第9章無線局域網(wǎng)安全《網(wǎng)絡(luò)安全技術(shù)與實(shí)訓(xùn)》（微課版）（第6版）主講人：

課程引入家里的無線網(wǎng)安全不安全呢？你知道無線局域網(wǎng)有那些安全隱患嗎？你的無線密碼設(shè)置的是什么？我們生活中有哪些無線終端？等保2.0對移動互聯(lián)這樣解釋：采用無線通信技術(shù)將移動終端接入有線網(wǎng)絡(luò)的過程。在技術(shù)體系里分為了三個部分：安全物理環(huán)境、安全區(qū)域邊界、安全計(jì)算環(huán)境。安全物理環(huán)境方面，主要是無線接入點(diǎn)的物理位置。安全區(qū)域邊界是一大重點(diǎn)，它涉及邊界防護(hù)、訪問控制和入侵防范。安全計(jì)算環(huán)境：在移動終端管控中，“移動終端應(yīng)接受移動終端管理服務(wù)端的設(shè)備生命周期管理、設(shè)備遠(yuǎn)程控制，比如遠(yuǎn)程擦除、遠(yuǎn)程鎖定等”。

學(xué)習(xí)要點(diǎn)（思政要點(diǎn)）了解無線局域網(wǎng)存在的威脅（安全意識）掌握基于無線局域網(wǎng)的攻擊與防范（工匠精神）了解基于無線局域網(wǎng)的安全機(jī)制和配置（精益求精）了解基于無線的虛擬專用網(wǎng)（嚴(yán)謹(jǐn)認(rèn)真）

學(xué)習(xí)要點(diǎn)（思政要點(diǎn)）9.1無線網(wǎng)絡(luò)概述9.2無線安全機(jī)制9.3無線路由器的安全本章內(nèi)容9.4藍(lán)牙安全9.1無線網(wǎng)絡(luò)概述無線局域網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。無線局域網(wǎng)（WirelessLocal-AreaNetwork，WLAN）在不采用傳統(tǒng)電纜線的同時，依然能夠提供傳統(tǒng)有線局域網(wǎng)的所有功能，網(wǎng)絡(luò)所需的基礎(chǔ)設(shè)施不需要再埋在地下或隱藏在墻里，網(wǎng)絡(luò)卻能夠隨著實(shí)際需要移動或變化，因此無線局域網(wǎng)技術(shù)具有傳統(tǒng)局域網(wǎng)無法比擬的靈活性。無線網(wǎng)絡(luò)有別于線纜的密封式傳輸，它的信號完全暴露在空中，只要在信號到達(dá)的范圍就可以接收，因此無線網(wǎng)絡(luò)的安全性成為應(yīng)用上最嚴(yán)峻的挑戰(zhàn)。9.1無線局域網(wǎng)概述

9.1.1常見的拓?fù)渑c設(shè)備9.1.2無線局域網(wǎng)常見的攻擊本節(jié)要點(diǎn)9.1.3WEP協(xié)議的威脅9.1.1常見的拓?fù)渑c設(shè)備IEEE802.11定義了無線網(wǎng)的基本設(shè)備構(gòu)成，它包括移動終端和無線接入點(diǎn)（AccessPoint，AP）。對于無線局域網(wǎng)絡(luò)而言，還包括無線網(wǎng)橋、無線寬帶路由器、天線等。部署一個WLAN可以采用以下幾種基本的拓?fù)浣Y(jié)構(gòu)：對等拓?fù)洹⒒就負(fù)浜蛿U(kuò)展拓?fù)?。對等拓?fù)溆瑟?dú)立式基本服務(wù)組（IndependentBasicServiceSet，IBSS）組成。構(gòu)建對等拓?fù)鋾r用的網(wǎng)絡(luò)設(shè)備是無線網(wǎng)卡，如圖所示。9.1.1常見的拓?fù)渑c設(shè)備對等拓?fù)?1OPTION9.1.1常見的拓?fù)渑c設(shè)備當(dāng)所有的通信移動終端都以無線進(jìn)行連接，而且在該組合中并無AP連接的情況下，稱之為IBSS。這樣的小型網(wǎng)絡(luò)一般用于計(jì)算機(jī)之間的信息交流，簡單地說，就是點(diǎn)對點(diǎn)（PeerToPeer）的傳輸模式，常稱之為Ad-hoc模式。這時所有無線網(wǎng)卡的工作模式要設(shè)定為Ad-hoc模式。在這種模式下，IBSS內(nèi)的無線移動終端并不能作為傳輸中樞，也就是說一臺移動終端要與另一臺通信時，必須在其通信距離內(nèi)直接無線連接，而且不能經(jīng)過其他移動端轉(zhuǎn)接。Ad-hoc模式跟一般筆記本電腦或數(shù)字個人助理（PersonalDigitalAssistant，PDA）所使用的紅外線無線傳輸模式在概念上相當(dāng)類似，可以說是最基本的通信模式?；就?fù)溆苫痉?wù)組（BasicServiceSet，BSS）組成。構(gòu)建基本拓?fù)涞臒o線網(wǎng)絡(luò)設(shè)備是無線網(wǎng)卡和無線接入點(diǎn)。AP相當(dāng)于有線局域網(wǎng)中的集線器，有些AP可以提供網(wǎng)橋的功能，部署安全的策略，如圖所示。9.1.1常見的拓?fù)渑c設(shè)備基本拓?fù)?2OPTION9.1.1常見的拓?fù)渑c設(shè)備用一臺無線接入點(diǎn)當(dāng)作彼此之間通信協(xié)調(diào)上的樞紐，可以把這樣的通信方式想象成家里有臺無線電話子母機(jī)，手機(jī)與手機(jī)之間的對話，都必須靠那臺電話基地臺作為通信的中樞，這樣就比較容易理解了。在這樣的網(wǎng)絡(luò)架構(gòu)下，任何一臺移動終端要與其他移動終端傳遞信息，都必須經(jīng)由無線存取點(diǎn)AP，因此比起IBSS架構(gòu)，在頻寬的利用率上只有其一半而已。然而，由于無線接入點(diǎn)（AP）可以扮演資料緩沖區(qū)（DataBuffer）的角色，也可以作為無線網(wǎng)絡(luò)的空中交通協(xié)調(diào)者，即擔(dān)任基地臺的無線接入點(diǎn)（AP）負(fù)責(zé)了整個無線網(wǎng)絡(luò)信息的交換，因此可以構(gòu)建較大的無線局域網(wǎng)。在這種應(yīng)用架構(gòu)下，每個無線網(wǎng)卡的工作模式都要設(shè)定為Infrastructure。擴(kuò)展拓?fù)溆蓴U(kuò)展服務(wù)組（ExtendedServiceSet，ESS）組成。構(gòu)建擴(kuò)展拓?fù)涫褂玫木W(wǎng)絡(luò)設(shè)備有無線網(wǎng)卡或普通網(wǎng)卡（接入局域網(wǎng)）、無線AP，在這個架構(gòu)中無線AP擔(dān)任網(wǎng)橋的角色，如圖所示。9.1.1常見的拓?fù)渑c設(shè)備擴(kuò)展拓?fù)?3OPTION9.1.1常見的拓?fù)渑c設(shè)備兩個或兩個以上的BSS可以通過無線網(wǎng)相連，構(gòu)成一個ESS?，F(xiàn)在很多的無線AP在支持橋接的同時也能支持AP功能，從而把多個無線網(wǎng)絡(luò)通過無線的方式再連接到一起，組成ESS。通常也把這樣的結(jié)構(gòu)叫作點(diǎn)對點(diǎn)的橋接或點(diǎn)對多點(diǎn)的橋接。9.1無線局域網(wǎng)概述

9.1.1常見的拓?fù)渑c設(shè)備9.1.2無線局域網(wǎng)常見的攻擊本節(jié)要點(diǎn)9.1.3WEP協(xié)議的威脅9.1.2無線局域網(wǎng)常見的攻擊無線網(wǎng)絡(luò)的許多攻擊在本質(zhì)上與有線網(wǎng)絡(luò)類似，攻擊方式主要概括為3種。第一種是對于Wi-Fi節(jié)點(diǎn)的滲透，通過密碼破解等手段進(jìn)入目標(biāo)無線網(wǎng)中；第二種為干擾正常的無線局域網(wǎng)，使其無法正常工作；第三種是Wi-Fi釣魚攻擊。一般來說，入侵者入侵一個無線網(wǎng)絡(luò)時大體采取以下步驟。1.發(fā)現(xiàn)目標(biāo)2.查找漏洞3.破壞網(wǎng)絡(luò)針對無線網(wǎng)絡(luò)制定了成千上萬現(xiàn)有的識別與攻擊的技術(shù)和實(shí)用程序，黑客也相應(yīng)地?fù)碛性S多攻擊無線網(wǎng)絡(luò)的方法，如NetworkStumbler和Kismet。NetworkStumbler是基于Windows的工具，可以非常容易地發(fā)現(xiàn)一定范圍內(nèi)廣播出來的無線信號，還可以判斷哪些信號或噪聲信息可以用來作為站點(diǎn)測量，但是它無法顯示那些沒有廣播SSID的無線網(wǎng)絡(luò)。對于無線安全而言，關(guān)注AP常規(guī)性的廣播信息是非常重要的。Kismet會發(fā)現(xiàn)并顯示沒有被廣播的那些SSID，而這些信息對于發(fā)現(xiàn)無線網(wǎng)絡(luò)是非常關(guān)鍵的。9.1.2無線局域網(wǎng)常見的攻擊發(fā)現(xiàn)目標(biāo)01OPTION攻擊者發(fā)現(xiàn)目標(biāo)無線網(wǎng)絡(luò)后，就開始分析目標(biāo)網(wǎng)絡(luò)中存在的弱點(diǎn)。如果目標(biāo)網(wǎng)絡(luò)關(guān)閉了加密功能（這是最簡單的情況），攻擊者可以非常容易地對任何無線網(wǎng)絡(luò)連接的資源進(jìn)行訪問。如果目標(biāo)網(wǎng)絡(luò)啟動了WEP加密功能，攻擊者就需要識別出一些基本的信息。例如，利用NetworkStumbler或者其他的網(wǎng)絡(luò)發(fā)現(xiàn)工具，識別出SSID、MAC地址、網(wǎng)絡(luò)名稱，以及其他任何可能以明文形式傳送的分組。如果搜索結(jié)果中含有廠商的信息，黑客甚至可以破壞無線通信網(wǎng)絡(luò)上使用的默認(rèn)密鑰。9.1.2無線局域網(wǎng)常見的攻擊查找漏洞02OPTION發(fā)現(xiàn)了目標(biāo)網(wǎng)絡(luò)的弱點(diǎn)以后，黑客就開始想盡辦法去破壞網(wǎng)絡(luò)。一般對無線網(wǎng)絡(luò)的攻擊主要包含竊聽、欺騙、接管和拒絕服務(wù)等，具體可以分為以下4個方面。9.1.2無線局域網(wǎng)常見的攻擊破壞網(wǎng)絡(luò)03OPTION竊聽欺騙和非授權(quán)訪問網(wǎng)絡(luò)接管與篡改拒絕服務(wù)攻擊9.1.2無線局域網(wǎng)常見的攻擊1342“欺騙”是指攻擊者裝扮成一個合法用戶非法地訪問受害者的資源，以獲取某種利益或達(dá)到破壞目的。欺騙和非授權(quán)訪問在無線網(wǎng)絡(luò)中，DoS威脅包括攻擊者阻止合法用戶建立連接，以及攻擊者通過向網(wǎng)絡(luò)或指定網(wǎng)絡(luò)單元發(fā)送大量數(shù)據(jù)來破壞合法用戶的正常通信。拒絕服務(wù)攻擊“網(wǎng)絡(luò)接管”是指接管無線網(wǎng)絡(luò)或者會話過程。常用的接管方法有兩種。一種是將合法用戶的IP地址與攻擊者的MAC地址綁定，另一種是攻擊者部署一個發(fā)射強(qiáng)度足夠高的AP，可以導(dǎo)致終端用戶無法區(qū)別出哪一個是真正使用的AP。網(wǎng)絡(luò)接管與篡改攻擊者通過對傳輸介質(zhì)的監(jiān)聽非法地獲取傳輸?shù)男畔?。竊聽是對無線網(wǎng)絡(luò)最常見的攻擊方法。竊聽9.1無線局域網(wǎng)概述

9.1.1常見的拓?fù)渑c設(shè)備9.1.2無線局域網(wǎng)常見的攻擊本節(jié)要點(diǎn)9.1.3WEP協(xié)議的威脅9.1.3WEP協(xié)議的威脅在IEEE802.11標(biāo)準(zhǔn)中，有線等效保密（WiredEquivalentPrivacy，WEP）協(xié)議是一種保密協(xié)議，主要用于無線局域網(wǎng)（WLAN）中兩臺無線設(shè)備間對無線傳輸數(shù)據(jù)進(jìn)行加密。它是所有經(jīng)過Wi-Fi認(rèn)證的無線局域網(wǎng)產(chǎn)品所支持的一種安全標(biāo)準(zhǔn)。WEP特性使用了RSA數(shù)據(jù)安全性公司開發(fā)的RC4算法。目前，大部分無線網(wǎng)絡(luò)設(shè)備都采用該加密技術(shù)，一般支持64/128位WEP加密，有的可支持高達(dá)256位WEP加密。9.1.3WEP協(xié)議的威脅WEP協(xié)議存在許多弱點(diǎn)，可以讓入侵者較容易地破解。它主要存在以下幾個問題。WEP協(xié)議中沒有具體地規(guī)定何時使用不同的密鑰。一般廠商都會設(shè)置默認(rèn)的密鑰，而用戶一般不修改，所以只要入侵者得到密鑰列表就可以輕松入侵網(wǎng)絡(luò)。對于密鑰如何分發(fā)，如何在泄露后更改密鑰，如何定期地實(shí)現(xiàn)密鑰更新、密鑰備份、密鑰恢復(fù)等問題，WEP協(xié)議都沒有解決，把這個問題留給各大廠商，無疑會造成安全問題。1234由于算法的原因，當(dāng)入侵者捕獲數(shù)據(jù)包后，可以通過工具計(jì)算出密鑰。9.1.3WEP協(xié)議的威脅針對上述問題，建議采取下列方法，來保障WEP協(xié)議更安全。使用多組WEP密碼（KEY）。使用一組固定WEP密碼，將會非常不安全，使用多組WEP密碼會提高安全性，然而WEP密碼是保存在無線設(shè)備的Flash中的，所以只要網(wǎng)絡(luò)上的任何一個設(shè)備被控制，那網(wǎng)絡(luò)就無安全性可言了。使用最高級的加密方式，當(dāng)前的加密技術(shù)提供64位和128位加密方法，應(yīng)盡量使用128位加密，這樣WEP加密會將資料加密后傳送，使得竊聽者無法知道資料的真實(shí)內(nèi)容。定期更換密碼。9.1無線網(wǎng)絡(luò)概述9.2無線安全機(jī)制9.3無線路由器的安全本章內(nèi)容9.4藍(lán)牙安全9.2無線安全機(jī)制事實(shí)上，無線網(wǎng)絡(luò)受大量安全風(fēng)險和安全問題的困擾，如來自網(wǎng)絡(luò)用戶的進(jìn)攻、未認(rèn)證的用戶獲得存取權(quán)、來自公司的竊聽泄密等。因此，如果沒有有效的安全機(jī)制來保障，無線局域網(wǎng)很容易成為整個網(wǎng)絡(luò)的入侵入口。到目前為止，無線網(wǎng)絡(luò)安全機(jī)制主要有訪問控制和信息保密兩部分，可以通過SSID、MAC地址過濾、WEP、WPA等技術(shù)來實(shí)現(xiàn)，而IEEE802.11i和WAPI則在原有的基礎(chǔ)上提供了更加安全的措施。9.2無線安全機(jī)制

9.2.1服務(wù)集標(biāo)識符9.2.2MAC地址過濾9.2.3WEP安全機(jī)制本節(jié)要點(diǎn)9.2.4WPA安全機(jī)制9.2.5WAPI安全機(jī)制9.2.1服務(wù)集標(biāo)識符服務(wù)集標(biāo)識符（ServiceSetID，SSID）被稱為第一代無線安全，它會被輸入AP和客戶端中，只有客戶端的SSID與AP一致時才能接入AP中。當(dāng)網(wǎng)絡(luò)中存在多個無線接入點(diǎn)AP時，可以設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才允許其訪問AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權(quán)限進(jìn)行區(qū)別限制。這在一定程度上限制了非法用戶的接入，但是IEEE標(biāo)準(zhǔn)要求廣播SSID，這樣所有覆蓋在范圍之內(nèi)的無線終端都可以發(fā)現(xiàn)AP的SSID。一般的策略是在產(chǎn)品中關(guān)閉SSID的廣播，防止無關(guān)人員獲取AP的信息。但是很多無線嗅探器工具可以很容易地在WLAN數(shù)據(jù)中捕獲有效的SSID，因此單靠SSID限制用戶接入只能提供較低級別的安全。9.2無線安全機(jī)制

9.2.1服務(wù)集標(biāo)識符9.2.2MAC地址過濾9.2.3WEP安全機(jī)制本節(jié)要點(diǎn)9.2.4WPA安全機(jī)制9.2.5WAPI安全機(jī)制9.2.2MAC地址過濾MAC地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。它針對每個無線工作站的網(wǎng)卡都有唯一的物理地址，在AP中手動維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。MAC地址過濾方案要求AP中的MAC地址列表必須隨時更新，可擴(kuò)展性差，無法實(shí)現(xiàn)機(jī)器在不同AP之間的漫游，而且MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認(rèn)證。9.2無線安全機(jī)制

9.2.1服務(wù)集標(biāo)識符9.2.2MAC地址過濾9.2.3WEP安全機(jī)制本節(jié)要點(diǎn)9.2.4WPA安全機(jī)制9.2.5WAPI安全機(jī)制9.2.3WEP安全機(jī)制WEP在鏈路層采用RC4對稱加密技術(shù)，用戶的密鑰只有與AP的密鑰相同時才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止未授權(quán)用戶的監(jiān)聽和非法用戶的訪問。WEP安全機(jī)制通常會和設(shè)備里的開放系統(tǒng)認(rèn)證或共享密鑰認(rèn)證這兩種用戶認(rèn)證機(jī)制結(jié)合起來使用。開放系統(tǒng)認(rèn)證（OpenSystemAuthentication）在明文狀態(tài)下進(jìn)行認(rèn)證，它其實(shí)是一個空認(rèn)證，即它沒有驗(yàn)證用戶或者設(shè)備。開放認(rèn)證可以配置成使用WEP或者不使用，通常會選擇啟用WEP的開放認(rèn)證方式開放系統(tǒng)認(rèn)證如圖所示。開放系統(tǒng)認(rèn)證01OPTION9.2.3WEP安全機(jī)制共享密鑰認(rèn)證（SharedKeyAuthentication）與開放系統(tǒng)認(rèn)證類似，但是開放系統(tǒng)認(rèn)證的認(rèn)證過程不加密，而共享密鑰認(rèn)證使用WEP對認(rèn)證過程加密，要求客戶端和AP有相同的WEP密鑰。共享密鑰認(rèn)證如圖9.5所示。共享密鑰認(rèn)證02OPTION9.2.3WEP安全機(jī)制9.2無線安全機(jī)制

9.2.1服務(wù)集標(biāo)識符9.2.2MAC地址過濾9.2.3WEP安全機(jī)制本節(jié)要點(diǎn)9.2.4WPA安全機(jī)制9.2.5WAPI安全機(jī)制過渡安全網(wǎng)絡(luò)（TransitionSecurityNetwork，TSN）和強(qiáng)健安全網(wǎng)絡(luò)（RobustSecurityNetwork，RSN）。它使用兩種驗(yàn)證方式。9.2.4WPA安全機(jī)制802.1X及RADIUS進(jìn)行身份驗(yàn)證（簡稱WPA-EAP），該方式設(shè)置比較復(fù)雜，不便于個人用戶的使用。預(yù)共享密鑰（簡稱WPA-PSK），在AP和客戶端輸入主密鑰（masterkey）用來作為開始的認(rèn)證和編碼使用，然后動態(tài)交換自動生成更新密鑰，從而提高安全性。由于它的設(shè)置簡單，因此非常適合于個人用戶的使用。9.2無線安全機(jī)制

9.2.1服務(wù)集標(biāo)識符9.2.2MAC地址過濾9.2.3WEP安全機(jī)制本節(jié)要點(diǎn)9.2.4WPA安全機(jī)制9.2.5WAPI安全機(jī)制WAPI是我國自主制定的無線安全標(biāo)準(zhǔn)，它采用橢圓曲線密碼算法和對稱密碼體制，分別用于WLAN設(shè)備的數(shù)字證書、證書鑒別、密鑰協(xié)商和傳輸數(shù)據(jù)的加密，從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。與其他無線局域網(wǎng)安全體制相比，WAPI的優(yōu)越性主要體現(xiàn)在以下4個方面：9.2.5WAPI安全機(jī)制使用數(shù)字證書進(jìn)行身份驗(yàn)證。真正實(shí)現(xiàn)雙向鑒別，確保了客戶端和AP之間的雙向驗(yàn)證。采取集中式密鑰管理，局域網(wǎng)內(nèi)的證書由統(tǒng)一的AS負(fù)責(zé)管理。完善的鑒別協(xié)議，由于采取了橢圓曲線密碼算法，保障了信息的完整性，安全強(qiáng)度高。9.1無線網(wǎng)絡(luò)概述9.2無線安全機(jī)制9.3無線路由器的安全本章內(nèi)容9.4藍(lán)牙安全9.3無線路由器的安全

9.3.1無線路由器通用參數(shù)配置9.3.2無線路由器安全管理本節(jié)要點(diǎn)9.3.1無線路由器通用參數(shù)配置目前，各大品牌廠商在無線路由器的配置設(shè)計(jì)方面增加了密鑰、禁止SSID廣播等多種手段，以保證無線網(wǎng)絡(luò)的安全。如圖所示為無線路由結(jié)構(gòu)圖。Wi-Fi保護(hù)接入（Wi-FiProtectedAccess，WPA）是改進(jìn)WEP所使用密鑰的安全性的協(xié)議和算法。它改變了密鑰生成方式，更頻繁地變換密鑰來獲得安全，還增加了消息完整性檢查功能來防止數(shù)據(jù)包偽造。WPA的功能是替代WEP協(xié)議。過去的無線LAN之所以不太安全，是因?yàn)樵跇?biāo)準(zhǔn)加密技術(shù)WEP中存在一些缺點(diǎn)。WPA是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法，因此即便收集到分組信息并對其進(jìn)行解析，也幾乎無法計(jì)算出通用密鑰。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能，WEP中此前倍受指責(zé)的缺點(diǎn)得以全部解決。設(shè)置網(wǎng)絡(luò)密鑰01OPTION9.3.1無線路由器通用參數(shù)配置無線路由器一般都會提供“允許SSID廣播”功能。如果不想讓個人的無線網(wǎng)絡(luò)被別人通過SSID名稱搜索到，那么最好“禁止SSID廣播”。禁用后的無線網(wǎng)絡(luò)仍然可以使用，只是不會出現(xiàn)在其他人所搜索到的可用網(wǎng)絡(luò)列表中。通過禁止SSID廣播設(shè)置后，無線網(wǎng)絡(luò)的效率會受到一定的影響，但以此可換取安全性的提高。禁用SSID廣播02OPTION9.3.1無線路由器通用參數(shù)配置DHCP功能可在無線局域網(wǎng)內(nèi)自動為每臺計(jì)算機(jī)分配IP地址，不需要用戶設(shè)置IP地址、子網(wǎng)掩碼，以及其他所需要的TCP/IP參數(shù)。如果啟用了DHCP功能，那么其他人就能很容易地使用你的無線網(wǎng)絡(luò)。因此，禁用DHCP功能對無線網(wǎng)絡(luò)而言很有必要。在無線路由器的“DHCP服務(wù)器”設(shè)置項(xiàng)下將DHCP服務(wù)器設(shè)定為“不啟用”即可。禁用DHCP03OPTION9.3.1無線路由器通用參數(shù)配置在無線路由器的設(shè)置項(xiàng)中，啟用MAC地址過濾功能時，要注意的是，在“過濾規(guī)則”中一定要選擇“僅允許已設(shè)MAC地址列表中已生效的MAC地址訪問無線網(wǎng)絡(luò)”這類選項(xiàng)。另外，如果在無線局域網(wǎng)中禁用了DHCP功能，那么建議為每臺使用無線服務(wù)的計(jì)算機(jī)都設(shè)置一個固定的IP地址，然后將這些IP地址都輸入IP地址允許列表中。啟用了無線路由器的IP地址過濾功能后，只有IP地址在列表中的用戶才能正常訪問網(wǎng)絡(luò)，其他人則無法訪問。啟用MAC地址、IP地址過濾04OPTION9.3.1無線路由器通用參數(shù)配置9.3無線路由器的安全

9.3.1無線路由器通用參數(shù)配置9.3.2無線路由器安全管理本節(jié)要點(diǎn)為了保障路由器管理界面無線密碼及其他配置信息的安全，請將管理員密碼修改為不常見的密碼。如圖所示為無線路由器賬號管理界面。9.3.2無線路由器安全管理安全管理路由器01OPTION使用第三方的管理軟件管理路由器，可能會導(dǎo)致路由器功能異常、數(shù)據(jù)泄密等。請使用瀏覽器登錄路由器Web界面來管理。9.3.2無線路由器安全管理勿使用第三方管理軟件02OPTION如使用傳統(tǒng)界面的路由器，請?jiān)跓o線安全設(shè)置中選擇WPA-PSK/WPA2-PSK，加密算法選擇AES，并設(shè)置不少于8位的密碼。多重?zé)o線設(shè)置防護(hù)網(wǎng)絡(luò)安全03OPTION無線接入控制是無線安全的更高級措施，設(shè)置無線接入控制后，僅允許特定的終端接入無線網(wǎng)絡(luò)。這樣，非法終端即便輸入正確的無線密碼，也無法連接上無線網(wǎng)絡(luò)。9.3.2無線路由器安全管理設(shè)置無線接入控制04OPTION訪客網(wǎng)絡(luò)與主人網(wǎng)絡(luò)是路由器發(fā)出的兩個無線信號，兩個無線網(wǎng)絡(luò)獨(dú)立開，并且訪客網(wǎng)絡(luò)可以根據(jù)需求定時開關(guān)，也可以針對訪客設(shè)置相關(guān)權(quán)限，很好地保障了主人網(wǎng)絡(luò)的安全。9.3.2無線路由器安全管理設(shè)置訪客網(wǎng)絡(luò)05OPTION可以經(jīng)常觀察路由器管理界面的終端狀態(tài)，通過查看已連接設(shè)備列表與實(shí)際所連接的設(shè)備情況是否一致，來判斷是否被蹭網(wǎng)。若有可疑設(shè)備接入了自己的網(wǎng)絡(luò)，可以在“設(shè)備管理”中一鍵禁用不允許接入的設(shè)備。一鍵禁用非法終端06OPTION9.3.2無線路由器安全管理規(guī)范使用習(xí)慣07OPTION不使用Wi-Fi萬能鑰匙等蹭網(wǎng)軟件01該軟件會將用戶的無線網(wǎng)絡(luò)名稱及密碼上傳到蹭網(wǎng)服務(wù)器，從而共享給大眾，使得人人都可以通過蹭網(wǎng)軟件連接無線網(wǎng)絡(luò)。因此為了防止無線密碼泄露，請慎用蹭網(wǎng)軟件。定期更換無線密碼02有時候用戶可能無意間泄露了密碼或者被蹭網(wǎng)。為了避免長時間使用同一個無線密碼引發(fā)諸多不安全因素，建議定期更換無線密碼，從而更好地保障無線網(wǎng)絡(luò)的安全性。定期查殺計(jì)算機(jī)病毒03安全地使用網(wǎng)絡(luò)，最重要的是要有網(wǎng)絡(luò)安全的意識，定期查殺計(jì)算機(jī)病毒、謹(jǐn)慎安裝防火墻攔截的軟件、開啟操作系統(tǒng)防火墻等。9.1無線網(wǎng)絡(luò)概述9.2無線安全機(jī)制9.3無線路由器的安全本章內(nèi)容9.4藍(lán)牙安全無線局域網(wǎng)協(xié)議中除了802.11以外，還有Zigebee、Bluetooth等，他們都是短距離、低功耗的無線通信技術(shù)，主要適合用于自動控制和遠(yuǎn)程控制領(lǐng)域，可以嵌入各種設(shè)備，用于構(gòu)成家庭智慧網(wǎng)和個人可穿戴網(wǎng)絡(luò)的。例如我們的手機(jī)、智能手表、家庭智能門鎖等等。隨著藍(lán)牙技術(shù)的不斷普及發(fā)展，藍(lán)牙已然成為了許多設(shè)備不可或缺的功能。如今的手機(jī)和平板電腦幾乎都已具備了藍(lán)牙的功能。但在為我們帶來極大方便的同時，藍(lán)牙也成正成為一個泄露我們隱私數(shù)據(jù)的切入口，一旦黑客破解了我們的藍(lán)牙連接，那么我們存儲在手機(jī)上的大量隱私數(shù)據(jù)將會被黑客毫無保留的竊取走。9.4藍(lán)牙安全藍(lán)牙是一種常用的短距離數(shù)據(jù)通信的無線技術(shù)標(biāo)準(zhǔn)（IEEE802.15.1）。藍(lán)牙在2.4GHz~2.484GHz的ISM頻段進(jìn)行廣播，最遠(yuǎn)通信舉例可以達(dá)到100米，但通常用于10米以內(nèi)的通信，ISM為IndustrialScientificMedical的縮寫，該頻段是不需要授權(quán)的。該技術(shù)最初為愛立信公司在1994年創(chuàng)制，現(xiàn)在是由藍(lán)牙技術(shù)聯(lián)盟（BluetoothSpecialInterestGroup，簡稱SIG）9.4

藍(lán)牙