局域网安全毕业论文

2024-05-15

局域网安全毕业论文（共6篇）

篇1：局域网安全毕业论文

论文关键词：计算机网络网络安全局域网安全广域网

论文摘要：随着计算机网络和互联网的发展,局域网安全越来越受到人们的重视和关注。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性。故此，局域网的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的安全与畅通，研究局域网的安全以及防范措施已迫在眉睫。

1.当前局域网安全形势

1.1 计算机网络的定义

计算机网络,就是利用通信设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式和网络操作系统等)实现网络中资源共享和信息传递的系统。[①]

计算机网络由通信子网和资源子网两部分构成。通信子网是计算机网络中负责数据通信的部分；资源子网是计算机网络中面向用户的部分，负责全网络面向应用的数据处理工作。就局域网而言，通信子网由网卡、线缆、集线器、中继器、网桥、路由器、交换机等设备和相关软件组成。资源子网由连网的服务器、工作站、共享的打印机和其它设备及相关软件所组成。

1.2 网络安全定义

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。[②]

1.3 局域网安全

局域网的安全主要包括物理安全与逻辑安全。物理安全主要指网络硬件的维护、使用及管理等；逻辑安全是从软件的角度提出的，主要指数据的保密性、完整性、可用性等。

1.3.1 来自互联网的安全威胁

局域网是与Inernet互连的。由于Internet的开放性、国际性与自由性，局域网将面临更加严重的安全威胁。如果局域网与外部网络间没有采取一定的安全防护措施，很容易遭到来自Internet 黑客的各种攻击。他们可以通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞，如网络I P 地址、应用操作系统的类型、开放的T C P 端口号、系统用来保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序进行攻击。他们还可以通过网络监听等手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网络中重要信息。还能通过发送大量数据包对网络服务器进行攻击，使得服务器超负荷工作导致拒绝服务，甚至使系统瘫痪。

1.3.2 来自局域网内部的安全威胁

内部管理人员把内部网络结构、管理员口令以及系统的一些重要信息传播给外人带来信息泄漏；内部职工有的可能熟悉服务器、小程序、脚本和系统的弱点，利用网络开些小玩笑，甚至搞破坏。如，泄漏至关重要的信息、错误地进入数据库、删除数据等，这些都将给网络造成极大的安全威胁。

1.4 局域网当前形势及面临的问题

随着局域网络技术的发展和社会信息化进程的加快,现在人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。现今，全球网民数量已接近7亿，网络已经成为生活离不开的工具，经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。尽管计算机网络为人们提供了巨大的方便，但是受技术和社会因素的各种影响，计算机网络一直存在着多种安全缺陷。攻击者经常利用这些缺陷，实施攻击和入侵，给计算机网络造成极大的损害网络攻击、病毒传播、垃圾邮件等迅速增长，利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升，严重影响了网络的正常秩序，严重损害了网民的利益；网上色情、暴力等不良和有害信息的传播，严重危害了青少年的身心健康。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。

根据中国互联网信息中心2006年初发布的统计报告显示：我国互联网网站近百万家，上网用户1亿多，网民数和宽带上网人数均居全球第二。同时，网络安全风险也无处不在，各种网络安全漏洞大量存在和不断被发现，计算机系统遭受病毒感染和破坏的情况相当严重，计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势，我国的网络安全保障工作尚处于起步阶段，基础薄弱，水平不高，网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节，安全防护能力不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。在监督管理方面缺乏依据和标准，监管措施不到位，监管体系尚待完善，网络信息安全保障制度不健全、责任不落实、管理不到位。网络信息安全法律法规不够完善，关键技术和产品受制于人，网络信息安全服务机构专业化程度不高，行为不规范，网络安全技术与管理人才缺乏。

面对网络安全的严峻形势，如何建设高质量、高稳定性、高可靠性的安全网络成为通信行业乃至整个社会发展所要面临和解决的重大课题。

2.常用局域网的攻击方法

2.1 ARP欺骗

2.1.1 ARP协议

ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。

ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址IA——物理地址PA），请求IP地址为IB的主机B回答物理地址PB。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

假如我们有两个网段、三台主机、两个网关、分别是：

主机名 IP地址 MAC地址

网关1 192.168.1.1 01-01-01-01-01-01

主机A 192.168.1.2 02-02-02-02-02-02

主机B 192.168.1.3 03-03-03-03-03-03

网关2 10.1.1.1 04-04-04-04-04-04

主机C 10.1.1.2 05-05-05-05-05-05

假如主机A要与主机B通讯，它首先会通过网络掩码比对，确认出主机B是否在自己同一网段内，如果在它就会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送ARP请求包，即目的MAC地址是全1的广播询问帧，0xffffffffffffH 02-02-02-02-02-02 192.168.1.3 192.168.1.2；如果B存在的话，必须作出应答，回答―B的MAC地址是…‖的单播应答帧，02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3；A收到应答帧后，把―192.168.1.3 03-03-03-03-03-03 动态‖写入ARP表。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了，直到通讯停止后两分钟，这个对应关系才会被从表中删除。

如果是非局域网内部的通讯过程，假如主机A需要和主机C进行通讯，它首先会通过比对掩码发现这个主机C的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关1(192.168.1.1)对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通讯，然后再由网关1通过路由将数据包送到网关2，网关2收到这个数据包后发现是送给主机C（10.1.1.2）的，它就会检查自己的ARP缓存（没错，网关一样有自己的ARP缓存），看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址将数据转发给主机C。

2.1.2 ARP欺骗原理

在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓存表。在正常情况下这个缓存表能够有效的保证数据传输的一对一性，也就是说主机A与主机C之间的通讯只通过网关1和网关2，像主机B之类的是无法截获A与C之间的通讯信息的。但是在ARP缓存表的实现机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。

这就导致主机B截取主机A与主机C之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是03-03-03-03-03-03，主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成03-03-03-03-03-03，同时主机B向网关1发送一个ARP响应包说192.168.1.2的MAC是03-03-03-03-03-03，同样网关1也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成03-03-03-03-03-03。当主机A想要与主机C通讯时，它直接把应该发送给网关1(192.168.1.1)的数据包发送到03-03-03-03-03-03这个MAC地址，也就是发给了主机B，主机B在收到这个包后经过修改再转发给真正的网关1，当从主机C返回的数据包到达网关1后，网关1也使用自己ARP表中的MAC，将发往192.168.1.2这个IP地址的数据发往03-03-03-03-03-03这个MAC地址也就是主机B，主机B在收到这个包后再转发给主机A完成一次完整的数据通讯，这样就成功的实现了一次ARP欺骗攻击。因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。也就是说欺骗者必须同时对网关和主机进行欺骗。

2.1.3 ARP病毒清除

感染病毒后，需要立即断开网络，以免影响其他电脑使用。重新启动到DOS模式下，用杀毒软件进行全面杀毒。

临时处理对策：

步骤

一、能上网情况下，输入命令arp –a，查看网关IP对应的正确MAC地址，将其记录下来。如果已经不能上网，则运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a。

步骤

二、如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。输入命令：arp –s，网关IP 网关MAC手工绑定在计算机关机重开机后就会失效，需要再绑定。可以把该命令放在autoexec.bat中，每次开机即自动运行。

2.2 网络监听

2.2.1 网络监听的定义

众所周知，电话可以进行监听，无线电通讯可以监听，而计算机网络使用的数字信号在线路上传输时，同样也可以监听。网络监听也叫嗅探器，其英文名是Sniffer，即将网络上传输的数据捕获并进行分析的行为。[③]

网络监听，在网络安全上一直是一个比较敏感的话题，作为一种发展比较成熟的技术，监听在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作用，因而一直备受网络管理员的青睐。然而，在另一方面网络监听也给网络安全带来了极大的隐患，许多的网络入侵往往都伴随着网络监听行为，从而造成口令失窃，敏感数据被截获等连锁性安全事件。

2.2.2 网络监听的基本原理

局域网中的数据是以广播方式发送的，局域网中的每台主机都时刻在监听网络中传输的数据，主机中的网卡将监听到的数据帧中的MAC地址与自己的MAC地址进行比较，如果两者相同就接收该帧，否则就丢掉该帧。如果把对网卡进行适当的设置和修改，将它设置为混杂模式，在这种状态下它就能接收网络中的每一个信息包。网络监听就是依据这种原理来监测网络中流动的数据。

2.2.3 网络监听的检测

2.2.3.1 在本地计算机上进行检测

（1）检查网卡是否处于混杂模式。可以利用一些现成的工具软件来发现，例如：AntiSniff，ARP 探测技术。也可以编写一些程序来实现。在Linux 下，有现成的函数，比较容易实现，而在Windows平台上，并没有现成的函数来实现这个功能，要自己编写程序来实现。可以利用一些现成的工具软件来发现，例如：AntiSniff，ARP探测技术。也可以编写一些程序来实现。在Linux下，有现成的函数，比较容易实现，而在Windows平台上，并没有现成的函数来实现这个功能，要自己编写程序来实现。

（2）搜索法。在本地主机上搜索所有运行的进程，就可以知道是否有人在进行网络监听。在Windows系统下，按下Ctrl+Alt+Del可以得到任务列表，查看是否有监听程序在运行。如果有不熟悉的进程，或者通过跟另外一台机器比较，看哪些进程是有可能是监听进程。

2.2.3.2 在其它计算机上进行检测

（1）观察法。如果某台电脑没有监听的话，无论是信息的传送还是电脑对信息的响应时间等方面都是正常的，如果被监听的话，就会出现异常情况。我们可以通过观察一些异常情况来判断电脑是否有被监听。

网络通讯掉包率是否反常地高。例如ping命令会显示掉了百分几的信息包。如果网络中有人在监听，就会拦截每个信息包，从而导致信息包丢包率提高。

网络带宽是否出现反常。如果某台计算机长时间的占用了较大的带宽，对外界的响应很慢，这台计算机就有可能被监听。

机器性能是否下降。向网上发大量不存在的物理地址的包，而监听程序往往就会将这些包进行处理，这样就会导致机器性能下降，可以用icmp echo delay 来判断和比较它。

（2）PING 法。这种检测原理基于以太网的数据链路层和TCP/IP 网络层的实现，是一种非常有效的测试方法。

ping法的原理：如果一个以太网的数据包的目的MAC 地址不属于本机，该包会在以太网的数据链路层上被抛弃，无法进入TCP/IP 网络层；进入TCP/IP 网络层的数据包，如果解析该包后，发现这是一个包含本机ICMP 回应请示的TCP 包(PING 包)，则网络层向该包的发送主机发送ICMP 回应。

我们可以构造一个PING 包，包含正确的IP 地址和错误的MAC 地址，其中IP 地址是可疑主机的IP地址，MAC 地址是伪造的，这样如果可疑主机的网卡工作在正常模式，则该包将在可疑主机的以太网的数据链路层上被丢弃，TCP/IP 网络层接收不到数据因而也不会有什么反应。如果可疑主机的网卡工作在混杂模式，它就能接收错误的MAC 地址，该非法包会被数据链路层接收而进入上层的TCP/IP 网络层，TCP/IP 网络层将对这个非法的PING 包产生回应，从而暴露其工作模式。

使用 PING 方法的具体步骤及结论如下：

① 假设可疑主机的IP 地址为192.168.10.11，MAC 地址是00-E0-4C-3A-4B-A5，检测者和可疑主机位于同一网段。

② 稍微修改可疑主机的MAC 地址，假设改成00-E0-4C-3A-4B-A4。

③ 向可疑主机发送一个PING 包，包含它的IP 和改动后的MAC 地址。

④ 没有被监听的主机不能够看到发送的数据包，因为正常的主机检查这个数据包，比较数据包的MAC 地址与自己的MAC 地址不相符，则丢弃这个数据包，不产生回应。

⑤ 如果看到回应，说明数据包没有被丢弃，也就是说，可疑主机被监听了。

（3）ARP 法。除了使用PING 进行监测外，还可以利用ARP 方式进行监测的。这种模式使用ARP数据包替代了上述的ICMP 数据包。向局域网内的主机发送非广播方式的ARP 包，如果局域网内的某个主机以自己的IP 地址响应了这个ARP 请求，那么就可以判断它很可能就处于网络监听模式了。

（4）响应时间测试法。这种检测已被证明是最有效的。它能够发现网络中处于监听模式的机器，而不管其操作系统是什么。非监听模式的机器的响应时间变化量会很小，而监听模式的机器的响应时间变化量则通常会较大。

2.2.4 网络监听的防范措施

为了防止网络上的主机被监听，有多种技术手段，可以归纳为以下三类。

第一种是预防，监听行为要想发生，一个重要的前提条件就是网络内部的一台有漏洞的主机被攻破，只有利用被攻破的主机，才能进行监听，从而收集以网络内重要的数据。因此，要预防网络中的主机被攻破。这就要求我们养成良好的使用计算机的习惯，不随意下载和使用来历不明的软件，及时给计算机打上补丁程序，安装防火墙等措施，涉及到国家安全的部门还应该有防电辐射技术，干扰技术等等，防止数据被监听。

二是被动防御，主要是采取数据加密技术，数据加密是对付监听的最有效的办法。网上的信息绝大多数都是以明文的形式传输，容易辨认。一旦口令被截获，入侵者就可以非常容易地登录到另一台主机。对在网络上传输的信息进行加密后，监听器依然可以捕获传送的信息，但显示的是乱码。使用加密技术，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一，但是它的缺点是速度问题。几乎所有的加密技术都将导致网络的延迟，加密技术越强，网络速度就越慢。只有很重要的信息才采用加密技术进行保护。

三是主动防御，主要是使用安全的拓扑结构和利用交换机划分VLAN，这也是限制网络监听的有效方法，这样的监听行为只能发生在一个虚拟网中，最大限度地降低了监听的危害，但需要增加硬件设备的开支，实现起来要花费不少的钱。

3.无线局域网安全威胁

3.1 非授权访问

无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。所以，未授权实体可以从外部或内部进入网络，浏览存放在网络上的信息；另外，也可以利用该网络作为攻击第三方的出发点，对移动终端发动攻击。而且，IEEE 802.11标准采用单向认证机制，只要求STA向AP进行认证，不要求AP向STA进行认证。入侵者可以通过这种协议上的缺陷对AP进行认证进行攻击，向AP发送大量的认证请求帧，从而导致AP拒绝服务。

3.2 敏感信息泄露

WLAN物理层的信号是无线、全方位的空中传播，开放传输使得其物理层的保密性无法保证。WLAN无线信号的覆盖范围一般都会超过实际需求，只要在信号覆盖范围内入侵者就可以利用无线监听技术捕获无线网络的数据包，对网络通信进行分析，从而获取有用信息。目前窃听已经成为无线局域网面临的最大问题之一。

3.3 WEB缺陷威胁

有线等效保密WEP是IEEE 802.11无线局域网标准的一部分，它的主要作用是为无线网络上的信息提供和有线网络同一等级的机密性。IEEE选择在数据链路层用RC4算法加密来防止对网络进行窃听。WEP在每一个数据包中使用完整性校验字段来保证数据在传输过程中不被窜改，它使用了CRC-32校验。在WEP中明文通过和密钥流进行异或产生密文，为了加密，WEP要求所有无线网络连接共享一个密钥。实际上，网络只使用一个或几个密钥，也很少更换。WEP算法根据密钥和初始化向量IV产生密钥流，确保后续的数据包用不同的密钥流加密。但IV在一个相当短的时间内重用，使用24位的IV并不能满足要求。一个24位的字段包含16777216个可能值, 假设网络流量是11M, 传输2000字节的包，在7个小时左右, IV 就会重用。CRC-32不是一个很适合WEP的完整性校验, 即使部分数据以及CRC-32校验码同时被修改也无法校验出来。

3.4 无线局域网的安全措施

3.4.1 阻止非法用户的接入

（1）基于服务设置标识符(SSID)防止非法用户接入

服务设置标识符SSID是用来标识一个网络的名称，以此来区分不同的网络，最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID与无线访问点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令，从而提供口令认证机制，阻止非法用户的接入，保障无线局域网的安全。SSID通常由AP广播出来，例如通过windows XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑，可禁止AP广播其SSID号，这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。

（2）基于无线网卡物理地址过滤防止非法用户接入

由于每个无线工作站的网卡都有惟一的物理地址，利用MAC地址阻止未经授权的无限工作站接入。为AP 设置基于MAC 地址的Access Control（访问控制表），确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。但是MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作。如果用户增加，则扩展能力很差，因此只适合于小型网络规模。

3.4.2 实行动态加密

动态加密技术是基于对称加密和非对称加密的结合，能有效地保证网络传输的安全。动态加密着眼于无线网络架构中通信双方本身，认为每个通信方都应承担起会话中网络信息传输的安全责任。会话建立阶段，身份验证的安全需要非对称加密以及对PKI的改进来防止非授权访问，同时完成初始密钥的动态部署和管理工作，会话建立后，大量的数据安全传输必须通过对称加密方式，但该系统通过一种动态加密的模式，摒弃了现有机制下静态加密的若干缺陷，从而使通信双方的每次―通信回合‖都有安全保证。在一个通信回合中，双方将使用相同的对称加密密钥，是每个通信方经过共同了解的信息计算而得到的，在通信回合之间，所使用的密钥将实时改变，虽然与上次回合的密钥有一定联系，但外界无法推算出来。

3.4.3 数据的访问控制

访问控制的目标是防止任何资源（如计算资源、通信资源或信息资源）进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证，只是完成了接入无线局域网的第一步，还要获得授权，才能开始访问权限范围内的网络资源，授权主要是通过访问控制机制来实现。访问控制也是一种安全机制，它通过访问BSSID、MAC 地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行：源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。

4.计算机局域网病毒及防治

虽然局域网采用的是专网形式，但因管理及使用方面等多种原因，计算机病毒也开始在局域网出现并迅速泛滥，给网络工程安全带来一定的隐患，对数据安全造成极大威胁，妨碍了机器的正常运行，影响了工作的正常开展。如何防范计算机病毒侵入计算机局域网和确保网络的安全己成为当前面临的一个重要且紧迫的任务。

4.1 局域网病毒

局域网病毒的入侵主要来自蠕虫病毒，同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。计算机病毒表现出以下特点：传播方式和途径多样化；病毒的欺骗性日益增强病毒的传播速度极快；病毒的制作成本降低；病毒变种增多；病毒难以控制和根治；病毒传播更具有不确定性和跳跃性；病毒版本自动在线升级和自我保护能力；病毒编制采用了集成方式等。局域网病毒的传播速度快，传播范围广，危害也大。局域网病毒还特别难以清除，只要有一台工作站的病毒未被彻底清除，整个网络就有可能重新感染。

当计算机感染上病毒出现异常时，人们首先想到的是用杀毒软件来清除病毒。但令人担扰的是杀毒工具软件被广泛使用的今天，病毒的种类和数量以及所造成的损失不是逐年减少，反而是逐年增加。这表明杀毒工具软件作为病毒防范的最主要工具，已显露出重大缺陷----对病毒的防范始终滞后于病毒的出现。如何加强局域网病毒防护是保障网络信息安全的关键。

4.2 计算机局域网病毒的防治措施

计算机局域网中最主要的软硬件就是服务器和工作站，所以防治计算机网络病毒应该首先考虑这两个部分，另外要加强各级人员的管理教育及各项制度的督促落实。

（1）基于工作站的防治技术。局域网中的每个工作站就像是计算机网络的大门，只有把好这道大门，才能有效防止病毒的侵入。工作站防治病毒的方法有三种：

一、是软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况。

二、是在工作站上插防病毒卡，防病毒卡可以达到实时检测的目的，但防病毒卡的升级不方便，从实际应用的效果看，对工作站的运行速度有一定的影响。

三、是在网络接口卡上安装防病病毒芯片它将工作站存取控制与病毒防护合二为一，可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题，而且对网络的传输速度也会产生一定的影响。上述三种方法都是防病毒的有效手段，应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。

（2）基于服务器的防治技术。服务器是网络的核心，是网络的支柱，服务器一旦被病毒感染，便无法启动，整个网络都将陷入瘫痪状态，造成的损失是灾难性的。难以挽回和无法估量的，目前市场上基于服务器的病毒防治采用NLM方法，它以NLM模块方式进行程序设计，以服务器为基础，提供实时扫描病毒的能力，从而保证服务器不被病毒感染，消除了病毒传播的路径，从根本上杜绝了病毒在网络上的蔓延。

（3）加强计算机网络的管理。计算机局域网病毒的防治，单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的，只有把技术手段和管理机制紧密结合起来，才有可能从根本上保护网络系统的安全运行。

一、从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度，对网络系统的管理员及用户加强法制教育和职业道德教育，不损人，不犯法，规范工作程序和操作规程，严惩从事非法活动的集体和个人。

二、加强各级网络管理人员的专业技能学习，提高工作能力，并能及时检查网络系统中出现病毒的症状。汇报出现的新问题、新情况，做到及时发现问题解决问题，同时在网络工作站上经常做好病毒检测的工作，把好网络的第一道大门。

4.3 清除网络病毒

一旦在局域网上发现病毒，应尽快加以清除，以防网络病毒的扩散给整个系统造成更大的损失，具体过程为:

（1）立即停止使用受感染的电脑，并停止电脑与网络的联接,因为病毒会随时发作，继续使用受感染的电脑，只会加速该病毒的扩散,用broadcast命令通知包括系统管理员在内的所有用户退网,关闭文件服务器。

（2）用干净的系统盘启动系统管理员工作站，并立即清除本机工作站中含有的病毒。

（3）用干净的系统盘启动文件服务器，系统管理员登录后，使用disable longin禁止其他用户登录。

（4）用防病毒软件扫描服务器上所有卷的文件，恢复或删除被感染的文件，重新安装被删除的文件。

（5）若没有最新的备份文件，可尝试使用杀毒软件把病毒清除，对在已染毒网络上存取过的软盘进行消毒。

（6）确信网络病毒已全部彻底清除后，重新启动网络及各工作站。

5.局域网安全防范系统

5.1 防火墙系统

5.1.1 防火墙概述

防火墙是一种用来增强内部网络安全性的系统，它将网络隔离为内部网和外部网，从某种程度上来说，防火墙是位于内部网和外部网之间的桥梁和检查站，它一般由一台和多台计算机构成，它对内部网和外部网的数据流量进行分析、检测、管理和控制，通过对数据的筛选和过滤，来防止未授权的访问进出内部计算机网，从而达到保护内部网资源和信息的目的。

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

5.1.2 防火墙的体系结构

5.1.2.1 双重宿主主机体系结构

双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络（如外部网络）直接发送到另一个网络（如内部网络）。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。

5.1.2.2 被屏蔽主机体系结构

双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开，如图4所示。在这种体系结构中，主要的安全由数据包过滤提供（例如，数据包过滤用于防止人们绕过代理服务器直接相连）。

这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。数据包过滤容许堡垒主机开放可允许的连接（什么是“可允许连接”将由你的站点的特殊的安全策略决定）到外部世界。

在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行：

(1)允许其它的内部主机为了某些服务开放到Internet上的主机连接（允许那些经由数据包过滤的服务）；

(2)不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）。

5.1.2.3 被屏蔽子网体系结构

被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间。这样就在内部网络与外部网络之间形成了一个―隔离带‖。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器。

5.1.3 防火墙的功能

5.1.3.1 数据包过滤技术

数据包过虑技术是在网络中的适当位置对数据包实施有选择的通过的技术.选择好依据系统内设置的过滤规则后,只有满足过滤规则的数据包才被转发至相应的网络接口，而其余数据包则从数据流中被丢弃。数据包过滤技术是防火墙中最常用的技术。对于一个危险的网络，用这种方法可以阻塞某些主机和网络连入内部网络，也可限制内部人员对一些站点的访问。包过滤型防火墙工作在OSI参考模型的网络层和传输层,它根据数据包头源地址,目的地址,端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发到相应目的地,其余数据包则被数据流中阻挡丢弃。

5.1.3.2 网络地址转换技术

网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准,用户必须要为网络中每一台机器取得注册的IP地址[ 7 ]。在内部网络通过安全网卡访

问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问7 ]。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。网络地址转换过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。

5.1.3.3 代理技术

代理技术是在应用层实现防火墙功能,代理服务器执行内部网络向外部网络申请时的中转连接作用。

代理侦听网络内部客户的服务请求,当一个连接到来时,首先进行身份验证,并根据安全策略决定是否中转连接。当决定转发时,代理服务器上的客户进程向真正的服务器发出请求,服务器返回代理服务器转发客户机的数据。

另一种情况是,外部网通过代理访问内部网,当外部网络节点提出服务请求时,代理服务器首先对该用户身份进行验证。若为合法用户,则把该请求转发给真正的某个内部网络的主机。而在整个服务过程中,应用代理一直监控着用户的操作,一旦用户进行非法操作,就可以进行干涉,并对每一个操作进行记录。若为不合法用语,则拒绝访问。

5.1.3.4 全状态检测技术

全状态检测防火墙在包过滤的同时，检测数据包之间的关联性，数据包中动态变化的状态码。它有一个检测引擎，在网关上执行网络安全策略。监测引擎采用抽取有关数据的方法对网络通信的各层实施监督测，抽取状态信息，并动态地保存起来，作为以后执行安全策略的参考。当用户访问请求到达网关是操作系统前，状态监测器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密处理动作。

5.2 入侵检测系统

5.2.1 入侵检测系统概述

入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统

5.2.2 入侵检测原理

入侵检测跟其他检测技术有同样的原理。从一组数据中，检测出符合某一特点的数据。攻击者进行攻击的时候会留下痕迹，这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测系统的任务是从这些混合的数据中找出是否有入侵的痕迹，并给出相关的提示和警告。

入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。

第二步是信息分析，收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。

第三步是结果处理，控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。

5.2.3 局域网入侵检测系统的构建方法

根据CIDF规范，从功能上将IDS 划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。具体实现起来，一般都将数据采集子系统和数据分析子系统在Linux或Unix平台上实现，称之为数据采集分析中心；将控制台子系统在Windows NT或2000上实现，数据库管理子系统基于Access或其他功能更强大的数据库如SQL等，多跟控制台子系统结合在一起，称之为控制管理中心。构建一个基本的IDS,具体需考虑以下几个方面的内容。

首先，数据采集机制是实现IDS的基础，数据采集子系统位于IDS的最底层，其主要目的是从网络环境中获取事件，并向其他部分提供事件。这就需要使用网络监听来实现审计数据的获取，可以通过对网卡工作模式的设置为―混杂‖模式实现对某一段网络上所有数据包的捕获。然后，需要构建并配置探测器，实现数据采集功能。应根据自己网络的具体情况，选用合适的软件及硬件设备，如果网络数据流量很小，用一般的PC机安装Linux即可，如果所监控的网络流量非常大，则需要用一台性能较高的机器；在服务器上开出一个日志分区，用于采集数据的存储；接着应进行有关软件的安装与配置，至此系统已经能够收集到网络数据流了。

其次，应建立数据分析模块。数据分析模块相当于IDS的大脑，它必须具备高度的―智慧‖和―判断能力‖,所以，在设计此模块之前，需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入地研究，然后制订相应的安全规则库和安全策略，再分别建立滥用检测模型和异常检测模型，让机器模拟自己的分析过程，识别确知特征的攻击和异常行为，最后将分析结果形成报警消息，发送给控制管理中心。设计数据分析模块的工作量浩大，需要不断地更新、升级、完善。在这里需要特别注意3个问题。应优化检测模型和算法的设计，确保系统的执行效率；安全规则的制订要充分考虑包容性和可扩展性，以提高系统的伸缩性；报警消息要遵循特定的标准格式，增强其共享与互操作能力，切忌随意制订消息格式的不规范做法。

第三，需要构建控制台子系统。控制台子系统负责向网络管理员汇报各种网络违规行为，并由管理员对一些恶意行为采取行动（如阻断、跟踪等）。控制台子系统的主要任务有：管理数据采集分析中心，以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息；根据安全策略进行一系列的响应动作，以阻止非法行为，确保网络的安全。控制台子系统的设计重点是：警报信息查询、探测器管理、规则管理及用户管理。

第四，需要构建数据库管理子系统。一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息，还应详细地记录现场数据，以便于日后需要取证时重建某些网络事件。数据库管理子系统的前端程序通常与控制台子系统集成在一起，用Access或其他数据库存储警报信息和其他数据。

第五，完成综合调试。以上几步完成之后，一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来，还需要保持各个部分之间安全、顺畅地通信和交互，这就是综合调试工作所要解决的问题，主要包括要实现数据采集分析中心和控制管理中心之间的双向通信及保证通信的安全性，最好对通信数据流进行加密操作，以防止被窃听或篡改。同时，控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作，如警报信息查询、网络事件重建等。经过综合调试后，一个基本的IDS就构建完成了，但是此时还不能放松警惕，因为在以后的应用中要不断地对它进行维护，特别是其检测能力的提高；同时还要注意与防火墙等其它系统安全方面的软件相配合，以期从整体性能上提高局域网的安全能力。

6.局域网安全防范策略

一个网络的防病毒体系是建立在每个局域网的防病毒系统上的，应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。

6.1 划分VLAN 防止网络侦听

运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。

6.2 网络分段

局域网大多采用以广播为基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。网络分段就是将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。所以网络分段是保证局域网安全的一项重要措施。

6.3 以交换式集线器代替共享式集线器

对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Unicast Packet）还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。

6.4 实施IP/MAC 绑定

很多网关软件实施流量过滤时都是基于IP或MAC地址，对控制普通用户起到了很好的效果，但对于高级用户就显得无能为力了，因为不管是IP或是MAC地址都可以随意修改。要实施基于IP或MAC地址过滤的访问控制，就必须进行IP/MAC地址的绑定，禁止用户对IP或MAC的修改。首先通过交换机实施用户与交换机端口的MAC绑定，再通过服务器网络管理实施IP/MAC绑定，这样用户既不能改网卡的MAC地址，也不能改IP地址。通过IP/MAC绑定后，再实施流量过滤就显得有效多了。

7.总结

网络安全技术和病毒防护是一个涉及多方面的系统工程，在实际工作中既需要综合运用以上方法，还要将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，又需要规范和创建必要的安全管理模式、规章制度来约束人们的行为。因此，局域网安全不是一个单纯的技术问题，它涉及整个网络安全系统，包括防范技术、规范管理等多方面因素。只要我们正视网络的脆弱性和潜在威胁，不断健全网络的相关法规，提高网络安全防范的技术是否被授权，从而阻止对信息资源的非法用户使用网络系统时所进行的所有活动的水平，才能有力地保障网络安全。

[①].高传善，钱松荣.专注.数据通信与计算机网络[M].高等教育出版社,2001:8-9

[②].邓亚平.计算机网络安全[M].人民邮电出版社, 2004:1-10.[③].李成大,张京.计算机信息安全[M].人民邮电出版社，2004:72-117

篇2：局域网安全毕业论文

无线局域网的组建与安全设计无线局域网络(Wireless Local Area Networks； WLAN)是相当便利的数据传输系统，它利用射频(Radio Frequency； RF)的技术，取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络，使得无线局域网络能利用简单的存取架构让用户透过它，达到「信息随身化、便利走天下」的理想境界。因其具有灵活性、可移动性及较低的投资成本等优势，无线局域网解决方案作为传统有线局域网络的补充和扩展，获得了中小型办公室用户、广大企业用户及家庭网络用户的青睐，得到了快速的应用。无线局域网可以提供传统LAN 技术(如以太网和令牌网)所有功能和好处。并且极大地提高经济效益，提高生产率48%，提高企业效率6%，改善收益与利润6%，降低成本40%。使用无线局域网不仅可以减少对布线的需求和与布线相关的一些开支，还可以为用户提供灵活性更高、移动性更强的信息获取方法。近年来，无线局域网产品逐渐走向成熟，无线局域网带宽很宽，适合企业部门进行大量双向和多向的多媒体信息传输，正在以它的高速传输能力和灵活性发挥日益重要的作用。本文对部门办公无线局域网的基本结构做了介绍，并对该网络的组建及安全维护做了阐述，因为无线网络比有线网络更容易受到入侵。

前言无线局域网是20世纪90年代计算机网络与无线通信技术相结合的产物，它使用无线电波代替双绞线、同轴电缆等设备，提供了使用无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个人化和多媒体应用提供了潜在的手段[1]。它既可满足各类便携机的入网要求，也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段，能迅速地应用于需要在移动中联网和在网间漫游的场合，并在不易架设有线的地方和远冲离的数据处理节点提供强大的网络支持。同时无线局域网的载频为公用频段，无需另外付费，因而使用无线局域网的成本较低。无线局域网带宽更会发展到上百兆的带宽，能够满足绝大多数企业的带宽要求。因此，WLAN已在许多行业中得到了应用。人们生活在“移动”的世界中，越来越多的移动产品的出现，标志着人们对快捷数据访问的需求在不断增加。近年来计算机局域网得到了很大的发展与普及，局域网已成为提高工作效率及生产率不可缺少的工具。通过无线局域网可以实现许多新的应用，这表明无线局域网的时代已经来临。无线局域网在人们的印象中是价格昂贵的，但实际上，在购买时不能只考虑设备的价格，因为无线局域网可以在其它方面降低成本。根据无线局域网协会的调查表明，无线局域网可极大地提高经济效益，提高生产率48%，提高企业效率6%，改善收益与利润6%，降低成本40%。使用无线局域网不仅可以减少对布线的需求和与布线相关的一些开支，还可以为用户提供灵活性更高、移动性更强的信息获取方法。目录摘要.............................................................................................................2.............................................................................................................3

一、组建无线局

域网的准备工作................................................................................5

（一）现有设备统计..........................................................................................5

（二）网络接入方式..........................................................................................5

（三）无线路由的安放位置................................................................................6

（四）组建设备.................................................................................................7 1.无线网卡................................................................................................7 2.无线路由器............................................................................................7 3.无线访问节点.........................................................................................7

二、如何组建无线局域网..........................................................................................8

（一）设备的连接..............................................................................................8

（二）无线局域网的配置...................................................................................8 1.使用何种无线标准..................................................................................8 2.选择加密方式.........................................................................................9

（三）测试无线网络..........................................................................................9 1.无线局域网安全测试方案设计思路.........................................................9 2.无线局域网加密状况测试方案..............................................................10 3．恶意攻击测试方案

三、无线局域网的安全配置.(一)设置网

络环境............................................................................................11

（二）IP与MAC的相互绑定.............................................................................13

（三）防火墙...................................................................................................13

四、日常维护.（一）备份......................................................................................................14

（二）密码变更...............................................................................................14

（三）设备维护...............................................................................................15

五、无线局域网故障排除

（一）检查AP的可连接性................................................................................15

（二）WLAN网络配置问题................................................................................15

（三）AP无线信号强度....................................................................................16

（四）改变无线信号频道.................................................................................16 结

论...........................................................................................................18

一、组建无线局域网的准备工作

（一）现有设备统计为充分满足部门现有设备联网办公需要，建立无线局域网之前要对现有设备进行调查统计，然后再确定无线组网方案。现有一公司位于新办公楼内，办公区域较分散，某些区域不能实施布线。其中一个部门共占2层，每层200平方，主要办公区域在2楼。网络内有20台台式计算机、5台笔记本（全部配有内置无线网卡），全部安装了Windows XP操作系统，Internet接入采用以太网接入（10M）。但是工作要求在所有区域都能上网，同时，在办公楼的公共区域也要求能够提供无线接入。由于对网络灵活性的需求，使得无线网络成为构建网络的首选。

（二）网络接入方式

图1-1 Infrastructure模式结构示意图无线局域网的组成包括无线网卡和无线接入点(Access Point，简称AP)，无线接入点的作用是完成WLAN 和LAN 之间的桥接。无线局域网利用常规的局域网(如10/100/1000M以太网)及其互联设备(路由器、交换机)构成骨干支撑网。利用无线接入点(AP)来支持移动终端(MT)的移动和漫游。配有无线网卡的台式PC机、笔记本电脑或其他设备就可以与无线网络连接起来。对于客户端，无线网卡作为无线网络的接口实现与无线网络的连接。因此根据部门多台计算机的无线组网的实际情况选用Infrastructure模式，计算机通过无线网卡与AP进行通讯，AP起到了有线网络中的作用。可以组建星型结构的无线局域网，所有传输的数据均需通过AP，由AP或路由器进行网络的控制管理。多个AP可以相互串联以形成更大规模的网络。

（三）无线路由的安放位置由于主要办公区域在二层，因而将ADSL Modem与无线宽带路由器（无线HUB）放置于二层，并通过有线方式连接。如图２是该部门房间布置结构图，无线宽带HUB高达18dBm的输出功率可有效覆盖二层的全部无线网络环境。通过路由自动分配IP使得区域内的电脑即可实现随时随地互联、接入网络，可以不受场所或房间的限制进行连接以及共享文件、共享打印等。一楼办公区域由于电脑位置分散，可通过补充一台商用型大功率蜂鸟系列无线网络接入点(无线AP)以达到更大的覆盖面积和更高的连接速率。无线AP拥有美观的外形、小巧的体积，决不占用过多空间，并可通过放置在天花板内减低对于环境美观造成的影响。图1-2 房间布置结构图

（四）组建设备除了配备无线路由器和AP外，还需要准备网线，用于连接无线路由器和AP，还需要为工作室的每台台式电脑配备一块无线网卡。1.无线网卡无线网卡（Wireless LAN Card）的作用类型类似于以太网中的网卡，作为无线局域网的接口，实现与无限局域网的连接。无线网卡是终端无线网络的设备，是在无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。无线网卡根据接口类型的不同，主要有三种类型：PCMCIA无线网卡(适用于笔记本电脑，支持热插拔)、PCI无线网卡(适用于台式机)和USB无线网卡(适用于笔记本电脑和台式机，支持热插拔)。2.无线路由器无线宽带路由器是为家庭和小型办公室用户设计的一类无线产品，通常集成了无线AP、以太网交换机和IP路由器的功能，就是带有无线覆盖功能的路由器，它主要应用于用户上网和无线覆盖。无线路由器还具有其它一些网络管理的功能，如DHCP服务、NAT防火墙、MAC地址过滤等功能。3.无线访问节点即“Access Point”，简称AP。它主要在媒体存取控制层MAC中扮演无线工作站与有线局域网络的桥梁。就像一般有线网络的HUB一般，无线工作站可以快速且轻易地与网络相连。有了无线网卡及AP，如此便能以无线的模式，配合既有的有线架构来分享网络资源。在无线网的方案中全部选用高锐CELL系列无线网络产品：增强型802.11G/B 无线网络宽带路由器(无线宽带HUB)、802.11B/B+/G三模PCI接口无线网卡、802.11B商用型大功率蜂鸟系列无线网络接入点(无线AP)。其中增强型802.11G/B 无线网络宽带路由器可提供高达108Mbps的传输速率，完全可满足笔记本计算机在区域内移动无线高速上网的需求。台式机全部安装802.11B/B+/G三模PCI接口无线网卡，速率最高可达54Mbps，灵敏度高，输出功率17dBm，支持高达256-Bit的 WEP通讯加密。而且这款设备可与一切 802.11g、802.11b 及 802.11b+无线设备兼容，为最佳无线网络配置提供完美无隙的接合。无线访问点使用户能够自由调整网络结构和随意增加减少工位，提供随时随地的企业网络资源访问。增强型802.11g/b 无线网络宽带路由器为办公区域部署了增强型的无线安全网络，内建防火墙及NAT，能有效的阻挡来自Internet的安全性风险。基于硬件的128/254-Bit WEP传输加密，提供安全的数据通信能力。支持高度安全的802.1x 认证与Wi-Fi Protected Access(WPA and WPA-SDK)加密系统，能使网络免遭无线窃听者的攻击。MAC地址授权访问功能确保只有合法认证后的用户才能访问有效的网络资源，可以通过WEB进行配置管理。

二、如何组建无线局域网

（一）设备的连接在工作室中，首先需要给每台台式安装PCI无线网卡，将PCI无线网卡和计算机的USB接口连接，Windows XP会自动提示发现新硬件，并打开“找到新的硬件向导”对话框。将随网卡附带的驱动程序盘插入光驱，选择“自动安装软件”选项，然后点击“下一步”按钮即开始驱动程序的安装。这样，打开“网络连接”对话框就可以看到自动创建的“自动无线网络连接”。而且在系统“设备管理器”对话框中的“网络适配器”项中可以看到已经安装的 PCI无线网卡。然后将无线路由器的端口和进入办公网络的Internet接口用网线连接，另外选择一个端口与无线接入点的端口连接。最后，分别接通无线路由器、AP电源就可以了。

（二）无线局域网的配置 1.使用何种无线标准根据各部门对网络的不同需求，要求无线网络能提供以下的应用：共享上网、从简单的文件共享与打印共享、办公自动化，到复杂的电子商务等。由于网络内有大量Photoshop文档列印需求，有时还有网络视频应用，因而对网络质量和速率要求非常高，普通的802.11b网络的11Mbps传输速率无法满足实际需求。而802.11n是最新的无线局域网标准。其独特的双频带工作模式(包含2.4GHz和5GHz 两个工作频段)，保障了与以往802.11a/b/g等标准的兼容，与以前的802.11协议相比，IEEE 802.11n无线局域网有两方面的优势。一是短期的优势，有较高的传输速率，数据传输速率达100Mbit/s以上，使无线局域网平滑地和有线网络结合，全面提升了网络吞吐量；二是长期的优势，今后无线局域网的产品可以使用双频方式，基于MIMO技术（利用多天线来抑制信道衰落）和OFDM调制（正交频分复用技术）提高数据传输速率。同时，802.11n的传输距离更远，容易与无线广域网融合。在传输速率方面，802.11n可以将WLAN的传输速率由目前802.11a及802.11g提供的54Mbit/s、108Mbit/s，提高到300Mbit/s甚至高达600Mbit/s，传输速率提升了10倍。在覆盖范围方面，802.11n采用智能天线技术，通过多组独立天线组成的天线阵列，可以动态调整波束，保证让WLAN 用户接收到稳定的信号，并可以减少其他信号的干扰。因此其覆盖范围可以扩大到好几平方公里，使WLAN 移动性极大提高。在兼容性方面，802.11n 它是一个完全可编程的硬件平台，使得不同系统的基站和终端都可以通过这一平台的不同软件实现互通和兼容，这使得WLAN 的兼容性得到极大改善[2]。2.选择加密方式现在组建的无线局域网虽然实现了宽带共享功能，但是却非常不安全。附近任何的电脑只要安装了无线网卡，就可以不知不觉地入侵建立的无线局域网，甚至利用宽带接入上网。为了保证无线网络的安全，还有必要对网络进行加密。Wi-Fi组织联合IEEE802.11i任务组另外提出了WPA标准，代替在设计上有缺陷的WEP协议，来缓解WLAN安全性的燃眉之急。该标准允许用户通过软件升级的方式，使早期的Wi-Fi产品兼容支持WEP，保障用户的前期投资，持高度安全的802.1x身份认证与Wi-Fi Protected Access(WPA and WPA-SDK)加密系统在IEEE 802.11i 标准最终确定前，WPA（Wi-Fi Protected Access）技术将成为代替WEP的无线安全标准协议，为IEEE 802.11 无线局域网提供更强大的安全性能。WPA是IEEE802.11的一个子集，其核心就是IEEE 802.1x和TKIP。新一代的加密技术采用的TKIP(Temporary Key Integrity Protocol)协议与WEP一样基于RC4加密算法，且对现有的WEP进行了改进。在现有的WEP加密引擎中增加了“密钥细分（每发一个包重新生成一个新的密钥）”、“消息完整性检查（MIC）”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法，极大地提高了加密安全强度。WPA之所以比WEP更可靠，就是因为它改进了加密算法。WEP加密采用RSA开发的RC4对称加密算法，在链路层加密数据，采用静态的保密密钥，各WLAN终端使用相同的密钥访问无线网络。由于WEP密钥分配是静态的，黑客可以通过拦截和分析加密的数据，在很短的时间内就能破解密钥。而在使用WPA时，系统频繁地更新主密钥，确保每一个用户的数据分组使用不同的密钥加密，即使截获很多的数据，破解起来也非常地困难[3]。

（三）测试无线网络 1.无线局域网安全测试方案设计思路无线网的安全问题始终是影响无线网络广泛应用的最大障碍。无线网的安全问题主要分为非法入侵和恶意攻击两大类。由于微波技术传输的特性，在某一空间内，微波信号能够被整个空间内所有的接收设备接受，信号干扰、非法入侵等与有线网络中完全不同的问题严重影响了网络性能，因此针对无线局域网的安全测试方案就是要在可能的情况下，发现并定位对网络实施攻击的可行性方案，该方案主要从以下两个方面进行：（1）物理隔离测试：物理隔离测试包括AP隔离测试，MAC(Medium Access Control)地址过滤测试。AP与用户两层隔离测试主要是为了对于不同的用户进行隔离，以保证只有经过授权的用户才能与特定的AP进行连接。MAC地址过滤测试主要是通过MAC 址进行合法用户的筛选。（2）加密与认证状况的测试：该测试主要是针对无线网络产品所采用的加密模式进行测试，认证测试是指对认证过程进行测试，主要是对802.1x认证过程进行测试。随着安全技术的逐步成熟，困扰无线网络的安全问题从技术层面目前己经得到了一定程度的解决，现在主要安全问题来源于使用过程中人为的疏忽，因此必须建立行之有效的安全测试方案，降低由于人为疏忽的安全问题而引起网络性能下降的程度，本文在大量现场测试的基础之上，提出了一套以加密状况和恶意攻击测试为主的安全测试方案。2.无线局域网加密状况测试方案测试背景：在搭设无线网络之初，工程人员必须使用测试仪对周边环境进行信号测试，以确保环境内没有长期的射频干扰源，可以搭建无线网络。在WLAN建成之后，由于无线局域网的弱授权性，弱安全性，管理员必须时时对网络内的设备的加密情况进行测试，一方面监测长期使用本网的用户的加密状况，一方面还需要检测临时加入该网的用户的加密状况，从而能提醒网络管理员及时对未采取加密措施的设备进行加密处理，以避免给网络造成危险。因此，为了保证无线环境的相对安全性，应使用专业的无线网络测试仪对无线网络环境进行基本的安全测试，从而帮助网络管理员了解目前所处环境的基本无线网络安全状况，以便于管理员的管理和逐一对进行安全配置。测试方案：(1)测试人员搜集所测试网络的基本拓扑结构。由于无线局域网的移动性，网络拓扑会由于设备的移动而发生改变，因此在网络投入使用之前，需要了解相对固定的网络结构，如AP的部署情况，信道的分布情况，在此阶段测试人员需要先期对网络进行基本的安全测试，以保证AP、重要的站点、长期利用网络工作的站点均使用了健全的安全机制。并设置管理权限以避免人为对设备进行重新配置。当网络投入使用之后，需要网管人员时时测试并监控网络，以保证流动性的站点在加入网络时也设置了相应的安全机制。网管人员需要利用软件被动监听整个无线网络的数据包，搜集所有的信标帧，过滤基于SSID、AP、信道和站点的安全漏洞。(2)测试网络中AP的加密状况，根据拓扑图测试人员了解AP的部署情况，由于允许通过WEP页面对AP进行配置，因此测试人员可以参照网络拓扑，对AP进行察看，需要的信息包括AP的IP地址，管理员用户名及密码。(3)测试网络中流动站点的加密状况，由于站点具有流动性，每当有新的站点加入网络时，测试人员都需要对该站点的加密状况进行测试，测试方法可以对该站点返回的数据进行补包解码操作，分析该站点的加密状况。3．恶意攻击测试方案测试背景：恶意攻击在无线网络中主要是非法设备的入侵和无线干扰攻击。由于MAC地址在网络中以明文的形式传输，所以黑客可以轻易的窃听用户的MAC地址，装该地址进行攻击行为，另一方面攻击者还可以在网络中偷偷放置一个AP，展开攻击。由于无线传输的特殊性，无线讯号的干扰不仅影响了无线系统的覆盖范围和容量，而且还限制了现有系统和新兴系统的效能。甚至能导致无线网络的彻底瘫痪。在无线局域网测试中必须采用无线勘测技术测试周围环境来发现无线干扰设备。测试方案：通过下述四个参数确定探测到的设备为非法入侵者。(l)测试人员以MAC地址为依据创建ACL表，用来过滤非法MAC地址，持续监测ACL表防止未经授权的AP入侵网络。测试首先会探测整个无线网络中的设备结构，在网络建成初期，由于没有设备加入ACL表，因此默认情形下所有的设备均被认为是非法设备，需要网络管理员人工将合法的站点或AP选入ACL。在ACL表初始化后，需要测试人员根据网络拓扑将允许的设备添加到ACL表，如果出现新的设备，测试人员根据ACL表和该设备在无线网中的活动情况考核该设备的安全性，从而决定是否将设备纳入ACL表中。(2)测试人员通过OUI(设备原厂ID)进行非法设备的测试。(3)测试人员通过频谱分析进行无线干扰源分析从而发现干扰信号，测试采用先进的频谱分析芯片，可以采集无线网卡无法识别的RF信号，探测被测环境中是否存在蓝牙设备，微波炉等会对无线信号产生干扰的设备，并发出报警；合法的站点每30秒钟发送一次广播，每次探测两个信道，探测时间大约为一秒钟左右，测试设备探测连续的RF信号噪声以防止潜在的RF干扰攻击，若发现非法设备持续跟AP进行连接，将发生报警。一旦发现非法的未经审核的AP/客户端，测试产生自动报警，报警的严重程度可以通过颜色加以区分，之后测试人员通过查看安全警报日志获得详细信息，并根据经验及软件提供的解决方案，如可采用定向天线、频谱分析仪、功率强大的感应器等定位干扰源或非法设备。一旦有未经授权的AP/客户端侵入有线网络，需要使用定向天线及测试设备来发现非法设备，测试时，测试人员需要掌握被测试环境的建筑图和无线网络的拓扑图，测试行走的路线通常采用以AP为圆心的圆形路线，测试信号指针越高，说明离非法设备越近。找到非法设备后。，测试人员可将非人为的干扰设备部署在无线网覆盖区域之外。若非法设备为人为原因造成，测试人员可通过专业工具发出阻断包来阻断非法设备的入侵，或直接对攻击者的行为采取必要的法律措施[4]。

三、无线局域网的安全配置(一)设置网络环境在安装完网络设备后，还需要对无线AP 算机进行相应网络设置。1.无线路由器设置通过无线路由器组建的局域网中，除了进行常见的基本设置、DHCP设置，还需要进行WAN连接类型以及访问控制等内容的设置。(1)基本设置当连接到无线网络后，在局域网中的任何一台计算机中打开IE浏览器，首先在地址框中输入192.168.1.1，再输入登录用户名和密码(用户名默认为空，密码为admin)，点击“确定”按钮打开路由器设置页面。在左侧窗口点击“基本设置”链接，在右侧的窗口中除了可以设置IP地址、是否允许无线设置、SSID名称、频道、WEP外，还可以为WAN口设置连接类型，包括自动获取IP、静态IP等。DHCP的作用是实现在域中自动分配内网IP。在基本设置页面中，为了省去为办公网络中的每台计算机设置IP地址的操作，配置协议即自动从DHCP服务器中获取租用IP地址，使电脑用户在网络中断时自动获得新的IP地址以便继续工作，从而享受无缝漫游。但禁止DHCP对无线网络具有重要意义，采取这项措施，黑客不得不破译用户的IP地址、子网掩码及其他所需的TCP/IP参数。把DHCP自动分配IP地址的功能关掉后，把路由器的IP地址改掉，因为一般的路由器分配的IP地址都是“192.168.1.* ”，而且网关都是“192.168.1.1”，即使关掉DHCP自动分配有些人也可以进入网络，把路由器IP地址改掉，路由器的IP地址要和计算机的网关一致，路由器的IP地址要和计算机的IP地址在同一个网段。使用以太网方式接入Internet的网络，可以选择静态IP，然后输入WAN口IP地址、子网掩码、缺省网关、DNS服务器地址等内容。最后点击“应用”按钮完成设置。(2)为网络环境设置访问控制在办公网络中为了能有效地促进员工工作，提高工作效率，可以通过无线路由器提供的访问控制功能来限制员工对网络的访问。常见的操作包括IP访问控制、URL访问控制等。首先，在路由器管理页面左侧点击“访问控制”链接，接着在右侧的窗口中可以分别对IP访问、URL访问进行设置，在IP访问设置页面输入需要禁止的局域网IP地址和端口号，如果要禁止IP地址为192.168.1.100到192.168.1.102的计算机使用QQ，可以在“协议”列表中选择“UDP”选项，在“局域网IP范围”框中输入“192.168.1.100～192.168.1.102”，在“禁止端口范围”框中分别输入“4000”、“8000”。最后点击“应用”按钮。这样的设置是因为QQ聊天软件使用的是UDP协议，4000(客户端)和8000(服务器端)端口。如果不确定哪种协议的端口，可以在“协议”列表中选择“所有”选项，端口的范围在0～65535之间；要禁止某个端口，例如，FTP端口，可以在范围中输入21～21。对于“冲击波”病毒使用的RPC服务端口可以输入135～135。要设置URL访问控制功能，在访问控制页面中点击“URL访问设置”链接，在打开的页面中点击“URL访问限制”选项中的“允许”选项。在“网站访问权限”选项中选择访问的权限，可以设置“允许访问”或“禁止访问”，例如，要禁止访问http：//这样的网站，就可以在 “限制访问网站”框中输入http：//。最后点击“应用”按钮即可。最多可以限制20个网站。2.客户端设置在办公无线局域网中，要注意工作室中的所有计算机需要设定相同的访问方式，例如，同为“仅访问点(结构)网络”或同为“任何可用的网络(首选访问点)”。另外，还要将每台计算机的工作组设置为相同的名称。可以在每一台计算机中设置共享文件夹，实现无线局域网中的文件的共享；设置共享打印机和传真机，实现无线局域网中的共享打印和传真等操作。3.无线访问节点设置 AP分为带网关和不带网关的，不带网关的AP相当于集线器。进入AP的设置界面，点击“Configure”，进入配置窗口；在“General”项，Access Point Name和ESSID中可随意填写便于记忆的名称。Channel也可任意选取，但笔记本电脑中的无线网卡要与其统一；“Rates”设为“Auto”；在“IP Setting”项，为了网络安全，各设备都需要指定IP地址，选择不使用DHCP(动态分配IP地址)，选择关闭(Disable)，然后为AP指定一个与局域网各机器同一网段,而且没有冲突的网址，而且子网掩码和默认网关栏的值也必需指定与局域网其他机器一样，AP设置完成。打开“网上邻居”的“属性”到“无线网络连接状态”，在“属性”中的“无线网络连接属性”，点击“无线网络配置”，在“首选网络”下的“添加”点击“关联”项，将服务名SSID设为与AP的ESSID统一，全部设置完成。

（二）IP与MAC的相互绑定 WLAN存在的安全风险和安全问题主要包括来自网络用户的进攻，未认证的用户获得访问权以及内部的窃听泄密等。针对这些威胁问题，IEEE 802.11技术本身设置了认证和加密功能，但还存在安全隐患，还需要采取物理地址过滤的方法，即每块网卡都有唯一的物理地址，在AP中设置允许访问的MAC地址列表，可实现属于硬件认证的物理地址过滤。绑定MAC地址和IP地址功能时，选择不使用自动获取IP地址，关闭DHCP服务，并使用MAC地址过滤，记下各计算机的Internet Address及对应的Physical Address，然后在AP设置中的允许访问的MAC地址列表和指定IP地址区域输入所有用户的地址即可完成网关的IP address与MAC address的绑定。

（三）防火墙防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。通常一个路由器，也可以是一台运行防火墙软件的PC机。防火墙有选择地过滤或阻塞网络间的流量。它通常在Intranet和Internet的交接处，也可以在两个Intranet之间设立防火墙。防火墙一般是基于源地址和目的地址以及每个IP包的端口来做出禁止或允许判断。为了保证网络的安全，无线路由器内置了防火墙功能。防火墙功能一般包括LAN防火墙和WAN防火墙，前者可以采用IP地址限制、MAC过滤等手段来限制局域网内计算机访问Internet；后者可以采用网址过滤、数据包过滤等简单手段来阻止黑客攻击，保护网络传输安全。使用防火墙能够强化安全策略，能有效地记录网络上的活动，限制暴露用户点，同时防火墙是一个安全策略的检查站。防火墙的实施就是把局域网和ISP之间的包过滤器换成防火墙就可以了。这是一个防火墙的最安全的应用，因为它保护了防火墙后面的所有计算机。值得注意的是，防火墙本身并没有保障安全的能力，需要定期的检查防火墙对可疑事件做出的日志记录，还需要去发现和使用软件的安全补丁。

四、日常维护

（一）备份在日常使用计算机的过程中，因为病毒的破坏或者误操作，以及其他意外情况的发生，都有可能导致文件和数据的破坏或丢失。通过备份可以事先将重要的或需要备份的文件和数据保存起来，或备份整个系统，一旦遇到上述情况，就可以将备份的文件还原过来，真正做到有备无患。Windows XP是自带备份功能，在附件中进行备份，通过单击打开“开始—程序—附件—系统工具”菜单项，在弹出的子菜单里选中“备份”命令来打开“备份或还原向导”窗口，通过这个向导模式，可以使用比较简洁的窗口来一步一步进行文件和目录和备份与还原。还需要进行数据备份，企业部门可以采用访问控制、身份验证、数据加密、安全审计等技术手段保证数据的安全，也可以制定一个有效的数据备份策略，这是企业部门局域网保护网络数据的较好方法。数据备份有完全备份、增量备份、指定备份等备份方式。企业部门可根据需要选择，重要数据应每天做数据备份，存放在光盘中。

（二）密码变更密码设置完成后，还需要定期修改WEP密钥，因为WEP用来产生这些密钥的方法被发现具有可预测性，这样对于潜在的入侵者来说，就可以很容易的截取和破解这些密钥。所以为了无线网络的安全，需要定期修改密码。

（三）设备维护对无线局域网设备进行维护需要对两方面进行维护：首先是联单无线接入点的维护，经常查看无线接入点的安全；其次是对无线局域网性能的监控及优化。安全与管理是两个需要同等重视的问题，而且是互相影响互相推动的。应该制定计划，支持多种安全策略应对不同的情况，从而提高无线局域网的性能，需要派专门人员对局域网进行维护和监控。加深管理员的安全意识，明白违规使用无线网络的危害性。

五、无线局域网故障排除【导读】当进行WLAN(Wireless Local Area Network)网络故障的Troubleshooting时，应该首先以下几个关键问题进行排错。其中包括一些硬件的问题会导致网络错误，同时错误的配置也会导致WLAN网络不能正常工作。下面将介绍一些WLAN网络排错的方法和技巧。当只有一个AP(Access Point)以及一个WLAN客户端出现连接问题时，我们可能会很快的找到出有问题的客户端。但是当网络非常大时，找出问题的所在可能就不是那么容易了。在大型的WLAN网络环境中，如果有些用户无法连接网络，而另一些客户却没有任何问题，那么很有可能是众多AP中的某个出现了故障。一般来说，通过察看有网络问题的客户端的物理位置，你就能大概判断出是哪个AP出现问题。当所有客户都无法连接网络时，问题可能来自多方面。如果你的网络只使用了一个AP，那么这个AP可能有硬件问题或者配置有错误。另外，也有可能是由于无线电干扰过于强烈，或者是无线AP与有线网络间的连接出现了问题。

（一）检查AP的可连接性要确定无法连接网络问题的原因，首先需要检测一下网络环境中的电脑是否能正常连接无线AP。简单的检测方法是在你的有线网络中的一台电脑中打开命令行模式，然后ping无线AP的IP地址，如果无线AP响应了这个ping命令，那么证明有线网络中的电脑可以正常连接到无线AP。如果无线AP没有响应，有可能是电脑与无线AP间的无线连接出现问题，或者是无线AP本身出现了故障。要确定到底是什么问题，你可以尝试从无线客户端ping无线AP的IP地址，如果成功，说明刚才那台电脑的网络连接部分可能出现了问题，比如网线损坏。如果WLAN客户端无法ping到无线AP，那么证明无线AP 以将其重新启动，等待大约五分钟后再通过有线网络中的电脑和WLAN客户端，利用ping命令察看它的连接性。如果从这两方面ping无线AP依然没有响应，那么证明无线AP已经损坏或者配置错误。此时你可以将这个可能损坏了的无线AP通过一段可用的网线连接到一个正常工作的网络，你还需要检查它的TCP/IP配置。之后，再次在有线网络客户端ping这个无线AP，如果依然失败，则表示这个无线AP已经损坏。这时你就应该更换新的无线AP了。

（二）WLAN网络配置问题 WLAN网络设备本身的质量一般还是可以信任的，因此最大的问题根源一般来自设备的配置上，而不是硬件本身。知道了这一点，我们下面就来看看几种常见的由于错误配置而导致的网络连接故障。

（三）AP无线信号强度如果你可以通过网线直接ping到无线AP，而不能通过无线方式ping到它，那么基本可以认定无线AP的故障只是暂时的。如果经过调试，问题还没有解决，那么你可以检测一下AP的信号强度。虽然对于大多数网管来说，还没有一个标准的测量无线信号强度的方法，但是大多数WLAN网卡厂商都会在网卡上包含某种测量信号强度的机制。

（四）改变无线信号频道如果经过测试，你发现信号强度很弱，但是最近又没有做过搬移改动，那么可以试着改变无线AP的频道并通过一台WLAN终端检验信号是否有所加强。由于在所有的WLAN终端上修改连接频道是一项不小的工程，因此你首先应该在一台WLAN终端上测试，证明确实有效后才可以大面积实施。记住，有时候WLAN网络的故障可能由于某个员工挂断手机或者关闭微波炉而突然好转。

（五）检验WEP密钥检查WEP加密设置。如果WEP设置错误，那么你也无法从WLAN终端ping到无线AP。不同厂商的WLAN网卡和AP需要你指定不同的WEP密钥。比如，有的WLAN网卡需要你输入十六进制格式的密钥，而另一些则需要你输入十进制的密钥。同样，有些厂商采用的是40位和64位加密，而另一些厂商则只支持128位加密方式。要让WEP正常工作，所有的WLAN客户端和AP都必须正确匹配。很多时候，虽然WLAN客户端看上去已经正确的配置了WEP，但是依然无法和 WLANAP通信。在面对这种情况时，我一般都会将无线AP恢复到出厂状态，然后重新输入WEP配置信息，并启动WEP功能。

（六）WEP配置问题到现在为止，最常见的与配置有关的问题就是有关使用WEP协议。而且WEP带来的问题也相当棘手，因为由于WEP不匹配所产生的问题显现的症状和很多严重的问题非常相似。比如，如果WEP配置错误，那么WLAN客户端将无法从WLAN网络的DHCP服务器那里获得IP地址（就算是无线AP自带DHCP功能也不行）。如果WLAN客户端使用了静态IP地址，那么它也无法ping到无线AP的IP地址，这经常会让人误以为网络没有连接。判断到底是WEP配置错误还是网络硬件故障的基本技巧是利用WLAN网卡驱动和操作系统内置的诊断功能。举个例子，一个笔记本采用Windows XP系统，并配备了Linksys的WLAN网卡。当将鼠标移动到系统任务栏的WLAN网络图标时，会有网络连接信息摘要浮现出来。当连接频道和SSID 设置正确后，就算WEP设置错误，你也可以连接到无线AP。此时，从任务栏你会看到连接信号的强度为零。不论WEP是否设置正确，Linksys网卡都会显示出连接信号强度。由此你也可以知道网络确实是已经连接上了，虽然有可能无法ping到无线AP。如果你右键点击任务栏中的WLAN网络图标，并在弹出菜单中选择查看可用的WLAN网络（View Available Wireless Networks）命令，之后你会看到WLAN网络连接（Wireless Network Connection）对话窗。这个对话窗会显示出当前频道内的全部WLAN网络的SSID号，包括你没有连接上的网络。因此如果你发现你的WLAN网络号在列表中，但是你看起来不能正常连接，那么你可以放心，自己的网络连接并没有什么问题，问题是出在配置上。注意： WLAN网络连接对话框还提供了一个可以输入WEP密钥的区域，当你试图连接某个WLAN网络时，可以输入该网络的WEP密钥。一般在这里输入WEP密钥后，网络会马上连接成功。

（七）DHCP 配置问题另一个让你无法成功的访问WLAN网络的原因可能是由DHCP配置错误引起的。网络中的DHCP服务器可以说是你能否正常使用WLAN网络的一个关键因素。很多新款的WLANAP都自带DHCP服务器功能。一般来说，这些DHCP服务器都会将192.168.0.x这个地址段分配给WLAN客户端。而且 DHCPAP也不会接受不是自己分配的IP地址的连接请求。这意味着具有静态IP地址的WLAN客户端或者从其它DHCP服务器获取IP地址的客户端有可能无法正常连接到这个AP。对于这种情况，有两种解决方法：禁用AP的DHCP服务，并让WLAN客户端从网络内标准的DHCP服务器处获取IP地址。修改DHCP服务的地址范围，使它适用于你现有的网络。这两种方法都是可行的，不过具体还要看你的无线AP的固件功能。很多无线AP都允许你采用其中一种方法，而能够支持这两种方法的无线AP很少。

（八）多个AP的问题设想一下假如有两个无线AP同时按照默认方式工作。在这种情况下，每个AP都会为无线客户端分配一个192.168.0.X的IP地址。由此产生的问题是，两个无线AP并不能区分哪个IP是自己分配的，哪个又是另一个AP分配的。因此网络中早晚会产生IP地址冲突的问题。要解决这个问题，你应该在每个 AP上设定不同的IP地址分配范围，以防止地址重叠。

篇3：局域网安全毕业论文

目前无线局域网已相当普及, 不仅具有方便灵活的特点, 而且其传输速度大大提高, 大有赶超有线局域网以太网的趋势, 例如802.11n标准的无线局域网已经达到了320Mbps。无线局域网具有运营成本低、网络布线成本低与管理配置方便的优点, 特别适用于智能监控系统中在移动变化复杂和网络布线不确定的通信环境中。但是它在实际使用中也遇到了很多问题, 其中网络局域网的安全性问题就是制约无线局域网发展的一个严重瓶颈。信息安全中的安全威胁是指人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险[1,2,3]。由于无线局域网的无线链路是完全暴露在外, 它遭受的网络攻击主要集中在数据链路层与网络层, 不但遭受来自无线网络的攻击也可能遭受来自有线网络的攻击。

1 无线局域网特性

1.1 快捷、方便

无线局域网可以根据实际需要安排资源分配, 不需要各个终端通过电缆进线连接通信。利用无线局域网, 系统可以在无线访问节点AP (Access Point) 信号覆盖的范围内通信, 而不需要通过其他网络交换设备的支持进线通信。

1.2 灵活的网络访问

在有线局域网内, 如有额外的用户需要接入网络, 必须改变网络拓扑, 重新进线网络布线, 这必然大大增加了经济成本。在无线局域网中, 只要有无线信号的覆盖, 用户可以随时随地接入无线局域网, 这样提高了网络访问的灵活性。

1.3 站点和设备集成程度高

无线局域网可以通过无线电波的形式连接以太网设备, 为系统用户提供经济、方便的网络连接。无线站点之间无论是点对点还是单点对多点的连接都可以进行有效设置, 广泛地应用到智能监控系统的通信环境中。无线技术能解决大量系统用户对唯一有线高速网络链路的争用, 可以高效共享无线通讯链路。

2 无线局域网的安全性威胁

无线局域网的安全性威胁主要体现在以下几个方面。

2.1 广播侦听

在无线局域网中, 由于无线链路的开放性使黑客可以使用WEPcrack与AirSnort等无线探测软件进行侦听、记录无线局域网中的数据包。例如, 在一个使用802.11b协议的无线局域网通信环境, 数据传输速率达到理论最大值11Mbps, 无线接入点AP一直处于繁忙状态其数据流量为3 000Byte/s;WLAN中使用WEP协议对传输的数据进行加密处理。通过计算分析, 大约超过10h就能获得WEP协议重复使用初始化向量加密的数据包, 攻击者可以成功破解出WEP的加密密钥。

2.2 拒绝服务攻击

拒绝服务DOS (Denial of Service) 是非法用户大量使用系统资源, 导致系统无法给系统合法用户提供服务的一种攻击手段。在无线局域网中, 黑客一般通过泛洪 (Flooding) 攻击、干扰无线通信频段、破坏通信信号等方式来阻止系统正常用户接入网络, 甚至让无线网络不能正常工作。

2.3 消息注入与主动侦听

目前绝大多数无线网络设备都支持IEEE802.11无线网络协议, 这样黑客攻击者可以使用软件修改信息帧结构的某些字段, 所以黑客可以产生或者修改无线网络中数据帧。重发攻击是消息注入攻击的常用手段, 这种方法不仅可以进行实时攻击也可以进行非实时攻击, 并且不破坏网络传输的数据帧。入侵者可以通过捕获网络中传输的消息, 并且将截获的会话消息帧格式保留下来, 等待它需要对无线网络进行破坏的时候, 就可以将保留的数据帧进行有机组合然后重放到网络中, 也可以不经处理就直接放入网络, 对无线局域网进行攻击。

2.4 中间人攻击

中间人攻击指攻击者通过某些方式连接到无线网络中并完成了接入认证, 复制或是篡改合法用户与无线接入点之间的传输数据而不被发现。它需要攻击者一直接入到无线网络中并且与各终端进行通信, 攻击者通过对截获的数据信息进行分析欺骗终端节点和无线接入点。

2.5 MAC欺骗

无线局域网的一种接入认证方式是通过终端网卡MAC地址进行认证, 无线局域网只会对事先约定好的MAC地址终端认证并接入。虽然网卡的MAC地址是固化在网卡硬件上, 但是可以通过软件的手段伪装MAC地址来进行MAC欺骗攻击。

无线局域网虽然遭受着严重的信息安全威胁, 但是我们可以通过各种手段来实现无线局域网的身份认证、访问控制、数据机密性、数据完整性与不可否认性。在无线网络中实现信息安全的目的可以通过非密码机制手段与密码机制手段。非密码机制手段主要是无线电技术对无线局域网的无线信号进行处理来实现安全的目的, 这样就需要对网络的硬件进行修改。

3 IEEE802.11i安全标准

2004年6月IEEE委员会提出了新无线局域网安全标准802.11i, 在这个无线局域网安全标准中提出了无线局域网的新的安全体系RSN (Robust Security Network) , 即强健安全网络, 旨在提高无线网的安全能力, 该标准主要包括802.1x认证机制、基于TKIP和AES的数据加密机制以及密钥管理技术, 目标是实现身份识别、接入控制、数据的机密性、抗重放攻击、数据完整性校验[2]。

在IEEE802.11i安全标准中主要完成3个功能, 分别是数据加密、身份认证与密钥管理。

在网络数据加密方面, 此标准中定义了TKIP、CCMP和WRAP 3种加密方式, 其中TKIP机制采用WEP安全标准中的RC4流密码作为核心加解密算法;CCMP机制采用AES加解密算法和CCM加解密鉴别方法, 使得无线局域网的安全性大大提升, 这些是强健安全网络 (RSN) 的强制要求;WRAP机制基于OCB模式的AES加解密算法, 这种方式可以同维护时数据的机密性和完整性, 但它在RSN中是可选的。

在身份认证方面, IEEE802.11i安全标准采用802.1x和可扩展认证协议 (EAP) 。其中IEEE802.1x是一种基于端口的网络接入控制技术, 用户只有成功通过身份认证才能接入无线网络。这个协议中包含3个实体, 分别是客户端、认证者和认证服务器。对于无线局域网来说, 客户端发起请求接入无线网络, 客户端必须装有802.1x客户端软件, 这种客户端通常被称为终端 (STA) 。认证者是客户端需要访问的控制端口, 一般是无线局域网中的AP, 在认证的过程中认证者的作用只是传递数据, 所有认证算法的执行过程都是通过客户端终端盒认证服务器之间执行。认证服务器执行具体的认证算法, 通知认证者是否可以让客户端终端访问指定的服务, 并且身份认证需要的信息都存储在这台服务器上, 它就是经常提到的RADIUS服务器。802.1x本身不提供具体的认证机制, 它需要和上层服务一起完成用户的身份认证和密钥交换, 在这里802.1x协议使用EAP协议作为认证信息交换机制, EAP消息封装在EAPOL分组中。这里EAP是身份认证信息的承载体, 对各种认证技术有很好的兼容性。EAP-TLS采用基于证书的传输层安全方式在使用强加密方式的客户端终端和认证服务器之间提供双向认证, 并生成加密无线传输数据的密钥, 具有高度可靠的安全性能。[3]

在密钥管理方面, IEEE802.11i安全标准主要负责各种密钥的生成和密钥生命周期的管理。用户终端每次加入AP都需要实时身份认证和生成新密钥, 每次离开AP就意味着原来密钥生命周期结束。在此安全标准中包含两种密钥:一种是用于单个用户的密钥, 另一种是用于小组组播的密钥。单播密钥首先由身份认证生成的主会话密钥 (MSK) 生成主密钥 (PMK) , 然后再由主密钥生成加密传输数据的临时密钥 (PTK) 。

安全的RSNA建立过程分为6个阶段, 分别如下所述。

第一阶段:无线网络信号发现与安全配置参数确定。AP有两种工作方式, 一种是在某一个特定频率的信道发送信标帧 (Beacon) , 表示AP无线接入点的存在, 同时会在这些信息中包含自己的安全信息参数。另外一种方式是AP会监听某些特定频率的信道, 如果收到无线终端的探询请求帧, 那么它就对这些请求帧做出应答。同时无线终端也可以主动或是被动地发现并连接这些无线接入点。

第二阶段:无线认证接入。无线终端从众多可以访问的AP中选择一个, 然后与此AP进行认证连接, 注意此时的认证是很脆弱的, 只是进行简单的口令认证。这时它们也交换安全信息参数, 以确定下一步如何进行IEEE802.1x的认证。

第三阶段:IEEE802.1x与EAP认证。产生一个组播密钥 (GTK) , 并将这个密钥发送到该组。此阶段是无线终端与RADIUS认证服务器之间执行EAP-TLS双向认证协议, 认证者AP只是进行数据中转的功能。执行完双向认证协议之后, RADIUS认证服务器一方面认证了无线终端的身份为合法用户同时也生成了共享密钥也就是主会话密钥 (MSK) 。之后RADIUS认证服务器与无线终端都是用相同的算法从主会话密钥 (MSK) 推导出主密钥 (PMK) , 客户端与认证服务器就都拥有了相同的主密钥 (PMK) 。

第四阶段:四次握手生成单播密钥。此阶段无线终端与认证者AP进行四次握手, 通过这四次握手认证者AP确认无线终端拥有主密钥 (PMK) , 同时确定安全机制, 生成临时密钥 (PTK) 用于以后数据传输中的数据加密。这时IEEE802.1x的端口打开, 进行数据传输。

第五阶段:组播密钥生成。当存在组播时才会有这个阶段。

第六阶段:数据传输。这是无线终端与认证者AP通过协商的加密组件与产生的临时密钥 (PTK) 对传输的数据进行加密传输。这时就可以传输数据了。

4 结语

无线局域网具备快捷、方便、灵活的优点, 其网络访问、站点和设备的集成程度高但存在着潜在的安全问题, 比如广播侦听、拒绝服务攻击、消息注入与主动侦听、MAC欺骗等。针对这些问题, 本文论述了IEEE802.11i协议的安全标准, 从网络数据加密、身份认证和密钥管理三个方面, 阐述了IEEE802.11i协议的安全措施。

参考文献

[1]王军号.基于IEEE802.11标准的无线局域网安全策略研究[J].贵州大学学报, 2009, 26 (6) :88-90.

[2]邵丹.无线局域网安全标准的比较与分析[J].长春理工大学学报, 2009, 19 (12) :61-64.

篇4：局域网安全毕业论文

关键词：无线局域网；安全机制；；IEEE802.11

中图分类号：TN925 文献标识码：A 文章编号：1674-7712（2012）20-0028-01

一、无线局域网接入技术

WLAN是一种宽带无线接入技术，是计算机网络与无线通信技术结合的产物。以无线多址信道作为传输媒介，利用电磁波完成数据交互，实现传统有线局域网的功能。

（一）无线局域网特点和标准

具有如下特点：易安装，免去大量布线工作；高可移动性，无线访问点（AccessPoint，AP）支持范围10～300m；易扩展与维护，多种配置方式，每个AP支持5～30多个用户接入；可靠性，使用与以太网类似的连接协议和数据包形式传送数据。

无线局域网使用的标准是IEEE802.11系列，主要包括21个标准。常用的有：IEEE802.11，无线局域网物理层和介质访问控制层规范；IEEE802.11b，无线局域网物理层和介质访问控制层规范—2.4GHz频段高速物理层扩展；IEEE802.11g，2.4GHz频段高速物理层扩展；IEEE802.11i，无线局域网介质访问控制层安全性增强规范等。

（二）无线局域网的结构

无线局域网可以在普通局域网基础上通过无线Hub、无线接入站（AP）、无线网桥、无线Modem及无线网卡等来实现，其中以无线网卡最为普遍，使用最多。一般来说，WLAN由两部分组成：从无线网卡到接入点、从接入点到局域网。

WLAN的拓扑结构可分为两种方式：无中心拓扑网络，终端数相对较少；有中心拓扑网络，终端数相对较多。

二、WLAN中存在的安全问题分析

无线网络不但要受到基于传统TCP/IP架构的有线网络方式的攻击，由于其自身特点存在的安全问题有，一般分为两大类，一类是关于网络访问控制、数据机密性保护和数据完整性保护进行的攻击。这类攻击在有线环境下也会发生。另一类则是由无线介质本身的特性决定的，基于无线通信网络设计、部署和维护的独特方式而进行的攻击。总体来说，无线网络所面临的威胁主要表现在以下几个方面：

（一）网络易被窃听

无线局域网络主要采用无线通信方式，其数据包更容易被截获。

（二）IEEE802.11系列标准本身的安全问题

802.11b标准里定义的协议WEP，静态分配的WEP密钥一般保存在适配卡的非易失性存储器中，因此当适配卡丢失或者被盗用后，非法用户都可以利用此卡非法访问网络。

（三）网络易受干扰问题

由于WLAN使用的时公共频段，因此，相邻WLAN之间或其他电子产品也都可能使用这个波段，从而存在潜在干扰问题且不易被查明来源。

（四）MAC地址欺骗

在WLAN信号覆盖范围内的任何无线设备都可以接收到WLAN的服务信号，所以攻击者可轻松获得合法站点的MAC地址，并编程实现伪装一个有效地址写到无线网卡中，从而越过访问控制。

（五）访问控制机制的安全缺陷

无线局域网的管理消息中都包含网络名称或服务设置标志号（SSID），这些消息被接人点和用户在网络中不受到任何阻碍地广播。结果是网络名称很容易被攻击者嗅探和获取，从而得到共享密钥。非法连接到无线局域网络中。

三、WLAN安全保障机制

（一）访问控制

如利用WLAN入侵检测技术检测MAC地址欺骗，静态IP地址与MAC地址绑定。对于服务集标识符（ServiceSetIdentifier，SSID）的使用，对于不相同的无线接入点设置不相同的SSID号，另外要求只有无线工作站出示正确的SSID号，才可以访问无线访问点。

（二）数据加密

由于WEP的脆弱性，目前采用的新标准有两种，一种是Wi-Fi联盟推出的基于IEEE802.11i标准的WPA2。这种方案支持更好的AES加密方式来解决无线网络的安全问题。另一种是中国的WAPI（无限局域网鉴别和保密基础结构）无线标准。WAPI安全机制由无线局域网鉴别基础结构WAI和无线局域网保密基础结构WPI两部分组成，采用基于椭圆曲线的公钥证书体制和对称密码算法进行加密和解密算法分别实现对用户身份的鉴别和数据加密。

（三）运用VPN技术

VPN（VirtualPrivateNetwork，虚拟专用网络）是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，是在现有的网络上组建的虚拟的、加密的网络。适用于企业或单位内部网络。

（四）采用802.1x基于端口的认证协议

其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。802.1x不仅实现端口访问控制，还用于用户的认证系统及计费，更适合公共无线网络的接入。

（五）使用防火墙及病毒检测系统

防火墙布置在局域网和外网的交界处，阻止外部的入侵，保障内网安全。网络数据流经过防火墙的扫描，可以过滤掉一些攻击，以免在目标计算机上执行。病毒和木马是窃取网络个人信息的主要手段，为防止计算机病毒和木马，要限制U盘、光盘的数据拷贝，用集中式防病毒管理模式，通过各种检测方法对病毒进行检测，自动进行更新特征码，实时清除病毒。

四、结束语

虽然针对WLAN的固有物理特性和组网结构研究出了很多的安全技术与策略，然而安全没有绝对的，只有相对的安全，对其技术的研究与安全机制的应用也将是持久的。局域网的安全固然重要，但在一些公共场所应该无偿提供无线网络，符合网络的共享精神。

参考文献：

[1]徐春桥.无线局域网安全及防护技术分析[J].计算机安全，2012，（5）：74-76.

[2]王颖天.浅谈无线局域网安全解决方案[J].计算机光盘软件与应用，2012，（2）：135-136.

[3]林烈青.无线局域网通信安全机制的研究[J].实验室研究与探索，2012，31（8）：257-284.

篇5：局域网安全毕业论文

附件

读书笔记1

毕业论文的准备工作开始了，我么主要收集了这几本书和文献《信息技术在局域网中的应用研究》、《计算机网络》、《计算机网络工程概论》、《局域网组建实例教程》、《校园网组建》、《校园局域网的规划与管理》、《高校局域网的组建过程》、《局域网建设中布线部分两个典型问题的分析与解决》。今天首先看了《信息技术在局域网中的应用研究》主要简述了一些与网络安全有关的概念，讲了计算机病毒，系统漏洞，防火墙，杀毒软件的介绍，其观点引人入胜，对我以后写有关局域网安全的部分有很大的帮助。书中提到的有关局域网安全未来的发展趋势令我眼前一亮，受益匪浅。其对局域网安全的阐述细致入微，面面俱到，严禁客观

在这像其作者表示感谢。

读书笔记2

今天我查阅的是《计算机网络》（第五版）这本书的作者是谢希仁，他毕业于清华大学机电系，他领导的移动卫星通信系统的网控中心项目是国家级重点项目，能够阅读到他的作品是我一生的荣幸。这本书对因特网做了一些介绍和计算机网络的类别并详细介绍了OSI模型的7层结构，还有有关子网划分的内容做了详细的介绍，最后简单的介绍了一下无线网络技术。这本书是我写这篇论文最重要的理论基础。书中对网络详细的介绍让我受益匪浅

作者深厚的理论功底更让我望尘莫及。对我的论文有极大的帮助。

《计算机网络》首先讲述了因特网的概念，因特网是世界上最大的互联网络，大家把连接在因特网上的计算机都称为主机。计算机网络指的是一些互相连接的、自治的计算机的集合。

这本书是我写毕业论文最主要的基础知识来源，通过这本书我了解到什么是计算机网络，计算机网络的组成等内容。对论文有很大的帮助。

读书笔记

3刘晓辉主编的《中小型局域网构建实践》介绍了网络布线、搭建小型局域网、搭建小型无线局域网、共享internet连接、网络客户端配置、网络资源共享、双机与火线直连、网络综合布线、网络规划与设计、网络设备选择、网络设备连接、网络设备的配置与初始化、网络服务器、网络服务的搭建、网络存储、搭建小型无线局域网等方面的内容。局域网分为有线局域网和无线局域网，有线局域网主要是指双绞线网络，有线局域网传输速度快、稳定性高、安全性好、成本低、干扰小。无线局域网环境适应性强、部署灵活便捷、维护成本低、易于扩展、安全性高。无线局域网适合在家庭、移动设备中使用。

《中小型局域网构建实践》还详细介绍了局域网故障与诊断，详细列举了局域网中常见的故障与维修方式，例如：网络链路故障的检查与排除方法。

读书笔记4

《实用网络设计与配置》详细介绍了计算机网络的概念、类型、物理结构、逻辑结构等网络分析等内容。

随着科学技术的发展，现代社会对网络技术的发展提出了更高的要求，对异构网络也提出了更高的要求。1983年国际标准化组织（ISO）发布了开放系统互联参考模型（OSI/RM）国际标准，从儿使异构网络的互联技术迅猛发展。《实用网络设计与配置》主要介绍了一些体系结构包括：OSI/RM结构，OSI/RM结构主要包括七层，从上到下为：应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。每层可以和相邻的层通信，各层都有不同的功能。TCP/IP结构是当前网络互联协议中最著名的协议族，由应用层、传输层、网络层、网络接口层组成。

《实用网络设计与配置》还介绍了网络互联的基本类型，包括LAN-LAN型、LAN-WAN型等。

读书笔记5

《局域网与广域网的设计与实现》介绍了计算机网络中的LAN和WAN的定义、路由器和网关的连接、LAN与WAN的数据集成等方面的内容。

LAN一般是微型计算机通过高速通信线路相连，局域网是在微型计算机大量应用后才逐渐发展起来的计算机网络。

WAN的作用范围通常为几十到几千千米。广域网又称远程网。它的覆盖范围可以遍布与城市、国家，甚至全球。

《局域网与广域网的设计与实现》还介绍了以下网络设备：

1.网桥：网桥是一种网络设备，可以扩展一个lan或连接多个lan，使得许多

网络设备和工作站能连接在一起。

2.路由器：与网桥相比路由器运作在更高的层的网络通信上，可以使LAN和WAN

引导或路由数据到指定目标上。

3.网关：网关可以运作在任意网络通信层上，网关最主要的功能是转换协议与

处理网络之间的特定软件。

《局域网与广域网的设计与实现》详细介绍了计算机网络的相关定义，对组建机房局域网有很大的帮助。

读书笔记6

《局域网组建与维护》由张记强主编详细介绍了局域网组成与组建方案，局域网的结构类型与设计方案。简述了局域网的一些基本内容，包括局域网的拓扑结构、局域网的传输介子、局域网的标准。还有组建局域网所需的一些硬件设备如：双绞线、光缆、网卡、集线器、中继器、路由器、网桥、网关等。最后介绍了局域网组建操作系统的选择。书中还详细介绍了对等网络的知识，对等网具有以下特点：对等网络计算机之间的关系是平等的，对等网络的资源是分布在每一台计算机上的、对等网容易建立和操作同时对等网也有资源查找困难、对等网中同步使用的计算机性能下降。对等网主要用于大的网络的一个子网中，用在有限信息技术预算和有限信息共享需求的地方，例如学校宿舍、邻居之间。

读书笔记7

《计算机网络工程概论》由王宝智主编，高等教育出版社出版。《计算机网络工程概论》主要简述计算机网络的知识体系，计算机网络的基本原理和概念，计算机网络的体系结构、主城设备、结构和类型，还介绍了计算机网络工程的技术基础、讲述了以太网系列技术基础、无线局域网、TCP/IP路由协议、接入网和交换网技术、网络安全技术、网络操作系统、网络管理技术基础、协议和系统。最

后介绍了计算机网络工程体系结构设计、拓扑结构设计、VLAN设计、通信网设计、网络安全设计和网络平台选型。

这本书重点介绍了计算机网络互联协议TCP/IP。IP地址是IP协议使用的地址，它只明发送IP数据包的IP协议实体和接收IP数据包的IP协议实体。

书中还介绍的网络操作系统的一些类型和功能。计算机网络操作系统是网络用户与计算机网络之间的接口。

读书笔记8

《计算机网络技术实用教程》首先介绍了什么是计算机网络，计算机网络发展简史，计算机网络的拓扑结构，计算机网络的分类，计算机网络通信基础，网络体系结构、tcp/ip协议体系、计算机网络操作系统，internet接入、计算机网络安全的内容。

1946年第一代计算机诞生。20世纪80年代微型计算机出现，1994年internet开始进入商业化。

计算机网络是地理上分散的多台独立自主的计算机遵循约定的通信协议，通过软、硬件互联实现交互通信、资源共享、信息交换、协同工作以及在线处理等功能。

计算机网络由客户机，工作站，网络接口卡，网络操作系统，主机，节点，协议数据包，传输介质等组成。

计算机网络主要有共享资源，数据通信，分布式数据处理。

篇6：局域网安全

目前的局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。

事实上，Internet上许多免费的黑客工具，如SATAN、ISS、NETCAT等等，都把以太网侦听作为其最基本的手段。

当前，局域网安全的解决办法有以下几种：

网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。

目前，海关的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。例如：在海关系统中普遍使用的DEC MultiSwitch 900的入侵检测功能，其实就是一种基于MAC地址的访问控制，也就是上述的基于数据链路层的物理分段。

2．以交换式集线器代替共享式集线器

因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。

3．VLAN的划分

为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。

目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。

在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。

VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。目前，大多数的交换机（包括海关内部普遍采用的DEC MultiSwitch 900）都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。

无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN（Switch Port Analyzer）功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中，就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机，既得到了交换技术的好处，又使原有的Sniffer协议分析仪“英雄有用武之地”。广域网安全

由于广域网大多采用公网来进行数据传输，信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。如果没有专用的软件对数据进行控制，只要使用Internet上免费下载的“包检测”工具软件，就可以很容易地对通信数据进行截取和破译。

因此，必须采取手段，使得在广域网上发送和接收信息时能够保证：

①除了发送方和接收方外，其他人是无法知悉的（隐私性）；

②传输过程中不被篡改（真实性）；

③发送方能确知接收方不是假冒的（非伪装性）；

④发送方不能否认自己的发送行为（不可抵赖性）。

为了达到以上安全目的，广域网通常采用以下安全解决办法：

1．加密技术

加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类，即对称型加密、不对称型加

密和不可逆加密。

其中不可逆加密算法不存在密钥保管和分发问题，适用于分布式网络系统，但是其加密计算量相当可观，所以通常用于数据量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。近年来，随着计算机系统性能的不断提高，不可逆加密算法的应用逐渐增加，常用的如RSA公司的MD5和美国国家标准局的SHS。在海关系统中广泛使用的Cisco路由器，有两种口令加密方式：Enable Secret和Enable Password。其中，Enable Secret就采用了MD5不可逆加密算法，因而目前尚未发现破解方法（除非使用字典攻击法）。而Enable Password则采用了非常脆弱的加密算法（即简单地将口令与一个常数进行XOR与或运算），目前至少已有两种破解软件。因此，最好不用Enable Password。

2．VPN技术

VPN（虚拟专网）技术的核心是采用隧道技术，将企业专网的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN，就如同通过自己的专用网建立内部网一样，享有较高的安全性、优先性、可靠性和可管理性，而其建立周期、投入资金和维护费用却大大降低，同时还为移动计算提供了可能。因此，VPN技术一经推出，便红遍全球。

但应该指出的是，目前VPN技术的许多核心协议，如L2TP、IPSec等，都还未形成通用标准。这就使得不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。因此，企业在VPN建网选型时，一定要慎重选择VPN服务提供商和VPN设备。

3．身份认证技术

对于从外部拨号访问总部内部网的用户，由于使用公共电话网进行数据传输所带来的风险，必须更加严格控制其安全性。一种常见的做法是采用身份认证技术，对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术，有Cisco公司提出的TACACS＋以及业界标准的RADIUS。笔者在厦门海关外部网设计中，就选用了Cisco公司的CiscoSecure ACS V2．3软件进行RADIUS身份认证。外部网安全

海关的外部网建设，通常指与Internet的互联及与外部企业用户的互联两种。无论哪一种外部网，都普遍采用基于TCP／IP的Internet协议族。Internet协议族自身的开放性极大地方便了各种计算机的组网和互联，并直接推动了网络技术的迅猛发展。但是，由于在早期网络协议设计上对安全问题的忽视，以及Internet在使用和管理上的无政府状态，逐渐使Internet自身的安全受到威胁，黑客事件频频发生。

对外部网安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。

本文来自 360文秘网(www.360wenmi.com)，转载请保留网址和出处

【局域网安全毕业论文】相关文章：

无线局域网的组建与安全设计的毕业论文05-11

局域网信息安全05-06

无线局域网安全05-17