如何组建一个安全高效的局域网

发布:admin | 发布时间: 2010年4月29日

在信息爆炸的时代，网络已经成为许多单位一种必不可少的日常办公工具，而且每一位办公用户对网络的依赖性以及使用要求也是逐步增强。伴随着网络连接技术的逐步成熟，传统的有线网络连接技术已经无法满足现代化办公需求，于是无线网络的概念就应运而生了。
    无线网络作为有线网络的补充，时下已经成为Internet应用的一个热点话题——有了无线网络，我们在通过网络办公时就不需要受到时间与空间的限制，能够随时随地访问Internet网络中的任何内容，再也不用为布置线缆而苦恼了，所以不少单位纷纷开始组建无线局域网。
    不过，要想组建一个安全、高效的无线局域网，我们应该从单位的实际使用需求出发，确保架设、组建成功的无线局域网能够更有效地提高单位办公效率，确保单位网络信息不随意对外泄露，确保单位网络日后能够平滑升级。
    从安全方面出击
    安全运行是组建无线局域网网络的首要条件。由于无线局域网网络是通过无线电波信号进行信息传输的，在信息传输过程中无线上网信号或多或少地会受到传输距离以及空间障碍物的影响，而许多单位对无线局域网网络最基本的使用要求就是网络能够安全、稳定运行。
    同时，考虑到无线局域网本身是一个完全开放的网络，任何一台安装了无线网卡设备的笔记本电脑或普通工作站都能访问到该无线网络中的内容，很显然这对于许多单位的无线局域网来说具有很大的安全隐患，所以我们在组建单位的无线局域网时应该首先要确保安全。
    保护无线局域网最简单的方法就是关闭SSID标识符广播功能，并为无线网络设置一个相对复杂一些的SSID名称，这样一来一些非法工作站即使处于无线局域网网络的覆盖范围之内，它们由于无法知道SSID名称而访问不到无线局域网中的内容，不过这种方法比较简单，而且很容易被一些高级用户猜中。
    目前使用得比较普遍的无线局域网安全保持措施，就是使用802.11标准提出的一系列安全机制。例如，使用WEP或WPA加密协议，对无线上网信号进行加密或解密，那些不知道具体密钥内容的非法用户自然是无法访问无线局域网中的数据内容了。
    而且为了躲避一些专业窃听工具的窃取，WEP加密技术为我们提供了40位、128位甚至152位长度的几种密钥算法机制，WPA加密技术为我们提供了TKIP、AES等两种加密方式，这些措施都能有效地防止加密信号被非法破解。
    此外，802.11标准还为我们提供了类似访问控制表、密钥管理、共享密钥认证、开放系统认证、封闭网络访问控制这样的安全保护机制；巧妙地组合使用这些安全保护机制，我们可以让组建成功的无线局域网能够达到与有线局域网同样的安全运行等级。
   当然802.11标准提出的一系列安全机制也存在一些明显的安全缺憾，为了弥补这些缺憾，不少公司已经开始采取补救措施。例如，通过VPN技术来有效提高无线局域网的安全运行性能。借用VPN技术，我们能够为无线局域网提供三级安全保障，依次是用户认证保障、加密保障和数据认证保障。用户认证环节可以保证只有已经被成功授权的用户才有资格进行无线网络的连接、访问。
    加密环节可以保证即使非法用户借助专业工具拦截窃听到无线上网信号，他们也没有足够的精力和时间将这些加密的无线上网信号解密开来；数据认证环节可以保证在无线局域网中传输的数据完整性，确保所有信号流都是来自已认证的设备处。我们还可以借助系统防火墙与入侵监测系统进行安全互动，通过对入侵监测系统进行正确的设置，让其与系统防火墙进行策略互动，从而实现确保无线局域网上网安全。
    例如，我们可以对进出无线局域网的的信息包进行动态检测，一旦发现网络进出有异常行为时及时发出报警；并且通过防火墙进行策略互动，能够有效阻断网络非法入侵。
从范围方面出击
    这里所说的“范围”，实际上指的就是无线局域网的信号覆盖范围。一个单位如果规模比较庞大，拥有的办公区域、会客厅比较多，那么我们组建的无线局域网信号必须要覆盖到单位的所有区域，以便能够让单位员工在单位的任何位置都能方便进行无线上网。
    提高无线局域网的信号覆盖范围，我们首先应该先弄清无线网络的传输协议，一般来说我们经常要用到的无线网络协议包含IEEE802.11、IEEE802.11a、IEEE802.11b、IEEE802.11g这几种类型。
    尽管IEEE802.11、IEEE802.11a等标准目前已经不使用，不过这些协议都是无线网络使用的第一代通信标准。目前无线局域网使用的主流通信协议是IEEE802.11g，这种标准协议不但通信速度快，而且系统兼容性也比较好，并且在价格方面也容易让人接受。
    不少人在组建无线局域网时，常常会选用信号非常强的无线节点设备，他们认为无线节点设备的信号越强，那么使用该设备组建的无线局域网信号覆盖范围就越大。其实这种认识是错误的！我们知道，增强无线节点设备发射信号的措施主要有加强天线增益以及改善发射功率。
    如果选用的无线节点设备增益越大，那么无线节点设备的信号发射的能力越强，无线上网的灵敏度也就越高。要是选用的无线节点设备发射功率越大，那么无线节点设备的信号覆盖范围就越广，并且穿透能力就越强。
    但是，如果无线节点设备的信号太强的话，无线局域网的信号覆盖范围虽然也很大，但是实际可控区域范围反而变小了，无线局域网的安全性反而会受到影响。比方说，要是某个单位一个比较偏僻的死角位置处，员工虽然可能会在这个位置处接收到信号，不过员工在这个位置访问无线局域网的安全性并不是最好的。
    从前面的通信协议介绍来看，不少朋友还会认为选用的无线通信协议标准越高越好。的确，从表面上来看，选用的通信协议标准越高，那么无线节点设备的信号覆盖范围也就越远。正是由于这样，不少朋友在组建无线局域网时，常常会耗费大价钱去追求技术指标高的无线节点设备，而不去考虑无线节点设备的易用性。
    其实，最新标准的无线通信协议虽然技术比较先进，但是它的技术还不是非常成熟，而且与其他设备的相互兼容性也不是很好，更重要的是使用了最新标准技术的无线节点设备在价格方面超过了市场主流产品的7-8倍。所以，对于中小型规模的单位来说，使用非常成熟的IEEE802.11g协议完全绰绰有余了。
从扩充方面出击
    一般来说，一个单位往往会随着时间推移而不断地发展壮大，那么该单位的办公区域面积往往也会跟着不断地扩大，因此我们在为单位组建无线局域网时，一定要考虑到网络的可扩充性，尽管无线局域网和有线局域网有所不同，不过要是我们事先没有预留好位置，日后在升级网络时同样会遇到不少的麻烦。
    考虑到单位内部办公场所中可能存在不少的障碍物，因此我们在组建无线局域网时就应该尽可能地选用具有很强穿透能力的无线节点设备，同时确保被选用的无线节点设备具有较大的信号覆盖范围。
    例如，我们可以根据单位办公场所的空间位置以及实际使用需求，在办公区域的中心位置处放置一个或几个无线节点设备，同时使用有线线缆将这几个无线节点设备连接起来，以确保这几个无线节点设备可以在一个可靠的环境中进行工作，如此一来不但能够提高无线局域网的工作稳定性，而且还方便无线网络进行平滑扩充。
众所周知，无线信号是数据传输的载体，这意味着无线网络的稳定与无线信号有着非常直接的关系。其实，要想让无线路由器处于一个非常稳定的状态，必须对路由器进行一系列的合理设置，在实际应用中，很多用户购买了无线路由器之后，将ADSL相关信息填写进去就直接使用。
    “我用无线路由器共享上网，速度时快时慢！”
    “我笔记本与无线路由器的距离仅有10米，可笔记本却搜索不到稳定的无线信号！”
    “我使用无线路由器共享上网，频繁掉线，经常断流”
       ……
    上述现象是一些无线路由器用户日常使用中出现的故障，这些故障究竟是什么原因引起的呢？正是因为这些不合理的设置，无线路由器才处于一种不稳定的状态。下面，笔者以TP-LINK WR641G为例，全面介绍一下无线路由器的设置。
    如何配置无线路由器
    配置无线路由器之前，必须将PC与无线路由器用网线连接起来，网线的另一端要接到无线路由器的LAN口上。物理连接安装完成后，要想配置无线路由器，还必须知道两个参数，一个是无线路由器的用户名和密码；另外一个参数是无线路由器的管理IP。笔者的TP-LINK WR641G无线路由器默认管理IP是192.168.1.1，用户名和密码都是admin。
    要想配置无线路由器，必须让PC的IP地址与无线路由器的管理IP在同一网段。为此，笔者把自己笔记本网卡的地址更改为192.168.1.232，子网掩码用系统默认的即可，网关无需设置。目前，大多数的无线路由器只支持Web页面配置方式，而不支持Telnet等配置模式。
    在浏览器中，输入无线路由器的管理IP，桌面会弹出一个登录界面，将用户名和密码填写进入之后，我们就进入了无线路由器的配置界面。
    进入无线路由器的配置界面之后，系统会自动弹出一个“设置向导”。在“设置向导”中，系统只提供了WAN口的设置。建议用户不要理会“设置向导”，直接进入“网络参数设置”选项。
1、网络参数设置部分
    在无线路由器的网络参数设置中，必须对LAN口、WAN口两个接口的参数设置。在实际应用中，很多用户只对WAN口进行了设置，LAN口的设置保持无线路由器的默认状态。
    要想让无线路由器保持高效稳定的工作状态，除对无线路由器进行必要的设置之外，还要进行必要的安全防范。用户购买无线路由器的目的，就是为了方便自己，如果无线路由器是一个公开的网络接入点，其他用户都可以共享，这种情况之下，用户的网络速度还会稳定吗？为了无线路由器的安全，用户必须清除无线路由器的默认LAN设置。
    笔者的TP-LINK WR641G无线路由器，默认LAN口地址是192.168.1.1，为了防止他人入侵，笔者把LAN地址更改成为192.168.1.254，子网掩码不做任何更改。LAN口地址设置完毕之后，点击“保存”后会弹出重新启动的对话框。
    配置了LAN口的相关信息之后，再配置WAN口。对WAN口进行配置之前，先要搞清楚自己的宽带属于哪种接入类型，固定IP、动态IP，PPPoE虚拟拨号，PPTP，L2TP，802.1X＋动态IP，还是802.1X＋静态IP。笔者使用的是固定IP的ADSL宽带，为此，WAN口连接类型选择“静态IP”，然后把IP地址、子网掩码、网关和DNS服务器地址填写进去就可以了。
    说明：
    诸如IP地址、子网掩码、网关和DNS服务器等信息，都是宽带运营商提供的。另外，固定IP的ADSL也属于静态IP的连接模式。
    LAN口和WAN口的配置完成之后，下面我们要配置无线参数。在配置无线路由器时，严格来说没有步骤，笔者建议用户按照无线路由器配置页面中的次序进行配置。
2、无线网络参数配置
    无线网络参数的设置优劣，直接影响无线上网的质量。从表面来看，无线路由器中的无线参数设置，无非是设置一个SSID号，仅此而已，在实际应用中，诸如信道、无线加密等设置项目，不仅会影响无线上网的速度，还会影响无线上网的安全。
    SSID号：SSID（Service Set Identifier）也可以写为ESSID，用来区分不同的网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同网络，SSID通常由无线路由器广播出来，通过Windows XP自带的扫描功能可以相看当前区域内的SSID。无线路由器出厂时已经配置了SSID号，为了防止他人共享无线路由器上网，建议用户自己设置一个SSID号，并定期更改，同时关闭SSID广播。
    频段：即“Channel”也叫信道，以无线信号作为传输媒体的数据信号传送通道。IEEE 802.11b/g工作在2.4～2.4835GHz频段（中国标准），这些频段被分为11或13个信道。手机信号、子母机及一些电磁干扰会对无线信号产生一定的干扰，通过调整信道就可以解决。因此，如果在某一信道感觉网络速度不流畅时，可以尝试更换其他信道。笔者的TP-LINK WR641G无线路由器频段从1－13，可以根据自己的环境，调整到合适的信道。一般情况下，无线路由器厂商默认的信道值是6。
    安全设置：由于无线网络是一个相对开放式的网络，只要有信号覆盖的地方，输入正确的SSID号就可以上网，为了限制非法接入，无线路由器都内置了安全设置。很多用户都为了提高无线网络的安全性能，设置了复杂的加密，殊不知，加密模式越复杂，无线网络的通信效率就越低。为此，如果用户对无线网络安全要求不高，建议取消安全设置。
    无线网络MAC地址过滤：该项设置是为了防止未授权的用户接入无线网络，用户可以根据设置，限制或者允许某些MAC地址的PC访问无线网络。相比之下，MAC地址过滤比数据加密更有效，而且不影响无线网络的传输性能。要想准确获得接入无线路由器的PC的MAC地址，可以通过“主机状态”来查看，在该项中，用户可以看到接入该无线路由器所有机器的MAC地址。
    说明：
    上述选项是以笔者的TP-LINK WR641G无线路由器为实例介绍的，品牌不同，其无线路由器的设置选项会不尽相同。
3、DHCP服务器选项设置
    DHCP服务：在实际应用中，很多用户的无线路由器DHCP服务是启动的，这样无线网卡就无需设置IP地址、网关及DNS服务器等信息。从DHCP服务的工作原理可以看出，客户端开机会向路由器发出请求IP地址信息，上网过程中，路由器和无线网卡之间还会因为IP地址续约频繁通信，这无疑会影响无线网络的通信性能。为此，建议用户关闭DHCP服务。
    客户端列表：通过客户端列表功能，可以查看到该无线路由器的所有活动用户。
    静态地址分配：通过静态地址分配功能，用户可以在路由器端为PC指定IP地址，并且根据PC端的网卡MAC地址指定IP。
4、转发规则选项设置
    通过路由器上网，所有的客户机只能使用私有地址，这样会使得一些互联网应用受到限制。转发规则，就是针对一些有特殊需求的互联网应用而设计的。下面，笔者仍以TP-LINK WR641G无线路由器为例，介绍一下转发规则中各个选项的功能及设置。
    虚拟服务器：虚拟服务器定义了广域网服务端口和局域网网络服务器之间的映射关系，所有对该广域网服务端口的访问将会被重定位给通过IP地址指定的局域网网络服务器。例如，我们要把自己的公网FTP服务，映射到IP地址为192.168.1.246的机器中，其设置如下图所示。
    DMZ主机：在某些特殊情况下，需要让局域网中的一台计算机完全暴露给广域网，以实现双向通信，此时可以把该计算机设置为DMZ主机。一般情况下，此项设置很少使用。DMZ主机的设置，与虚拟服务器设置相同。
    UPnP设置：UPnP通用即插即用是一种用于PC机和网络设备的常见对等网络连接的体系结构，尤其是在家庭网络中中。UPnP以Internet标准和技术（例如TCP/IP、HTTP和XML）为基础，使这样的设备彼此可自动连接和协同工作，从而使网络（尤其是家庭网络）对更多的人成为可能。使用无线路由器上网的机器，使用BT、MSN及一些软件时，通常需要打开一些端口，如果关闭了UPnP，BT下载速度会变慢，MSN视频聊天无法正常使用。为此，用户要想保障互联网应用的正常运行，必须启用UPnP设置。
       诚然，对无线网络稍有一点认识的人，都会无线路由器的设置，然而，会并不等于精通。要想让无线路由器保持一种高效、稳定的工作状态，必须精通无线路由器的每一项设置。
如何加强Wi-Fi无线网络的使用安全都是用户关心的话题。对于多数普通用户来说，究竟该怎么样来做呢？
    一、加强防杀毒
    Wi-Fi无线网络的最大安全威胁不是来自于无线网本身，而是Internet网络或局域网传输及磁盘传输。用户在Internet网络获取知识便利的同时，也同时受到来自Internet网络的各种安全威胁，从CIH、I Love You到红色代码、Nimda，从BO到冰河，无一不是接入Internet的电脑经常懈逅的对象。
    病毒、蠕虫和特洛伊木马已成导致您的计算机运行缓慢和计算机上的信息损坏及重要资料失密的主要安全威胁。
    病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。
    蠕虫是病毒的子类。通常，蠕虫传播无需用户操作，并可通过网络分发它自己的完整或有改动的副本。蠕虫会消耗内存或网络带宽，从而可能导致计算机崩溃。并且蠕虫的传播不必通过“宿主”程序或文件，因此可潜入您的系统并允许其他人远程控制您的计算机。如危害较大的有名的“震荡波（Worm.Sasser）”、“冲击波（Worm.Blaster）”都是蠕虫的代表。
    特洛伊木马则是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。其代表软件包含Back Orifice、SubSeven等等。
    特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力，这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射，甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。如果PC带有一个麦克风，特洛伊木马能够窃听谈话内容。如果PC带有摄像头，许多特洛伊木马能够把它打开，捕获视频内容。
    所以，要想网络和上网获得基本安全，安装最新的防病毒软件是必需，否则你便很可能在不知不觉中遭受惨重损失。
    在防病毒软件的选择上，建议优选知名品牌的产品，以随时获得最新的病毒、蠕虫和特洛伊木马防杀效果。如瑞星杀毒、卡巴斯基、金山毒霸、Norton Antivirus、江民杀毒等等都是不错的选择。
这类软件一般都具备防御病毒、木马和蠕虫，防御间谍软件和广告程序功能。可实时扫描邮件、网络通信和文件中的病毒，可自动更新数据库，具备一定的自保护功能可以防御反病毒程序被禁用或停用，具备创建应急磁盘工具等功能。部分软件套装还捆绑了完整的防火墙功能，可更深一层次的加强您的网络应用安全。
二、加强无线安全
    防病毒软件在有效的对来自Internet网络、局域网传输及磁盘传输的病毒、蠕虫和特洛伊木马进行监控截杀的同时，Wi-Fi无线网络的第二大安全威胁便来自于自身无线电波衍射所带来的安全问题。
正是无线电波的区域覆盖性，让其在为用户提供方便的同时，也相比有线网凭添了更多的安全问题。而用户要想在Wi-Fi无线网络方面获得更多的安全，可从以下几点进行加强。
    大家知道，同一型号的无线路由器或AP其初始系统管理员的用户名及密码、登录口令是相同的。如果不对其进行更改，稍有经验的入侵者都可很轻松的控制您的这类网络中心，进而控制您的整个网络。对此可在无线路由器或AP的配置页面中找到“修改登录口令”之类的选项，然后输入默认的用户名和口令，再输入新用户名和新口令，“保存”即可。
    其次，可对SSID（Service Set IDentification）设置做重点关注。SSID服务集合标识符也称为网络名称，一种独一无二的标识符，作为无线设备连接到WLAN时的密码。在具体设置时，可将厂家默认的SSID名称换为自设的，并关闭“开启SSID广播”选选项，这样就不会将路由器的SSID号向无线网络内的主机广播。其它电脑要想加入该网络，必需手工输入预设的SSID名称，才能加入该SSID标识的无线网络，可以在很大程度上提高无线网络的安全。
    其三，相比有线网络，考虑到无线网络的特殊性，无线网络也提供了更多的加密方式，如WEP、WPA/WPA2以及WPA-PSK/WPA2-PSK。只要网内的所有电脑都支持，建议优选靠后的加密方式，如WPA/WPA2、WPA-PSK/WPA2-PSK。其中“WPA2”做为WPA的加强版本，支持“AES”加密方式，可以满足部分企业和政府机构等需要导入AES的用户需求。在设置时，一般用户可选择自动选象，这样路由器会根据主机请求自动选择WPA或WPA2安全模式，并根据实际需要自动选择TKIP或AES加密方式。
    其四，在LAN方面的安全应用方面，也可考虑常用的MAC地址过滤功能。MAC（Media Access Control，介质访问控制）地址是烧录在各种网卡或网络设备里的地址，也叫硬件地址。由48比特长（6字节）16进制的数字组成，0-23位是由厂家自己分配，24-47位，叫做组织唯一标志符，是识别LAN（局域网）节点的标识。
    而通过MAC地址过滤功能便可允许或拒绝无线网络中的计算机访问广域网，有效控制无线网络内用户的上网权限，从而确保网内重要电脑的安全。其设置并不复杂，比如想禁止“00-00-BB-00-77-EE”MAC地址的电脑访问无线网络及Internet，可在“启用过滤”中选择“允许列表中生效规则之外的MAC地址访问本无线网络”，然后“添加新条目”将“00-00-BB-00-77-EE”的MAC地址设为“生效”，“保存”即可。
    其五，而对于网内部分没有保存重要资料和数据的电脑想更流畅的进行Internet应用，则可考虑采用DMZ主机、虚拟服务器、启用UPnP功能等方案来达到。这样即保证了网内部分电脑与Internet畅通无阻，也在一定程度上可保障网内其它电脑免受来自Internet的病毒木马威胁，其具体在设置和应用，我们将在以后的文章中介绍。