2.APs安全

接入点的安全设置是整个Wi-Fi网络安全的重要一环，通过encrytion、authention以及适当的monitoring措施，我们可以达到APs的安全目的。

(1)MAC地址列表，大多数AP具有地址列表功能，该功能有助于我们提高网络的安全性，主要形式有两种。

●开放式地址列表：允许除了被标明的MAC地址以外的任何MAC地址访问网络AP，不建议采用这种方式。

●封闭式地址列表：只允许被标明的MAC地址访问AP，这种方式较为安全。

(2)接入管理，通常情况下，大多数的AP都支持类似Telnet、HTTP以及串口和USB接口连接，但是其中Telnet方式应尽可能的屏蔽，因为这种方式会使数据处于完全暴露状态；如果AP支持，还应该限制有线接入部分；对于小型网络，尽量不用在线远程管理，这会带来不必要的风险。

(3)鉴权及访问控制，设置SSID号：SSID全称为ServiceSetID，它是Wi-Fi协议构建的一个32位的网络标识号，只有知道SSID号的人才可以进入Wi-Fi网络。

●访问控制列表：用于筛选数据包。

●鉴权：主要是通过WEP来实现的，但由于其不健壮性，所以市场上目前出现了许多其他技术来完成鉴权功能，例如portals、Ipsec以及802.1x等。

(4)SNMPMonitoring，SNMP是一种强大的管理网络链接设置的协议，其主要特点是可以被远程监测。SNMP采用的是管理员与代理的模式，管理员通过发送请求到代理来请求管理，代理随后回一个响应。通常SNMP有两种形式：read-only和read-write,他们均须提供字符串鉴权，如password。我们可以通过SNMP的MIB(managerinformationbase)来决定SNMP的管理类型。

通常，802.11协议的设备都具有自己的MIB，允许其像监视服务端一样监视MAC和PHY层。目前市场上常见的SNMPMonitoring工具有net-snmp等。

(5)采用保护天线，我们只需要利用保护天线使我们的数据电波向我们想要发射的地方发射，就可以有效地缩小攻击者的攻击范围，减小网络安全的风险。

3.主干网GateWay安全

防火墙设置主要是对第三层以上的网络体系结构进行保护，然而随着无线Wi-Fi技术的应用，网络一、二层成为攻击者攻击的新目标，所以Gateway将是攻击者面对的第一道屏障。

(1)GateWay可以是设置在LAN与Internet、LAN与WLAN的AP之间的具有一定保护作用的硬件设备和相应的软件。GateWay可以使我们的网络更加安全，它将起到以下几个主要作用：提供防火墙保护网络、为两个网络提供NAT、提供DNS服务。

(2)GateWay设置原则，应遵循将无线网的接入点AP以及主干网的外网连接与我们的主干网隔离的原则。不正当的GateWay设置会使我们的网络极易遭受攻击者的袭击。

二、Wi-Fi网络通信安全

(一)Wi-Fi网络通信安全的威胁

无线通信安全的主要威胁是Man-in-the-MiddleAttacks，常见的形式有两种：被动形式和主动形式。

●被动形式：攻击者通过搜集大量的Wi-Fi网络的通信数据进行分析、**，以达到窃取机密的目的。

●主动形式：攻击者通过被动形式的冲击，分析出WLAN的传输协议及加密算法,并以相同的协议、算法修改甚至伪造WLAN的信息。

(二)Wi-Fi网络通信安全维护方式

Wi-Fi网络通信安全的维护方式不像其结构安全那样可以有软件也可以有硬件，鉴于其传输介质的特殊性，它只能是由软件来组成。我们常用的方式有以下几种：

1.WEP keys

虽然WEP的密钥已经被**，但如果我们使用了WEP，仍会给攻击者造成一定的障碍，使之不得不花费几个小时时间去**WEP，这足以使一些无聊的攻击者放弃自己的攻击行为。对于公司而言，使用WEP来保护公司的机密，一旦有攻击者试图破WEP，公司就可以认定其非法进入从而诉诸法律。

2.Ipsec VPN

IP安全协议是一组用来在IP层上支持数据包安全交换的协议。它支持两种加密方式：传输端口和隧道。

●传输端口：只对数据包部分加密，而报头部分未加密，安全性较隧道差。

●隧道：与保密隧道(SSH)相似，我们将在下面讨论。

利用Ipsec来实现VPN以此来支持WLAN安全通信。比起WEP来，IpsecVPN将提供更为强大的机密性、完整性和可用性。
3.保密接口层(SSL)与保密隧道(SSH)

SSL(securesocketlayer)采用了一种公开的密钥加密。首先用户必须发送一个权利说明，包括用户名、密码等以表明自己的身份，这个说明经终端服务器识别，用户便可登陆。但是接下来出现了一个问题，就是服务站点发送给用户的信息中仍可能有机密信息，这样攻击者仍可以接收到站点发来的信息，从而使我们的信息失窃。

SSH(secureshell)仍像SSL一样采用公开的密钥，但由于它同时还结合了私有密钥的使用，从而解决了SSL的安全漏洞。SSH提供几种安全等级供用户选择，其安全性高于Telnet、R-commands等，同时SSH还提供端口到端口的隧道通信机制来保证特殊通信的安全。

4.静态ARP

ARP协议通信过程首先是用户向服务器发送自己的IP地址到网络上，一旦服务器收到请求便发送自己的MAC地址给用户，这样用户便可以与之进行通信。但是目前许多系统采取的是主机一旦收到一个数据包，便将包中的IP与MAC地址认为是匹配的，从而将其添加到自己的地址转换列表中，如果将来再与之通信，便使用该MAC地址进行请求即可，这种方式称为动态ARP。但这就给网络攻击者以可乘之机，他们将服务器的IP和自己的MAC传给用户，同时将用户的IP和自己的MAC传给服务器，从而在二者之间插入了一个中间站，进行窃取、修改甚至伪造信息等不法行为。而使用静态ARP则可以有效地避免这种网络威胁。

5.应用密码学的使用

应用密码学的兴起为我们实现WLAN通信安全提供了一个新的途径，用户可以在应用层利用加密算法软件(甚至可以编写自己算法软件)先对自己的数据进行加密，然后再通过发送设备发出去。这样在接收端的接收用户只需要利用相同的算法软件即可得到完整的信息,同时也提高了数据传输的安全性。

三、Wi-Fi网络安全策略

总的来说，好的安全策略并不是某一种或者几种方法和工具，而是要设置层层安全屏障，这样才能有效地阻止网络黑客的攻击。网络安全策略的具体运用总体上可以分为网络建立前的安全策略制订阶段和网络建立后的维护阶段两部分。

(一)安全策略制订

一个网络要想拥有一个好的安全策略，在网络建设的筹划阶段就应当将其考虑在内，而不是在网络建成后才予以考虑的。这样就会避免安全策略为了迁就已经成型的网络而存在一些漏洞。下面的安全策略制订原则是我们制定网络安全策略必须考虑的。

1.理论联系实际：分析理论上的和实际上可能发生的风险，这样将有助于杜绝尽可能多的攻击。

2.财力结合实际：结合网络的重要级别来采取具体的保护措施。比如你是一个SOHO用户，那么为了实现网络登陆鉴权，有SSID和WEP就足够了，但这两种方法对于大型Wi-Fi网络来说是绝对不行的，必须采取更专业的方法和工具。

3.针对性防护：如果你的网络安全核心是保护信息，就必须加强对数据的保护；如果是防止Illicituse，就必须加强登陆管理。

(二)安全策略维护

安全策略的制定不是一劳永逸的，它并不能保证我们的网络将是永久安全的。网络攻击者会不遗余力的开发出更新、更有杀伤力的攻击方法和工具，所以安全策略的定期检验和维护是必要的，这一过程将是长期、反复的。