网络安全技术与实训（微课版）（第5版） 课件 杨文虎 第8、9章 防火墙、无线局域网安全

第8章防火墙《网络安全技术与实训》（微课版）（第5版）主讲人：课程引入防火墙与交换机、路由器功能对比以园区网为例，交换机作用是接入终端和汇聚内部路由，组建内部互联互通的局域网。路由器作用是路由的分发、寻址和转发，构建外部连接网络。突出数据控制防火墙作用是流量控制和安全防护，区分和隔离不同安全区域。突出行为控制异常流量正常流量交换机

组建局域网

二/三层快速转发报文防火墙

控制报文转发

防攻击、病毒、木马路由器

寻址和转发

保证网络互联互通Internet学习要点（思政要点）《中华人民共和国网络安全法》

2017年6月1日开始施行持续检测、威胁情报、快速响应等要求提出了具体的落地要求《网络安全等级保护制度2.0》2019年12月1日开始实施GA/T1177-2014《信息安全技术第二代防火墙安全技术要求》在制定时参考了等级保护要求，将第二代防火墙的功能分级与等级保护的级别进行了关系对应，明确了第二代防火墙功能基本级对应等级保护一、二级，第二代防火墙功能增强级对应等级保护三、四级。学习要点（思政要点）网络支持与促进标准政府投入社会力量网络运行安全

等级保护准入规定运营者责任关键基础设施网络信息安全运营者约束监测预警与应急处理

《网络安全法》主要内容学习要点（思政要点）2019年12月1日，网络安全等级保护2.0制度正式实施，简称等保2.0。信息系统安全等级保护分为五级，一级防护水平最低，最高等保为五级。第一级（自主保护级）：一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中一般的信息统

信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级（指导保护级）：一般适用于县级其些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级（监督保护级）：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统。跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。学习要点（思政要点）第四级（强制保护级）：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级（专控保护级）：一般适用于国家重要领域、重要部门中的极端重要系统。信息系统受到破坏后，会对国家安全造成特别严重损害学习要点（思政要点）

掌握防火墙的功能及分类（网络安全意识）

了解防火墙的主要应用掌握防火墙的体系结构掌握硬件防护墙的使用和配置策略（学以致用）第8章防火墙01防火墙概述02防火墙的分类03防火墙的选择04思科防火墙CiscoPacketTracer安装与使用防火墙基本配置防火墙高级配置8.1防火墙概述古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。

在网络中，防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。8.1防火墙概述

8.1.1防火墙的基本概念

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。企业边界防护内网管控与安全隔离数据中心边界防护数据中心安全联动Internet出差人员分支机构UntrustDMZFTP/Web服务器TrustSpineLeaf数据中心内部区域个人客户企业客户UntrustInternet企业园区/分支Internet研发区出口网关市场部生产部财经部8.1防火墙概述

8.1.2防火墙的功能

网络安全的屏障强化网络安全策略对网络存取和访问进行监控和审计防止内部信息的外涉实现VPN的连接防火墙的不足之处：不能防御内部攻击不能防御绕过防火墙的攻击不能防御完全新的威胁不能防止传送已感染病毒的软件或文件影响网络性能8.1防火墙概述

8.1.2防火墙的规则

防火墙的安全规则由匹配条件和处理方式两部分组成。匹配条件处理方式8.1防火墙概述

8.1.2防火墙的规则

配置Win7防火墙8.1防火墙概述

8.1.2防火墙的规则

配置Win7防火墙第8章防火墙01防火墙概述02防火墙的分类03防火墙的选择04思科防火墙CiscoPacketTracer安装与使用防火墙基本配置防火墙高级配置8.2防火墙分类

8.2.1防火墙的分类

防火墙按照使用技术可以分为包过滤型和代理型，按照实现方式可以分为硬件防火墙和软件防火墙。按照部署还可分为单机防火墙和网络防火墙。防火墙根据设备形态分为，框式防火墙、盒式防火墙和软件防火墙，支持在云上云下灵活部署。公有云、私有云软件防火墙盒式防火墙框式防火墙8.2防火墙分类

8.2.1按照实现方式分类硬件防火墙是指采取ASIC芯片设计实现的复杂指令专用系统。深信服、华三、华为等为代表软件防火墙一般安装在隔离内外网的主机或服务器上360安恒瑞星8.2防火墙分类

8.2.2按照使用技术分类包过滤型防火墙，包过滤型防火墙又可分为：静态包过滤（StaticPacketFiltering）状态检测包过滤（StatefulInspection）代理型防火墙,代理型防火墙又可分为:电路级网关（CircuitLevelGateway）应用网关（ApplicationLayerGateway）复合型防火墙综合了包过滤防火墙技术以及应用代理防火墙技术的优点，同时摒弃了两种防火墙的原有缺点，大大提高了防火墙技术在应用实践中的灵活性和安全性。其中AI防火墙是结合AI技术的新一代防火墙。它通过结合AI算法或AI芯片等多种方式，进一步提高了防火墙的安全防护能力和性能。8.2防火墙分类静态包过滤（StaticPacketFiltering）8.2防火墙分类状态检测包过滤（StatefulInspection）8.2防火墙分类代理型防火墙8.2防火墙分类

8.2.3防火墙的选择选择的防火墙的一个前提条件是明确用户的具体需求要考虑网络结构要考虑到业务应用系统需求要考虑用户及通信流量规模方面的需求8.2防火墙分类

8.2.3防火墙的选择把防火墙的主要指标和需求联系起来，可以从以下几个基本标准入手。产品本身的安全性数据处理性能功能指标可管理性与兼容性产品的售后及相应服务完善的资质（参照第7章VPN网关）8.2防火墙的分类

防火墙的性能衡量指标吞吐量，防火墙每秒处理数据单元的比特数，越大处理数据的能力越强。一般使用1K-1.5KBytes的大包来衡量防火墙处理报文的能力，网络常见是200Bytes的报文。连续发送这样的数据包，在没有数据包丢失的前提下，计算每秒传输最大速率。时延防火墙处理报文的时间，即数据包第一个比特进入防火墙到最后一个比特从防火墙输出。时延越小，防火墙处理速度就越快新建连接数每秒防火墙处理的新建连接数量该值越大抵御DDOS能力越强并发连接数每秒钟防火墙同时处理的连接总数新建连接数并发连接数吞吐量时延第8章防火墙01防火墙概述02防火墙的分类03防火墙的选择04思科防火墙CiscoPacketTracer安装与使用防火墙基本配置防火墙高级配置8.3防火墙的应用

8.3.1防火墙在网络中的应用模式堡垒主机（BastionHost）是一种配置了较为全面安全防范措施的网络上的计算机双重宿主机是指通过不同的网络接口连入多个网络的主机系统，它是网络互连的关键设备周边网络是指内部网络与外部网络之间的一个网络，通常将提供各种服务的服务器放置在该区域，又称为DMZ非军事区.8.3防火墙的应用

1.双宿/多宿主机防火墙它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙。8.3防火墙的应用

2.屏蔽主机防火墙由包过滤路由器和堡垒主机组成,屏蔽主机防火墙实现了网络层和应用层的安全。8.3防火墙的应用

3.屏蔽子网防火墙采用了两个包过滤路由器和一个堡垒主机。8.3防火墙的应用

8.3.2防火墙的工作模式防火墙的工作模式包括路由工作模式、透明工作模式和NAT工作模式。路由工作模式

防火墙可以让处于不同网段的计算机通过路由转发的方式互相通信。8.3防火墙的应用

路由工作模式的防火墙，存在两个局限：当防火墙的不同端口所接的局域网都位于同一个网段时，路由模式的防火墙无法完成这种方式的包转发。当网络中引入的防火墙工作在路由模式时，被保护网络原来的路由器应该修改路由表以便转发防火墙的IP报文。如果用户的网络非常复杂，就会给防火墙用户带来设置上的麻烦2.透明工作模式工作于透明模式的防火墙相当于二层交换机；防火墙的网口不设地址。3.NAT工作模式适用于内网中存在一般用户区域和DMZ区域，在DMZ区域中存在对外可以访问的服务器，同时该服务器具备经InterNIC注册过的IP地址。8.3防火墙的应用

8.3防火墙的应用

8.3.3防火墙的配置原则1.基本原则。实现方式简单，越容易理解和使用，而且设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也就越可靠、简便。应系统地对待整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统，这体现在两个方面：采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御；将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起成为多层安全体系对内部威胁可以采取其他安全措施，如入侵检测、主机防护、漏洞扫描、病毒查杀等简单实用全面深入内外兼顾8.3防火墙的应用

2.配置布置8.3防火墙的应用

3.注意事项建立规则文件。注重网络地址转换。路由的合理设置。合理的规则次序。注意管理文件的更新。加强审计。第8章防火墙01防火墙概述02防火墙的分类03防火墙的选择04思科防火墙CiscoPacketTracer安装与使用防火墙基本配置防火墙高级配置8.4思科防火墙PIX防火墙是Cisco端到端安全解决方案中的一个关键组件，它是基于专用的硬件和软件的安全解决方案，在不影响网络性能的情况下，提供了高级安全保障。PIX防火墙使用了包括数据包过滤、代理过滤以及状态检测包过滤在内的混合技术，同时它也提高了应用代理的功能，因此它被认为是一种混合系统。8.4思科防火墙思科模拟器CiscoPacketTracer7.3提供的防火墙是5505和5506（建议使用5506进行实训），属于Cisco的ASA（AdaptiveSecurityAppliance）安全产品线，它们源于经典的PIX（PrivateInternetExchange）防火墙系列，PIX防火墙使用了一种称为“自适应性安全算法”的方式处理流量，这就是ASA使用“自适应安全设备”的原因。8.4思科防火墙8.4思科防火墙8.4.1PIX防火墙的功能特点非通用、安全、实时和嵌入式系统01自适应性安全算法（ASA）02直通型代理03基于状态的包过滤04高可靠性058.4思科防火墙8.4.2PIX防火墙的算法与策略1.ASA的特点和优势ASA提供了“基于状态的”连接安全，包括可跟踪源和目的端口、地址、TCP序列号和其他的TCP标志，以及可随机生成初始的TCP序列号。默认情况下，ASA允许来自内部（安全级别高）接口的主机发出的到外部（或者其他安全级别低的接口）主机的连接。默认情况下，ASA拒绝来自外部（安全级别低）接口的主机发出的到内部（安全级别高）主机的连接。ASA支持认证、授权和记账（AAA）。8.4思科防火墙2.安全级别的规则PIX防火墙通过采取安全级别方式，来表明一个接口相对另一个接口是可信（较高的安全级别）还是不可信（较低的安全级别）。安全级别的基本规则是：具有较高安全级别的接口可以访问具有较低安全级别的接口。反过来，在没有设置管道（conduit）和访问控制列表（ACL）的情况下，具有较低安全级别的接口不能访问具有较高安全级别的接口。8.4思科防火墙安全级别的范围0～100，下面是针对这些安全级别给出的更加具体的规则。安全级别100——PIX防火墙的最高安全级别，被用于内部接口，是PIX防火墙的默认设置，且不能改变。安全级别0——PIX防火墙的最低安全级别，被用于外部接口，是PIX防火墙的默认设置，且不能更改。安全级别1～99——这些是分配与PIX防火墙相连的边界接口的安全级别，通常边界接口连接的网络被用作停火区（DMZ）。可以根据每台设备的访问情况来给它们分配相应的安全级别。8.4思科防火墙8.4.3思科防火墙系列产品介绍8.4思科防火墙8.4思科防火墙8.4.3思科防火墙系列产品介绍8.4思科防火墙8.4思科防火墙8.4思科防火墙华为AI防火墙，内置的恶意文件检测引擎CDE、诱捕Sensor、APT检测引擎和探针，支持与沙箱和华为大数据分析平台CIS联动检测，打造智能防御体系。基于大数据的安全态势感知系统沙箱：APT威胁防御检测系统CDE检测联动内置探针内置诱捕Sensor内置APT检测引擎（AIE）文件还原/镜像采集联合检测华为AI防火墙8.4思科防火墙8.4.4PIX防火墙的基本使用

在使用任何一种Cisco设备时，命令行接口（CLI）都是用于配置、监视和维护设备的主要方式。另外也可以通过图形化用户接口方式来配置防火墙，例如PIX设备管理器PDM（PIXDeviceManager）1.PIX防火墙入门PIX防火墙支持基于CiscoIOS的命令集，但在语法上不完全相同。当使用某一特定命令时，必须处于适当的模式，PIX提供了4种管理访问模式。非特权模式（Unprivilegemode），此模式是一种非特权的访问方式，不能对配置进行修改，只能查看防火墙有限的当前配置。特权模式（Privilegemode），此模式下可以改变当前的设置，还可以使用各种在非特权模式下不能使用的命令。配置模式（Configurationmode），此模式下可以改变系统的配置。所有的特权、非特权和配置命令在此模式下都能使用。监控模式（Monitormode），此模式下可以通过网络更新系统映像，通过输入命令，指定简易文件传输协议（TFTP）服务器的位置，并下载二进制映像。8.4思科防火墙2.基本命令在使用PIX防火墙时有许多通用的维护配置命令，表中的命令用于配置、维护和测试PIX防火墙，通常在特权模式下使用。8.4思科防火墙2.基本命令

8.4思科防火墙2.基本命令

8.4思科防火墙3.PIX配置有6个基本配置命令被认为是PIX防火墙的基础。其中nameif、interface和ipaddress是用于接口的设置，必不可少。nat、global和route命令提供地址翻译和路由的作用，用于不同网络之间的通信。此6个命令通常在配置模式下使用。

8.4思科防火墙

区域：Inside等级：100G1//1/24GE1/3/24G1/2/24区域：OM等级：90区域：Outside等级：08.4思科防火墙8.4.5PIX防火墙的高级配置

1.地址转换当防火墙的工作模式为NAT时，当有数据从内部经过防火墙外出时，防火墙此时翻译所有的内部IP地址，那么经过转换后的地址（源地址）必须是在Internet上注册过的地址。当外部用户访问内部网络的某台服务器时，除非配置PIX允许从Internet到目标地址是私有地址的会话，否则这个会话不能被建立。PIX防火墙支持以下两种类型的地址转换：动态地址翻译——把在较安全接口上的主机地址转换成不太安全接口上的一段IP地址或一个地址池。其中动态地址翻译又分为两类：允许内部用户去共享这些地址访问外网络地址翻译NAT通过定义地址池（由多个部网络连续的IP地址组成）端口地址翻译（PAT）—所有本地地址都被翻译成同一个IP地址来访问外部网络。静态地址翻译——在较安全的接口和不太安全的接口之间提供一种永久的、一对一的IP地址的映射除上述分类外，PIX防火墙还有一种NAT的特殊应用“nat0”，它可以禁止地址翻译，使内部地址不经翻译就对外部网络可见。8.4思科防火墙PAT端口地址转换:asacisco(config)#nat(inside)1--转换内部地址asacisco(config)#nat(inside)1---转换所以网段asacisco(config)#nat(dmz)1--转换dmz地址asacisco(config)#global(outside)1interface--NAT转换为外部接口地址上互连网DMZ的NAT:asacisco(config)#global(dmz)100-30netmaskDMZ使用的随机IP地址池(这条命令可以使inside的多台主机访问dmz服务器)一对一映射配置命令:asacisco(config)#static(dmz,outside)tcp外部地址80外部端口0dmz地址80dmz端口netmask55精确主机掩码asacisco(config)#static(dmz,outside)tcp80080netmask55asacisco(config)#static(inside,outside)tcp外部地址21外部端口

内部地址21内部端口netmask55asacisco(config)#static(inside,outside)tcp21021netmask558.4思科防火墙2.访问列表

ACL也可以实现非受信网络访问受信网络它是路由器和PIX防火墙用来控制流量的一个列表，可以阻止或允许特定的IP地址数据包通过PIX防火墙。使用access-list和access-group这两个命令来实现上述功能。access-list命令用于定义数据包的限制范围，其命令配置语法：access-listacl_ID[lineline_num]permit|denyprotocolsource_ipsource_mask[operatorport[-port]]destination_ipdestination_mask[operatorport[-port]]具体参数见表8.11access-group命令（如表8.9所示）用于将访问列表与接口绑定，访问列表只有与接口绑定后才能生效。其命令配置语法：access-groupacl_IDininterfaceinterface_name8.4思科防火墙3.系统日志

PIX防火墙为系统事件产生系统日志（syslog）消息，例如告警和资源的消耗。可以使用系统日志消息创建E-mail告警和日志文件，或者将它们显示在指定的系统日志主机的控制台上。PIX防火墙能够发送系统日志消息到任何一台系统日志服务器。在所有的系统日志服务器或主机处于离线状态时，PIX防火墙最多能够存储100条消息到它的内存中。后续到达的消息将从缓存的第一行开始覆盖。PIX防火墙发送的系统日志消息将记录以下事件。安全——丢弃的UDP数据包和拒绝的TCP连接。资料——连接通告和转换槽消耗。系统——通过Console和Telnet的登录和退出，以及重启PIX防火墙。统计——每个连接传输的字节数。在默认情况下，PIX防火墙的日志功能是被禁用的，需要使用loggingon命令来开启8.4思科防火墙对于采取NAT的动态地址翻译，必须使用nat命令来定义本地地址，然后使用global命令定义全局地址。例如允许内部网络/24这个子网可以访问外部网络，其全局地址为-0/24。具体语法如下所示。pixfirewall#(config)nat(inside)1pixfirewall#(config)global(outside)1-0netmask4.高级协议处理

PIX防火墙的防护策略会干预FTP、多媒体等应用或协议的正常工作，需要对PIX防火墙进行特殊的处理，通过一种称为“协议处理”（fixupprotocol）的机制来实现。它通过监视一个应用的控制管道来防止出现违背协议的事件，并让防火墙动态地响应协议的合法需要，通过在ASA中产生一个临时的例外事例来安全地打开一条向内的连接。当不需要例外事例时，“协议处理”(fixupprotocol)功能会将它自动关闭。PIX防火墙的标准动作会干预像FTP、SQL*NET这些应用或协议的正常的工作，需要对PIX防火墙进行特殊的处理。需要进行特殊处理的应用或协议通常具有如下特点：通过协商动态分配建立连接需要源、目的端口或者IP地址。在网络层之上的层中嵌入源、目的端口或者IP地址。本章总结

本章主要讲解了加密技术、现代加密算法、VPN技术。重点是掌握对称与非对称加密及应用、数字签名、VPN的分类，了解公钥基础设施、IPSecVPN。

增强安全意识，将国家安全战略落实到具体行动中，掌握安全产品的国家相关规定、资质要求。对涉密项目或者其他特殊项目，要了解国家保密局和国家密码管理局的相关要求。作业和实训教材P177页课后题实训9PGP加密程序应用（Win7PGPDesktopV10.2）实训10PGP实现VPN实施（在虚拟机中安装XP系统，安装PGP7.0.3）或者使用TeamViewer实现VPN连接拓展实验：使用字典生成器生成一个字典，然后使用RARPasswordunlock进行破解查找PHPstudy用户和密码数据库，通过在线MD5网站()或者MD5CRACK进行拖库破解学习彩虹表攻击：使用各种网站破解hash值、使用ophcrack破解windows密码、使用john破解linux密码作业和实训用户test1的邮箱地址为：test1pgp@163.com用户test2的邮箱地址为：test2pgp@163.com实训9PGP加密应用感谢聆听第9章无线局域网安全《网络安全技术与实训》（微课版）（第5版）主讲人：课程引入你知道无线局域网有那些安全隐患吗？家里的无线网安全不安全呢？你的无线密码设置的是什么？我们生活中有哪些无线终端？学习要点（思政要点）等保2.0对移动互联这样解释：采用无线通信技术将移动终端接入有线网络的过程。在技术体系里分为了三个部分：安全物理环境、安全区域边界、安全计算环境。安全物理环境方面，主要是无线接入点的物理位置。安全区域边界是一大重点，它涉及边界防护、访问控制和入侵防范。安全计算环境：在移动终端管控中，“移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制，比如远程擦除、远程锁定等”。学习要点（思政要点） 了解无线局域网存在的威胁（安全意识） 掌握基于无线局域网的攻击与防范（工匠精神）了解基于无线局域网的安全机制和配置（精益求精）了解基于无线的虚拟专用网（严谨认真）33第9章无线局域网安全无线路由器的安全9.3无线VPN39.4无线安全机制9.2无线网络概述9.19.1无线网络概述无线局域网是计算机网络与无线通信技术相结合的产物。无线局域网（WirelessLocal-AreaNetwork，WLAN）在不采用传统电缆线的同时，依然能够提供传统有线局域网的所有功能，网络所需的基础设施不需要再埋在地下或隐藏在墙里，网络却能够随着实际需要移动或变化，因此无线局域网技术具有传统局域网无法比拟的灵活性。无线网络有别于线缆的密封式传输，它的信号完全暴露在空中，只要在信号到达的范围就可以接收，因此无线网络的安全性成为应用上最严峻的挑战。01常见的拓扑与设备02无线局域网常见的攻击03WEP协议的威胁9.1无线局域网概述9.1.1常见的拓扑与设备9.1无线网络概述常见的拓扑与设备IEEE802.11定义了无线网的基本设备构成，它包括移动终端和无线接入点（AccessPoint，AP）。对于无线局域网络而言，还包括无线网桥、无线宽带路由器、天线等。部署一个WLAN可以采用以下几种基本的拓扑结构：对等拓扑、基本拓扑和扩展拓扑。对等拓扑对等拓扑由独立式基本服务组（IndependentBasicServiceSet，IBSS）组成。构建对等拓扑时用的网络设备是无线网卡，如图所示。对等拓扑当所有的通信移动终端都以无线进行连接，而且在该组合中并无AP连接的情况下，称之为IBSS。这样的小型网络一般用于计算机之间的信息交流，简单地说，就是点对点（PeerToPeer）的传输模式，常称之为Ad-hoc模式。这时所有无线网卡的工作模式要设定为Ad-hoc模式。在这种模式下，IBSS内的无线移动终端并不能作为传输中枢，也就是说一台移动终端要与另一台通信时，必须在其通信距离内直接无线连接，而且不能经过其他移动端转接。Ad-hoc模式跟一般笔记本电脑或数字个人助理（PersonalDigitalAssistant，PDA）所使用的红外线无线传输模式在概念上相当类似，可以说是最基本的通信模式。基本拓扑基本拓扑由基本服务组（BasicServiceSet，BSS）组成。构建基本拓扑的无线网络设备是无线网卡和无线接入点。AP相当于有线局域网中的集线器，有些AP可以提供网桥的功能，部署安全的策略，如图所示。基本拓扑用一台无线接入点当作彼此之间通信协调上的枢纽，可以把这样的通信方式想象成家里有台无线电话子母机，手机与手机之间的对话，都必须靠那台电话基地台作为通信的中枢，这样就比较容易理解了。在这样的网络架构下，任何一台移动终端要与其他移动终端传递信息，都必须经由无线存取点AP，因此比起IBSS架构，在频宽的利用率上只有其一半而已。然而，由于无线接入点（AP）可以扮演资料缓冲区（DataBuffer）的角色，也可以作为无线网络的空中交通协调者，即担任基地台的无线接入点（AP）负责了整个无线网络信息的交换，因此可以构建较大的无线局域网。在这种应用架构下，每个无线网卡的工作模式都要设定为Infrastructure。扩展拓扑扩展拓扑由扩展服务组（ExtendedServiceSet，ESS）组成。构建扩展拓扑使用的网络设备有无线网卡或普通网卡（接入局域网）、无线AP，在这个架构中无线AP担任网桥的角色，如图所示。扩展拓扑两个或两个以上的BSS可以通过无线网相连，构成一个ESS。现在很多的无线AP在支持桥接的同时也能支持AP功能，从而把多个无线网络通过无线的方式再连接到一起，组成ESS。通常也把这样的结构叫作点对点的桥接或点对多点的桥接。9.1.2无线局域网常见的攻击9.1无线网络概述无线局域网常见的攻击无线网络的许多攻击在本质上与有线网络类似，攻击方式主要概括为3种。第一种是对于Wi-Fi节点的渗透，通过密码破解等手段进入目标无线网中；第二种为干扰正常的无线局域网，使其无法正常工作；第三种是Wi-Fi钓鱼攻击。一般来说，入侵者入侵一个无线网络时大体采取以下步骤。1.发现目标2.查找漏洞3.破坏网络无线局域网常见的攻击1．发现目标针对无线网络制定了成千上万现有的识别与攻击的技术和实用程序，黑客也相应地拥有许多攻击无线网络的方法，如NetworkStumbler和Kismet。NetworkStumbler是基于Windows的工具，可以非常容易地发现一定范围内广播出来的无线信号，还可以判断哪些信号或噪声信息可以用来作为站点测量，但是它无法显示那些没有广播SSID的无线网络。对于无线安全而言，关注AP常规性的广播信息是非常重要的。Kismet会发现并显示没有被广播的那些SSID，而这些信息对于发现无线网络是非常关键的。无线局域网常见的攻击1．发现目标针对无线网络制定了成千上万现有的识别与攻击的技术和实用程序，黑客也相应地拥有许多攻击无线网络的方法，如NetworkStumbler和Kismet。NetworkStumbler是基于Windows的工具，可以非常容易地发现一定范围内广播出来的无线信号，还可以判断哪些信号或噪声信息可以用来作为站点测量，但是它无法显示那些没有广播SSID的无线网络。对于无线安全而言，关注AP常规性的广播信息是非常重要的。Kismet会发现并显示没有被广播的那些SSID，而这些信息对于发现无线网络是非常关键的。无线局域网常见的攻击2．查找漏洞攻击者发现目标无线网络后，就开始分析目标网络中存在的弱点。如果目标网络关闭了加密功能（这是最简单的情况），攻击者可以非常容易地对任何无线网络连接的资源进行访问。如果目标网络启动了WEP加密功能，攻击者就需要识别出一些基本的信息。例如，利用NetworkStumbler或者其他的网络发现工具，识别出SSID、MAC地址、网络名称，以及其他任何可能以明文形式传送的分组。如果搜索结果中含有厂商的信息，黑客甚至可以破坏无线通信网络上使用的默认密钥。无线局域网常见的攻击3．破坏网络发现了目标网络的弱点以后，黑客就开始想尽办法去破坏网络。一般对无线网络的攻击主要包含窃听、欺骗、接管和拒绝服务等，具体可以分为以下4个方面。（1）窃听（2）欺骗和非授权访问（3）网络接管与篡改（4）拒绝服务攻击无线局域网常见的攻击（1）窃听攻击者通过对传输介质的监听非法地获取传输的信息。窃听是对无线网络最常见的攻击方法。（2）欺骗和非授权访问“欺骗”是指攻击者装扮成一个合法用户非法地访问受害者的资源，以获取某种利益或达到破坏目的。（3）网络接管与篡改“网络接管”是指接管无线网络或者会话过程。常用的接管方法有两种。一种是将合法用户的IP地址与攻击者的MAC地址绑定，另一种是攻击者部署一个发射强度足够高的AP，可以导致终端用户无法区别出哪一个是真正使用的AP（4）拒绝服务攻击在无线网络中，DoS威胁包括攻击者阻止合法用户建立连接，以及攻击者通过向网络或指定网络单元发送大量数据来破坏合法用户的正常通信。9.1.3WEP协议的威胁9.1无线网络概述WEP协议的威胁在IEEE802.11标准中，有线等效保密（WiredEquivalentPrivacy，WEP）协议是一种保密协议，主要用于无线局域网（WLAN）中两台无线设备间对无线传输数据进行加密。它是所有经过Wi-Fi认证的无线局域网产品所支持的一种安全标准。WEP特性使用了RSA数据安全性公司开发的RC4算法。目前，大部分无线网络设备都采用该加密技术，一般支持64/128位WEP加密，有的可支持高达256位WEP加密。WEP协议的威胁WEP协议存在许多弱点，可以让入侵者较容易地破解。它主要存在以下几个问题。①由于算法的原因，当入侵者捕获数据包后，可以通过工具计算出密钥。②WEP协议中没有具体地规定何时使用不同的密钥。③一般厂商都会设置默认的密钥，而用户一般不修改，所以只要入侵者得到密钥列表就可以轻松入侵网络。④对于密钥如何分发，如何在泄露后更改密钥，如何定期地实现密钥更新、密钥备份、密钥恢复等问题，WEP协议都没有解决，把这个问题留给各大厂商，无疑会造成安全问题。WEP协议的威胁针对上述问题，建议采取下列方法，来保障WEP协议更安全。①使用多组WEP密码（KEY）。使用一组固定WEP密码，将会非常不安全，使用多组WEP密码会提高安全性，然而WEP密码是保存在无线设备的Flash中的，所以只要网络上的任何一个设备被控制，那网络就无安全性可言了。②使用最高级的加密方式，当前的加密技术提供64位和128位加密方法，应尽量使用128位加密，这样WEP加密会将资料加密后传送，使得窃听者无法知道资料的真实内容。③定期更换密码。33第9章无线局域网的安全无线路由器的安全9.3无线VPN39.4无线安全机制9.2无线网络概述9.19.2无线安全机制事实上，无线网络受大量安全风险和安全问题的困扰，如来自网络用户的进攻、未认证的用户获得存取权、来自公司的窃听泄密等。因此，如果没有有效的安全机制来保障，无线局域网很容易成为整个网络的入侵入口。到目前为止，无线网络安全机制主要有访问控制和信息保密两部分，可以通过SSID、MAC地址过滤、WEP、WPA等技术来实现，而IEEE802.11i和WAPI则在原有的基础上提供了更加安全的措施。01服务集标识符02MAC地址过滤03WEP安全机制04WPA安全机制05WAPI安全机制9.2无线安全机制9.2.1服务集标识符服务集标识符（ServiceSetID，SSID）被称为第一代无线安全，它会被输入AP和客户端中，只有客户端的SSID

与AP一致时才能接入AP中。当网络中存在多个无线接入点AP时，可以设置不同的SSID，并要求无线工作站出示正确的SSID才允许其访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。这在一定程度上限制了非法用户的接入，但是IEEE标准要求广播SSID，这样所有覆盖在范围之内的无线终端都可以发现AP的SSID。一般的策略是在产品中关闭SSID的广播，防止无关人员获取AP的信息。但是很多无线嗅探器工具可以很容易地在WLAN数据中捕获有效的SSID，因此单靠SSID限制用户接入只能提供较低级别的安全。9.2.2

MAC地址过滤MAC地址过滤属于硬件认证，而不是用户认证。它针对每个无线工作站的网卡都有唯一的物理地址，在AP中手动维护一组允许访问的MAC地址列表，实现物理地址过滤。MAC地址过滤方案要求AP中的MAC地址列表必须随时更新，可扩展性差，无法实现机器在不同AP之间的漫游，而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。9.2.3WEP安全机制WEP在链路层采用RC4对称加密技术，用户的密钥只有与AP的密钥相同时才能获准存取网络的资源，从而防止未授权用户的监听和非法用户的访问。WEP安全机制通常会和设备里的开放系统认证或共享密钥认证这两种用户认证机制结合起来使用。9.2.3WEP安全机制开放系统认证（OpenSystemAuthentication）在明文状态下进行认证，它其实是一个空认证，即它没有验证用户或者设备。开放认证可以配置成使用WEP或者不使用，通常会选择启用WEP的开放认证方式开放系统认证如图所示。9.2.3WEP安全机制共享密钥认证（SharedKeyAuthentication）与开放系统认证类似，但是开放系统认证的认证过程不加密，而共享密钥认证使用WEP对认证过程加密，要求客户端和AP有相同的WEP密钥。共享密钥认证如图9.5所示。9.2.4

WPA安全机制为了克服WEP的不足，IEEE802.11i工作小组制定了新一代安全标准，即过渡安全网络（TransitionSecurityNetwork，TSN）和强健安全网络（RobustSecurityNetwork，RSN）。它使用两种验证方式。①802.1X及RADIUS进行身份验证（简称WPA-EAP），该方式设置比较复杂，不便于个人用户的使用。②预共享密钥（简称WPA-PSK），在AP和客户端输入主密钥（masterkey）用来作为开始的认证和编码使用，然后动态交换自动生成更新密钥，从而提高安全性。由于它的设置简单，因此非常适合于个人用户的使用。9.2.5WAPI安全机制WAPI是我国自主制定的无线安全标准，它采用椭圆曲线密码算法和对称密码体制，分别用于WLAN设备的数字证书、证书鉴别、密钥协商和传输数据的加密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。与其他无线局域网安全体制相比，WAPI的优越性主要体现在以下4个方面：使用数字证书进行身份验证。真正实现双向鉴别，确保了客户端和AP之间的双向验证。采取集中式密钥管理，局域网内的证书由统一的AS负责管理。完善的鉴别协议，由于采取了椭圆曲线密码算法，保障了信息的完整性，安全强度高。33第9章无线局域网安全无线路由器的安全9.3无线VPN39.4无线安全机制9.2无线网络概述9.101无线路由器通用参数配置02无线路由器安全管理9.3无线路由器的安全9.3.1无线路由器通用参数配置9.3无线路由器的安全9.3无线路由器的安全目前，各大品牌厂商在无线路由器的配置设计方面增加了密钥、禁止SSID广播等多种手段，以保证无线网络的安全。如图所示为无线路由结构图。1．设置网络密钥Wi-Fi保护接入（Wi-FiProtectedAccess，WPA）是改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式，更频繁地变换密钥来获得安全，还增加了消息完整性检查功能来防止数据包伪造。WPA的功能是替代WEP协议。过去的无线LAN之所以不太安全，是因为在标准加密技术WEP中存在一些缺点。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。2．禁用SSID广播无线路由器一般都会提供“允许SSID广播”功能。如果不想让个人的无线网络被别人通过SSID名称搜索到，那么最好“禁止SSID广播”。禁用后的无线网络仍然可以使用，只是不会出现在其他人所搜索到的可用网络列表中。通过禁止SSID广播设置后，无线网络的效率会受到一定的影响，但以此可换取安全性的提高。