【原】电脑网络攻防基础教程之二十五.无线网络的安全策略

  

无线网络的安全策略

无线网络不需要物理线缆，非常方便，但正因为无线需要靠无线信号进行信息传输，而无线信号又管理不便，所以数据的安全性更是遭到了前所未有的挑战，于是，各种各样的无线加密算法应运而生。

设置管理员密码

路由器的初始密码比较简单，为了保证局域网的安全，一般需要修改或设置管理员密码

打开路由器的Web后台设置界面，选择“系统工具”选项下的“修改登录密码”选项，打开“修改管理员密码”工作界面。

在“原密码”文本框中输入原来的密码，在“新密码”文本框和“确认新密码”文本框中输入新设置的密码，最后单击“保存”按钮即可。

无线网络WEP加密

WEP采用对称加密机理，数据的加密和解密采用相同的密钥和加密算法。

设置无线路由器WEP加密数据

打开路由器的Web后台设置界面，单击左侧“无线设置”→“基本设置”选项，勾选“开启安全设置”复选框，在“安全类型”下拉列表中选择“WEP”选项，在“密钥格式选择”下拉列表中选择“ASCII码”选项。设置密钥，在“密钥1”后面的“密钥类型”下拉列表中选择“64位”选项，在“密钥内容”文本框中输入要使用的密码，本实例输入密码为cisco，单击“保存”按钮。

 客户端连接

单击系统桌面右下角的[插图]图标，无线客户端自动扫描到区域内的所有无线信号。

右击“tp-link”信号，在弹出的快捷菜单中选择“连接”选项。

弹出“连接到网络”对话框，在“安全密钥”文本框中输入密码cisco，单击“确定”按钮。

单击系统桌面右下角的图标，将光标放在“tp-link”信号上，可以看到无线信号的连接情况，如下图所示表明已经成功连接无线路由器。

WPA-PSK安全加密算法

WPA-PSK可以看成是一个认证机制，只要求一个单一的密码进入每个无线局域网节点（例如无线路由器），只要密码正确，就可以使用无线网络。下面介绍如何使用WPA-PSK或者WPA2-PSK加密无线网络。

设置无线路由器WPA-PSK安全加密数据

打开路由器的Web后台设置界面，选择左侧“无线设置”→“基本设置”选项，勾选“开启安全设置”复选框，在“安全类型”下拉列表中选择“WPA-PSK/WAP2-PSK”选项，在“安全选项”下拉列表和“加密方法”下拉列表中分别选择“自动选择”选项，在“PSK密码”文本框中输入加密密码，本实例设置密码为sushi1986。

单击“保存”按钮，弹出一个提示对话框，单击“确定”按钮，重新启动路由器即可。

使用WPA-PSK安全加密认证的无线客户端

单击系统桌面右下角的图标，无线客户端会自动扫描区域内的无线信号。

右击“tp-link”信号，在弹出的快捷菜单中选择“连接”选项。

弹出“连接到网络”对话框，在“安全密钥”文本框中输入密码sushi1986，单击“确定”按钮。

单击系统桌面右下角的图标，将光标放在“tp-link”信号上，可以看到无线信号的连接情况，如下图所示表明已经成功连接无线路由器。

在WPA-PSK加密算法的使用过程中，密码设置应该尽可能复杂，并且要注意定期更换密码。

禁用SSID广播

SSID就是一个无线网络的名称，无线客户端通过无线网络的SSID来区分不同的无线网络。为了安全起见，往往要求无线AP禁止广播该SSID，只有知道该无线网络SSID的人员才可以进行无线网络连接。

设置无线路由器禁用SSID广播

打开路由器的Web后台设置界面，设置自己无线网络的SSID信息，取消勾选“允许SSID广播”复选框，单击“保存”按钮。

弹出一个提示对话框，单击“确定”按钮，重新启动路由器。

客户端连接

单击系统桌面右下角的[插图]图标，会看到无线客户端自动扫描到区域内的所有无线信号，会发现其中没有SSID为“ssh”的无线网络，但是会出现一个名称为“其他网络”的信号。

右击“其他网络”，在弹出的快捷菜单中选择“连接”选项。

弹出“连接到网络”对话框，在“名称”文本框中输入要连接网络的SSID号，本实例这里输入ssh，单击“确定”按钮。

在“安全密钥”文本框中输入无线网络的密钥，本实例这里输入密钥sushi1986，单击“确定”按钮。

单击系统桌面右下角的[插图]图标，将光标放在“ssh”信号上可以看到无线网络的连接情况，如下图所示表明无线客户端已经成功连接到无线路由器。

媒体访问控制地址过滤

网络管理的主要任务之一就是控制客户端对网络的接入和对客户端的上网行为进行控制，无线网络也不例外，通常无线AP利用媒体访问控制（MAC）地址过滤的方法来限制无线客户端的接入。

打开路由器的Web后台设置界面，单击左侧“无线设置”→“无线MAC地址过滤”选项，默认情况下MAC地址过滤功能是关闭状态，单击“启用过滤”按钮，开启MAC地址过滤功能，单击“添加新条目”按钮。

打开“MAC地址过滤”对话框，在“MAC地址”文本框中输入无线客户端的MAC地址，本实例输入MAC地址为00-0C-29-5A-3C-97，在“描述”文本框中输入MAC描述信息为sushipc，在“类型”下拉列表中选择“允许”选项，在“状态”下拉列表中选择“生效”选项，依照此步骤将所有合法的无线客户端的MAC地址加入到此MAC地址表后，单击“保存”按钮。

选中“过滤规则”选项下的“禁止”单选按钮，表明在下面MAC列表中生效规则之外的MAC地址可以访问无线网络。

这样无线客户端在访问无线AP时，会发现除了MAC地址表中的MAC地址外，其他的MAC地址无法访问无线AP，也就无法访问互联网。