計(jì)算機(jī)網(wǎng)絡(luò)安全管理技術(shù)項(xiàng)目三任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置

子任務(wù)2無線路由器的安全配置局域網(wǎng)的安全管理【任務(wù)目標(biāo)】

1．學(xué)會(huì)設(shè)置無線路由器，組建無線局域網(wǎng)的方法2．能合理配置無線路由器的安全技術(shù)，保障無線局域網(wǎng)的安全項(xiàng)目三任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置

子任務(wù)2無線路由器的安全配置局域網(wǎng)的安全管理【任務(wù)環(huán)境】1、主流PC機(jī)一臺(tái)2、PacketTracer軟件

任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置【網(wǎng)絡(luò)拓?fù)鋱D】【網(wǎng)絡(luò)IP地址分配表】

設(shè)備名接口IP地址/子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)R1Fa0/01.1.1.1/24——Fa0/1192.168.1.1/24——WR1WAN口192.168.1.2/24192.168.1.1LAN口192.168.10.1/24——PC1無線接口自動(dòng)獲取自動(dòng)獲取PC2無線接口自動(dòng)獲取自動(dòng)獲取S1Fa01.1.1.2/241.1.1.1任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置

【知識(shí)支撐】

1、無線局域網(wǎng)的概念無線局域網(wǎng)是指應(yīng)用無線通信技術(shù)將計(jì)算機(jī)設(shè)備互聯(lián)起來，構(gòu)成可以互相通信和實(shí)現(xiàn)資源共享的網(wǎng)絡(luò)體系。無線局域網(wǎng)本質(zhì)是不再使用通信電纜將計(jì)算機(jī)與網(wǎng)絡(luò)連接起來，而是通過無線的方式連接，從而使網(wǎng)絡(luò)的構(gòu)建和終端的移動(dòng)更加靈活。它是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng)，它利用射頻的技術(shù)，使用電磁波，在空中進(jìn)行通信連接。

任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置

2、無線局域網(wǎng)的特點(diǎn)1）優(yōu)點(diǎn)（1）靈活性和移動(dòng)性。

（2）安裝便捷

（3）易于進(jìn)行網(wǎng)絡(luò)規(guī)劃和調(diào)整

（4）故障定位容易

（5）易于擴(kuò)展任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置2）不足無線局域網(wǎng)的不足之處體現(xiàn)在以下幾個(gè)方面：（1）性能。

無線局域網(wǎng)是依靠無線電波進(jìn)行傳輸?shù)?。這些電波通過無線發(fā)射裝置進(jìn)行發(fā)射，而建筑物、車輛、樹木和其它障礙物都可能阻礙電磁波的傳輸，所以會(huì)影響網(wǎng)絡(luò)的性能。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置（2）速率。

無線信道的傳輸速率與有線信道相比要低得多。無線局域網(wǎng)的最大傳輸速率為1Gbit/s，只適合于個(gè)人終端和小規(guī)模網(wǎng)絡(luò)應(yīng)用。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置（3）安全性。本質(zhì)上無線電波不要求建立物理的連接通道，無線信號(hào)是發(fā)散的。從理論上講，很容易監(jiān)聽到無線電波廣播范圍內(nèi)的任何信號(hào)，造成通信信息泄漏。因此必須大力加強(qiáng)無線局域網(wǎng)的安全防護(hù)。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置

【任務(wù)實(shí)施】1、繪制網(wǎng)絡(luò)拓?fù)鋱D2、根據(jù)網(wǎng)絡(luò)IP地址分配表配置路由器R1和服務(wù)器S1的IP地址等參數(shù)任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置3、無線路由器的登錄單擊工作區(qū)內(nèi)的無線路由器WR1，在彈出的對(duì)話框中選擇GUI選項(xiàng)便可登錄到無線路由器上，如下圖所示。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置4、無線路由器接口的配置首先在無線路由器登錄主界面的InternetSetup選項(xiàng)的InternetConnectionType中選擇StaticIP，根據(jù)網(wǎng)絡(luò)IP地址分配表輸入WAN接口的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)等參數(shù)，然后在NetworkSetup選項(xiàng)的RouterIP中輸入LAN接口的IP地址，配置結(jié)束后保存。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置5、配置無線路由器的DHCP服務(wù)如下圖所示配置無線路由器的DHCP服務(wù)，首先開啟DHCP服務(wù)，然后設(shè)置初始IP地址和IP地址的數(shù)量，配置結(jié)束后保存。

任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置6、配置SSID在無線路由器的配置主界面上選擇Wireless選項(xiàng)，然后選擇BasicWirelessSettings選項(xiàng)，在其中將SSID更改為wireless，其余設(shè)置默認(rèn)，配置結(jié)束后保存，如下圖所示。

任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置7、將PC1和PC2連接到無線網(wǎng)絡(luò)中，并驗(yàn)證各PC間以及到S1的連通性。單擊PC，選擇Desktop選項(xiàng)，然后選擇PCWireless選項(xiàng)，在彈出的畫面上選擇Connect選項(xiàng)，在左側(cè)找到剛才設(shè)置的SSID，最后單擊Connect按鈕，如下圖所示，就可以連接到無線網(wǎng)絡(luò)中。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置8、在PacketTracer環(huán)境下保存文件，至此無線路由器的基本配置就完成了。

下一個(gè)任務(wù)-無線路由器的安全配置將在此網(wǎng)絡(luò)拓?fù)涞幕A(chǔ)上進(jìn)行。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置項(xiàng)目三任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)1無線路由器的基本配置

子任務(wù)2無線路由器的安全配置局域網(wǎng)的安全管理【任務(wù)環(huán)境】1、主流PC機(jī)一臺(tái)2、PacketTracer軟件【網(wǎng)絡(luò)拓?fù)鋱D】同上一個(gè)任務(wù)

任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置

【知識(shí)支撐】

一、無線局域網(wǎng)的安全技術(shù)1、服務(wù)集標(biāo)識(shí)符（SSID）通過對(duì)多個(gè)無線接入點(diǎn)AP設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對(duì)資源訪問的權(quán)限進(jìn)行區(qū)別限制。因此可以認(rèn)為SSID是一個(gè)簡單的口令，從而提供一定的安全，但如果配置AP向外廣播其SSID，那么安全程度還將下降。由于一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道該SSID，很容易共享給非法用戶。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置

2、MAC地址過濾由于每個(gè)無線工作站的網(wǎng)卡都有唯一的物理地址，因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必須隨時(shí)更新，目前都是手工操作，如果用戶增加，則擴(kuò)展能力很差，而且MAC地址在理論上可以偽造，因此這也是較低級(jí)別的授權(quán)認(rèn)證，只適合于小型網(wǎng)絡(luò)規(guī)模。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置

3、連線對(duì)等保密（WEP）采用RC4對(duì)稱加密技術(shù)，用戶的加密密鑰必須與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位和128位長度的密鑰機(jī)制，但是它仍然存在許多缺陷，例如一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一個(gè)密鑰，一個(gè)用戶丟失密鑰將使整個(gè)網(wǎng)絡(luò)不安全，而且40位的密鑰現(xiàn)在很容易被破解，密鑰是靜態(tài)的，要手工維護(hù)，擴(kuò)展能力差。目前為了提高安全性，建議采用128位加密鑰匙。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置

4、Wi-Fi保護(hù)接入（WPA）WPA的原理為根據(jù)通用密鑰，配合表示電腦MAC地址和分組信息順序號(hào)的編號(hào)，分別為每個(gè)分組信息生成不同的密鑰，然后與WEP一樣將此密鑰用于RC4加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。作為802.11i標(biāo)準(zhǔn)的子集，WPA包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)組成部分，是一個(gè)完整的安全性方案。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置

5、國家標(biāo)準(zhǔn)（WAPI）WAPI即無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)，它是針對(duì)IEEE802.11中WEP協(xié)議安全問題，在中國無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11中提出的WLAN安全解決方案。同時(shí)本方案已由ISO/IEC授權(quán)的機(jī)構(gòu)IEEERegistrationAuthority審查并獲得認(rèn)可。它的主要特點(diǎn)是采用基于公鑰密碼體系的證書機(jī)制，真正實(shí)現(xiàn)了移動(dòng)終端與無線接入點(diǎn)間雙向鑒別。用戶只要安裝一張證書就可在覆蓋WLAN的不同地區(qū)漫游，方便用戶使用。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置

6、端口訪問控制技術(shù)（802.1x）該技術(shù)也是用于無線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過，則AP為STA打開這個(gè)邏輯端口，否則不允許用戶上網(wǎng)。

802.1x除提供端口訪問控制能力之外，還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi)，特別適合于公共無線接入解決方案。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置二、無線局域網(wǎng)安全防范措施1、采用端口訪問技術(shù)（802.1x）進(jìn)行控制，防止非授權(quán)的非法接入和訪問。2、采用128位WEP加密技術(shù)，并不使用自帶的WEP密鑰。3、對(duì)于密度等級(jí)高的網(wǎng)絡(luò)采用VPN進(jìn)行連接。4、對(duì)AP和網(wǎng)卡設(shè)置復(fù)雜的SSID，并根據(jù)需求確定是否需要漫游來確定是否需要MAC綁定。5、禁止AP向外廣播其SSID。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置6、修改缺省的AP密碼。7、布置AP的時(shí)候要在公司辦公區(qū)域以外進(jìn)行檢查，防止AP的覆蓋范圍超出辦公區(qū)域，同時(shí)要讓保安人員在公司附近進(jìn)行巡查，防止外部人員在公司附近接入網(wǎng)絡(luò)。8、禁止員工私自安裝AP，通過便攜機(jī)配置無線網(wǎng)卡和無線掃描軟件可以進(jìn)行掃描。9、如果網(wǎng)卡支持修改屬性需要密碼功能，要開啟該功能，防止網(wǎng)卡屬性被修改。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置10、配置設(shè)備檢查非法進(jìn)入公司的電磁波發(fā)生器，防止被干擾和DoS攻擊。11、制定無線網(wǎng)絡(luò)管理規(guī)定，規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴公司外部人員，禁止設(shè)置P2P的Adhoc網(wǎng)絡(luò)結(jié)構(gòu)。12、跟蹤無線網(wǎng)絡(luò)技術(shù)，特別是安全技術(shù)，對(duì)網(wǎng)絡(luò)管理人員進(jìn)行知識(shí)培訓(xùn)。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置

【任務(wù)實(shí)施】1、打開上次任務(wù)-無線路由器的基本配置的文件2、無線路由器密鑰的配置

1）進(jìn)入無線路由器的配置主界面，選擇Wireless選項(xiàng)，然后選擇WirelessSecurity選項(xiàng)，將SecurityMode設(shè)置為WPA2Personal，加密算法為AES，密鑰設(shè)置為P@ssw0rd，配置結(jié)束后保存，如下圖所示。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置2）配置完成后，PC1和PC2必須輸入無線網(wǎng)絡(luò)的密鑰才可以連接到無線網(wǎng)絡(luò)中，也可以成功連通S1，如下圖所示。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置3、無線路由器MAC地址過濾的配置

1）查看PC1的MAC地址單擊PC1，選擇Desktop選項(xiàng)，在其中選擇CommandPrompt選項(xiàng)，使用ipconfig/all命令可以查看其MAC地址，如下所示。C:\>ipconfig/allWireless0Connection:(defaultport)Connection-specificDNSSuffix..:

PhysicalAddress................:0001.635E.684A……//以上地址就是MAC地址，由于其唯一性的特點(diǎn)，所有每個(gè)設(shè)備的MAC地址都不相同任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置2）配置MAC地址過濾

進(jìn)入無線路由器的配置主界面，選擇Wireless選項(xiàng)，然后選擇WirelessMACFilter選項(xiàng)，首先開啟MAC地址過濾服務(wù)，然后選擇PermitPCslistedbelowtoaccesswirelessnetwork選項(xiàng)，最后將PC1的MAC地址寫入下面的文本框內(nèi)，配置結(jié)束后保存，如圖所示。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置配置完成后，此時(shí)可以發(fā)現(xiàn)只有PC1可以連接到無線網(wǎng)絡(luò)中，也可以成功連通S1，而PC2則不可以。任務(wù)3.4無線局域網(wǎng)的安全配置

子任務(wù)2

無線路由器的安全配置4、禁用SSID廣播

1）進(jìn)入無線路由器的配置主界面，選擇Wireless選項(xiàng)，然后選擇BasicWirelessSettings選項(xiàng)，將SSID廣播功能關(guān)閉，配置結(jié)束后保存，如下圖所示。任務(wù)3.4無線局域網(wǎng)的安全配置

子