Win7如何保护你的无线网络

在上一篇文章中，小编为您详细介绍了关于《斐讯FWR601路由器无线桥接设置》相关知识。本篇中小编将再为您讲解标题Win7如何保护你的无线网络。

  　　1、转向企业级加密　　如果你创建了一个WPA或WPA2的加密密钥，并且在连接到某个无线网络时必须输入这个密钥，你所使用的就是WPA的预共享密钥(PSK)模式。企业级网络，不管是大是小，都应当用企业模式进行保护，因为这种保护模式向无线连接过程增加了802.1X/EAP认证。用户们不是在所有的计算机上输入加密密钥，而是通过一个用户名和口令登录。加密密钥是以隐藏方式安全地使用，并且对每一个用户和会话都是唯一的。　　这种方法提供了集中管理功能和更好的无线网络安全。　　简言之，雇员们和其它用户在使用企业模式时，都通过其自己的账号登录进入网络。在需要时，管理员可以轻易地改变或废止其访问。在雇员离职或被盗时，这种方式非常有用。如果你现在正使用个人模式，你就需要在所有的电脑和接入点AP上改变加密密钥。　　企业模式的一个特别因素是RADIUS/AAA服务器。  

  它与网络中的接入点AP，并查询用户的数据库。在此，笔者建议你使用windowsserver2003的IAS或WindowsSever2008网络策略服务器NPS。当然，你也可以考虑使用开源服务器，如最流行的FreeRADIUS。如果你觉得建立一个身份验证的服务器需要花费太多的金钱，或者超过了你的预算，不妨考虑使用外购服务。　　2、验证物理上的安全性　　无线安全并不仅仅是技术问题。你可以拥有最强健的Wi-Fi加密，但是你又能如何阻止某人将电缆线接入到暴露的以太网端口呢?或者有人经过某个接入点时按下了复位按钮，将其恢复到了出厂设置，让你的无线网络四门大开，你又该如何是好?　　所以，请一定要保证你的接入点AP远离公众可以接触的地方，也不要让雇员随意去摆弄它。不要把你的接入点放到桌子上，最起码应该将其挂到墙上或天花板上，最好将其放到高于天花板的位置。　　还可以考虑将接入点AP安装在不易于被看到的地方，并安装外部天线，这样还可以获得最强的信号。如此一来，就可以在更大程度上限制接入点AP，同时，又可以获得两方面的好处，一是增加了覆盖范围，二是利用了较高的天线。　　当然，你不能仅关注接入点。  

  所有的网络连接组件都应当保证其安全。这甚至包括以太网电缆的连接。虽然下面这种情况可能有点儿牵强，但是难道某个“不到黄河不死心”的家伙就没有切断电缆接入自己的设备的可能?。　　在安装过程中，应当对所有的接入点AP了如指掌。最好制作一张表格，记录所有的接入点模块，连同它们的MAC地址和IP地址。还要标明其所在的位置。通过这种方法就可以确切地知道，在进行设备清查或跟踪有问题的接入点AP时，这些接入点到底在什么地方。　　3、安装入侵检测和(或)入侵防御(即IDS和IPS)　　这两种系统通常靠一个软件来工作，并且使用用户的无线网卡来嗅探无线信号并查找问题。这种系统可以检测欺诈性的接入点。无论是向网络中接入一个新的接入点，还是一个现有的接入点将其设置改变为默认值，还是与用户所定义的标准不匹配，IDS和IPS都可以检测出来。  

  　　这种系统还可以分析网络数据包，查看是否有人正在使用黑客技术或是正在实施干扰。　　现在有很多种的入侵检测和防御系统，这些系统所使用的技术也各不相同。在此，笔者向您推荐两开源的或免费的系统，即大名鼎鼎的Kidmet和Snort。现在网上有关于这两个系统的大量教程，您不妨试试。当然，如果你愿意花钱，还可以考虑AirMagnet、AirDefence、AirTight等国外公司的产品。　　4、构建无线使用策略　　正如需要其它网络设备的使用指南一样，你也应当有一套针对无线访问的使用策略，其中至少包括以下几条：　　①列示可获得授权访问无线网络的设备：最好先禁用所有的设备，在上使用MAC地址的过滤功能来明确地指明准许哪些设备访问网络。虽然MAC地址可以被欺骗，但是这样做显然会控制雇员们正在网络上使用哪些设备。所有被核准设备的硬拷贝及其细节都应当加以保留，以便于在监视网络时以及为入侵检测系统提供数据时进行比较。　　②列示可通过无线连接访问网络的人员：在使用802.1X认证时，在RADIUS服务器中仅为那些需要无线访问的人创建账户就可以实施这种控制。如果在有线网络上也使用802.1X认证，你必须指明用户是否要接收有线或无线访问，可以通过修改活动目录或在RADIUS服务器上使用认证策略达到这个目的。  

  　　③或接入点AP的建立规则：例如，仅准许IT部门建立更多的接入点AP，因而不准许雇员随意插入接入点Ap来增强和延伸信号。对IT部门的内部而言，其规则最好包括定义可接受的设备模式和配置等。　　④使用Wi-Fi热点或借助公司设备连接到家庭网络的规则：因为某个设备或笔记本电脑上的数据可以被破坏，而且在不安全的无线网络上需要监视活动，所以你可能会想到限制Wi-Fi连接仅给公司网络使用。可以借助于Windows中的netsh实用程序，并通过运用网络过滤器来加以控制。还有另外一个选择，即你可以要求一个到达公司网络的VPN连接，这样至少可以保护互联网活动，并可以远程访问文件。　　5、使用SSL或Ipsec加密　　虽然你可能正使用最新的、最强健的Wi-Fi加密(位于OSI模型的第二层上)，也不妨考虑实施另外一种加密机制，如IPSec(位于OSI模型的第三层上)。这样做，不但可以在无线网络上提供双重加密，还可以保证有线通信的安全。这会防止雇员或外部人员随意插入到设备的以太网端口进行窃听。　　虽然在这里谈到的这五种技术大多在有线网络上已经很成熟，但在许多单位的无线网络上却并没有得以实施。为了让你的无线网络访问更安全，不妨一试。  

编后语：关于《Win7如何保护你的无线网络》关于知识就介绍到这里，希望本站内容能让您有所收获，如有疑问可跟帖留言，值班小编第一时间回复。 下一篇内容是有关《无线局域网DDoS攻击技术包括那些技术要点》，感兴趣的同学可以点击进去看看。