【企业局域网安全防范技术分析8500字（论文）】

企业局域网安全防范技术分析目录TOC\o"1-2"\h\z\u3464一、引言 129103（一）局域网攻击及其防范的研究背景 13466（二）局域网的现状及发展趋势 1439二、局域网安全性分析 511234（一）局域网与有线网络的区别分析 516246（二）局域网安全机制 57149（三）无线网安全威胁 66307三、局域网的攻击分析 79507（一）局域网欺骗攻击 73303（二）无线拒绝服务的攻击 711836（三）WPA的破解 832527四、局域网的防范分析 929203（一）提高网络使用者的安全意识 97354（二）应用网络加密技术建立用户认证连接模式 913599（三）合理安装无线设备 930868（四）针对破解WPA加密攻击的防范 918234（五）MAC地址过滤技术 104963（六）针对局域网安全问题的一些建议 1015625五、总结与展望 1112903参考文献 13企业局域网安全防范技术分析一、引言（一）局域网攻击及其防范的研究背景无线局域网（WLAN）作为无线高速数据通信的主流技术，局域网具有移动性，不用布线，易于维护，成本低等特点，受到越来越多人的青睐，被广泛地应用在各类室内场景中。随着信息化建设和信息化工程的发展，办公信息化、网络化程度的提高，移动办公的需求增长迅速，WLAN使笔记本电脑、平板电脑、手机等都成为常用的办公工具，使用无线网的终端迅速增加[1]。2018年10月，802.11ax被正式定义为新一代的WLAN标准即Wi-Fi6，相较于前代。在局域网中，所有终端的流量都是集中通过路由器发出的，路由器是不同网络之间相互连接的枢纽，同时路由器可以对网络进行管理，所有连接的终端都是通过路由器进行连接，正因为作为纽扣，出现问题将影响整个网络，无法上网，信息泄露等等，这仅仅只是局域网问题中的一个小部分。局域网的无边界化、信号开放问题虽然给用户带来了极大的方便，但是同样也让无线局域网遭受更多的安全威胁，有内部的也有外部的。因此对于无线局域网的安全接入和管理，需要有效的无线安全解决方案提供保障。（二）局域网的现状及发展趋势1.局域网工作原理移动互联网时代，局域网已经发展成为了人们日常生活中不可或缺的部分，AP(AccessPoint)，即无线访问的接入点，俗称"热点"，它是指当今人们在使用无线设备(例如手机、平板、笔记本电脑等无线设备)时直接进入有线设备的一种接入点，主要应用范围包括家庭内部、建筑内部、校园内部、对于园区内部和仓库、企业工厂等所有必须进行无线覆盖的场所，有效地覆盖了从几十米到数百米，主要的技术是ieee802.11系列。伪AP钓鱼攻击主要是通过模拟器仿照正常AP来搭建一个真实的伪AP，然后再通过对合法AP客户端进行拒绝服务的攻击或者是提供一种比合法AP更强的信号来迫使无线客户端与假AP相连，这样就有机会完全受到无线客户端与网络的连接，并且能够发起任何进一步的攻击。那么，伪AP是如何进行攻击的呢?要先从无线设备连接上网说起。无线设备终端在连接Wi-Fi，通过AP进行数据传输前，都得先建立连接，没有连接，没法传递数据，主要经过三个阶段：分别是扫描、认证和关联阶段。图1-1无线设备终端建立连接流程图（1）扫描阶段:当在STA中找到与其他每个AP的点具有相同信号SSID的每个AP，在与相同SSID的点进行信号匹配的每个AP中，根据每个接收器得到的每个AP及其信号强度，选择一个点或是该点中信号最强的一个AP，然后进入认证阶段。（2）认证阶段:首先确定网络密钥安全认证的使用方式主要包括开放型和网络共享式密钥安全认证。当AP向STA返回一个认证阶段响应相关信息，身份验证系统获取响应通过后，就会自动进入相互之间关联的阶段。（3）关联阶段:首先STA向AP系统发送一个关联的请求;然后AP向STA输出并返回一个关联响应。至此，接入的过程才基本完成，STA的初始化已经进行了完毕，就能够从一个端口开始给AP传输数据帧。2.局域网的未来发展趋势发展趋势一：极致移动体验，产品正常生产及使用稳定是第一要务"。局域网具备了良好的连续漫游和数据处理机制和对网络中冗余的保障。并且，随着AR/VR/视频的使用对局域网带宽的需求越来越高，而且持续增加，Wifi技术的逐步普及基本可以满足当前人们的带宽需求。有些科技公司并不非常愿意将自己的移动设备或个人计算机直接移动到无线上，最大的内心忧虑之一可能就是无线设备的时间拖延性和功能遗失，这通常被人们认为可能是由于无线干扰而丢失导致。特别多的是现在Wifi5和6在Wifi6下，当我们使用80mhz乃至160mhz的无线频宽时，更加不可避免地也就会容易出现相互间的干扰。除此之外，增加一个Wifi的居民可用广播频段也势在必行，美国政府fcc已经成功制定了一项计划向每个Wifi开放6ghz的可用频段可以供Wifi居民使用，这将进一步扩大促使美国人们不断增强对使用Wifi的基本认识和使用信心。发展趋势二：局域网安全威胁1.射频安全因为其网络具有高度开放性，局域网射频最容易被黑客攻击，攻击者经由dos信号攻击后就不再会直接诱导造成一个网络连接失效;而是通过仿冒企业AP公司发射一个与企业同样的SSID信号发射来直接诱导一个客户与其进行网络连接，从而同时得到一个客户的手机帐号密码信息。2.终端安全为了保证用户能够直接接入到一个企业互联网络的设备是一个企业授权的设备，企业的笔记本可以采用加入域的形式授权，移动终端则可以采用BYOD的数字认证书形式来对用户进行授权。3.网络准入安全企业里一般都会使用具有相当高度和安全性的802.1x质量认证，以确保安全和准入;酒店/机场/咖啡厅等各种公共场所一般都会采用简单的portal密码认证的方式，或者简单的PSK密码认证方式，甚至可以选择没有密码的open认证方式;而对于传统的物联网设备，通用的认证方式主要是直接采用MAC进行认证。4.数据安全一般都是通过对数据进行加密以确保其所传输的数据信息的安全。所以，加密算法的复杂度及对于密钥的保护是提高数据安全可靠性的重要保障。发展趋势三：网络自动化任何一种竞争都应该从基本的软硬件开始，然后再逐步地过渡到一个更高端的软硬件方面，因此未来Wifi在市场上的竞争中会不仅减少了围绕软硬件，而是逐步转向了管理的平台，利用人工智能和机器学习的技术来预测互联网上的行为和自动化地执行其他方面更多的任务。自动化(automation)本身就是一种泛指设备或者系统能够在没有任何一个人或者比较少一个人的直接参加下，可以依据其他一个人的需要，经过大量的自动检测、信息处理、分析和判断、操纵和控制，来实现所预期目标的一种技术过程。网络运维的自动化主要是一种泛指企业对网络从开始实施、最终优化到运维管理的全过程，基本上是自动地完成，不必要或者只需要非常少的一些人工干预。1.自动化部署由于目前传统的信息网络业务部署管理模式使其效能相对较差，严重程度阻碍了中小企业向传统数字化的模式转型和面向业务端的拓展。一个个横跨不同区域的大城市或者甚至是其他多个国家的私营公司在一个企业内部想要部署一个属于企业的内部局域网，就可能需要一个IT的管理人员亲自去到各个区的子公司或者分支机构单独进行安装和管理配置所有公司部署的无线设备，手工和重复的安装工作量大，配置繁琐。自动化的设备部署主要是通过云SDNAPI或者云数据管理的一种方式使用来自动实现对整个网络上的设备进行即时随插就走使用、全网统一进行安装和自动配置。2.自动优化Ai-Ops将是全球互联网系统运维未来几年发展的重大趋势。局域网和有线通信网络的一个主要不同之处就就在于它们分别需要根据现场的工作环境和网络使用者实际体验而共同进行高可持续性的系统优化，以往都认为只能由IT专业网络技术人员通过依靠其在现场的实践经验或者根据使用者的体验反馈这种方式使用来对其实施进行系统优化和保障管理，很难真正做到理想的系统优化和保障管理工作效果。网络运行优化管理自动化系统利用天网AI及大规模数据分析系统实时跟踪采取和自动搜索现场移动网络的相关运行优化信息，自动地定制生成现场网络运行调优管理策略，自动地定制完成现场网络运行优化的系统配置，甚至您还能够根据每一个网络人的现场网络使用行为习惯，定制设计出各种适合个人网络特点的现场网络运行优化。3.自动故障处理以往的各种网络故障的发现和处理均只有事后回复，当网管系统或者用户向IT服务器报告了网络故障之后，IT服务器人员才能够得到正确的信息，对其进行了分析和处理。网络自动故障预警技术借助AI大数据对互联网络的关键性指标信息进行了分析和监控，基于网络历史与实时数据的动态优化基线，进行了网络异常预测，将互联网内部潜在的故障早日地消灭到了萌芽状态。

二、局域网安全性分析（一）局域网与有线网络的区别分析无线路由器和有线路由器区别是：物质形态不同、网速不同、主体不同、功能不同1、物质形态不同。无线路由器是通过电磁波，它是不能被人体所感知的。有线路由器则是通过实体设备，能被人类日常所使用。2、网速不同。由于传播介质不同，受到的干扰自然不同，无线是开放的，是电磁信号，是分布于空间中的，在传播的过程中也不是一往无前的，无线信号在传播的过程中容易受到其他电磁信号以及建筑物（尤其是墙体）的干扰，信号损失较大。有线路由器使用网线传输数据，并且内部线路之间有绝缘措施，网线不易受干扰，运行稳定，网络传输信号也就更稳定。3、主体不同。有线电子路由器主要用途是用于提供各种类型数字数码电子和微型号的数码电子通信网络设备，个人平板电脑、游戏机、mp3播放器、智能手机、平板笔记电脑、打印机、笔记本电脑以及其他各种用户可以通过无线连接上网到国际互联网的各种周边电子通信网络设备。无线路由器是将Wi－Fi信号释放出来供人们使用，以及用来组建网络，它的主体是人。4、功能不同。有线路由器是可以简单的理解为无线上网，是现如今使用的最为广泛的一种局域网传输的技术。无线路由器主要是一种专门用来进行转化和释放无线信号，路由器本身就是一种具有自动判断网络的地址及其选择IP路径的技术，它使路由器可以在多个网络的相互连接中，建立起比较灵活的链接，可以不同的数据分组和媒体介质访问的方法来连接各种不同类的子网。（二）局域网安全机制我们在局域网中所需要面对的安全方面的问题都需要与其一一对应的安全机制来保证它的安全。利用数据加密的技术来解决与保密性有关的问题，利用访问控制解决身份认证的问题，最后利用消息认证机制解决其完整性，这里我们重点讲解加密机制和身份认证机制。1.加密机制加密技术实现的是保密性方面的业务也是最最基本的一种安全机制。当加密密钥和解密密钥不相等的时候，则系统中每一个用户都会拥有两个密钥(公密钥和秘密钥)，我们称其为非对称密码系统或者公钥密码系统。基本上任何一个人都可以利用一个用户的公开密钥把该信息加密后传给这位用户，只有该用户用其秘密密钥进行解密并查看，

其他人则因为不知道秘密密钥而不能解密进行查看。公钥密码算法极其的复杂，

因而不适合资源受限的无线通信设备，

其不需要通信的双方共享任何一个秘密，

因此其在密钥管理这些方面有着巨大的优势。2.身份认证机制身份认证技术是提供通信的双方身份认证，

为防止有假冒的身份。它通过检测来证明一方拥有什么和知道什么来确认证明另外一方的身份是不是合法的。密码学中的身份认证最主要是基于验证明的一方是否知道秘密

，

基于共享秘密的身份认证的方法建立在运算简单的单密钥密码算法上，

适合无线通信网络中的身份认证。（三）无线网安全威胁局域网安全有许许多多种威胁有信息重放、wep破解、网络窃听、假冒攻击、MAC地址欺骗、拒绝服务等。在生活的方方面面影响着我们，下一章我们就欺骗攻击、拒绝服务攻击、破解wep加密重点讲解让大家对其有所了解。三、局域网的攻击分析（一）局域网欺骗攻击欺骗攻击中最常见的攻击手段包括会话劫持攻击和中间人攻击。由于无线局域网络认证协议主要是基于端口的认证协议，当受害者认证成功后就能够与用户的接入点进行正常的通信，会话受害者劫持了遭到攻击的无线设备，而且也能够在无线设备已成功进行认证之后再次劫持其他合法的会话，假装自己为了受害者而恶意地伪装或盗窃。继续使用网络流并按被劫持的设备方式发送数据帧。而对于中间人的网络攻击方式主要如下下图3-1所示，通过将它假扮伪装成成为一个合法的中继接入点，假扮伪装为一个合法中继接入点的主要目标是用来直接攻击欺骗这个网站上的所有用户和其他网络接入点，使他们无法能够通过未经官方认证的网络设备向其他网站用户发送数据，最终实现对被攻击者的侦听、数据收集或数据操纵。伪造的无线接入点被称作流氓无线接入点(AP)，由于IEEE802.11标准采用网络名称(SSID)和MAC地址(BSSID)作为无线接入点的唯一标识，加之无线局域网组网简单、易于扩展，对无线局域网设备的监管较为困难，因此仿造欺骗性的流氓AP并不困难。即使用户使用了SSL等加密技术，已有的免费工具可以去除SSL加密并动态创建伪造的证书，从而实现对加密流量的中间人攻击和会话劫持。图3-1无线局域网中间人攻击原理（二）无线拒绝服务的攻击2020年9月国家网络安全周的内容是"Wi-Fi安全"，在信息安全教育案例中提到最多的是钓鱼Wi-Fi以及在公共场合使用的"公共Wi-Fi"窃密事件，此类事件的窃密原理均是对原有无线局域网Wi-Fi热点进行破坏攻击，再诱导用户使用相同或类似的热点，进而窃取用户信息图3-2DOS攻击原理示意图拒绝服务(DOS)攻击是常见的破坏攻击技术，拒绝服务攻击通过使用各种方法干扰网络的正常工作，达到使网络无法提供服务的目的。由于目前的安全协议都着重于保证数据的安全性，对如何保证无线局域网能够正常使用没有涉及，这导致了无线局域网对DoS攻击基本没有防范能力，因此我们更应该着重于研究针对DOS攻击采取什么样的措施。无线局域网中可能遭受两种拒绝服务攻击：物理层DoS攻击以及MAC层DoS攻击。物理层的DoS攻击主要采用的是信号干扰的方式，MAC层DoS攻击可以分为四种类型，第一种通过伪造大量的关联帧或认证帧，使AP内存耗尽从而无法对合法的请求做出响应；第二种是通过持续发送去关联帧或去认证帧，使STA与AP无法建立连接；第三种攻击类型通过攻击802.11标准的电源管理协议，使休眠的结点永远不能唤醒或丢失数据；第四种DoS攻击通过攻击MAC层的协议，可以直接以SIFS（ShortInterframeSpace）间隔发送数据包，从而使得范围内其他结点没机会发送数据，或者在RTS/CTS帧的duration域中伪造持续时间，从而使得按标准工作的结点不会发送数据。我们在如何应对被黑客拒绝的数据服务端口进行黑客攻击时也一定是都应该事先想好一些相应的网络防范措施，因此在这些措施方面，我们首先一定应该在整个网络的核心骨干各个节点之间分别配置一个网络防火墙，用于有一台数量足够的网络计算机用来承担着一起防御黑客攻击，过滤不必要的数据服务和网络端口，限制如ssyn/icmp等等数据库的流量等一系列多功能方面的防范措施，我相信只要对此用点心。这都能够解决的。（三）WPA的破解WPA有WPA、WPA2、WPA3三个不同的标准，它是一种保护局域网安全的系统。对于WPA的攻击其实可以分为两类，一类是对身份认证的攻击，另外一类是加密的攻击。这里面对于身份认证的攻击是大家最常见的，它是直接针对所访问的局域网的攻击。由于WPA不存在之前WEP的哪些弱点，WEP需要收集大量的IV数据，WPA则仅仅只需要抓取四次握手信息就可以了。因此，WPA只能利用暴力破解。但是，如果字典文件中没有密码那是不可能破解出来的。破解WPA、WPA2不一定能成功，此时黑客也会想另外一种办法，比如创建和目标AP具有同样SSID的软AP，用户可以对其进行连接，紧接着会弹出一个虚假的认证页面诱导用户进行输入密码连接。这样我们就可以获取其密码了。四、局域网的防范分析（一）提高网络使用者的安全意识使用公共WLAN时，应尽量使用有密码保护的公共网络，且尽量不要在公共Wi-Fi网络中使用网络银行、信用卡服务、登录网络游戏、电子邮箱、访问企业VPN等服务。搭建无线局域网接入点应该特别注意通过关闭局域网的SSID广播以及增加网络与网路相互连接的安全性和系数，并且要采用较复杂的密码，在完全保证其使用能力的前提下尽量减少无线路由器无线传送的功率，使得无线信号所涵盖的范围逐渐变小，减少恶意攻击的发生风险。（二）应用网络加密技术建立用户认证连接模式面对各种新兴的各类网络安全袭击，管理员首先认为应该将自己的个人信息安全保护好，然后才希望能够在整个网络中自动进行用户身份验证。身份验证通常是被泛指用户通过向一台基于客户端的一台电脑"注册"或者通过登录连接到整个互联网中以及其他更高层次的安全隐私保护措施而可以获得的一般来说，这个“注册”过程包含被身份验证服务器处理的证书、标记和手动输入的密码(也叫做Pre-Shared-Key)组成。对于那些具有较为丰富使用经验的局域网技术工作者来说，另一个良好的是TinyPEAP，它在整个系统中重新添加了一个小型的支持基于一个PEAP的身份认证的固件RADIUS网络服务器的提供商来给用户Linksyswrt54g和GS局域网路由器中，注意由于Linksys并没有正式地发布支持这个系统固件，因此用户需要在整个系统中重新安装一个现在TinyPEAP时候会出现的一些问题我们认为可以说成就是用户需要自行对其承担责任。（三）合理安装无线设备无线局域网环境下数据帧可以通过使用监控装置进行分析得到，无线局域网设备监控就是将数据帧捕获装置作为监控器的数据帧分析采集地点。采集点的特征和性能直接影响到对无线环境中的信息采集精准度，所以采集点的分布量和密度直接影响其覆盖率及信息的完整性。通过监测捕获无线环境中的数据帧，获取各种无线接入点和无线终端设备的工作状态等相关信息，分析设备之间的连接关系得到无线局域网的拓扑结构，检测出钓鱼接入点、Ad-hoc连接模式以及违规外联的终端，进而评估整个无线局域网环境下的设备安全状况，此外对于设备严格管控的场所还可通过黑白名单的方式进行实时非授权设备告警。（四）针对破解WPA加密攻击的防范现在对于应对WPA密码破解的方法并没有具体的方法进行防范，WPA2与之前发布的无线局域网接入认证协议已经被破解，因此必须使用保护性更强的接入认证即WPA3，WPA3使用的“受保护的管理帧(ProtectedManagementFrames，PMF)”技术解决了去关联去认证帧带来的恶意攻击问题。2009年IEEE组织在802.11i的框架上制定了802.11w。802.11w主要规定了PMF功能，通过保护局域网“管理帧”的过程来改善安全性，802.11w保护的管理帧，包括去认证帧、去关联帧等，802.11w提出在RSN(RobustSecurITyNetwork)信息元素的RSNcAPabilITiesMFPR（ManagementFrameProtectionRequired）和MFPC(ManagementFrameProtectionCAPable)用来协商保护管理帧的能力，WLAN热点启用该功能后，攻击者将无法通过发送去关联去认证帧来破坏连接，受护的管理帧可以有效的抵御认证/关联帧造成的攻击行为，为无线局域网安全接入，强身份认证提供了可靠的技术支撑。（五）MAC地址过滤技术每一台计算机都带有其唯一的物理地址，也就是我们常说的MAC地址，它是可以在网络上被识别出来的。按常理来说，只要知道适当的密码短语，路由器是可以让任何设备对其进行连接的。通过MAC地址过滤，路由器需要先把MAC地址和批准的MAC地址列表相比较，让其在设备的MAC地址得到批准，这样的话才得以使设备进入WI-FI网络。许多人总有一个误区，总觉得WIFI设置了MAC过滤就万事大吉了，这种想法其实是错误的，其实对于一台电脑来说，它想要绕过MAC过滤是特别轻而易举的事，比破解还要简单，所以在这里我建议大家还是设置多于16位密码以后，再加上MAC地址过滤，这样才更能体现出它的作用，更加靠谱。（六）针对局域网安全问题的一些建议首先，我个人认为，当你再公共场所时建议最好还是使用自己的移动数据套餐，切记不要随意的去连接一些公开的局域网，如果在特殊情况下确实需要使用公开局域网的，一定要保持VPN连接，使自己网络流量得以加密，保护自己的网络活动不被窃取。其次，如果我们再面对一些已经来不及补救的一些威胁时，我们要先分析网络体系结构、业务构成、攻击网络的敌手模型，最后总结归纳确定安全体系和方案以应对局域网产生的安全问题。具体流程如4-6图示图4-1局域网安全体系建立示意图

五、总结与展望在撰写本文时，通过一些文献的了解和书本上的查阅。个人有了一些对局域网安全的理解。为了增加局域网的安全性问题，最少都应该需要提供认证和加密两个最基础的安全机制，这两个是一定必不可少的。在文章的撰写过程中也经历了许许多多的事。让我感受到老师和朋友对我的关心。终于使得这篇论文