無線局域網的組建與安全設計

李國華

（秦皇島通信站，秦皇島 066000）

無線局域網是20世紀90年代計算機網絡與無線通信技術相結合的產物，可極大地提高經濟效益，提高生產率，提高企業(yè)效率，改善收益與利潤，降低成本。使用無線局域網不僅可以減少對布線的需求和與布線相關的一些開支，還可以為用戶提供靈活性更高、移動性更強的信息獲取方法。

1 組建無線局域網的準備工作

1.1 現有設備統計

建立無線局域網之前要對現有設備進行調查統計，然后再確定無線組網方案。

1.2 網絡接入方式

無線網絡有兩種建網模式，Ad-Hoc對等模式和Infrastructure的集中控制模式。根據部門多臺計算機的無線組網的實際情況選用Infrastructure模式，計算機通過無線網卡與AP進行通信，AP起到了有線網絡中的作用。可以組建星型結構的無線局域網，所有傳輸的數據均需通過AP，由AP或路由器進行網絡的控制管理。多個AP可以相互串聯以形成更大規(guī)模的網絡。

1.3 組建設備

除了配備無線路由器和AP外，還需要準備網線，用于連接無線路由器和AP，還需要為工作室的每臺臺式電腦配備一塊無線網卡。

2 組建無線局域網

2.1 設備的連接

首先，給每臺臺式安裝PCI無線網卡，將PCI無線網卡和計算機的USB接口連接，Windows XP會自動提示發(fā)現新硬件。然后，將無線路由器的端口和進入辦公網絡的Internet接口用網線連接，另外選擇一個端口與無線接入點的端口連接。最后，分別接通無線路由器、AP電源就可以了。

2.2 無線局域網的配置

（1）使用何種無線標準。無線網絡能提供以下的應用：共享上網、從簡單的文件共享與打印共享、辦公自動化，到復雜的電子商務等。

（2）選擇加密方式。在使用WPA時，系統頻繁地更新主密鑰，確保每一個用戶的數據分組使用不同的密鑰加密，即使截獲很多的數據，破解起來也非常地困難[3]。

2.3 測試無線網絡

無線網的安全問題主要分為非法入侵和惡意攻擊兩大類。針對無線局域網的安全測試方案就是要在可能的情況下，發(fā)現并定位對網絡實施攻擊的可行性方案：一是物理隔離測試；二是加密與認證狀況的測試。本文在大量現場測試的基礎之上，提出了一套以加密狀況和惡意攻擊測試為主的安全測試方案。

3 無線局域網的安全配置

3.1 設置網絡環(huán)境

在安裝完網絡設備后，還需要對無線AP或無線路由器、以及安裝了無線網卡的計算機進行相應網絡設置。

3.1.1 無線路由器設置

（1）基本設置

當連接到無線網絡后，在局域網中的任何一臺計算機中打開IE瀏覽器，首先在地址框中輸入192.168.1.1，再輸入登錄用戶名和密碼（用戶名默認為空，密碼為admin），點擊“確定”按鈕打開路由器設置頁面。在左側窗口點擊“基本設置”鏈接，在右側的窗口中除了可以設置IP地址、是否允許無線設置、SSID名稱、頻道、WEP外，還可以為WAN口設置連接類型，包括自動獲取IP、靜態(tài)IP等。

把DHCP自動分配IP地址的功能關掉后，把路由器的IP地址改掉，因為一般的路由器分配的IP地址都是“192.168.1.* ”，而且網關都是“192.168.1.1”，即使關掉DHCP自動分配有些人也可以進入網絡，把路由器IP地址改掉，路由器的IP地址要和計算機的網關一致，路由器的IP地址要和計算機的IP地址在同一個網段。使用以太網方式接入Internet的網絡，可以選擇靜態(tài)IP，然后輸入WAN口IP地址、子網掩碼、缺省網關、DNS服務器地址等內容。最后點擊“應用”按鈕完成設置。

（2）為網絡環(huán)境設置訪問控制

首先，在路由器管理頁面左側點擊“訪問控制”鏈接，接著在右側的窗口中可以分別對IP訪問、URL訪問進行設置，在IP訪問設置頁面輸入需要禁止的局域網IP地址和端口號，如果要禁止IP地址為192.168.1.100到192.168.1.102的計算機使用QQ，可以在“協議”列表中選擇“UDP”選項，在“局域網IP范圍”框中輸入“192.168.1.100～192.168.1.102”，在“禁止端口范圍”框中分別輸入“4000”、“8000”。最后點擊“應用”按鈕。這樣的設置是因為QQ聊天軟件使用的是UDP協議，4000（客戶端）和8000（服務器端）端口。如果不確定哪種協議的端口，可以在“協議”列表中選擇“所有”選項，端口的范圍在0～65535之間；要禁止某個端口，例如，FTP端口，可以在范圍中輸入21～21。對于“沖擊波”病毒使用的RPC服務端口可以輸入135～135。

要設置URL訪問控制功能，在訪問控制頁面中點擊“URL訪問設置”鏈接，在打開的頁面中點擊“URL訪問限制”選項中的“允許”選項。在“網站訪問權限”選項中選擇訪問的權限，可以設置“允許訪問”或“禁止訪問”。

3.1.2 客戶端設置

在辦公無線局域網中，要注意工作室中的所有計算機需要設定相同的訪問方式。另外，還要將每臺計算機的工作組設置為相同的名稱。可以在每一臺計算機中設置共享文件夾，實現無線局域網中的文件的共享；設置共享打印機和傳真機，實現無線局域網中的共享打印和傳真等操作。

3.1.3 無線訪問節(jié)點設置

進入AP的設置界面，點擊“Configure”，進入配置窗口；在“General”項，Access Point Name和ESSID中可隨意填寫便于記憶的名稱。Channel也可任意選取，但筆記本電腦中的無線網卡要與其統一；“Rates”設為“Auto”；在“IP Setting”項，為了網絡安全，各設備都需要指定IP地址，選擇不使用DHCP（動態(tài)分配IP地址），選擇關閉（Disable），然后為AP指定一個與局域網各機器同一網段，而且沒有沖突的網址，而且子網掩碼和默認網關欄的值也必需指定與局域網其他機器一樣，AP設置完成。

打開“網上鄰居”的“屬性”到“無線網絡連接狀態(tài)”，在“屬性”中的“無線網絡連接屬性”，點擊“無線網絡配置”，在“首選網絡”下的“添加”點擊“關聯”項，將服務名SSID設為與AP的ESSID統一，全部設置完成。

3.2 IP與MAC的相互綁定

綁定MAC地址和IP地址功能時，選擇不使用自動獲取IP地址，關閉DHCP服務，并使用MAC地址過濾，記下各計算機的Internet Address及對應的Physical Address，然后在AP設置中的允許訪問的MAC地址列表和指定IP地址區(qū)域輸入所有用戶的地址即可完成網關的IP address與MAC address的綁定。

3.3 防火墻

防火墻的實施就是把局域網和ISP之間的包過濾器換成防火墻就可以了。這是一個防火墻的最安全的應用，因為它保護了防火墻后面的所有計算機。值得注意的是，防火墻本身并沒有保障安全的能力，需要定期的檢查防火墻對可疑事件做出的日志記錄，還需要去發(fā)現和使用軟件的安全補丁。

4 結束語

本文詳細就部門小型無線局域網的基礎架構模式的構建做了介紹，并對該網絡的組建及安全維護做了闡述。針對目前無線網絡中存在的多項安全漏洞，提出了一套切實可行的無線局域網組網方案，符合企業(yè)部門的實際情況，節(jié)約成本，保證了信息安全，對企業(yè)各部門之間的聯系和信息交流產生了巨大作用，為部門的發(fā)展提供了基礎保障。