第八章 无线网络安全第八章 无线网络安全 本章提要：本章提要： 无线网络概述无线网络概述 无线网络应用的主要技术无线网络应用的主要技术 无线网络面临的安全威胁无线网络面临的安全威胁 设计和布置无线网络的常用手段和具体措设计和布置无线网络的常用手段和具体措

施施

国外媒体报道：美国伊力诺伊州一名男子因私登国外媒体报道：美国伊力诺伊州一名男子因私登他人他人 WI-FIWI-FI 网络而被罚款并接受一年法庭监督。网络而被罚款并接受一年法庭监督。

目前一个新的名词已经出现：目前一个新的名词已经出现： war drivingwar driving （沿（沿街扫描），可以将知理解为街扫描），可以将知理解为““开车探测无线信开车探测无线信号号””。。

笔记本电脑能接入很多的企业无线网络，其中有笔记本电脑能接入很多的企业无线网络，其中有些网络连最基本的些网络连最基本的 WEPWEP 都没有采用，所以可以都没有采用，所以可以被轻易的访问。被轻易的访问。

据调查研究表明，一半以上的据调查研究表明，一半以上的 WI-FIWI-FI 网络没有使网络没有使用的是没有加密的用的是没有加密的 WI-FIWI-FI 路由器。所以其安全状路由器。所以其安全状况不容乐观况不容乐观

借助于无线网络技术，人们可以摆脱烦人借助于无线网络技术，人们可以摆脱烦人的电缆和无线网络线路，无论何时何地都的电缆和无线网络线路，无论何时何地都能轻松的接入互联网。目前无线网络分为能轻松的接入互联网。目前无线网络分为以下几类：以下几类：

无线个人网：应用于个人用户空间，典型无线个人网：应用于个人用户空间，典型距离几米，目前主要技术包括蓝牙和红外距离几米，目前主要技术包括蓝牙和红外线，可以与计算机同步传输文件，访问本线，可以与计算机同步传输文件，访问本地外围设备地外围设备

无线局域网：主要用于宽带家庭，大楼内无线局域网：主要用于宽带家庭，大楼内部与园区内部。典型距离几十米至上百米。部与园区内部。典型距离几十米至上百米。目前主要技术为目前主要技术为 802.11802.11 系列系列

无线无线 LAN-TO-LANLAN-TO-LAN 网桥：主要用于大楼之网桥：主要用于大楼之间的联网通信。典型距离几公里。许多无间的联网通信。典型距离几公里。许多无线网桥采用线网桥采用 802.11b802.11b 系列系列

无线城域网和广域网：覆盖城域和广域环无线城域网和广域网：覆盖城域和广域环境，主要用于境，主要用于 internetinternet 访问访问

目前无线网络应用的主要技术目前无线网络应用的主要技术

（（ 11 ）蓝牙技术：蓝牙技术是由移动通信）蓝牙技术：蓝牙技术是由移动通信公司和移动计算公司联合开发的，传输距公司和移动计算公司联合开发的，传输距离为离为 1010 米左右的短距离无线通信标准，用米左右的短距离无线通信标准，用于便携式计算机、移动电话和其他的移动于便携式计算机、移动电话和其他的移动设施之间建立起一种小型的经济、短距离设施之间建立起一种小型的经济、短距离无线链路。无线链路。

(2)IEEE802.11(2)IEEE802.11 和和 WI-FIWI-FI ：： IEEE802.11IEEE802.11 和和 WI-FIWI-FI 致力于解决企业、致力于解决企业、

家庭甚至公共热点位置（如机场、酒店、家庭甚至公共热点位置（如机场、酒店、咖啡店）对无线局域网的需要。利用无线咖啡店）对无线局域网的需要。利用无线网络，用户可以在会议室、走廊、大厅、网络，用户可以在会议室、走廊、大厅、餐厅及教室中工作和访问网络数据而无需餐厅及教室中工作和访问网络数据而无需利用电缆链接到固定的网络接口利用电缆链接到固定的网络接口

WI-FIWI-FI 标准是由标准是由 IEEEIEEE 和和 WI-FIWI-FI 联盟联合制定的，联盟联合制定的，IEEEIEEE －－ 802.11802.11 标准是由标准是由 IEEEIEEE 最初制定的一最初制定的一个无线网络标准，主要用于解决办公局域网和个无线网络标准，主要用于解决办公局域网和校园网、用户与用户终端的无线接入。业务主校园网、用户与用户终端的无线接入。业务主要限于数据存取。要限于数据存取。

由于由于 IEEE802.11IEEE802.11在速率和传输距离上都满足在速率和传输距离上都满足不了人们的需求，所以后来又相继推出了不了人们的需求，所以后来又相继推出了802.11a/802.11b/802.11g/802.11i802.11a/802.11b/802.11g/802.11i等多个等多个标准来加入到标准来加入到WI-FIWI-FI 的行列，目前实用最多的的行列，目前实用最多的是是 802.11b802.11b协议协议

（（ 33 ）） homeRFhomeRF 标准标准 主要为家庭网络设计，是主要为家庭网络设计，是 802.11802.11 和和 DECTDECT

的结合，旨在降低语音数据成本，为了实的结合，旨在降低语音数据成本，为了实现对数据包的高效传输，现对数据包的高效传输， HomeRFHomeRF 采用了采用了IEEE802.11IEEE802.11 中的中的 CSMA/CACSMA/CA 模式，以竞模式，以竞争的方式获得对信道的控制权，在一个时争的方式获得对信道的控制权，在一个时刻只能有一个接入点在网络中传输数据刻只能有一个接入点在网络中传输数据

（（ 44 ）） WiMAXWiMAX ：： WIMAXWIMAX 是是 IEEE802.16IEEE802.16 以太网络的界面标以太网络的界面标

准，就像准，就像Wi-Fi Wi-Fi 是是 802.11802.11 以太网络的标以太网络的标准一样。 这两年来，准一样。 这两年来， WiMax WiMax 已经成为无已经成为无线网络界最流行的专用字汇。线网络界最流行的专用字汇。

作为一种被提出较晚的技术，目前对作为一种被提出较晚的技术，目前对WIMAXWIMAX 网络和网络和 WI-FIWI-FI 网络的认识主要存在网络的认识主要存在以下几个误区：以下几个误区：

WiMAXWiMAX 的传输范围一定比的传输范围一定比Wi-FiWi-Fi 大 大

WiMAXWiMAX 的速度比的速度比Wi-FiWi-Fi快 快

WiMAXWiMAX会跟会跟Wi-FiWi-Fi竞争，进而取代竞争，进而取代Wi-Fi Wi-Fi

WiMAXWiMAX 比比 Wi-FiWi-Fi更安全。 更安全。

WiMAXWiMAX 的传输范围一定比的传输范围一定比 Wi-FiWi-Fi 大大 WiMAXWiMAX 的设计可以在需要执照的无线频段，或的设计可以在需要执照的无线频段，或

是公用的无线频段运作。只要系统企业拥有该无是公用的无线频段运作。只要系统企业拥有该无线频段的执照，而让线频段的执照，而让WiMAXWiMAX在授权频段运作时，在授权频段运作时，WiMAXWiMAX 便可以用更多频宽、更多时段与更强的便可以用更多频宽、更多时段与更强的功率进行发送。一般来说，只有无线功率进行发送。一般来说，只有无线 ISP ISP 企业才企业才会使用授权频宽的会使用授权频宽的 WiMAX WiMAX 技术。至于技术。至于 Wi-Fi Wi-Fi 的的设计则只在公用频段中的设计则只在公用频段中的 2.4GHz2.4GHz 到到 5GHZ5GHZ 之间之间工作。美国的联邦通讯委员会（工作。美国的联邦通讯委员会（ FCC FCC ）规定）规定Wi-Wi-Fi Fi 一般的传输功率要在一般的传输功率要在 1 1 毫瓦到毫瓦到 100 100 毫瓦之间。毫瓦之间。一般的一般的 WiMAX WiMAX 的传输功率大约的传输功率大约 100 100 千瓦，所千瓦，所以以 Wi-Fi Wi-Fi 的功率大约是的功率大约是 WiMAX WiMAX 的一百万分之一。的一百万分之一。使用使用 WiFiWiFi 基地台一百万倍传输功率的基地台一百万倍传输功率的 WiMAX WiMAX 基地台，会有较大的传输距离，自然毫无疑问。 基地台，会有较大的传输距离，自然毫无疑问。

虽然有授权频段的虽然有授权频段的 WiMAXWiMAX显然有较长的传输范围，也不显然有较长的传输范围，也不代表只要有钱就要赶着去买个代表只要有钱就要赶着去买个 WiMAXWiMAX 基地台。你必须要基地台。你必须要有一个授权的无线电频段，就像一个音乐电台也必须要有有一个授权的无线电频段，就像一个音乐电台也必须要有频段执照，才能在空中发射无线电波。而如果频段执照，才能在空中发射无线电波。而如果WiMAXWiMAX 跟跟Wi-Fi Wi-Fi 一样放在未授权的频段，则它的传输优势就马上消一样放在未授权的频段，则它的传输优势就马上消失了。失了。 Wimax Wimax 跟跟 Wi-Fi Wi-Fi 都是基于无线频段传输的技术，都是基于无线频段传输的技术，所以受同样的物理定律限制。反之，如果在同样的条件下，所以受同样的物理定律限制。反之，如果在同样的条件下，让让 Wi-Fi Wi-Fi 使用授权频宽，使用授权频宽， Wi-Fi Wi-Fi 也可以跟也可以跟WiMAX WiMAX 一样一样快。另外，虽然快。另外，虽然WiMAX WiMAX 可以利用较新的多路径技术。可以利用较新的多路径技术。目前新推出的目前新推出的 pre-N MIMOpre-N MIMO （多天线双向传输）技术 （多天线双向传输）技术 Wi-Fi Wi-Fi 产品也使用了该技术。 产品也使用了该技术。

WiMaxWiMax 的速度比的速度比 Wi-FiWi-Fi 快 快 WiMAXWiMAX 的拥护者常常在大肆宣扬该技术的的拥护者常常在大肆宣扬该技术的速度优势。虽然速度优势。虽然WiMAXWiMAX 声称最高速度每秒声称最高速度每秒70mbyte70mbyte ，然而最新的，然而最新的 Wi-Fi MIMOWi-Fi MIMO 理论理论上也有每秒上也有每秒 108mbyte 108mbyte 的最高速度，而实的最高速度，而实际环境下也有际环境下也有 45mbps45mbps 的速度。我可以去的速度。我可以去商场买一个商场买一个 Wi-Fi MIMOWi-Fi MIMO 的基地台回家组的基地台回家组装，自行确认其速度约为装，自行确认其速度约为 45mbps45mbps ，然而，然而WiMAX WiMAX 的产品至今却尚未出现。的产品至今却尚未出现。 WiMAX WiMAX 技术同样受技术问题与物理定律所限制，要技术同样受技术问题与物理定律所限制，要谈论谈论 WiMAX WiMAX 的实际频宽还是太早。 的实际频宽还是太早。

无线无线 ISPISP 企业在建置企业在建置 WiMAXWiMAX 的时候，同样会遇的时候，同样会遇到现今其他无线企业会遇到的频宽竞争难题。授到现今其他无线企业会遇到的频宽竞争难题。授权频段的权频段的 WiMAXWiMAX 系统涵盖范围极大，约数十公系统涵盖范围极大，约数十公里，其建置的困难可说是一把两刃之剑。这是因里，其建置的困难可说是一把两刃之剑。这是因为无线覆盖范围非常之大，里面会有极多的使用为无线覆盖范围非常之大，里面会有极多的使用者同时竞争同样的频宽。就算无线者同时竞争同样的频宽。就算无线 ISP ISP 企业使用企业使用多个独立的频道来运作，在同一个频道中，还是多个独立的频道来运作，在同一个频道中，还是会有数倍于会有数倍于 Wi-Fi Wi-Fi 的使用人数。我所认识的每一的使用人数。我所认识的每一家无线家无线 ISP ISP 企业，不管是无线微波企业、企业，不管是无线微波企业、 3G3G行行动企业，到卫星电话企业，同样都会遇到频宽竞动企业，到卫星电话企业，同样都会遇到频宽竞争与争与 QoS QoS （服务品质）管控的问题。 （服务品质）管控的问题。

如果网络的延迟在如果网络的延迟在 200200 到到 20002000毫秒间游移，这毫秒间游移，这种网络根本不可能使用种网络根本不可能使用 VoIPVoIP 、视讯会议、网络游、视讯会议、网络游戏，或任何其他的即时应用。虽然已经有人谈论戏，或任何其他的即时应用。虽然已经有人谈论将将 WiMAXWiMAX 加上加上 QoSQoS 机制，以供机制，以供 VoIPVoIP 使用，然使用，然而实作方法与实作效益仍旧有待观察。而在而实作方法与实作效益仍旧有待观察。而在Wi-Wi-Fi Fi 方面，方面， Spectralink Spectralink 上的上的 QoS QoS 实作成效已被实作成效已被证实，同时证实，同时 802.11e 802.11e 的无线的无线 QoS QoS 标准也将要标准也将要推出。无线推出。无线 ISP ISP 企业的企业的 WiMAX WiMAX 建置一定会比非建置一定会比非授权的授权的 WiMAX WiMAX 或或 Wi-Fi Wi-Fi 基地台建置来得慢，因基地台建置来得慢，因为对无线为对无线 ISP ISP 企业不可能会去让少数用户使用整企业不可能会去让少数用户使用整个频段。 个频段。

WiMAXWiMAX 将与将与 Wi-FiWi-Fi 竞争，进而取代竞争，进而取代 Wi-FiWi-Fi

最狂热的最狂热的 WiMAXWiMAX支持者甚至辩称支持者甚至辩称WiMAXWiMAX 将会将会完完全全的取代完完全全的取代Wi-FiWi-Fi ，让，让Wi-FiWi-Fi成为历史。这成为历史。这种想法说好听一点是过度乐观，过难听一点则是种想法说好听一点是过度乐观，过难听一点则是荒谬无比。荒谬无比。 WiMAX WiMAX 在整合与标准化无线微波在整合与标准化无线微波ISP ISP 市场的过程中，将会有一席之地，但它并不市场的过程中，将会有一席之地，但它并不会直接的与大多数的会直接的与大多数的 Wi-Fi Wi-Fi 建置竞争。建置竞争。 WiMAX WiMAX 将会聚焦于授权频段的无线将会聚焦于授权频段的无线 ISP ISP 市场，而市场，而 Wi-Fi Wi-Fi 将会继续主导私用的无照无线市场，如公司或家将会继续主导私用的无照无线市场，如公司或家用的无线网络。 用的无线网络。

由于由于 WiMAXWiMAX 连线的涵盖面积较大，以数十公里连线的涵盖面积较大，以数十公里计，而计，而 Wi-FiWi-Fi存取点是由数十米的小片面积所组存取点是由数十米的小片面积所组成，所以成，所以 WiMAXWiMAX在全球涵盖上会有占有优势。在全球涵盖上会有占有优势。但是因为目前的市场占有率较高，以及因为小范但是因为目前的市场占有率较高，以及因为小范围、同时竞争的用户人数较少，造成围、同时竞争的用户人数较少，造成Wi-Fi Wi-Fi 较快、较快、延迟较小的特性，延迟较小的特性， Wi-Fi Wi-Fi 的收费存取点仍可能持的收费存取点仍可能持续流行。至于续流行。至于 WiMAX WiMAX 是否能击败是否能击败Wi-Fi Wi-Fi 的收费的收费存取点，关键因素将是存取点，关键因素将是 WiMAX WiMAX 的的 QoS QoS 机制是机制是否良好实作，以及如何解决过多使用者的问题。 否良好实作，以及如何解决过多使用者的问题。

WiMAXWiMAX 较较 Wi-FiWi-Fi 来得安全来得安全 WiMAXWiMAX 比比 Wi-FiWi-Fi更安全是另一个盛传的错误观更安全是另一个盛传的错误观

点。事实上点。事实上 WiMAXWiMAX 使用的是与使用的是与 Wi-Fi Wi-Fi 的的 WPA2WPA2标准相似的认证与加密方法。其中的微小区别在标准相似的认证与加密方法。其中的微小区别在于于 WiMAX WiMAX 的安全机制使用的安全机制使用 3DES3DES 或或 AES AES 加密，加密，然后再加上然后再加上 EAP EAP ，这种方法叫，这种方法叫 PKM-EAP.PKM-EAP. 而另而另一方面一方面 Wi-Fi Wi-Fi 的的 WPA2WPA2则是用典型的则是用典型的 PEAPPEAP认证认证与与 AES AES 加密。没人可以说其中一个一定绝对比加密。没人可以说其中一个一定绝对比另一个安全，因为好的安全性往往取决于实际建另一个安全，因为好的安全性往往取决于实际建置方式的正确与否。 置方式的正确与否。

让社会大众知道让社会大众知道 WiMAXWiMAX 的正反两面十分的正反两面十分重要。重要。 WiMAXWiMAX 技术与技术与 802.16802.16 标准是十标准是十分重要的，因为他是无线分重要的，因为他是无线 ISPISP 企业未来合企业未来合理的演进方向。但是它绝非无线网络技术理的演进方向。但是它绝非无线网络技术万能而且终极的解决方案。万能而且终极的解决方案。 WiMAX WiMAX 或其或其他的无线网络技术将会互补，同时这些无他的无线网络技术将会互补，同时这些无线技术也不可能取代有线技术的需求。无线技术也不可能取代有线技术的需求。无线的连线方式必定更有行动力、更方便。线的连线方式必定更有行动力、更方便。至于有线的连线方式，只要能牵上线，则至于有线的连线方式，只要能牵上线，则一定更快，更可靠。 一定更快，更可靠。

无线网络的硬件构成无线网络的硬件构成 （（ 11 ）无线网卡，也叫）无线网卡，也叫WLANWLAN适配器。实际上只适配器。实际上只

要两台计算机各自拥有无线网卡，就可以实现点要两台计算机各自拥有无线网卡，就可以实现点对点的通信对点的通信

（（ 22 ）无线接入点）无线接入点 APAP ，无线网卡与，无线网卡与 APAP 连接，通连接，通过过 APAP 与其他网卡交换信息。简单的说与其他网卡交换信息。简单的说 APAP就象是就象是一个一个 HUBHUB

（（ 33 ）无线网桥、无线路由器和无线网关。在无）无线网桥、无线路由器和无线网关。在无线接入点中加入路由功能，无线接入点也就成为线接入点中加入路由功能，无线接入点也就成为了无线路由器或者无线网关。一个常见用途是这了无线路由器或者无线网关。一个常见用途是这样就可以直接访问因特网而不需要另外的安装或样就可以直接访问因特网而不需要另外的安装或设置代理服务器设置代理服务器

（（ 44 ）天线）天线

无线网络的安全隐患与威胁无线网络的安全隐患与威胁 由于无线网络采用公共的电磁波作为载体，任何由于无线网络采用公共的电磁波作为载体，任何

人都有条件窃听或者干扰信息，因此对越权存取人都有条件窃听或者干扰信息，因此对越权存取和窃听的行为就更不容易防备。黑客容易通过一和窃听的行为就更不容易防备。黑客容易通过一些工具盒对无线网络进行攻击。些工具盒对无线网络进行攻击。

无线网络比有线网络更容易受到攻击，一些风险无线网络比有线网络更容易受到攻击，一些风险与有线网络相类似，但是由于无线链接而放大，与有线网络相类似，但是由于无线链接而放大，有些则只是影响到无线网络有些则只是影响到无线网络

目前无线网络的安全现状主要具有以下特点：目前无线网络的安全现状主要具有以下特点：

（（ 11 ）广播性：）广播性： WLANWLAN 的数据信息和广播的数据信息和广播一样，是没有约束的，在发射能力允许的一样，是没有约束的，在发射能力允许的情况下，可以向四面八方传播。情况下，可以向四面八方传播。

（（ 22 ）穿透性：）穿透性： WLANWLAN 的信息可以穿透墙的信息可以穿透墙壁、天花板、地板等的阻隔到达室外，这壁、天花板、地板等的阻隔到达室外，这样留下了入侵者可以不进入室内进行攻击、样留下了入侵者可以不进入室内进行攻击、入侵和窃听网络信息的机会入侵和窃听网络信息的机会

（（ 33 ）兼容性：在）兼容性：在WLANWLAN 的数据信号覆盖的数据信号覆盖范围内，任何范围内，任何 WLANWLAN 的产品都可以接收到的产品都可以接收到WLANWLAN 的传输数据。这些数据如果是以明的传输数据。这些数据如果是以明文形式传输的，则文形式传输的，则WLANWLAN 就毫无安全可言就毫无安全可言

无线网络有很多的弱点，其中关键的有以无线网络有很多的弱点，其中关键的有以下几个方面：下几个方面：

（（ 11 ）网络设计上的缺陷：比如在关键资）网络设计上的缺陷：比如在关键资源集中的内部网络设置源集中的内部网络设置 APAP ，可能导致入侵，可能导致入侵者利用这个者利用这个 APAP 作为突破口，直接造成对关作为突破口，直接造成对关键资源的窃取和破坏，在外围设置的防火键资源的窃取和破坏，在外围设置的防火墙等设备都起不到保护的作用墙等设备都起不到保护的作用

（（ 22 ）无线信号的覆盖面。）无线信号的覆盖面。 WLANWLAN 的无线的无线信号覆盖面一般都远远超过实际的需求。信号覆盖面一般都远远超过实际的需求。如果没有采取屏蔽措施的话，散布在外的如果没有采取屏蔽措施的话，散布在外的信号可能会被入侵者所利用信号可能会被入侵者所利用

（（ 33 ）） 802.11b802.11b 采用的加密措施的安全问题。采用的加密措施的安全问题。其采用的其采用的 WEPWEP 加密算法，在链路层进行加密算法，在链路层进行 RC4RC4对对称密钥加密。在加密过程中，称密钥加密。在加密过程中， WEPWEP 使用一个密使用一个密钥进行加密，使用同一密钥进行解密。只要时间钥进行加密，使用同一密钥进行解密。只要时间允许，总是有可能被获得密钥的。允许，总是有可能被获得密钥的。

密钥管理是对称密钥体制中最重要的问题，但是密钥管理是对称密钥体制中最重要的问题，但是WEPWEP 并没有具体规定共享密钥如何产生、分发、并没有具体规定共享密钥如何产生、分发、泄密后如何更改的问题；以及如何定期的实现密泄密后如何更改的问题；以及如何定期的实现密钥的更新、备份和恢复等钥的更新、备份和恢复等

WEPWEP 把这些问题都交给了硬件制作商和用把这些问题都交给了硬件制作商和用户去解决。很多用户根本没有意识到密钥户去解决。很多用户根本没有意识到密钥管理的重要性，密钥过于弱很容易被人破管理的重要性，密钥过于弱很容易被人破解解

（（ 44 ）） APAP 和无线终端非常脆弱的认证方式。和无线终端非常脆弱的认证方式。通常无线终端通过递交通常无线终端通过递交 SSIDSSID 作为凭证接入作为凭证接入APAP ，而，而 SSIDSSID 一般都是由一般都是由 APAP 向外传播的，向外传播的，很容易被窃取，切无线终端一般没有技术很容易被窃取，切无线终端一般没有技术手段验证手段验证 APAP 的真实性的真实性

（（ 55 ）） 802.11b802.11b 采用的频率和很多设备相采用的频率和很多设备相同，很容易造成干扰。而且由于其本身贷同，很容易造成干扰。而且由于其本身贷款容量较低，很容易作为带宽消耗性的拒款容量较低，很容易作为带宽消耗性的拒绝服务攻击的牺牲品绝服务攻击的牺牲品

无线网络面临的安全威胁无线网络面临的安全威胁 无线网络面临着比传统网络更多的安全威无线网络面临着比传统网络更多的安全威

胁。现有的无线网络几乎无法对覆盖范围胁。现有的无线网络几乎无法对覆盖范围进行控制，这就使得一些在传统网络中无进行控制，这就使得一些在传统网络中无法应用的攻击方式被黑客使用来攻击无线法应用的攻击方式被黑客使用来攻击无线网络，常见的安全威胁有以下几种：网络，常见的安全威胁有以下几种：

11 、窃听、窃听 :: 无线网络容易遭受匿名黑客的攻无线网络容易遭受匿名黑客的攻击。攻击者可以截获电波信号并解析出这击。攻击者可以截获电波信号并解析出这些数据，这种攻击行为几乎不可能被检测些数据，这种攻击行为几乎不可能被检测到。通过使用天线，攻击者可以在很远的到。通过使用天线，攻击者可以在很远的地方进行攻击地方进行攻击

（（ 22 ）通信阻断：有意或者无意的干扰源可以阻）通信阻断：有意或者无意的干扰源可以阻断通信。对整个网络进行的通信阻断可以很容易断通信。对整个网络进行的通信阻断可以很容易造成造成 DOSDOS 的攻击，整个区域包括客户端和基站都的攻击，整个区域包括客户端和基站都会被干扰，以致于没有设备可以和其他的设备进会被干扰，以致于没有设备可以和其他的设备进行通信，大部分的无线网络使用公共频段，很容行通信，大部分的无线网络使用公共频段，很容易受到来自其他设备的干扰。易受到来自其他设备的干扰。

而且不仅仅是来自攻击者的干扰，现有的设备包而且不仅仅是来自攻击者的干扰，现有的设备包括无绳电话和微波炉也有可能会干扰通信括无绳电话和微波炉也有可能会干扰通信

（（ 33 ）数据注入和篡改：黑客向已有连接中注入）数据注入和篡改：黑客向已有连接中注入数据来截取连接或者发送恶意数据和指令。一个数据来截取连接或者发送恶意数据和指令。一个攻击者能够通过向基站插入数据或者命令来篡改攻击者能够通过向基站插入数据或者命令来篡改控制信息，这样会造成用户的连接中断。控制信息，这样会造成用户的连接中断。

数据注入可被用来进行数据注入可被用来进行 DOSDOS攻击，一个攻击者可攻击，一个攻击者可以向网络接入点中发送大量的连接请求包，是接以向网络接入点中发送大量的连接请求包，是接入点的用户连接超标，这样来拒绝合法用户的访入点的用户连接超标，这样来拒绝合法用户的访问。如果上层协议中没有提供对实时数据的完整问。如果上层协议中没有提供对实时数据的完整性检测，在连接中注入数据也是可能的性检测，在连接中注入数据也是可能的

（（ 44 ）中间人攻击：中间人攻击与数据注）中间人攻击：中间人攻击与数据注入攻击类似，可以采取多种方式，以破坏入攻击类似，可以采取多种方式，以破坏会话的机密性和完整性。会话的机密性和完整性。

（（ 55 ）客户端伪装：通过对一个客户端的）客户端伪装：通过对一个客户端的研究，攻击者可以模仿或者复制客户端的研究，攻击者可以模仿或者复制客户端的身份信息，以图获得对网络或者服务的访身份信息，以图获得对网络或者服务的访问。攻击者也可以通过窃取一个网络访问问。攻击者也可以通过窃取一个网络访问设备来访问网络。设备来访问网络。

这种情况下通过第二层访问控制手段来限这种情况下通过第二层访问控制手段来限制对资源的访问，包括蜂窝电话公司采用制对资源的访问，包括蜂窝电话公司采用的通过电子序列码或者的通过电子序列码或者 802.11802.11 网络采用网络采用的通过的通过 MACMAC 地址的这些手段都会实效地址的这些手段都会实效

（（ 66 ）接入点伪装：一个高超的攻击者可）接入点伪装：一个高超的攻击者可以伪装成一个接入点。客户端在未察觉的以伪装成一个接入点。客户端在未察觉的情况下接入到这个接入点，从而便会泄漏情况下接入到这个接入点，从而便会泄漏自己的机密认证信息自己的机密认证信息

（（ 77 ）匿名：攻击者可以隐藏在无线网络）匿名：攻击者可以隐藏在无线网络覆盖的任何角落，并保持匿名的状态，这覆盖的任何角落，并保持匿名的状态，这使得定位和犯罪调查变得异常的困难。。使得定位和犯罪调查变得异常的困难。。

值得注意的是，许多攻击者不是为了攻击值得注意的是，许多攻击者不是为了攻击无线网络本身而进行攻击，而是为了找到无线网络本身而进行攻击，而是为了找到接入因特网攻击其他机器的跳板。接入因特网攻击其他机器的跳板。

（（ 88 ）客户端对客户端的攻击）客户端对客户端的攻击 在无线网络上，没有部署个人防火墙或者在无线网络上，没有部署个人防火墙或者进行加固的客户端如果受到攻击，很可能进行加固的客户端如果受到攻击，很可能会泄漏出机密信息，攻击者可以利用这些会泄漏出机密信息，攻击者可以利用这些信息获得对其他网络资源的访问权限。信息获得对其他网络资源的访问权限。

（（ 99 ）隐匿无线信道：由于硬件无线接入）隐匿无线信道：由于硬件无线接入点价格的逐渐降低，而且可以通过在安装点价格的逐渐降低，而且可以通过在安装有无线网卡的机器上安装软件来实现无线有无线网卡的机器上安装软件来实现无线接入点的功能，故网络管理员应该及时检接入点的功能，故网络管理员应该及时检查网络上存在的一些有问题或者非法部署查网络上存在的一些有问题或者非法部署的无线网络设备的无线网络设备

（（ 1010 ）服务区标志（）服务区标志（ SSIDSSID ）的安全问题：）的安全问题：SSIDSSID 是无线接入点用于标志其所在子网的是无线接入点用于标志其所在子网的标志符。如果一个客户端不知道服务区标标志符。如果一个客户端不知道服务区标志符，接入点拒绝客户端对本地子网的访志符，接入点拒绝客户端对本地子网的访问。当客户端连接到接入点上时，服务区问。当客户端连接到接入点上时，服务区标志相当于一个简单的口令，起到一定的标志相当于一个简单的口令，起到一定的安全保障作用。安全保障作用。

如果接入点被设置成对如果接入点被设置成对 SSIDSSID 进行广播，那进行广播，那么所有的客户端都可以接收到它，并用于么所有的客户端都可以接收到它，并用于对无线网络的应用。很多接入点都采用对无线网络的应用。很多接入点都采用SSIDSSID 的出厂默认设置，这些默认值通过因的出厂默认设置，这些默认值通过因特网可以获得特网可以获得

（（ 1111 ）漫游造成的问题：无线和有线网络）漫游造成的问题：无线和有线网络的另一个区别是终端的移动性。很多的另一个区别是终端的移动性。很多 TCP/TCP/IPIP 服务端都要求客户端和服务端的服务端都要求客户端和服务端的 IPIP 地址地址保持不变，当从一个网络进入另一个网络保持不变，当从一个网络进入另一个网络时，要求无线网络提供漫游机制。时，要求无线网络提供漫游机制。

移动移动 IPIP 的基本原理在于地点注册和报文转的基本原理在于地点注册和报文转发，一个与地点无关的地址用于保持发，一个与地点无关的地址用于保持 TCP/TCP/IPIP 连接，另一个随着地点而变化的临时地连接，另一个随着地点而变化的临时地址用于访问本地网络资源。址用于访问本地网络资源。

除此之外，移动除此之外，移动 IPIP 系统还有系统还有 33 个必要条件：即移个必要条件：即移动节点、所属地代理和外地代理。移动节点即用动节点、所属地代理和外地代理。移动节点即用户无线设备，所属地代理是唯一移动节点所属网户无线设备，所属地代理是唯一移动节点所属网络的服务器而外地代理属于移动节点漫游到的网络的服务器而外地代理属于移动节点漫游到的网络。当一个移动节点漫游到一个网络。它会获得络。当一个移动节点漫游到一个网络。它会获得一个与地点右端的临时地址，并注册到外地代理一个与地点右端的临时地址，并注册到外地代理上。外地代理会与所属地代理联系，通知它移动上。外地代理会与所属地代理联系，通知它移动节点的接入情况，而且所有到移动节点的包都必节点的接入情况，而且所有到移动节点的包都必须由所属地代理转发到外地代理上。须由所属地代理转发到外地代理上。

这种机制会带来一些问题：首先，攻击者这种机制会带来一些问题：首先，攻击者可以通过对注册过程的重放来获取发送到可以通过对注册过程的重放来获取发送到移动节点的数据；其次，攻击者也可以模移动节点的数据；其次，攻击者也可以模拟移动节点以非法获得网络资源拟移动节点以非法获得网络资源

保护无线局域网和防御无线威胁的保护无线局域网和防御无线威胁的五个步骤五个步骤

尽管尽管 ITIT管理员已经意识到，他们需要采取适当的技术手管理员已经意识到，他们需要采取适当的技术手段来保护段来保护WLANWLAN 介质本身的安全性，但是可能让他们感介质本身的安全性，但是可能让他们感到惊讶的是，到惊讶的是， WLANWLAN 安全本身并不足以保护机构的安全。安全本身并不足以保护机构的安全。无论一个企业拥有经过授权的无论一个企业拥有经过授权的 WLANWLAN ，还是制定了 ，还是制定了 ““禁禁用用 Wi-FiWi-Fi”” 的政策，都必须认识到，企业有线网络在面对的政策，都必须认识到，企业有线网络在面对无线无线““威胁威胁””时存在一定的漏洞。最常见的是恶意接入点。时存在一定的漏洞。最常见的是恶意接入点。迫切希望使用无线网络的员工可能会带来他们自己的接入迫切希望使用无线网络的员工可能会带来他们自己的接入点点――――通常是成本很低的消费级产品通常是成本很低的消费级产品――――来加快所在部门来加快所在部门的无线连接速度，而忽视这样做所带来的危险。这些恶意的无线连接速度，而忽视这样做所带来的危险。这些恶意接入点位于防火墙之后，不会被传统的入侵检测或者防御接入点位于防火墙之后，不会被传统的入侵检测或者防御系统（系统（ IDS/IPSIDS/IPS ）所发现。信号覆盖范围内的任何人都可）所发现。信号覆盖范围内的任何人都可以连接和进入企业网络。以连接和进入企业网络。

让情况变得更加复杂的是，新出现的移动让情况变得更加复杂的是，新出现的移动办公人员需要在办公室内、外访问网络。办公人员需要在办公室内、外访问网络。员工经常从他们的家中、宾馆、机场和其员工经常从他们的家中、宾馆、机场和其他无线热点开展工作。这些他无线热点开展工作。这些““不受管理不受管理的的””工作地点很可能会成为安全威胁进入工作地点很可能会成为安全威胁进入企业网络的通道企业网络的通道――――笔记本电脑可能会感笔记本电脑可能会感染病毒、间谍软件和恶意软件。因为无线染病毒、间谍软件和恶意软件。因为无线客户端可以在用户毫不知情的情况下连接客户端可以在用户毫不知情的情况下连接到无线接入点，从而进一步加剧了这个问到无线接入点，从而进一步加剧了这个问题的严重性。 题的严重性。

解决方案解决方案 思科自防御网络（思科自防御网络（ SDNSDN ）战略可以通过大幅度提）战略可以通过大幅度提高网络自动发现、防御和消除安全威胁的能力，高网络自动发现、防御和消除安全威胁的能力，防范无线技术对安全带来的新型威胁。作为这项防范无线技术对安全带来的新型威胁。作为这项战略的组成部分，思科统一无线网络为防止有线战略的组成部分，思科统一无线网络为防止有线网络遭受无线威胁和在经过授权的网络遭受无线威胁和在经过授权的 WLANWLAN 上确保上确保安全、私有的通信提供了一个全面的解决方案。安全、私有的通信提供了一个全面的解决方案。由于采用了分布式防御策略，网络上的每个设备由于采用了分布式防御策略，网络上的每个设备――――从客户端、接入点、无线控制器到管理系统从客户端、接入点、无线控制器到管理系统――――都在无线网络环境的保护中扮演着重要的角都在无线网络环境的保护中扮演着重要的角色。色。

由于由于 WLANWLAN 的移动性，需要采用一种多层次的安的移动性，需要采用一种多层次的安全保障方法。思科公司建议为防止网络遭受无线全保障方法。思科公司建议为防止网络遭受无线威胁而采取一种分为五个步骤的方法：威胁而采取一种分为五个步骤的方法：

• • 制定一项制定一项WLANWLAN 安全策略 安全策略 • • 保护保护WLAN WLAN • • 防止有线（以太网）网络遭受无线威胁 防止有线（以太网）网络遭受无线威胁 • • 防止机构遭受外部威胁 防止机构遭受外部威胁 • • 让员工也加入到保护网络的队伍之中 让员工也加入到保护网络的队伍之中

这五个步骤都有助于防止网络这五个步骤都有助于防止网络――――无论是有线还无论是有线还是无线是无线――――遭受经由遭受经由 WLANWLAN 连接进行的、未经授连接进行的、未经授权的访问 权的访问

制定一项制定一项 WLANWLAN 安全策略安全策略 与有线接入所采用的安全策略类似，制定一项涵与有线接入所采用的安全策略类似，制定一项涵

盖了授权使用和安全性的书面无线策略是必不可盖了授权使用和安全性的书面无线策略是必不可少的第一步。现在已经有很多针对特定部分的模少的第一步。现在已经有很多针对特定部分的模板。通常，安全策略文档主要包含下列部分：板。通常，安全策略文档主要包含下列部分：

　　　　• •  目的 目的 　　　　• •  范围 范围 　　　　• •  策略 策略 　　　　• •  职责 职责 　　　　• •  实施 实施 　　　　• •  定义 定义 　　　　• •  修订历史 修订历史

保护保护 WLANWLAN 　　　　WLANWLAN 部署在最近几年中大幅增加部署在最近几年中大幅增加――――从会从会议室中的访客接入和机构中的有限连接议室中的访客接入和机构中的有限连接““热热””区，区，到全面覆盖整个机构的网络。不幸的是，其中有到全面覆盖整个机构的网络。不幸的是，其中有很多部署都是不安全的，让好奇的用户很多部署都是不安全的，让好奇的用户――――或者或者恶意的黑客恶意的黑客――――有机会访问保密的信息。保护一有机会访问保密的信息。保护一个个 WLANWLAN 并不困难；技术的进步和思科统一无线并不困难；技术的进步和思科统一无线网络让它变得比以往任何时候都要简便。网络保网络让它变得比以往任何时候都要简便。网络保护建立在拓展思科自防御网络的基础上，该战略护建立在拓展思科自防御网络的基础上，该战略主要立足于三个原则：加密通信，威胁控制和隔主要立足于三个原则：加密通信，威胁控制和隔离，以及策略遵从性管理。离，以及策略遵从性管理。

加密通信加密通信 　　加密通信包括加密数据和对网络用户　　加密通信包括加密数据和对网络用户进行身份验证。在无线网络中，与有线网进行身份验证。在无线网络中，与有线网络一样，并不一定要将这两种措施结合到络一样，并不一定要将这两种措施结合到一起，但是对于大部分网络，思科建议同一起，但是对于大部分网络，思科建议同时使用这两项措施。例外情况包括热点或时使用这两项措施。例外情况包括热点或者访客网络，稍后将对这两种网络进行详者访客网络，稍后将对这两种网络进行详细的讨论。另外，无线介质的特性要求采细的讨论。另外，无线介质的特性要求采用其他一些安全技术来保护网络安全。用其他一些安全技术来保护网络安全。

修改缺省的修改缺省的 SSIDSSID 　　接入点都配有一个标准的网络名称，例　　接入点都配有一个标准的网络名称，例

如如““ tsunamitsunami”” 、、““ defaultdefault”” 和和““ linksyslinksys””等。等。通过对客户端进行广播，它们可以表明接入点的通过对客户端进行广播，它们可以表明接入点的可用性。您应当在安装完毕之后立即更改该参数。可用性。您应当在安装完毕之后立即更改该参数。在重新命名接入点的服务集标识符（在重新命名接入点的服务集标识符（ SSIDSSID ）时，）时，选择一个与您的企业没有直接联系的名称；不要选择一个与您的企业没有直接联系的名称；不要选择您的企业名称，企业电话号码，或者其他容选择您的企业名称，企业电话号码，或者其他容易被猜出或者在互联网上找到的、关于您的公司易被猜出或者在互联网上找到的、关于您的公司的信息。在缺省情况下，接入点会向覆盖范围内的信息。在缺省情况下，接入点会向覆盖范围内的任何无线客户端广播的任何无线客户端广播 SSIDSSID

对于某些应用，例如热点或者访客接入，这项功对于某些应用，例如热点或者访客接入，这项功能让用户可以自动地找到网络。但是，对于企业能让用户可以自动地找到网络。但是，对于企业网络而言，您应当禁用广播功能，以限制那些随网络而言，您应当禁用广播功能，以限制那些随意寻找开放的无线网络的用户。意寻找开放的无线网络的用户。思科统一无线网络有助于确保所有客户端在某个思科统一无线网络有助于确保所有客户端在某个由操作员限定的尝试次数内获得访问权限。如果由操作员限定的尝试次数内获得访问权限。如果客户端没有在限定次数内获得权限，它就会被自客户端没有在限定次数内获得权限，它就会被自动地排除在外（即取消访问权），直到操作员设动地排除在外（即取消访问权），直到操作员设定的等待时间结束为止。该操作系统还可以在每定的等待时间结束为止。该操作系统还可以在每个个 WLANWLAN 的基础上禁用的基础上禁用 SSIDSSID 广播，从而进一步广播，从而进一步降低网络被随意监听的可能性。 降低网络被随意监听的可能性。

使用严格的加密方法使用严格的加密方法 WLANWLAN 部署最主要的障碍之一是无线等效隐私（部署最主要的障碍之一是无线等效隐私（ WEPWEP ））

加密加密――――一种薄弱的、独立的加密方法。而且，附加安全一种薄弱的、独立的加密方法。而且，附加安全解决方案的复杂性让很多解决方案的复杂性让很多 ITIT管理人员都无法采用最先进管理人员都无法采用最先进的的 WLANWLAN 安全技术。思科统一无线网络将安全组件整合安全技术。思科统一无线网络将安全组件整合到了一个简单的策略管理器之中，由其在每个到了一个简单的策略管理器之中，由其在每个 WLANWLAN 的的基础上定制整个系统的安全策略。为了便于连接客户端，基础上定制整个系统的安全策略。为了便于连接客户端，制造商通常不会对接入点的无线加密方式进行设置。但是制造商通常不会对接入点的无线加密方式进行设置。但是在部署完毕之后，很容易忘记这个步骤在部署完毕之后，很容易忘记这个步骤――――这是这是 WLANWLAN被未经授权的人员破解或者盗用的最常见原因。因此，您被未经授权的人员破解或者盗用的最常见原因。因此，您应当在部署完毕之后立即设置一个无线安全加密方法。思应当在部署完毕之后立即设置一个无线安全加密方法。思科建议您使用最安全的无线加密机制科建议您使用最安全的无线加密机制―――― IEEE 802.11iIEEE 802.11i或者或者 VPNVPN 。 。

IEEE 802.11iIEEE 802.11i （当接入点经过（当接入点经过Wi-FiWi-Fi 联盟认证时，它也联盟认证时，它也被称为被称为 WPA2WPA2 ）为数据加密采用了高级加密标准（）为数据加密采用了高级加密标准（ AEAESS ）。）。 AESAES 是目前最严格的加密标准，可以取代是目前最严格的加密标准，可以取代WEPWEP 。。您应当尽可能使用结合您应当尽可能使用结合 AESAES 的的 WPA2WPA2 。它的前身。它的前身WPAWPA是一种由是一种由 Wi-FiWi-Fi 联盟认证的过渡性安全标准，当时联盟认证的过渡性安全标准，当时802.11i802.11i 还处于审核阶段。还处于审核阶段。 WPAWPA 为加密使用了临时密钥为加密使用了临时密钥完整性协议（完整性协议（ TKIPTKIP ）；）； TKIPTKIP 是一种可以大幅度加强无是一种可以大幅度加强无线安全的加密形式，同时允许传统的线安全的加密形式，同时允许传统的 802.11b802.11b 客户端进客户端进行升级，从而保护了客户的投资。尽管行升级，从而保护了客户的投资。尽管 AESAES 被视为更加被视为更加严格的加密方式，但是值得一提的是，严格的加密方式，但是值得一提的是， TKIPTKIP 从来没有被从来没有被““破解破解””过。思科建议将过。思科建议将 WPAWPA作为备用加密标准。如果作为备用加密标准。如果您拥有的是可以升级的旧式客户端，您可以使用该标准。 您拥有的是可以升级的旧式客户端，您可以使用该标准。

注意：注意： 802.11i802.11i 标准、标准、 WPA2WPA2 和和 WPAWPA 都需要借都需要借助助 RADIUSRADIUS服务器来为每个客户端提供唯一的、服务器来为每个客户端提供唯一的、轮换的加密密钥。思科统一无线网络可以与思科轮换的加密密钥。思科统一无线网络可以与思科安全访问控制服务器（安全访问控制服务器（ ACSACS ），以及其他制造商），以及其他制造商的、兼容的、兼容 802.11i802.11i 和和 WPAWPA 的的 RADIUSRADIUS服务器进服务器进行互操作。另外，与其他必须利用第三方软件来行互操作。另外，与其他必须利用第三方软件来支持支持 IEEE 802.11iIEEE 802.11i功能的客户端不同，思科客功能的客户端不同，思科客户端可以在安全户端可以在安全 WPAWPA或者或者WPA2WPA2模式下，直接模式下，直接连接到思科统一无线网络基础设施。必须指出的连接到思科统一无线网络基础设施。必须指出的是，是， WPA2WPA2 和和 WPAWPA 的个人版本并不需要借助的个人版本并不需要借助RADIUSRADIUS服务器。因此，思科建议将其用于保护服务器。因此，思科建议将其用于保护家庭或者小型办公室家庭或者小型办公室 //家庭办公室（家庭办公室（ SOHOSOHO ）部）部署。 署。

思科兼容扩展计划有助于确保多种思科兼容扩展计划有助于确保多种 WLANWLAN 客户端设备可客户端设备可以兼容和支持思科以兼容和支持思科WLANWLAN 基础设施产品的创新功能。因基础设施产品的创新功能。因此，此， ITIT管理人员可以放心地部署管理人员可以放心地部署WLAN――WLAN――即使在这些即使在这些WLANWLAN 需要为多种客户端设备提供服务时。思科兼容扩展需要为多种客户端设备提供服务时。思科兼容扩展是一项重要的计划，可以提供无线网络所需要的端到端性是一项重要的计划，可以提供无线网络所需要的端到端性能、能、 RFRF管理、服务质量（管理、服务质量（ QoSQoS ）和安全功能。通过该计）和安全功能。通过该计划实现的一些重要的安全改进包括思科划实现的一些重要的安全改进包括思科 LEAPLEAP 、、 PEAPPEAP 和和EAP-FASTEAP-FAST模式，以及针对延迟敏感型应用（例如模式，以及针对延迟敏感型应用（例如 WLANWLAN语音）的安全快速漫游和密钥缓存。其中部分功能已经标语音）的安全快速漫游和密钥缓存。其中部分功能已经标准机构逐步采用，思科也在它们通过审核之后提供给客户。准机构逐步采用，思科也在它们通过审核之后提供给客户。

如需查看思科兼容扩展计划中包含的所有产品的列表，请如需查看思科兼容扩展计划中包含的所有产品的列表，请访问：访问： http://www.cisco.com/go/ciscocompatible/http://www.cisco.com/go/ciscocompatible/wirelesswireless 。 。

在客户端和网络之间部署双向身份在客户端和网络之间部署双向身份验证验证

原始的原始的 802.11802.11 标准所缺少的另外一项重标准所缺少的另外一项重要功能是网络和客户端之间的双向身份验要功能是网络和客户端之间的双向身份验证。证。 WPAWPA 和和 IEEE 802.11iIEEE 802.11i 添加了这项功添加了这项功能。这两项协议都为客户端和网络之间的能。这两项协议都为客户端和网络之间的双向身份验证采用了双向身份验证采用了 IEEE 802.1XIEEE 802.1X 。 。

专用客户端的替代安全战略专用客户端的替代安全战略 如果客户端因为过于陈旧或者驱动程序不兼容而无法支持如果客户端因为过于陈旧或者驱动程序不兼容而无法支持

802.11i802.11i 、、 WPA2WPA2或者或者WPAWPA ，您可能无法使用这些加密，您可能无法使用这些加密和身份验证类型。在这种情况下，和身份验证类型。在这种情况下， VPNVPN 可以作为保护无可以作为保护无线客户端连接的备用解决方案。通过使用线客户端连接的备用解决方案。通过使用 VPNVPN ，以及利，以及利用多个用多个 SSIDSSID 和和 VLANVLAN 进行网络分段（详见下文），可以进行网络分段（详见下文），可以为拥有多种不同客户端的网络提供一个强大的解决方为拥有多种不同客户端的网络提供一个强大的解决方案。案。 IPIP 安全（安全（ IPSecIPSec ）和）和 SSL VPNSSL VPN 可以提供与可以提供与 802.11i802.11i和和 WPAWPA 类似的安全等级。思科无线局域网控制器可以终类似的安全等级。思科无线局域网控制器可以终止止 IPSec VPNIPSec VPN 隧道，消除集中隧道，消除集中 VPNVPN 服务器的潜在瓶颈。服务器的潜在瓶颈。另外，思科统一无线网络支持跨越子网的透明漫游，因此另外，思科统一无线网络支持跨越子网的透明漫游，因此那些对延迟敏感的应用（例如无线那些对延迟敏感的应用（例如无线 IPIP 语音语音 [VoIP][VoIP]或者或者CitrixCitrix ）在漫游时不会因为延迟过长而中断连接。 ）在漫游时不会因为延迟过长而中断连接。

如果这些方法都无法使用，您应当设置如果这些方法都无法使用，您应当设置 WEPWEP 。。尽管尽管WEPWEP 容易受到一些来自互联网的工具的威容易受到一些来自互联网的工具的威胁，但是它至少可以对随意监听者起到一定的威胁，但是它至少可以对随意监听者起到一定的威慑作用。加上基于慑作用。加上基于 VLANVLAN 的用户分段，的用户分段， WEPWEP 可可以有效地消除安全威胁。思科以有效地消除安全威胁。思科WLANWLAN 解决方案还解决方案还支持本地和支持本地和 RADIUS MACRADIUS MAC过滤，这种方法适用过滤，这种方法适用于拥有一个已知的于拥有一个已知的 802.11802.11 接入卡接入卡 MACMAC 地址列表地址列表的小型客户端群组。如果使用这种方法，就应当的小型客户端群组。如果使用这种方法，就应当立即为采取更加严格的安全形式制定计划。 立即为采取更加严格的安全形式制定计划。

无论选择何种无线安全解决方案，思科无无论选择何种无线安全解决方案，思科无线局域网控制器和采用轻型接入点协议线局域网控制器和采用轻型接入点协议（（ LWAPPLWAPP ）的）的 Cisco AironetCisco Aironet 接入点之接入点之间的所有第二层有线通信，都可以通过将间的所有第二层有线通信，都可以通过将数据经由数据经由 LWAPPLWAPP 隧道传输而得到保护。作隧道传输而得到保护。作为进一步的安全措施，也使用禁用功能，为进一步的安全措施，也使用禁用功能，在达到由操作员限定的身份验证尝试失败在达到由操作员限定的身份验证尝试失败次数之后，制止第二层访问请求。次数之后，制止第二层访问请求。

利用身份联网将用户划分到适当的利用身份联网将用户划分到适当的资源资源

很多不同类型的用户需要访问很多不同类型的用户需要访问 WLANWLAN 网络。订单网络。订单管理员需要访问订单条目和发货系统；会计和财管理员需要访问订单条目和发货系统；会计和财务人员需要访问应收款项、应支付款项和其他财务人员需要访问应收款项、应支付款项和其他财务系统；营销和销售团队需要访问销售绩效数据。务系统；营销和销售团队需要访问销售绩效数据。思科统一无线网络支持身份联网。按照这个概念，思科统一无线网络支持身份联网。按照这个概念，网络将根据无线客户端的身份网络将根据无线客户端的身份――――而不是它的物而不是它的物理位置理位置――――分配和执行分配和执行WLANWLAN策略。利用身份联策略。利用身份联网，无线设备只需要对网，无线设备只需要对WLANWLAN 系统进行一次身份系统进行一次身份验证。环境信息会在设备漫游时始终伴随着它们，验证。环境信息会在设备漫游时始终伴随着它们，从而有助于确保透明的移动。 从而有助于确保透明的移动。

当当 WLANWLAN 与某个特定的与某个特定的 VLANVLAN 关联时，用关联时，用户可以获得对该户可以获得对该 VLANVLAN 上的网络资源的访上的网络资源的访问权限。例如，问权限。例如，““ receivingreceiving””VLANVLAN 中的中的人员可以利用人员可以利用 SSIDSSID““receivingreceiving”” 访问无线访问无线网络，该网络，该 SSIDSSID 只提供对电子邮件和企业资只提供对电子邮件和企业资源计划（源计划（ ERPERP ）系统的访问权限。管理人）系统的访问权限。管理人员可以利用员可以利用 SSIDSSID““corpcorp”” 访问无线网络，该访问无线网络，该SSIDSSID 可以访问财务、客户和销售数据库信可以访问财务、客户和销售数据库信息。这两个息。这两个 SSIDSSID 都支持严格的都支持严格的 802.11i802.11i或者或者WPAWPA 加密。 加密。

很多企业都使用条形码扫描仪来在发货或者收货部很多企业都使用条形码扫描仪来在发货或者收货部门跟踪库存，或者在制造车间中使用移动打印机。门跟踪库存，或者在制造车间中使用移动打印机。随着随着WLANWLAN语音的日益普及，语音的日益普及， Wi-FiWi-Fi 电话正在成电话正在成为一种主流产品。这些类型的设备通常并不支持严为一种主流产品。这些类型的设备通常并不支持严格的格的 802.11i802.11i或者或者WPAWPA 安全，而是只支持不太安安全，而是只支持不太安全的全的 WEPWEP 加密。它们也可以被划分到某个支持加密。它们也可以被划分到某个支持WEPWEP 的特定的特定 SSIDSSID 上，将流量路由到某个只允许访上，将流量路由到某个只允许访问与之关联的数据库或者应用的问与之关联的数据库或者应用的 VLANVLAN 。这种配置，。这种配置，再加上频繁的加密密钥改动和再加上频繁的加密密钥改动和 MACMAC 地址控制列表，地址控制列表，可以消除潜在的安全威胁。 可以消除潜在的安全威胁。

最后，很多机构都对让访客、合作伙伴和客户在最后，很多机构都对让访客、合作伙伴和客户在他们的工作地点访问互联网很感兴趣。无线访客他们的工作地点访问互联网很感兴趣。无线访客网络为允许这些用户访问防火墙，以及让网络为允许这些用户访问防火墙，以及让 ITIT 人员人员无需对每个用户进行授权提供了一种方便的途径。无需对每个用户进行授权提供了一种方便的途径。访客网络采用的是一种开放的安全方法，它们被访客网络采用的是一种开放的安全方法，它们被划分到一个特定的划分到一个特定的 SSIDSSID 上，将流量发送到一个上，将流量发送到一个只允许访问互联网的只允许访问互联网的 VLANVLAN 。在这种情况。在这种情况下，下， SSIDSSID 通常会进行广播，以便让访客可以自通常会进行广播，以便让访客可以自动发现它们。用户登录可以通过一个美观的门户动发现它们。用户登录可以通过一个美观的门户网页完成，以便让网络使用经过审核，而且确保网页完成，以便让网络使用经过审核，而且确保访客在使用服务之前同意遵守所有条款。 访客在使用服务之前同意遵守所有条款。

确保管理端口得到保护确保管理端口得到保护 　　　　WLANWLAN 系统上的管理接口应当支持安全的、需系统上的管理接口应当支持安全的、需

要身份验证的管理方式。黑客常常通过管理端口重要身份验证的管理方式。黑客常常通过管理端口重新设置接入点，进而闯入企业网络。思科统一无线新设置接入点，进而闯入企业网络。思科统一无线网络可通过网络可通过 SNMPv3SNMPv3 、、 SSHSSH协议（加密协议（加密 WebWeb ））和和 SSLSSL （加密（加密 TelnetTelnet ）接口连接思科无线控制系）接口连接思科无线控制系统（统（ WCSWCS ）。而且，思科）。而且，思科WCSWCS 是可以设置的，是可以设置的，以保证管理不会通过无线介质进行。它支持一个单以保证管理不会通过无线介质进行。它支持一个单独的管理独的管理 VLANVLAN ，因而只有位于某个特定，因而只有位于某个特定 VLANVLAN 上上的基站才可以修改的基站才可以修改WLANWLAN 的网络设置。的网络设置。

利用轻型接入点解决方案防止网络遭受威胁利用轻型接入点解决方案防止网络遭受威胁 　　思科轻型接入点不会在本地存储加密或者其　　思科轻型接入点不会在本地存储加密或者其

他安全信息，因此如果接入点失窃，网络并不会他安全信息，因此如果接入点失窃，网络并不会受到威胁。而且，所有接入点都会通过一个受到威胁。而且，所有接入点都会通过一个X.509X.509证书自动通过身份验证，从而防止未经授证书自动通过身份验证，从而防止未经授权的接入点加入网络。您应当设法防止接入点设权的接入点加入网络。您应当设法防止接入点设置被篡改，因为这可能导致置被篡改，因为这可能导致 RFRF 覆盖范围的意外覆盖范围的意外变化。如果可能的话，将它们部署在悬挂的天花变化。如果可能的话，将它们部署在悬挂的天花板上方，对外只露出天线，以避免它们被别人发板上方，对外只露出天线，以避免它们被别人发现。为了支持这种形式的部署，思科轻型接入点现。为了支持这种形式的部署，思科轻型接入点支持一个支持一个 KensingtonKensington 锁接口和连接天线。锁接口和连接天线。

监控外部建筑物和地点监控外部建筑物和地点 　　因为接入点信号会延伸到大部分建筑物的边　　因为接入点信号会延伸到大部分建筑物的边界之外，有人可能会坐在停车场中或者街道对面，界之外，有人可能会坐在停车场中或者街道对面，进入企业的内部网络。如果已经采取了安全巡逻进入企业的内部网络。如果已经采取了安全巡逻或者视频监控措施，安全人员应当注意那些长时或者视频监控措施，安全人员应当注意那些长时间在企业设施周围徘徊的车辆或者人员。思科统间在企业设施周围徘徊的车辆或者人员。思科统一无线网络采用了正在申请专利的思科无线资源一无线网络采用了正在申请专利的思科无线资源管理（管理（ RRMRRM ）算法，可以实时地检测和适应空）算法，可以实时地检测和适应空间环境的变化。您可以利用思科间环境的变化。您可以利用思科 RRMRRM ，避免，避免 RFRF传播到建筑物物理边界之外。传播到建筑物物理边界之外。

防止有线网络遭受无线威胁防止有线网络遭受无线威胁 　　思科自防御网络计划的另外一个要素是威胁　　思科自防御网络计划的另外一个要素是威胁控制和隔离。它适用于无线和有线网络。与其他控制和隔离。它适用于无线和有线网络。与其他安全策略一样，仅仅警告员工注意威胁通常并不安全策略一样，仅仅警告员工注意威胁通常并不足以保障安全。一个典型的例子是关于不要打开足以保障安全。一个典型的例子是关于不要打开来自未知发件人的电子邮件附件的防病毒政策。来自未知发件人的电子邮件附件的防病毒政策。大部分机构都不能单单依靠这种警告大部分机构都不能单单依靠这种警告――――即使一即使一次错误也可能会导致网络遭受严重的损失，进而次错误也可能会导致网络遭受严重的损失，进而导致长时间的断网和生产率的降低。导致长时间的断网和生产率的降低。

同样，无线威胁控制和隔离也非常重要，尤其是同样，无线威胁控制和隔离也非常重要，尤其是在这个可能因为缺乏威胁控制而导致违反规定或在这个可能因为缺乏威胁控制而导致违反规定或者法律的时代。即使是一个者法律的时代。即使是一个““禁用禁用 Wi-FiWi-Fi”” 的政策的政策也并不能有效地避免这些威胁。员工可能会引入也并不能有效地避免这些威胁。员工可能会引入恶意接入点，而内嵌恶意接入点，而内嵌Wi-FiWi-Fi功能的笔记本电脑可功能的笔记本电脑可能会连接到相邻网络。这两个漏洞都像病毒、蠕能会连接到相邻网络。这两个漏洞都像病毒、蠕虫和垃圾邮件一样，带来严重的威胁。传统的有虫和垃圾邮件一样，带来严重的威胁。传统的有线安全方法（例如防火墙和线安全方法（例如防火墙和 VPNVPN ）并不能立即检）并不能立即检测到这些类型的威胁，但是思科统一无线网络采测到这些类型的威胁，但是思科统一无线网络采用了独特的设计，可以有效地监控和防范这些情用了独特的设计，可以有效地监控和防范这些情况的发生。 况的发生。

威胁控制和隔离威胁控制和隔离 集成化无线入侵防御集成化无线入侵防御 　　在思科统一无线网络中，接入点可以同时充　　在思科统一无线网络中，接入点可以同时充当无线信号显示器和数据转发设备。这种设计让当无线信号显示器和数据转发设备。这种设计让接入点可以在不中断服务的情况下，发送关于无接入点可以在不中断服务的情况下，发送关于无线网域的实时信息，包括对思科无线局域网控制线网域的实时信息，包括对思科无线局域网控制器的潜在安全威胁。它可以迅速地发现各种类型器的潜在安全威胁。它可以迅速地发现各种类型的安全威胁，并通过思科的安全威胁，并通过思科WCSWCS 提交给网络管理提交给网络管理人员，以便进行准确的分析和采取纠正措施。人员，以便进行准确的分析和采取纠正措施。

如果您的企业制定了如果您的企业制定了““禁用禁用 Wi-FiWi-Fi”” 的政策，您可的政策，您可以在前期将思科统一无线网络部署为一个独立设以在前期将思科统一无线网络部署为一个独立设备备 IPSIPS ，而后再为其添加，而后再为其添加 WLANWLAN数据服务。这种数据服务。这种方式将让您的网络管理员可以在您的方式将让您的网络管理员可以在您的 RFRF 域周围域周围创建一个创建一个““盾牌盾牌””，隔离未经授权的无线活动，隔离未经授权的无线活动――――直到您的机构已经为部署直到您的机构已经为部署WLANWLAN服务做好充服务做好充分的准备。思科的分的准备。思科的 WLANWLAN 系统是目前唯一可以同系统是目前唯一可以同时提供无线保护和时提供无线保护和 WLANWLAN服务的系统，有助于在服务的系统，有助于在避免不必要的覆盖设备成本或者附加监控设备的避免不必要的覆盖设备成本或者附加监控设备的情况下，确保全面的情况下，确保全面的 WLANWLAN保护。 保护。

利用位置跟踪永久性地去除恶意设备利用位置跟踪永久性地去除恶意设备 　　为了确保永久性地消除无线威胁，您必须去除实际的　　为了确保永久性地消除无线威胁，您必须去除实际的恶意设备。过去，一般使用手持式分析仪来寻找恶意设备。恶意设备。过去，一般使用手持式分析仪来寻找恶意设备。但是，因为无线信号能传播到很远的距离，这种方式可能但是，因为无线信号能传播到很远的距离，这种方式可能会非常费时，尤其是对于多层地点而言。采用思科会非常费时，尤其是对于多层地点而言。采用思科WCSWCS的思科定位设备解决方案可以准确地跟踪多达的思科定位设备解决方案可以准确地跟踪多达 15001500 个支个支持持 Wi-FiWi-Fi 的设备，例如射频标识（的设备，例如射频标识（ RFIDRFID ）标签，）标签， Wi-FiWi-Fi语音电话，笔记本电脑，以及个人数字助理（语音电话，笔记本电脑，以及个人数字助理（ PDAPDA ））（如图（如图 11 所示）。所示）。““精确精确””指的是该解决方案具有识别资指的是该解决方案具有识别资产或者设备处于地点产或者设备处于地点““ inin”” （内）或者（内）或者““ outout”” （外）的独（外）的独特功能。这些地点可以是整个院区，单个建筑物，建筑物特功能。这些地点可以是整个院区，单个建筑物，建筑物中的一层，或者一层中的某个房间或者覆盖范围。利用识中的一层，或者一层中的某个房间或者覆盖范围。利用识别精度可以高达几米的跟踪功能，别精度可以高达几米的跟踪功能， ITIT管理员可以立即发管理员可以立即发现恶意接入点和客户端，以及它们所在的精确位置。现恶意接入点和客户端，以及它们所在的精确位置。

防止机构遭受外部威胁防止机构遭受外部威胁 　　今天的企业通常没有一个明确的边界。移动设备和宽　　今天的企业通常没有一个明确的边界。移动设备和宽

带接入使得从家中、宾馆、机场和很多其他地点连接到机带接入使得从家中、宾馆、机场和很多其他地点连接到机构网络的远程办公人员和移动办公人员不断增多。网络必构网络的远程办公人员和移动办公人员不断增多。网络必须能够防范各种安全威胁，例如病毒、蠕虫和间谍软件，须能够防范各种安全威胁，例如病毒、蠕虫和间谍软件，即使是在这些移动设备不在办公室中时。这些安全威胁也即使是在这些移动设备不在办公室中时。这些安全威胁也会导致业务中断，造成断网和持续不断的补丁工作。策略会导致业务中断，造成断网和持续不断的补丁工作。策略遵从性管理是思科自防御网络战略的最后一个要素，旨在遵从性管理是思科自防御网络战略的最后一个要素，旨在主动地监控和隔离恶意软件，保持网络的完整性。一项遵主动地监控和隔离恶意软件，保持网络的完整性。一项遵从性计划需要包含监控功能，以确知系统和网络策略在何从性计划需要包含监控功能，以确知系统和网络策略在何时遭到违反。否则，时遭到违反。否则， ITIT管理员就无法知道他们的安全策管理员就无法知道他们的安全策略是否得到了有效的实施。略是否得到了有效的实施。

策略遵从性管理策略遵从性管理 为移动设备提供与企业网络类似的安全服务为移动设备提供与企业网络类似的安全服务 　　笔记本电脑需要与企业网络相同的保护。防　　笔记本电脑需要与企业网络相同的保护。防火墙、火墙、 VPNVPN 和防病毒软件都有助于防止这些设备和防病毒软件都有助于防止这些设备在连接到互联网时遭受各种威胁。思科安全代理在连接到互联网时遭受各种威胁。思科安全代理等工具可以在单个代理中整合多种终端安全功能，等工具可以在单个代理中整合多种终端安全功能，例如防火墙、入侵防御、间谍软件和广告软件。例如防火墙、入侵防御、间谍软件和广告软件。因为思科安全代理建立在行为分析因为思科安全代理建立在行为分析――――而不是签而不是签名匹配名匹配――――的基础上，所以它无需升级就可以阻的基础上，所以它无需升级就可以阻止新的攻击。这种止新的攻击。这种““零升级零升级””架构有助于降低运架构有助于降低运营成本和发现营成本和发现““零日零日””威胁。实际上，思科安全威胁。实际上，思科安全代理让机构可以在每个终端上实施安全策略。代理让机构可以在每个终端上实施安全策略。

与企业网络一样，用于访问控制和数据加密的用与企业网络一样，用于访问控制和数据加密的用户身份验证可以有效地加强安全措施。用户身份户身份验证可以有效地加强安全措施。用户身份验证可以通过密码、验证可以通过密码、 USBUSB令牌或者智能卡进行。令牌或者智能卡进行。尽管在一般情况下可以发挥作用，但是这些方法尽管在一般情况下可以发挥作用，但是这些方法并不能阻止攻击者通过取走硬盘获得敏感的数据。并不能阻止攻击者通过取走硬盘获得敏感的数据。在这种情况下，需要考虑加密在这种情况下，需要考虑加密――――但是为了让加但是为了让加密发挥作用，它必须对用户保持自动性和透明性。密发挥作用，它必须对用户保持自动性和透明性。如果用户必须为特定的文件启用加密，它很可能如果用户必须为特定的文件启用加密，它很可能会因为人为错误而失效。 会因为人为错误而失效。

利用思科利用思科 NACNAC 主动确保移动设备遵从安全策略主动确保移动设备遵从安全策略 　　　　终端可见度和控制有助于确保所有试图进入网络的有终端可见度和控制有助于确保所有试图进入网络的有

线和无线设备都遵从企业的安全策略。受到感染或者存在线和无线设备都遵从企业的安全策略。受到感染或者存在隐患的终端需要被自动发现、隔离和清除。隐患的终端需要被自动发现、隔离和清除。

　　网络准入控制（　　网络准入控制（ NACNAC ）是指一系列基于思科系统公）是指一系列基于思科系统公司所领导的行业计划的技术和解决方案。司所领导的行业计划的技术和解决方案。 NACNAC 利用网络利用网络基础设施来对所有试图访问网络计算资源的设备实施安全基础设施来对所有试图访问网络计算资源的设备实施安全策略管制，从而防止新出现的安全威胁（例如病毒、蠕虫策略管制，从而防止新出现的安全威胁（例如病毒、蠕虫和间谍软件）所造成的破坏。使用和间谍软件）所造成的破坏。使用 NACNAC 的客户可以只向的客户可以只向符合规定的、值得信赖的终端设备提供访问权限，以及限符合规定的、值得信赖的终端设备提供访问权限，以及限制不符合规定的设备的权限。制不符合规定的设备的权限。 NACNAC 是思科自防御网络的是思科自防御网络的重要组成部分。重要组成部分。

思科为思科为 NACNAC 提供了基于设备和架构的方式，以符合任何提供了基于设备和架构的方式，以符合任何机构的功能和运营需求机构的功能和运营需求――――无论它需要一个简单的安全策无论它需要一个简单的安全策略，还是支持一个涉及多个安全供应商的综合安全系统和略，还是支持一个涉及多个安全供应商的综合安全系统和一个企业桌面管理解决方案。一个企业桌面管理解决方案。

　　思科　　思科 NACNAC 设备（设备（ Cisco Clean AccessCisco Clean Access ）和思科）和思科NACNAC 框架都可以为无线局域网提供安全威胁防护。这些框架都可以为无线局域网提供安全威胁防护。这些解决方案可以在解决方案可以在WLANWLAN 客户端试图访问网络时，通过隔客户端试图访问网络时，通过隔离不符合规定的离不符合规定的 WLANWLAN 客户端和为确保遵从性提供纠正客户端和为确保遵从性提供纠正服务，确保设备符合安全策略。这两个解决方案都可以与服务，确保设备符合安全策略。这两个解决方案都可以与思科统一无线网络进行互操作。思科统一无线网络进行互操作。

让员工也加入到保护网络的队伍之中让员工也加入到保护网络的队伍之中 　　　　社会工程往往是保障网络安全的最有效手段。社会工程往往是保障网络安全的最有效手段。

大部分缺乏安全教育的员工都意识不到他们所面大部分缺乏安全教育的员工都意识不到他们所面临的风险临的风险――――例如，很多人并不知道将一个接入例如，很多人并不知道将一个接入点插入到以太网接口中会危及企业网络的安全性。点插入到以太网接口中会危及企业网络的安全性。实践证明，员工教育实践证明，员工教育――――宣传海报或者安全最佳宣传海报或者安全最佳实践培训（例如密码选择和隐私保护）实践培训（例如密码选择和隐私保护）――――在帮在帮助企业保护保密信息和网络的安全方面具有重要助企业保护保密信息和网络的安全方面具有重要的作用。的作用。

总结总结 今天的机构已经不再局限于一组建筑物所包围的今天的机构已经不再局限于一组建筑物所包围的

区域。移动设备和技术永久性地改变了人们完成区域。移动设备和技术永久性地改变了人们完成工作的方式，让人们可以从企业中的任何地方，工作的方式，让人们可以从企业中的任何地方，以及家中、机场、宾馆和其他以及家中、机场、宾馆和其他 Wi-FiWi-Fi 热点连接网热点连接网络。随着自由度的提高，由于无线信号可以穿越络。随着自由度的提高，由于无线信号可以穿越墙壁，而设备并非在相对较为安全的公司内部连墙壁，而设备并非在相对较为安全的公司内部连接网络，企业网络正面临着越来越多的新型威胁。接网络，企业网络正面临着越来越多的新型威胁。制定一项正确的制定一项正确的 WLANWLAN策略是保证安全的第一步。策略是保证安全的第一步。正确保护正确保护WLANWLAN 是必须采取的措施是必须采取的措施――――而思科统而思科统一无线网络让企业可以采用简单的、涵盖第一无线网络让企业可以采用简单的、涵盖第1/2/31/2/3层的安全策略，加快部署速度。 层的安全策略，加快部署速度。

即使目前没有建立任何即使目前没有建立任何 WLANWLAN ，也必须防，也必须防范无线威胁，例如恶意接入点和客户端。范无线威胁，例如恶意接入点和客户端。这些威胁可能会导致网络漏洞，给黑客以这些威胁可能会导致网络漏洞，给黑客以可乘之机，进而造成保密信息失窃、企业可乘之机，进而造成保密信息失窃、企业声誉受损，甚至遭受经济损失和法律惩罚。声誉受损，甚至遭受经济损失和法律惩罚。思科统一无线网络在前期可以安全地部署思科统一无线网络在前期可以安全地部署为一个无线为一个无线 IPSIPS 解决方案，而后再发展为解决方案，而后再发展为一项一项WLANWLAN 服务。 服务。

在不可靠环境中使用的移动设备可能会感染新型在不可靠环境中使用的移动设备可能会感染新型威胁。思科威胁。思科 NACNAC 可以主动地检查移动设备是否符可以主动地检查移动设备是否符合安全策略，提供必要的纠正措施和在它们达到合安全策略，提供必要的纠正措施和在它们达到规定之前阻止其对网络的访问。最后，应当通过规定之前阻止其对网络的访问。最后，应当通过长期的培训和教育来指导员工，让他们也加入到长期的培训和教育来指导员工，让他们也加入到保护网络安全的队伍中来，从而确保网络的完整保护网络安全的队伍中来，从而确保网络的完整性。如果采取了所有这些步骤，企业可以有效地性。如果采取了所有这些步骤，企业可以有效地消除消除WLANWLAN 所面临的风险和无线威胁。下面列出所面临的风险和无线威胁。下面列出了所有的思科推荐最佳实践： 了所有的思科推荐最佳实践：

制定一项制定一项 WLANWLAN 安全策略 安全策略 保护保护WLAN WLAN 　　　　 oo   修改缺省的修改缺省的 SSID SSID 　　　　 oo   使用严格的加密方法 使用严格的加密方法 　　　　 oo   在客户端和网络之间部署双向身份验证 在客户端和网络之间部署双向身份验证 　　　　 oo   使用使用 VPNVPN 或者或者WEPWEP ，结合，结合 MACMAC 地址控制列表，地址控制列表，来保护专用设备 来保护专用设备 　　　　 oo   利用身份联网和利用身份联网和 VLANVLAN 来限制对网络资源的访问来限制对网络资源的访问权限 权限 　　　　 oo   保障管理端口的安全 保障管理端口的安全 　　　　 oo   部署不会在本地存储安全信息的轻型接入点 部署不会在本地存储安全信息的轻型接入点 　　　　 oo   掩藏或者保护接入点设备，防止被篡改 掩藏或者保护接入点设备，防止被篡改 　　　　 oo   监控外部建筑物和地点，及时发现可疑活动 监控外部建筑物和地点，及时发现可疑活动

• • 防止有线网络遭受无线威胁 防止有线网络遭受无线威胁 　　　　 oo   部署和启用无线部署和启用无线 IPSIPS ，防止恶意接入点和，防止恶意接入点和其他无线威胁其他无线威胁――――即使您没有建立即使您没有建立 WLAN WLAN 　　　　 oo  利用位置跟踪永久性地去除任何恶意设备 利用位置跟踪永久性地去除任何恶意设备

• • 防止机构遭受外部威胁 防止机构遭受外部威胁 　　　　 oo   为移动设备提供与企业网络类似的安全服为移动设备提供与企业网络类似的安全服务（防火墙、务（防火墙、 VPNVPN 、防病毒软件等） 、防病毒软件等） 　　　　 oo  利用思科利用思科 NACNAC确保移动设备符合安全策确保移动设备符合安全策略 略

• •  通过教育让员工也加入到保护网络的队伍之中 通过教育让员工也加入到保护网络的队伍之中