张永刚

伴随着无线上网设备的逐步普及, 现在使用无线局域网的单位是越来越多了，为了让员工更好的使用网络,单位一般把无线信号范围都放的较大。没有采取任何安全防范措施的无线网络自然就会成为信息泄密“通道”。究竟该怎样才能保护无线局域网的安全，拒绝该网络成为对外泄密“通道”呢?其实，可以采取多项限制措施，阻止非法攻击者随意通过无线局域网偷窃网络中的隐私信息，杜绝外部人员无偿得使用本单位有限的网络资源。

一、对无线设备进行限制

经常采用无线“通道”来上网的朋友都知道，这种上网方式与有线上网方式有很大不同，最明显的就是无线上网需要“无线热点”的支持。所谓“无线热点”，简单地说能够提供免费或付费进行无线上网的场所或地点。而在单位中提供无线上网的设备就是无线路由器，也叫无线接入点，简称AP。

如何对无线设备进行限制呢?难道一定要把本地无线局域网中的AP锁定起来吗?其实，无线是不需要接触的，限制只是在软件设置上。事实上，对于许多型号的无线节点设备来说，它们在刚刚出厂时使用的缺省密码几乎是完全相同的，所以要如果不及时将本地无线局域网中AP密码更改掉的话，那么一些非法攻击者可能会非常轻松地用缺省的用户名以及密码进入到本地AP上，从而拥有本地无线局域网的所有管理权限，以至于会产生管理员自己也无法登录本地无线局域网的尴尬局面。要想限制非法用户使用本地的无线节点设备，必须记得在第一时间对本地的AP进行密码限制，使用比较复杂的密码来替代默认的密码。

二、对无线网卡进行限制

普通工作站往往要通过无线网卡设备才能访问到附近的无线局域网网络，而无线网卡设备与有线网卡设备一样，都通过MAC地址对自己的“身份”进行标识，可以说MAC地址是网卡设备的唯一标识。因此，要想拒绝非法用户通过无线网卡设备接入到本地无线网络中时，完全可以将本地工作站的无线网卡设备MAC地址手工加入到无线路由器设备允许访问范围中，而那些没有加入允许访问范围中的MAC地址所对应的无线网卡设备自然就不能访问无线路由器设备了。

在对无线网卡设备进行限制之时，需要先统计本单位工作站使用的无线网卡设备MAC地址，然后将本地允许使用的MAC地址列表加入到AP的防火墙设置当中,并且只允许列表当中的地址访问无线网络，使其生效。如此一来非法攻击者的网卡设备或没有加入到地址过滤列表中的无线网卡设备就不能访问无线网络了，那样的话无线网络就不会成为对外泄露信息的“通道”了。

三、对传输数据进行限制

通过无线局域网传输的数据信号在空中来回传输，要是不对它们进行加密限制的话，稍微懂得无线网络知识的非法攻击者都能轻松地将正在传输的数据信号捕获和破解掉，如此一来通过无线网络传输的数据信号就可能被非法攻击者窃取到，为此有必要对传输的数据信号进行加密限制，以便阻止非法攻击者轻易窃取到其中的内容。

目前，最常使用的数据加密限制方式为WEP加密技术，这种加密技术能够对每一个连接无线网络的用户进行身份识别，并且对数据内容直接进行加密限制。不过，在默认状态下不少无线节点设备都会禁止使用WEP加密技术，那样一来非法攻击者就能轻松扫描到各类无线网络信息，同时能将捕获到的无线数据内容轻松破解掉，所以必须及时修改无线节点设备的数据加密参数，确保对无线上网信号进行安全加密。AP中设置好后,还需要打开本地工作站的无线网络连接属性设置界面，并且在该设置界面中设置好WEP加密内容，才能够确保本地工作站顺利访问单位的无线局域网网络。

四、对SSID标识进行限制

SSID标识其实指的就是本地无线局域网网络的名称，该名称的作用就是用来区分不同无线网络的。一般情况下，无线节点设备在出厂时都有一个默认的SSID标识，如果不及时修改这种SSID标识信息，那么本地的无线局域网网络可能就会与其他无线网络发生冲突，引起的直接后果是普通工作站一不小心就能登录连接到其他无线网络中，很显然不对SSID标识进行限制，也会给无线网络的使用带来安全麻烦。

此外，还要记得对本地无线网络的SSID标识传播方式进行合适设置，因为无线节点设备在缺省状态下会将SSID设置广播传送方式，在这种工作状态下，本地无线局域网中的所有无线工作站都能利用信号扫描手段搜索到本地网络的SSID名称，所以我们必须及时调整SSID默认名称同时禁止SSID标识进行广播。这样的话一方面本地无线网络不会和其他无线网络发生冲突，另外一方面也能有效防止非法攻击者轻易搜索到本地无线网络的SSID名称。

利用上面的方法做完后，基本上来说，别有用心或者不合法的用户是不能使用本地的无线网络了，一般可以认为无线网络是安全的。

（作者单位：河南省巩义市第一中等专业学校）