TA的每日心情 | 开心 2022-4-14 09:30 |
---|
签到天数: 1433 天 [LV.10]以坛为家III
|
企业用户
一、合理规划网络建设
前期考察、调研其主要用途、明确管理。明确无线网络运行何种级别数据、服务有多大规模、多高层次的人群以及要选择何等设备等,据此规划AP的物理位置、客户端的访问权限和控制模式。
二、确定安全策略
尽量限制WLAN信号范围,信号范围不是越广越好,而是实现可控,将WLAN与重要的内部网络区分,在AP和内部网间采用防火墙安全隔离,必要时采用物理隔离,同时将技术重点放到SSID、WEP、MAC锁定上,将有线网络安全与无线网络安全有机地综合考虑,将其安全策略,硬件及软件系统结合起来,构建一个统一、完整、有效的安全防御体系,凡有接入WLAN需求的用户都要登记在案。
三、恰当设置安全特性
必须修改AP默认口令;采用加密TKIP技术替换快过时的WEP加密技术;设置MAC地址验证机制;完善ACLs保证只有注册过的设备才可以接入;修改SSID并设置AP不广播;避免AD-hoc网络的产生。
四、建立虚拟专用网络(VPN)
VPN比WEP协议更具备安全性,支持用户和网络间端到端的安全隧道连接,可以有效防止广播风暴,有效防止网络侦听,使用VPN技术,可为无线网络安全提供三级案例保障,即用户认证保障、加密保障和数据认证保障,用户认证环节可保证只有经被授权的用户才有权使用无线网络。
五、集成已有的Radius服务
大公司的远程用户常常通过Radius实现网络认证,可将无线网集成到已存在的Radius架构内,简化对用户的管理。
六、使用安全级别高的WLAN硬件设备
尽管802.11b/g是个标准的协议,所有获得Wi-Fi标志认证的设备都可进行基本功能的通信,但不是所有这样的无线设备都完全对等,政府国企建议使用拥有自主知识产权的无线硬件设备。
七、部署入侵检测系统
安装ISS和SATAN对网络中的防火墙、路由器、TCP/IP协议等进行攻击性扫描,分析和评估,发现问题及时修补。
家庭用户
一、无线路由器安装注意
修改默认密码,密码复杂度要符合大小写加数字再加特殊字符建议在12位以上。
二、控制信号辐射范围
目前的无线路由器可以设置发射功率,用户可以自行设置直到一个满意的值为准,以家庭的墙壁为例,发射功率越小,房间外的人检测到的信号也就越弱,进一步增强安全。
三、修改无线路由器的默认频道
建议将信道修改为:1、6、11、13而不是让路由器自动选择。
四、关闭DHCP
防止非法用户自动获取到一“合法”IP。
五、禁用SSID广播
禁止SSID广播,普通用户无法发现你的无线路由器,进而防止入侵。
六、设置MAC地址过滤
目前的无线路由器可以设置仅允许哪些MAC接入,这样排除了未允许的MAC接入。
七、特殊情况下拒绝Ad-Hoc方式接入。
八、采用加密方法保护
WEP容易被破解,但好在目前的无线路由器都支持了WPA,这种加密技术可以看做是WEP的增强版,WPS技术包括了TKIP和AES加密方式,一般都提供了:共享密钥、自动选择及开放系统三种方式,建议使用:共享密钥验证方式。
|
|