目錄
Flash動畫
書籍

局域網

Flash動畫 · 秦誌

{

\"code\": 200,

\"title\": \"\",

\"content\": \"局域網(LocalAreaNetwork,LAN)是指在某一區域內由多台計算機互聯成的計算機組。一般是方圓幾千米以內。局域網可以實現檔案管理、應用軟件共享、列印機共享、工作組內的日程安排、電子郵件和傳真通訊服務等功能。局域網是封閉型的,可以由辦公室內的兩台計算機組成,也可以由一個公司內的上千台計算機組成。\\n\\n局域網(LocalAreaNetwork)是在一個區域性的地理範圍內(如一個學校、工廠和機關內),將各種計算機,外部設備和數據庫等互相聯接起來組成的計算機通訊網。它可以通過數據通訊網或專用數據電路,與遠方的局域網、數據庫或處理中心相連接,構成一個較大範圍的資訊處理係統。LAN,是指在某一區域內由多台計算機互聯成的計算機組。“某一區域”指的是同一辦公室、同一建築物、同一公司和同一學校等,一般是方圓幾千米以內。局域網可以實現檔案管理、應用軟件共享、列印機共享、掃描儀共享、工作組內的日程安排、電子郵件和傳真通訊服務等功能。局域網嚴格意義上是封閉型的,可以由辦公室內的多至上千台計算機組成。\\n\\n定義\\n\\n為了完整地給出LAN的定義,必須使用兩種方式:一種是功能性定義,另一種是技術性定義。前一種將LAN定義為一組台式計算機和其它設備,在實體地址上彼此相隔不遠,以允許用戶相互通訊和共享諸如列印機和存儲設備之類的計算資源的方式互連在一起的係統。這種定義適用於辦公環境下的LAN、工廠和研究機構中使用的LAN。\\n\\n就LAN的技術性定義而言,它定義為由特定類型的傳輸媒體(如電纜、光纜和無線媒體)和網絡適配器(亦稱為網卡)互連在一起的計算機,並受網絡操作係統監控的網絡係統。\\n\\n功能性和技術性定義之間的差彆是很明顯的,功能性定義強調的是外界行為和服務;技術性定義強調的則是構成LAN所需的物質基礎和構成的方法。\\n\\n局域網(LAN)的名字本身就隱含了這種網絡地理範圍的局域性。由於較小的地理範圍的侷限性。由於較小的地理範圍,LAN通常要比廣域網(WAN)具有高的多的傳輸速率,例如,目前LAN的傳輸速率為10Mb\\/s,FDDI的傳輸速率為100Mb\\/s,而WAN的主乾線速率國內目前僅為64kbps或2.048Mbps,最終用戶的上線速率通常為14.4kbps。\\n\\nLAN的拓撲結構目前常用的是總線型和環行。這是由於有限地理範圍決定的。這兩種結構很少在廣域網環境下使用。\\n\\nLAN還有諸如高可靠性、易擴縮和易於管理及安全等多種特性。\\n\\n拓撲結構\\n\\n局域網通常是分佈在一個有限地理範圍內的網絡係統,一般所涉及的地理範圍隻有幾公裡。局域網專用性非常強,具有比較穩定和規範的拓撲結構。常見的局域網拓樸結構如下:\\n\\n星形結構\\n\\n局域網\\n\\n局域網這種結構的網絡是各工作站以星形方式連接起來的,網中的每一個節點\\n\\n設備都以中防節為中心,通過連接線與中心節點相連,如果一個工作站需要傳輸數據,它首先必須通過中心節點。由於在這種結構的網絡係統中,中心節點是控製中心,任意兩個節點間的通訊最多隻需兩步,所以,能夠傳輸速度快,並且網絡構形簡單、建網容易、便於控製和管理。但這種網絡係統,網絡可靠性低,網絡共享能力差,並且一旦中心節點出現故障則導致全網癱瘓。\\n\\n樹形結構\\n\\n樹形結構網絡是天然的分級結構,又被稱為分級的集中式網絡。其特點是網絡成本低,結構比較簡單。在網絡中,任意兩個節點之間不產生迴路,每個鏈路都支援雙向傳輸,並且,網絡中節點擴充方便、靈活,尋查鏈路路徑比較簡單。但在這種結構網絡係統中,除葉節點及其相連的鏈路外,任何一個工作站或鏈路產生故障會影響\\n\\n樹形拓補圖\\n\\n整個網絡係統的正常運行。\\n\\n樹形拓補圖\\n\\n總線形結構\\n\\n總線型\\n\\n總線型總線形結構網絡是將各個節點設備和一根總線相連。網絡中所有的節點\\n\\n工作站都是通過總線進行資訊傳輸的。作為總線的通訊連線可以是同軸電纜、雙絞線,也可以是扁平電纜。在總線結構中,作為數據通訊必經的問好線的負載能量是有限度的,這是由通訊媒體本身的物理效能決定的。所以,總線結構網絡中工作站節點的個數是有限製的,如果工作站節點的個數超出總線負載能量,就需要延長總線的長度,並加入相當數量的附加轉接部件,使總線負載達到容量要求。總線形結構網絡簡單、靈活,可擴充效能好。所以,進行節點設備的插入與拆卸非常方便。另外,總線結構網絡可靠性高、網絡節點間響應速度快、共享資源能力強、設備投入量少、成本低、安裝使用方便,當某個工作站節點出現故障時,對整個網絡係統影響小。因此,總線結構網絡是最普遍使用的一種網絡。但是由於所有的工作站通訊均通過一條共用的總線,所以,實時性較差。\\n\\n環形結構\\n\\n環形結構是網絡中各節點通過一條首尾相連的通訊鏈路連接起來的一個閉合一閉合環形結構網。環形結構網絡的結構也比較簡單,係統中各工作站地位相等。係統中通訊設備和線路比較節省。在網中資訊設有固定方向單向流動,兩個工作站節點之間僅有一條通路,係統中無通道選擇問題;某個結點的故障將導致物理癱瘓。環網中,由於環路是封閉的,所以不便於擱充,係統響應延時長,且資訊傳輸效率相對較低。\\n\\n與廣域網區彆\\n\\n廣域網(WAN),就是我們通常所說的Internet,它是一個遍及全世界的網絡。局域網(LAN),相對於廣域網(WAN)而言,主要是指在小範圍內的計算機互聯網絡。這個“小範圍”可以是一個家庭,一所學校,一家公司,或者是一個政府部門。BT中常常提到的公網、外網,即廣域網(WAN);BT中常常提到私網、內網,即局域網(LAN)。\\n\\n廣域網上的每一台電腦(或其他網絡設備)都有一個或多個廣域網IP地址(或者說公網、外網IP地址),廣域網IP地址一般要到ISP處交費之後才能申請到,廣域網IP地址不能重複;局域網(LAN)上的每一台電腦(或其他網絡設備)都有一個或多個局域網IP地址(或者說私網、內網IP地址),局域網IP地址是局域網內部分配的,不同局域網的IP地址可以重複,不會相互影響。\\n\\n廣域網(WAN、公網、外網)與局域網(LAN、私網、內網)電腦交換數據要通過路由器或網關的NAT(網絡地址轉換)進行。一般說來,局域網(LAN、私網、內網)內電腦發起的對外連接請求,路由器或網關都不會加以阻攔,但來自廣域網對局域網內電腦連接的請求,路由器或網關在絕大多數情況下都會進行攔截。無線局域\\n\\n局域網\\n\\n網WLAN(WirelessLocalAreaNetwork)\\n\\n局域網計算機局域網是把分佈在數公裡\\n\\n範圍內的不同物理位置的計算機設備連在一起,在網絡軟件的支援下可以相互通訊和資源共享的網絡係統。通常計算機組網的傳輸媒介主要依賴銅纜或光纜,構成有線局域網。但有線網絡在某些場合要受到佈線的限製:佈線、改線工程量大;線路容易損壞;網中的各節點不可移動。特彆是當要把相離較遠的節點聯結起來時,敷設專用通訊線路佈線施工難度之大,費用、耗時之多,實是令人生畏。這些問題都對正在迅速擴大的聯網需求形成了嚴重的瓶頸阻塞,限製了用戶聯網。\\n\\nWLAN就是解決有線網絡以上問題而出現的。WLAN利用電磁波在空氣中發送和接受數據,而無需線纜介質。WLAN的數據傳輸速率現在已經能夠達到最高450Mbps,傳輸距離可遠至20km以上。無線聯網方式是對有線聯網方式的一種補充和擴展,使網上的計算機具有可移動性,能快速、方便的解決以有線方式不易實現的網絡聯通問題。\\n\\nWLAN的優點\\n\\n安裝便捷\\n\\n一般在網絡建設當中,施工週期最長、對周邊環境影響最大的就是網絡佈線的施工了。在施工過程時,往往需要破牆掘地、穿線架管。而WLAN最大的優勢就是免去或減少了這部分繁雜的網絡佈線的工作量,一般隻要在安放一個或多個接入點(AccessPoint)設備就可建立覆蓋整個建築或地區的局域網絡。\\n\\n使用靈活\\n\\n在有線網絡中,網絡設備的安放位置受網絡資訊點位置的限製。而一旦WLAN建成後,在無線網的信號覆蓋區\\n\\n局域網\\n\\n局域網域內任何一個位置都可以接入網絡,進行通訊。\\n\\n經濟節約\\n\\n由於有線網絡中缺少靈活性,這就要求網絡的規劃者儘可能地考慮未來的發展的需要,這就往往導致需要預設大量利用率較低的資訊點。而一旦網絡的發展超出了設計規劃時的預期,又要花費較多費用進行網絡改造。而WLAN可以避免或減少以上情況的發生。\\n\\n易於擴展\\n\\nWLAN又多種配置方式,能夠根據實際需要靈活選擇。這樣,WLAN能夠勝任隻有幾個用戶的小型局域網到上千用戶的大型網絡,並且能夠提供像“漫遊(Roaming)”等有線網絡無法提供的特性。\\n\\n由於WLAN具有多方麵的優點,其發展十分迅速。在最近幾年裡,WLAN已經在醫院、商店、工廠和學校等不適合網絡佈線的場合得到了廣泛的應用。\\n\\n據權威調研機構CahnersIn-StatGroup預計,全球無線局域網市場將在2000年至2004年保持快速增長趨勢,每年平均增長率高達25%。無線局域網市場的網卡、接入點設備及其他相關設備的總銷售額也將在2000年輕鬆突破10億美元大關,在2004年達到21.97億美元。\\n\\n局域網協議設置\\n\\n簡介\\n\\n局域網中的一些協議,在安裝操作係統時會自動安裝。如在安裝Windows2000或Windows95\\/98時,係統會自動安裝NetBEUI通訊協議。在安裝NetWare時,係統會自動安裝IPX\\/SPX通訊協議。其中三種協議中,NetBEUI和IPX\\/SPX在安裝後不需要進行設置就可以直接使用,但TCP\\/IP要經過必要的設置。所以下文主要以Windows2000環境下的TCP\\/IP協議為主,介紹其安裝、設置和測試方法,其他操作係統中協議的有關操作與Windows2000基本相同,甚至更為簡單。\\n\\nTCP\\/IP通訊協議的安裝\\n\\n在Windows2000中,如果未安裝有TCP\\/IP通訊協議,可選擇“開始\\/設置\\/控製麵板\\/網絡和撥號連接”,右鍵單擊“本地連接”選擇“屬性”將出現“本地連接屬性”對話框,單擊對話框中的“安裝”按鈕,選取其中的TCP\\/IP協議,然後單擊“新增”按鈕。係統會詢問你是否要進行“DHCP服務器”的設置?如果你局域網內的IP地址是固定的(一般是這樣),可選擇“否”。隨後,係統開始從安裝盤中複製所需的檔案。\\n\\nTCP\\/IP協議安裝\\n\\nTCP\\/IP通訊協議的設置\\n\\n在“網絡”對話框中選\\n\\n局域網\\n\\n局域網擇已安裝的TCP\\/IP協議,打開其“屬性”,將出現“Internet協議(TCP\\/IP)屬\\n\\n性”的對話框。在指定的位置輸入已分配好的“IP地址”和“子網掩碼”,不知道可以去詢問網絡管理員。建議在安裝係統前記下此號碼,畢竟求人不如求己嘛。如果該用戶還要訪問其它Widnows2000網絡的資源,還可以在“默認網關”處輸入網關的地址。\\n\\nTCP\\/IP通訊協議的測試\\n\\n當TCP\\/IP協議安裝並設置結束後,為了保證其能夠正常工作,在使用前一定要進行測試。我建議大家使用係統自帶的工具程式:PING命令,該工具可以檢查任何一個用戶是否與同一網段的其他用戶連通,是否與其他網段的用戶連接正常,同時還能檢查出自己的IP地址是否與其他用戶的IP地址發生衝突。\\n\\n假如服務器的IP地址為190.201.2.1,如要測試你的機器是否與服務器接通時,隻需切換到DOS提示符下,並鍵入命令“PING190.201.2.1”即可。如果出現類似於“Replyfrom190.201.2.1……”的迴應,說明TCP\\/IP協議工作正常;如果顯示類似於“Requesttimedout”的資訊,說明雙方的TCP\\/IP協議的設置可能有錯,或網絡的其它連接(如網卡、HUB或連線等)有問題,還需進一步檢查。\\n\\n局域網安全\\n\\n簡介\\n\\n目前的局域網基本上都采用以廣播為技術基礎的以太網,任何兩個節點之間的通訊數據包,不僅為這兩個節點的網卡所接收,也同時為處在同一以太網上的任何一個節點的網卡所擷取。因此,黑客隻要接入以太網上的任一節點進行偵聽,就可以捕獲發生在這個以太網上的所有數據包,對其進行解包分析,從而竊取關鍵資訊,這就是以太網所固有的安全隱患。事實上,Internet上許多免費的黑客工具,如SATAN、ISS、NETCAT等等,都把以太網偵聽作為其最基本的手段。\\n\\n當前,局域網安全的解決辦法有以下幾種:\\n\\n網絡分段\\n\\n網絡分段通常被認\\n\\n局域網\\n\\n局域網為是控製網絡廣播風暴的一種基本手段,但其實也是保證網絡安全的一\\n\\n項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離,從而防止可能的非法偵聽,網絡分段可分為物理分段和邏輯分段兩種方式。目前,海關的局域網大多采用以交換機為中心、路由器為邊界的網絡格局,應重點挖掘中心交換機的訪問控製功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法,來實現對局域網的安全控製。例如:在海關係統中普遍使用的DECMultiSwitch900的入侵檢測功能,其實就是一種基於MAC地址的訪問控製,也就是上述的基於數據鏈路層的物理分段。\\n\\n以交換式集線器代替共享式集線器\\n\\n對局域網的中心交換機進行網絡分段後,以太網偵聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行數據通訊時,兩台機器之間的數據包(稱為單播包UnicastPacket)還是會被同一台集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一台主機上,由於TELNET程式本身缺乏加密功能,用戶所鍵入的每一個字元(包括用戶名、密碼等重要資訊),都將被明文發送,這就給黑客提供了機會。\\n\\n因此,應該以交換式集線器代替共享式集線器,使單播包僅在兩個節點之間傳送,從而防止非法偵聽。當然,交換式集線器隻能控製單播包而無法控製廣播包(BroadcastPacket)和多播包(MulticastPacket)。所幸的是,廣播包和多播包內的關鍵資訊,要遠遠少於單播包。\\n\\nVLAN的劃分\\n\\n為了克服以太網的廣播問題,除了上述方法外,還可以運用VLAN(虛擬局域網)技術,將以太網通訊變為點到點通訊,防止大部分基於網絡偵聽的入侵。\\n\\n目前的VLAN技術主要有三種:基於交換機的VLAN、基於節點MAC地址的VLAN和基於應用協議的VLAN。基於的VLAN雖然稍欠靈活,但卻比較成熟,在實際應用中效果顯著,廣受歡迎。基於MAC地址的VLAN為移動計算提供了可能性,但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基於協議的VLAN,理論上非常理想,但實際應用卻尚不成熟。\\n\\n在集中式網絡環境下,我們通常將中心的所有主機係統集中到一個VLAN裡,在這個VLAN裡不允許有任何用戶節點,從而較好地保護敏感的主機資源。在分散式網路環境下,我們可以按機構或部門的設置來劃分VLAN。各部門內部的所有服務器和用戶節點都在各自的VLAN內,互不侵擾。\\n\\nVLAN內部的連接采用交換實現,而VLAN與VLAN之間的連接則采用路由實現。目前,大多數的交換機(包括海關內部普遍采用的DECMultiSwitch900)都支援RIP和OSPF這兩種國際標準的路由協議。如果有特殊需要,必須使用其他路由協議(如CISCO公司的EIGRP或支援DECnet的IS-IS),也可以用外接的多以太網口路由器來代替交換機,實現VLAN之間的路由功能。當然,這種情況下,路由轉發的效率會有所下降。\\n\\n無論是交換式集線器還是VLAN交換機,都是以交換技術為核心,它們在控製廣播、防止黑客上相當有效,但同時也給一些基於廣播原理的入侵監控技術和協議分析技術帶來了麻煩。因此,如果局域網內存在這樣的入侵監控設備或協議分析設備,就必須選用特殊的帶有SPAN(SwitchPortAnalyzer)功能的交換機。這種交換機允許係統管理員將全部或某些交換的數據包對映到指定的上,提供給接在這一上的入侵監控設備或協議分析設備。筆者在廈門海關外部網設計中,就選用了Cisco公司的具備SPAN功能的Catalyst係列交換機,既得到了交換技術的好處,又使原有的Sniffer協議分析儀“英雄有用武之地”。\\n\\n局域網常見故障及排除方法\\n\\n1.網絡不通\\n\\n這是最常見的問題,解決問題的基本原則是先軟後硬。\\n\\n(1)先從軟件方麵去考慮,檢查是否正確安裝了TCP\\/IP協議,是否為局域網中的每台計\\n\\n算機都指定了正確的IP地址。\\n\\n(2)使用Ping命令,看其他的計算機是否能夠Ping通。如果不通,則證明網絡連接有問\\n\\n題;如果能夠Ping通但是有時候丟失數據包,則證明網絡傳輸有阻塞,或者說是網絡設備接\\n\\n觸不大好,需要檢查網絡設備。\\n\\n(3)當整個網絡都不通時,可能是交換機或集線器的問題,要看交換機或集線器是否在\\n\\n正常工作。\\n\\n(4)如果隻有一台電腦網絡不通,即打開這台電腦的“網絡鄰居”時隻能看到本地計算\\n\\n機,而看不到其他計算機,可能是網卡和交換機的連接有問題,則要首先看一下RJ-45水晶\\n\\n頭是不是接觸不良。然後再用測線儀,測試一下線路是否斷裂。最後要檢查一下交換機上的\\n\\n是否正常工作。\\n\\n2.連接故障\\n\\n(1)檢查RJ45介麵是否製作好,RJ45是10BASE-T網絡標準中的介麵形式,現在被廣\\n\\n泛使用,其內部有8個線槽,線槽含義遵循EIA\\/TIA568國際標準,在10BASE-T網絡中1、\\n\\n2線為發送線,3、6線為接收線。在雙機進行連接的時候,其中的1、3、2、6線需要對調。\\n\\n否則也會造成網絡的不通。\\n\\n(2)檢查HUB或者交換機的接頭是否有問題,如果某個介麵有問題,可以換一個介麵來\\n\\n測試。\\n\\n3.網卡故障\\n\\n(1)網卡的問題不太明顯,所以在測試的時候最好是先測試網線,再測試網卡,如果有\\n\\n條件的話,可以使用測線儀或者萬用表進行測試。\\n\\n(2)檢視網卡是否正確安裝驅動程式,如果冇有安裝驅動程式,或者驅動程式有問題,\\n\\n則需要重新安裝驅動程式。\\n\\n(3)硬體衝突。需要檢視與什麼硬體衝突,然後修改對應的中斷號和I\\/O地址來避免衝\\n\\n突,有些網卡還需要在CMOS中進行設置。\\n\\n4.病毒故障\\n\\n互聯網上有許多能夠攻擊局域網的病毒,如紅色代碼、藍色代碼、尼姆達等。某些病毒\\n\\n除了使計算機運行變慢,還可以阻塞網絡,造成網絡塞車。對付這些新病毒,大多數病毒廠\\n\\n商,例如瑞星,KV3000等都在其主頁上設有對付的辦法。在這裡一定要注意,不要按照平\\n\\n常的殺毒辦法殺毒,必須對殺毒軟件進行定時的升級。\\n\\n無線局域網安全技術\\n\\n簡介\\n\\n通常計算機組網的傳輸媒介主要依賴銅纜或光纜,構成有線局域網。但有線網絡在某些場合要受到佈線的限製:佈線、改線工程量大;線路容易損壞;網中的各節點不可移動。特彆是當要把相離較遠的節點聯接起來時,架設專用通訊線路的佈線施工難度大、費用高、耗時長,對正在迅速擴大的連網需求形成了嚴重的瓶頸阻塞。WLAN就是解決有線網絡以上問題而出現的,WLAN為WirelessLAN的簡稱,即無線局域網。無線局域網是利用無線技術實現快速接入以太網的技術。與有線網絡相比,WLAN最主要的優勢在於不需要佈線,可\\n\\n局域網\\n\\n局域網以不受佈線條件的限製,因此非常適合移動辦公用戶的需要,具有廣闊\\n\\n市場前景。目前它已經從傳統的醫療保健、庫存控製和管理服務等特殊行業向更多行業拓展開去,甚至開始進入家庭以及教育機構等領域。無線局域網與傳統有線局域網相比優勢不言而喻,它可實現移動辦公、架設與維護更容易等。Frost&Sullivan公司預測無線局域網絡市場在2005年底將達到50億美元。在如此巨大的應用與市場麵前,無線局域網絡安全問題就顯得尤為重要。人們不禁要問:通過電波進行數據傳輸的無線局域網的安全性有保障嗎?\\n\\n對於無線局域網的用戶提出這樣的疑問可以說不無根據,因為無線局域網采用公共的電磁波作為載體,而電磁波能夠穿越天花板、玻璃、樓層、磚、牆等物體,因此在一個無線局域網接入點(AccessPoint)的服務區域中,任何一個無線客戶端都可以接收到此接入點的電磁波信號。這樣,非授權的客戶端也能接收到數據信號。也就是說,由於采用電磁波來傳輸信號,非授權用戶在無線局域網(相對於有線局域網)中竊聽或乾擾資訊就容易得多。所以為了阻止這些非授權用戶訪問無線局域網絡,從無線局域網應用的第一天開始便引入了相應的安全措施。\\n\\n實際上,無線局域網比大多數有線局域網的安全性更高。無線局域網技術早在第二次世界大戰期間便出現了,它源自於軍方應用。一直以來,安全性問題在無線局域網設備開發及解決方案設計時,都得到了充分的重視。目前,無線局域網絡產品主要采用的是IEEE(美國電氣和電子工程師協會)802.11b國際標準,大多應用DSSS(DirectSequenceSpreadSpectrum,直接序列擴頻)通訊技術進行數據傳輸,該技術能有效防止數據在無線傳輸過程中丟失、乾擾、資訊阻塞及破壞等問題。802.11標準主要應用三項安全技術來保障無線局域網數據傳輸的安全。第一項為SSID(ServiceSetIdentifier)技術。該技術可以將一個無線局域網分為幾個需要不同身份驗證的子網絡,每一個子網絡都需要獨立的身份驗證,隻有通過身份驗證的用戶纔可以進入相應的子網絡,防止未被授權的用戶進入本網絡;第二項為MAC(MediaAccessControl)技術。應用這項技術,可在無線局域網的每一個接入點(AccessPoint)下設置一個許可接入的用戶的MAC地址清單,MAC地址不在清單中的用戶,接入點(AccessPoint)將拒絕其接入請求;第三項為WEP(WiredEquivalentPrivacy)加密技術。因為無線局域網絡是通過電波進行數據傳輸的,存在電波泄露導致數據被截聽的風險。WEP安全技術源自於名為RC4的RSA數據加密技術,以滿足用戶更高層次的網絡安全需求。\\n\\n下麵我們從無線局域網安全技術的發展曆程來對無線局域網中采用的主要安全技術及發展方向進行介紹。\\n\\n早期基本的無線局域網安全技術\\n\\nMAC過濾\\n\\n無線網卡實體地址(MAC)過濾:\\n\\n每個無線工作站網卡都由惟一的實體地址標示,該實體地址編碼方式類似於以太網實體地址,是48位。網絡管理員可在無線局域網訪問點AP中手工維護一組允許訪問或不允許訪問的MAC地址列表,以實現實體地址的訪問過濾。\\n\\n如果企業當中的AP數量太多,為了實現整個企業當中所有AP統一的無線網卡MAC地址認證,現在的AP也支援無線網卡MAC地址的集中Radius認證。\\n\\n服務區標識符(SSID)匹配:\\n\\n無線工作站必須出示正確的SSID,與無線訪問點AP的SSID相同,才能訪問AP;如果出示的SSID與AP的SSID不同,那麼AP將拒絕他通過本服務區上網。因此可以認為SSID是一個簡單的口令,從而提供口令認證機製,實現一定的安全。\\n\\n在無線局域網接入點AP上對此項技術的支援就是可不讓AP廣播其SSID號,這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯。\\n\\n有線等效保密(WEP):\\n\\n有線等效保密(WEP)協議是由802.11標準定義的,用於在無線局域網中保護鏈路層數據。WEP使用40位鑰匙,采用RSA開發的RC4對稱加密演算法,在鏈路層加密數據。\\n\\nWEP加密采用靜態的保密密鑰,各WLAN終端使用相同的密鑰訪問無線網絡。WEP也提供認證功能,當加密機製功能啟用,客戶端要嘗試連接上AP時,AP會發出一個ChallengePacket給客戶端,客戶端再利用共享密鑰將此值加密後送回存取點以進行認證比對,隻有正確無誤,才能獲準存取網絡的資源。40位WEP具有很好的互操作性,所有通過Wi-Fi組織認證的產品都可以實現WEP互操作。現在的WEP一般也支援128位的鑰匙,提供更高等級的安全加密。\\n\\n802.11i(WPA)之前的安全解決方案\\n\\n802.11技術\\n\\n訪問控製技術(IEEE802.1x)和可擴展認證協議(EAP):\\n\\n該技術也是用於無線局域網的一種增強性網絡安全解決方案。當無線工作站與無線訪問點AP關聯後,是否可以使用AP的服務要取決於802.1x的認證結果。如果認證通過,則AP為無線工作站打開這個邏輯,否則不允許用戶上網。\\n\\n802.1x要求\\n\\n局域網\\n\\n局域網無線工作站安裝802.1x客戶端軟件,無線訪問點要內嵌802.1x認證代理,同\\n\\n時它還作為Radius客戶端,將用戶的認證資訊轉發給Radius服務器。現主流的PC機操作係統WinXP以及Win2000都已經有802.1x的客戶端功能。現在,安全功能比較全的AP在支援IEEE802.1x和Radius的集中認證時支援的可擴展認證協議類型有:EAP-MD5&TLS、TTLS和PEAP。\\n\\n無線客戶端二層隔離技術:\\n\\n在電信運營商的公眾熱點場合,為確保不同無線工作站之間的數據流隔離,無線接入點AP也可支援其所關聯的無線客戶端工作站二層數據隔離,確保用戶的安全。\\n\\nVPN-Over-Wireless技術:\\n\\n目前已廣泛應用於廣域網絡及遠程接入等領域的VPN(VirtualPrivateNetworking)安全技術也可用於無線局域網。與IEEE802.11b標準所采用的安全技術不同,VPN主要采用DES、3DES等技術來保障數據傳輸的安全。對於安全性要求更高的用戶,將現有的VPN安全技術與IEEE802.11b安全技術結合起來,是目前較為理想的無線局域網絡的安全解決方案之一。\\n\\n2003年快速發展的WPA(Wi-Fi保護訪問)技術\\n\\n在IEEE802.11i標準最終確定前,WPA(Wi-FiProtectedAccess)技術將成為代替WEP的無線安全標準協議,為IEEE802.11無線局域網提供更強大的安全效能。WPA是IEEE802.11i的一個子集,其核心就是IEEE802.1x和TKIP。\\n\\n新一代的加密技術TKIP與WEP一樣基於RC4加密演算法,且對現有的WEP進行了改進。在現有的WEP加密引擎中增加了“密鑰細分(每發一個包重新生成一個新的密鑰)”、“訊息完整性檢查(MIC)”、“具有序列功能的初始向量”和“密鑰生成和定期更新功能”等4種演算法,極大地提高了加密安全強度。TKIP與當前Wi-Fi產品向後相容,而且可以通過軟件進行升級。從2003年的下半年開始,Wi-Fi組織已經開始對支援WPA的無線局域網設備進行認證。\\n\\n高級的無線局域網安全標準—IEEE802.11i\\n\\n為了進一步加強無線網絡的安全性和保證不同廠家之間無線安全技術的相容,IEEE802.11工作組目前正在開發作為新的安全標準的IEEE802.11i,並且致力於從長遠角度考慮解決IEEE802.11無線局域網的安全問題。IEEE802.11i標準草案中主要包含加密技術:TKIP(TemporalKeyIntegrityProtocol)和AES(AdvancedEncryptionStandard),以及認證協議IEEE802.1x。預計完整的IEEE802.11i的標準將在2004年的上半年得到正式批準,IEEE802.11i將為無線局域網的安全提供可信的標準支援。\\n\\n無線局域網安全技術的發展方向\\n\\n無線局域網總的發展方向是速度會越來越快(目前已見的是11Mbps的IEEE802.11b,54Mbps的IEEE802.11g與IEEE802.11a標準),安全性會越來越高。當然無線局域網的各項技術均處在快速的發展過程當中,但54Mbps的無線局域網規範IEEE802.11g及IEEE802.1X將是近期整個無線局域網業的熱點。\\n\\n作為一名網管員來說,對無線局域網的安全防護應考慮以下防範點和措施:\\n\\n安全防範點:1.未經授權用戶的接入2.網上鄰居的攻擊3.非法用戶擷取無線鏈路中的數據4.非法AP的接入5.內部未經授權的跨部門使用\\n\\n相應措施:1.使用各種先進的身份認證措施,防止未經授權用戶的接入由於無線信號是在空氣中傳播的,信號可能會傳播到不希望到達的地方,在信號覆蓋範圍內,非法用戶無需任何物理連接就可以獲取無線網絡的數據,因此,必須從多方麵防止非法終端接入以及數據的泄漏問題。\\n\\n2.利用MAC阻止未經授權的接入每塊無線網卡都擁有唯一的一個MAC地址,為AP設置基於MAC地址的AccessControl(訪問控製表),確保隻有經過註冊的設備才能進入網絡。使用802.1x認證技術進行身份認證使用802.1x認證技術配合後台的RADIUS認證服務器,對所有接入用戶的身份進行嚴格認證,杜絕未經授權的用戶接入網絡,盜用數據或進行破壞。\\n\\n3.使用先進的加密技術,使得非法用戶即使擷取無線鏈路中的數據也無法破譯基本的WEP加密WEP是IEEE802.11b無線局域網的標準網絡安全協議。在傳輸資訊時,WEP可以通過加密無線傳輸數據來提供類似有線傳輸的保護。在簡便的安裝和啟動之後,應立即設置WEP密鑰。\\n\\n4.利用對AP的合法性驗證以及定期進行站點審查,防止非法AP的接入在無線AP接入有線集線器的時候,可能會遇到非法AP的攻擊,非法安裝的AP會危害無線網絡的寶貴資源,因此必須對AP的合法性進行驗證。AP支援的IEEE802.1x技術提供了一個客戶機和網絡相互驗證的方法,在此驗證過程中不但AP需要確認無線用戶的合法性,無線終端設備也必須驗證AP是否為虛假的訪問點,然後才能進行通訊。通過雙向認證,可以有效的防止非法AP的接入。對於那些不支援IEEE802.1x的AP,則需要通過定期的站點審查來防止非法AP的接入。在入侵者使用網絡之前,通過接收天線找到未被授權的網絡,通過物理站點的監測應當儘可能地頻繁進行,頻繁的監測可增加發現非法配置站點的存在機率,選擇小型的手持式檢測設備,管理員可以通過手持掃描設備隨時到網絡的任何位置進行檢測。\\n\\n5.利用ESSID、MAC限製防止未經授權的跨部門使用。\\n\\n利用ESSID進行部門分組,可以有效地避免任意漫遊帶來的安全問題;MAC地址限製更能控製連接到各部門AP的終端,避免未經授權的用戶使用網絡資源。\\n\\n保障整個網絡安全是非常重要的,無論是否有無線網段,大多數的局域網都必須要有一定級彆的安全措施。而無線網絡相對來說比較安全,無線網段即或不能提供比有線網段更多的保護,也至少和它相同。需要注意的是,無線局域網並不是要替代有線局域網,而是有線局域網的替補。使用無線局域網的最終目標不是消除有線設備,而是儘量減少線纜和斷線時間,讓有線與無線網絡很好地配合工作。\\n\\n參考\\n\\n一、發展中的IEEE802.1x無線局域網安全標準\\n\\n一開始,IEEE802.11提供了一些基本的安全機製,這使得無線網日益增強的自由較少潛在威脅。在802.11規範中通過有線同等保密(WiredEquivalentPrivacyWEP)演算法提供了附加的安全性。這一安全機製的一個主要限製是:冇有規定一個分配密鑰的管理協議。因此,脆弱的安全機製使它不足以阻擋任何人,更何況是黑客的攻擊。為了補救WEP在安全性上的不足,需要通過IEEE802.1x協議。802.1x是一個基於的標準草案。網絡接入控製提供以太網的網絡接入的鑒權。這種基於的網絡接入控製使用交換式局域網基礎設施的物理特性來認證連接到局域網某個的設備。如果認證過程失敗,接入將被阻止。儘管此標準是為有線以太網設計,它也可用於802.11無線局域網。\\n\\n對無線網絡來說,802.1x支援遠程撥號用戶簽名服務(RemoteAuthenticationDial-InServiceRADIUS),接入點將采用對客戶證書認證的RADIUS服務器作為網絡接入的認證者。802.1x還支援集中式的Kerberos用戶簽名、驗證和記賬,並且實現了更強的協議。通訊被允許通過一個邏輯\\\"非控製\\\"或通道來驗證證書的有效性而通過一個邏輯\\\"控製\\\"來獲得接入網絡的密鑰。新標準為每個用戶和每個會話準備不同的密匙,並且密匙支援128bit的長度。密鑰管理協議因而得以新增到802.11的安全性中。這種802.1x方式已被廣泛采用而RADIUS鑒權的使用也在增加。如果需要的話,RADIUS服務器可以查詢一個本地認證數據庫。或者,請求也可以被傳送給其他服務器進行有效性驗證。當RADIUS決定機器可以進入網絡時,將向接入點發送訊息,接入點則允許數據業務流入網絡。\\n\\n二、WindowsXP中針對以太網或無線局域網上服務器的安全性改進\\n\\n無線路由\\n\\nSecureWireless\\/EthernetLAN(安全無線\\/以太局域網)為您增強了開發安全有線與無線局域網(LAN)網的能力。這種特性是通過允許在以太網或無線局域網上部署服務器實現的。藉助SecureWireless\\/EthernetLAN,在用戶進行登錄前,計算機將無法訪問網絡。然而,如果一台設備具備“機器身份驗證”功能,那麼它將能夠在通過驗證並接受IAS\\/RADIUS服務器授權後獲得局域網的訪問權限。WindowsXP中的SecureWireless\\/EthernetLAN在基於IEEE802.11規範的有線與無線局域網上實現了安全性。這一過程是通過對自動註冊或智慧卡所部署的公共證書的使用加以支援的。它允許在公共場所(如購物中心或機場)對有線以太網和無線IEEE802.11網絡實施訪問控製。這種IEEE802.1XNetworkAccessControl(IEEE802.1X網絡訪問控製)安全特性還支援ExtensibleAuthenticationProtocol(擴展身份驗證協議,EAP)運行環境中的計算機身份驗證功能。IEEE802.1X允許管理員為獲得有線局域網和無線IEEE802.11局域網訪問許可的服務器分配權限。因為,如果一台服務器被放置在網絡中,管理員肯定希望確保其隻能訪問那些已在其中通過身份驗證的網絡。例如,對會議室的訪問權限將隻被提供給特定服務器,而來自其它服務器的訪問請求將被遭到拒絕。\\n\\n\"

}
若章節內容顯示異常,請重新整理或切換到 手機版 / 電腦版 檢視。