP”,輸入192.168.1.101~192.168.1.110,在端口範圍中分別輸入4000、8000(設置QQ訪問控制);然後在協議中選擇TCP,輸入192.168.1.101~192.168.1.110,在端口範圍分別輸入21、21(設置FTP訪問控制)。單擊“應用”按鈕即可。

從網絡上更新此圖片

訪問控制設置

(2)URL訪問控制

通過URL訪問控制功能可以限制無線局域網內部計算機允許或禁止訪問的網站。例如,要指定允許訪問的網站,可以打開“訪問控制”頁面,在右側的頁面中單擊“URL訪問設置”。接著,在“URL訪問限制” 選擇“允許”,表示啟用URL訪問控制。然後在站點中添加允許訪問的網站,壹***可以添加20個站點。單擊“應用”按鈕完成設置。

(3)MAC訪問控制

在前文中,我們已經介紹了無線AP的MAC地址過濾功能,除此之外,通過MAC訪問控制功能可以對無線局域網中的某壹臺或多臺計算機進行控制,限制他們訪問Internet。首先,打開“訪問控制”頁面,單擊“MAC訪問設置”。接著,輸入MAC地址,該無線路由器提供50組的MAC地址過濾,在1~10地址中,輸入最多10個MAC地址。單擊“應用”按鈕完成設置。

除了上面介紹的安全防範措施之外,我們還可以選擇VPN(虛擬專用網)、支持IEEE 802.11i標準的無線網絡設備來保證無線網絡的安全。

  • 上一篇:軟軟糯糯的新式月餅,傳統冰皮月餅的由來?
  • 下一篇:當迪士尼公主們有了紋身之後,現代感最強的是誰?
  • copyright 2024吉日网官网