立刻为您的网络架起保护墙

    专家指出，为了做好全面安全防范工作，专家建议在路由器中部署防火墙、采取删除设备的缺省服务集标识符等等。

    下面笔者就和您一起为我们的无线网络建立基本安全防护，这个过程只需花数分钟，就可以保护重要资料不会外泄。我们把重点放在SSID、WEP及MAC地址绑定上，目前这三种在大部分的无线接入点上都可以轻易设定，而MAC地址绑定方法比较简单，在此我们就不赘述了。

    SSID及WEP

    SSID是Service Set Identifier的缩写，简单的说就是网卡与无线接入点之间沟通的密码，当两者都设定为相同的密码时，该网卡才能连上无线接入点。比如说无线接入点的SSID设定为PCHOMEUP，若想要使用无线接入点的服务，网卡的 SSID就得设定成PCHOMEUP才能连线。不过SSID的防护力极弱，只要有适当的工具软件就可以轻易查出无线接入点所使用的SSID，但是有总比没有好，至少不要用预设值。更改SSID只须几秒钟，第一层防护就架起来了。

    WEP是Wired Equivalent Privacy的缩写，它会对无线传输中每个数据做加密，然后在另一端做解密的动作，使用者只需要设定好加密的等级，并输入一串密码就可以了。目前一般无线接入点都可支持64 或128位加密，但是较高的加密等级，在传输量大时会影响网络速度，但为了安全性，这点牺牲是值得的。

    无线协议上的安全性改进

    在最近一段时间，无线网络的安全性问题受到了前所未有的重视。虽然现在的802.11b无线协议提供了WEP来保证信号传输的安全，但是WEP在密钥上固有的缺陷，却使得它无法为用户的无线局域网络提供完备的保护。为了提高无线局域网的安全级别，在新一代的802.11g无线产品中，普遍采用了WPA对连入网络的用户进行认证，并对无线传输的数据进行加密。

    WPA是802.11i中的一部分，根据WiFi的解释，WPA中包含了802.11x、EAP 、TKIP 、MIC。为了满足不同环境下对无线网络安全级别的不同要求，WAP也提供了两种安全模式，一种适用于对网络安全要求较高的大型企业网络，而另外一种设置更为简单的共享密钥方式则适合家庭或者小型办公环境使用。

    WPA认证机制的基础是802.11x和EAP。对于使用WAP的网络，任何一个想要连入网络的用户都要提供自己的身份证明，而WAP会在企业安全认证服务器的数据库中进行搜索并核对。由于这种认证模式需要专用的RADIUS服务器，所以对一些小型网络就不太适用了。WPA的目的是为了全面取代WEP，从而在各种类型的无线局域网中都为用户提供更为安全的网络。为了使更多的人能够更容易地保护自己的网络，WPA也提供了共享密钥方式（WPA-PSK）。

    WPA-PSK是在无线局域网的Access Point、Router中设置一个单一的密码，其长度可以从8到64个HEX。任何想要访问无线网络的客户端，都要提交这样的密码，只要密码相符，客户端才能够获得无线网络的访问权限。

    以往的WEP可以提供64以及128位的加密模式，而像D-Link则在其产品中提供了256位的WEP加密。从理论上说，破解128位的加密已经是非常困难的事情，但是由于WEP使用的是静态密钥，而且其初始向量只有24位，这使得密钥更容易被破解。WPA中通过TKIP将密钥的初始向量增加到48位，而且可以使用动态产生的多组密钥。TKIP采用了802.1X/ EAP的结构。认证服务器在接受用户的身份证明之后，又使用802.1X来为运算阶段产生一组唯一的主键、又称“配对”密钥。

    TKIP将这组密钥分配给客户端以及AP、建立密钥层以及管理系统、使用配对密钥动态来产生唯一的数据加密密钥，并以此加密所有用户在无线传输阶段所传输的数据封包。TKIP的密钥层会把WEP的单一静态密钥换成约500万亿组密钥。信息完整性检查（MIC）用来防止攻击者拦截、篡改甚至重发数据封包。WPA中的MIC则是为了防止黑客的篡改而定制的，它采用Michael算法，具有很高的安全特性。当MIC发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。此时，WPA还会采取一系列的对策，比如立刻更换组密钥、暂停活动60秒等，来阻止黑客的攻击。

    安全小技巧

    如果你的接入点有SSID broadcast的选项，记得一定要“关闭”。