淺析WLAN及WLAN網絡安全問題

劉蕙

摘 要：WLAN技術是現今備受關注也備受爭議的熱門話題，WLAN的廣泛運用極大的方便了人們的聯系與溝通，但由于網絡的開放性和信息的社會性，安全問題也成為現今的爭議源頭。以下將會從網絡的安全性對WLAN和WLAN網絡方面的問題進行論述。

關鍵詞：WLAN；網絡；安全

前言

WLAN的釋義是無線局域網，是計算機網絡與無線通信技術相結合的產物。

從專業角度講，無線局域網利用了無線多址信道的一種有效方法來支持計算機之間的通信，并為通信的移動化、個性化和多媒體應用提供了可能。通俗地說，無線局域網就是在不采用傳統纜線的同時，提供以太網或者令牌網絡的功能。WLAN利用電磁波在空氣中發送和接受數據，而無需線纜介質。WLAN 的數據傳輸速率現在已經能夠達到11Mbps以上，傳輸距離可遠至20km以上。

1 WLAN 的優勢

WLAN是資源共享和通訊的介質，它能把數公里以內的數臺計算器鏈接在一起，使之互通有無并進行交流。計算機網絡時下組要以兩種媒介進行傳輸，一是光纜銅纜進行連接，但這種傳輸局限性較大，受控于線路布置，線路保質期，線路安全性，以及安裝、修改難度大及費用高等各種問題，所以依賴線路連接的網絡已經無法滿足人們日益增大的網絡通訊要求。而另外一種介質WLAN應運而生，無線網絡摒棄了有線網絡的安裝使用的局限性，變的可移動，靈活方便，解決了有線網絡的多種弊端，其具體優勢如下：

（1）便于安裝：有線網絡最困難的地方莫過于安裝網線的時候對周邊環境的影響了，由于有線網絡安裝網線數量較多，距離較大，范圍較廣，并會產生和原有建筑物之間的沖突，因此安裝所占用的時間、空間、人力、物力、財力都是巨大的。無線網絡幾乎就完全克服了以上缺點，無線網絡只需要安裝幾個接入點就能完全取代有線網絡冗長復雜的安裝線路工作，而且無線網絡的可覆蓋范圍較廣，一個或者幾個接入點就能覆蓋一個整個區域，其優勢顯而易見。

（2）便于使用：安裝了有線網絡的地方也只能在連接網線連接設備的地方使用，不便與移動使用，而無線網絡一旦建立之后，其所覆蓋的區域的所有位置都可以接收到網絡信號并可以通過設備進行通訊行為。

（3）節省經濟資源：有線網絡依賴于龐大的線路體系，建立線路體系耗資巨大移動更改線路也會是一筆不小的費用，再者基于線路建立的長遠性考慮，預期線路也會列入安裝過程中，當預期不能如期發生時就產生了大量的預期線路浪費。無線網絡就沒有線路改遷或者預期設點的問題，因此單從耗資方面來說無線網絡遠遠優于有線網絡。

2 WLAN 網絡的安全問題

2.1 設備安全

可運營WLAN網絡安全方案中應該考慮到設備級安全，包括電信設備的物理環境安全和主機安全。網絡設備應具備設備防盜、設備防毀、防止電磁信息泄露、抗電磁干擾、電源保護、受災防護、區域防護等特性。作為可運營WLAN網絡的WLAN標準網元設備必須基于電信級設計，具體包括室外型AP應該具有防水、防雷、防火和防盜（3）經濟節約：有線網絡的設立及更改移動都將消耗大量資金，并且基于線路建立的長遠性考慮，有線網絡的預期線路也會列入安裝過程中，當預期不能如期發生時就產生了大量的預期線路浪費。而無線網絡基本可以避免這些問題的發生。

2.2 網絡安全

可運營網絡在設計上應考慮到多層面的安全機制，針對WLAN應包括無線鏈路層安全、網絡層安全和應用層安全。鏈路層安全主要是通過網絡的鏈路層的安全協議來保證，其中無線鏈路層的安全主要由802.11協議定義。

鏈路層的安全機制主要包括：無線網絡設備的服務區域認證ID（ESSID） ；Opensystem和Sharekey認證；MAC地址訪問控制；基于 MAC地址的訪問控制列表（ACL）。網絡層安全是由IP層協議保證網絡的安全，主要包括網絡邊界控制和管理，加強對外部攻擊和內部信息泄露的防范，網絡層的安全機制主要如下：基于五元組的訪問控制列表（ACL） ；NAT/PAT功能；逆向檢測（RPD），防止IP地址欺騙；動態路由協議（RIP、OSPF、BGP）防欺騙 ；應用層加密的支持，為關鍵應用提供應用加密或隧道（IPSec）。

2.3 解決方案級安全

由于無線網絡的開放性強于有線網絡，其覆蓋區域內的任何角落都能接收到網絡信號，因此無線網絡的安全性是需要注意的，但現今的無線網絡安全問題已經得到了絕大部分程度的解決，其安全性能基本能夠滿足家庭及辦公場所的需求。需要考慮的是開放的公共運營網絡，由于開放性更強，服務范圍更廣其安全和隱蔽性會相對較低，因此需要對其進行更多保護和驗證措施，包括入網驗證，安全策劃等方面進行改進，提高技術含量創造更加安全便捷的網絡環境。

2.4 WLAN 的方案級安全策略

無線網絡安全方面的主要威脅有：非法接入、惡意欺騙、信息外泄、篡改信息、網絡和通訊業務遭受攻擊。具體到WLAN的方案級安全策略主要包括用戶認證、用戶隔離、用戶綁定、用戶數據加密等幾個方面。

2.4.1 用戶認證

為了保障用戶使用信息安全，在用戶使用過程中進行身份認證，自主設置設備密碼。目前為止無線網絡所使用的身份認證方法主要有：PPPOE、WEB、802.1x；這三種認證方法都是進行了加密處理的。

2.4.2 用戶綁定

已經通過技術認證后再進行用戶的綁定，使得每一個用戶使用唯一的標識，并確認用戶帶寬等問題。這樣就能夠進一步的防止盜用網絡盜用IP地址，和對服務器的攻擊。

2.4.3 隔離用戶

從網絡意義而言每一個網絡用戶都是單獨的個體，可以進行信息的傳遞但不允許進行信息的窺探竊取和攻擊。AP內部采用MAC互訪控制原理隔離用記。確保同一AP下的用戶不能二層相通，只能與上行口相通。AP之間采用MAC地址訪問控制或組網匯聚設備二層隔離技術如VLAN/PVLAN/PVC進行隔離，保證不同AP下的用戶不能直接相通。AC通過UCL（用戶ACL）用戶的三層互控訪問，所有用戶只有通過AC認證后才能進行三層受控互通。

2.4.4 用戶數據加密

通過加密保障用戶信息的安全性：無線鏈路層的加密：在用戶終端（STA）和AP之間進行信息的加密和解密，保證空口的信息傳送的安全性；網絡層的加密：主要用于實現 VPDN 業務。在用戶終端（STA）和 VPN網關之間對信息進行加密和解密，保證STA和VPN網關之間信息傳送的安全性。

3 結束語

WLAN的出現是網絡時代的飛躍，較于有線網絡無線網絡有靈活方便，耗資小，覆蓋范圍廣等多種優勢。而WLAN高于有線網絡的開放性也導致了無線網絡的安全性隱患，尤其是WLAN的空中接口所導致的信息開放性使得隱私信息出現被竊取的危險性，然而隨著無線網絡技術的不斷發展802.11i、Wi-FiWPA技術的不斷完善，無線網絡的安全問題也將得到進一步的解決，使之成為更加符合網絡發展需求的可靠介質。endprint