保障SOHO級WLAN安全的四種武器

　　 
　　不要以為SOHO級WLAN設備在價格上讓利，就會在安全上打折扣。其實，SOHO一族在家辦公與企業員工在寫字樓中辦公一樣需要安全保障，部分用戶對安全的尋求相比公共熱點甚至有過之而無不及。

實際上，這類家用型WLAN設備在設計之初，即對設備或網絡資源的安全防護進行了充分考慮，這樣就可以保證用戶在使用得當的情況下，將惡意入侵者拒之于門外。那么，在具體應用時，如何才能讓用戶高枕無憂？總的來說，SOHO級WLAN設備具有如下四種安全防護措施。
　　
　　無線網絡隱藏
　　將無線網絡隱藏，如限制SSID廣播、發射功率可調等。所謂限制SSID廣播，是將SOHO網絡讓其他非法用戶不可見。因為在WLAN中，有一個特殊的SSID“any”，即當用戶在無線網卡終端配置SSID時，用戶可以接入周邊性能最好的AP或無線路由器中，除非用戶在進行接入點使用前將“any”訪問功能禁止。另外，目前很多網卡均具有接入點掃描功能，能夠查看所有周圍可用的接入網絡。如果SOHO用戶不禁止其WLAN的SSID廣播（一般默認為開放SSID廣播），就為其鄰居或其他潛在黑客留了一道入侵之門。因此，在進行AP或無線路由器配置時，特別需要將默認開啟的SSID廣播去除，禁止用戶通過“any”的SSID標記訪問。
　　
　　在設備的設置上，用戶也要對家庭環境、使用區域進行合理布局和發射功率的調整。這樣，一方面可以合理控制射頻信號的強度，另一方面可以合理控制無線信號涉及的廣度，降低安全風險。
　　
　　用戶區別對待
　　列黑白名單將用戶區別對待，如MAC地址過濾、IP地址過濾等。黑白名單，即對用戶進行合理標記。黑名單是對可能的非法用戶列表，并輸入到設備中，配置設備如果接入用戶出現的列表中，將禁止該用戶進行網絡訪問，并中斷用戶接入；對于其他非列表用戶，則假定為安全用戶，允許用戶進行網絡訪問。而白名單是對所有的授權用戶列表配置到設備中，如果檢測到接入用戶為列表中用戶，則允許通過。同樣，我們也可以在第三層對用戶端的IP地址進行類似的處理，把好網絡接入的第一道關。
　　
　　傳輸加密
　　使用密碼進行更隱蔽的溝通，如WEP加密等。WEP要求AP與終端之間同時開啟，而且利用AP接入的用戶要與該AP具有相同的WEP加密密碼。用戶可以設置AP和客戶端采用WEP加密的方式，進行WEP加密方式的接入認證并且加密無線鏈路上的數據傳輸。不知道密鑰的非法用戶僅能通過窮舉法進行破譯，需要數天的時間才能破譯密鑰，所以較安全的方法是定期更換密鑰。其他諸如WPA技術以及AES高級加密技術等，可以根據SOHO辦公環境的實際情況選擇使用。例如，只是進行普通文件編輯等對安全性要求不高的應用時，只要WEP加密、MAC過濾、SSID廣播限制即可。因為選擇的安全方式越多，帶給網絡的負擔越重，運行效率難免會降低。
　　
　　安全認證工作
　　SOHO級WLAN一般都是通過運營商或ISP接入Inte.net，并通過PPPoE或Web頁面登錄認證的。所以安全認證工作很重要，不過這一般由運營商的AC設備與RADIUS Server配合來實現。SOHO一族在購買AP或無線路由器時，一定要清楚選擇具備各種認證功能的設備。SOHO用戶在運營商網絡接入口AC處接受“授權認證”，由AC與RADIUS Server根據用戶實際登記的用戶名、口令以及對應的MAC地址、IP地址等屬性進行認證，合法用戶才能接入到Internet。這時，就要求SOHO級WLAN設備要具備PPPoE包的透傳、Web認證頁面的透傳、Portal個性化頁面的透傳、802.1x包的透傳等功能。
　　
　　此外，防火墻也是安全技術之一，在對安全要求高的SOHO網絡中，可啟用內置的防火墻功能，進行數據包過濾。

原文轉自：http://www.kjueaiud.com