問(wèn)：我是一個(gè)企業(yè)的網(wǎng)絡(luò)管理員，最近我們領(lǐng)導(dǎo)要求在實(shí)驗(yàn)室內(nèi)建立一套完整的網(wǎng)絡(luò)，方便在實(shí)驗(yàn)室查閱資料。由于實(shí)驗(yàn)室內(nèi)的計(jì)算機(jī)要和外界進(jìn)行通訊，但是在設(shè)計(jì)之初沒(méi)有在墻面預(yù)先留下任何接插面板，所以本人查閱了大量資料決定通過(guò)無(wú)線網(wǎng)絡(luò)來(lái)完成網(wǎng)絡(luò)接入服務(wù)，選擇的設(shè)備都是市面上比較流行的54M標(biāo)準(zhǔn)的無(wú)線設(shè)備。但是這樣也存在了一個(gè)疑問(wèn)，那就是由于企業(yè)對(duì)實(shí)驗(yàn)室內(nèi)計(jì)算機(jī)上的數(shù)據(jù)有比較高的安全要求另外對(duì)計(jì)算機(jī)上網(wǎng)速度也有很高要求，所以本人決定針對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行加密，從而提高安全性，避免非法入侵者的隨意連接，但是有人說(shuō)對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行加密會(huì)在一定程度上影響速度，所以在這里想請(qǐng)教專家，到底無(wú)線網(wǎng)絡(luò)安全的提升是否必須通過(guò)無(wú)線通訊加密來(lái)完成，如果必須通過(guò)無(wú)線加密手段來(lái)提高安全的話，這樣手段是否是把雙刃劍從而帶來(lái)無(wú)線傳輸速度的變慢呢？

　　答：這位朋友遇到的問(wèn)題比較典型，隨著無(wú)線網(wǎng)絡(luò)的飛速發(fā)展，無(wú)線設(shè)備的價(jià)格也變得越來(lái)越便宜，于是很多企業(yè)都開(kāi)始針對(duì)之前建立的有線網(wǎng)絡(luò)盲點(diǎn)區(qū)域進(jìn)行升級(jí)，用無(wú)線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的有力補(bǔ)充，然而在實(shí)際使用中都被安全與速度兩大因素困擾，下面我們就來(lái)根據(jù)這位朋友的實(shí)際問(wèn)題進(jìn)行回答。

　　一、無(wú)線網(wǎng)絡(luò)安全的提升是否必須通過(guò)無(wú)線通訊加密來(lái)完成？

　　提升無(wú)線網(wǎng)絡(luò)安全的方法有很多，通過(guò)針對(duì)無(wú)線通訊數(shù)據(jù)進(jìn)行加密是一個(gè)有效的辦法，通過(guò)這個(gè)方法可以大大提升無(wú)線安全。但是他不是最有效的，高水平黑客是可以通過(guò)sniffer等手段來(lái)監(jiān)聽(tīng)無(wú)線數(shù)據(jù)通訊來(lái)暴力破解加密密鑰的。所以說(shuō)要想讓我們的無(wú)線網(wǎng)絡(luò)萬(wàn)無(wú)一失僅僅對(duì)通訊進(jìn)行加密是不夠的。下面筆者將常見(jiàn)的幾個(gè)方法和安全效果羅列出來(lái)提供參考。

　　（1）修改無(wú)線路由器默認(rèn)密碼和默認(rèn)IP地址：

　　安全級(jí)別：★★★☆

　　缺點(diǎn)：有點(diǎn)基礎(chǔ)的人會(huì)通過(guò)sniffer掃描出無(wú)線路由器的默認(rèn)IP地址，不過(guò)默認(rèn)密碼修改可以大大提高無(wú)線通訊安全性。

　　（2）禁止無(wú)線SSID廣播：（如圖1）

　　安全級(jí)別：★★

　　缺點(diǎn)：防菜鳥(niǎo)不防高手，同樣可以通過(guò)無(wú)線sniffer工具掃描出無(wú)線通訊數(shù)據(jù)包的信息，從中可以分析出隱藏了的SSID號(hào)。

　　（3）WEP加密無(wú)線網(wǎng)絡(luò)通訊數(shù)據(jù)：

　　安全級(jí)別：★★★★

　　缺點(diǎn)：通過(guò)無(wú)線sniffer工具進(jìn)行長(zhǎng)時(shí)間監(jiān)聽(tīng)數(shù)據(jù)，當(dāng)積累足夠多的數(shù)據(jù)包后可以通過(guò)暴力法來(lái)窮舉WEP加密密鑰。實(shí)際中筆者成功破解過(guò)。

　　（4）WPA加密無(wú)線網(wǎng)絡(luò)通訊數(shù)據(jù)：

　　安全級(jí)別：★★★★★

　　缺點(diǎn)：配置比較麻煩，但是這個(gè)方法安全性非常高，除了員工不小心泄露了WPA加密密鑰造成非法人員連接外正常情況下此方法萬(wàn)無(wú)一失。

　　（5）MAC地址過(guò)濾：（如圖2）　　

        安全級(jí)別：★★★★

　　缺點(diǎn)：偽造MAC地址成為破解該方法的突破口，另外煩瑣的添加MAC地址過(guò)濾信息工作為網(wǎng)絡(luò)管理員增加了工作量。

　　在實(shí)際維護(hù)和使用無(wú)線網(wǎng)絡(luò)過(guò)程中，如果我們對(duì)無(wú)線網(wǎng)絡(luò)安全要求比較高那么就應(yīng)該采取上面多個(gè)方法結(jié)合的辦法，單獨(dú)的某一種方法都存在著“軟肋”，理論上講最安全的辦法就是通過(guò)WPA加密無(wú)線網(wǎng)絡(luò)通訊數(shù)據(jù)再結(jié)合MAC地址過(guò)濾，這樣可以避免員工不小心泄露了WPA加密密鑰造成非法人員連接，也可以阻止偽造 MAC地址的虛假連接。

　　小提示：

　　如果無(wú)法配置WPA加密的話我們用WEP加密來(lái)替代也是沒(méi)有任何問(wèn)題的，這種安全措施的組合拳一樣非常有效。