提高警惕 企业无线网安全防范须知(2)

　　二、LAN端防范不忽视

　　有线网只要注意了WAN端的防范一般就可安然无事了，而无线网则不同，其除了同样要同样注意对来自WAN端的威胁进行防范外，来自无线局域网端的各种安全设置也必不可免。

　　首先，大家知道，有线网要接入局域网，必需通过网线才能接入。而无线网则不同，只要在无线网络覆盖范围内就可以接入无线网络。如果企业用户对此不做任何设置，只是一味的图省事采用无线路由器的默认出厂设置，那么其它无线用户就可很轻松的侵入该企业的无线网络。而要从源头上阻止非法用户侵入，可从以下几点入手：

　　①不广播SSID

　　SSID（Service Set Identifier）也可以写为ESSID，SSID就是一个局域网的名称，只有设置为名称相同SSID的值的电脑才能互相通信，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同网络，SSID通常由AP或无线路由器广播出来，通过无线网卡或XP自带的扫描（ANY或无线零配置／WIRELESS ZERO CONFIGURATION）功能可进入当前无线信号区域内的SSID工作组。

　　图2　注意您的SSID

　　出于安全考虑可以将多数无线AP或无线路由器在出厂时默认的“允许广播SSID”设为“不广播SSID”，此时用户就要手工设置SSID才能进入相应的网络。

　　此外，由于很多厂家默认的SSID名称都是一样的（如Linksys无线路由器的默认SSID是linksys；TP－LINK无线路由器的默认SSID是TP－LINK等等），稍有经验的用户就可很容易猜中无线路由器的SSID，所以在设置时最好将这个名称也改改。这样其他用户也就无法通过猜测这个默认厂商SSID号来连接无线网络，大大降低被非法侵入的机率。

　　②修改地址密码

　　不广播和定期修改SSID可大大降低非法用户侵入企业无线网络的机会，但企业无线网在使用过程中，难免不会通过员工将SSID透露出去。而且，如果一般员工也有机会接触到无线网的核心设置，肯定对重要部门的计算机安全造成威胁。比如很多无线路由器的配置地址和管理员密码都是出厂时厂商默认的，如果不对这些进行更改，稍懂网络知识的员工就可从局域网或互联网上查到该AP或无线路由器的管理地址及密码，从而控制整个无线网络，给企业无线网造成不必要的隐患。

　　在无线路由器的设置页面中，找到系统设置相关选项，便可修改系统管理员的用户名及口令。而LAN口设置中，可设置LAN口的基本网络参数，如登陆／DHCP服务器的IP地址（从常见的192.168.1.1、192.168.0.1等改为常家出厂不常默用的192.168.133.254等等）、子网掩码——当LAN口IP参数（包括IP地址、子网掩码）发生变更时，为确保DHCP服务器能够正常工作，就需保证DHCP服务器中设置的地址池（可按需设置地址池的大小和范围，不要统一设为1－254）、静态地址与新的LAN口IP是处于同一网段的，并重启路由器。所以可在DHCP服务设置中，不启用路由器内建DHCP服务器，不自动配置局域网中各计算机的IP，而选用手工设置。

　　此外，大多数路由器都有远程管理特性，允许用户从网络外部进入系统并实施管理，对于企业网络若无特别需要应避免使用远程管理。通过这些办法，可在一定程度上防止非法用户通过外部有线线路或无线网进入企业网络，未授权的非法用户在获取您的网络合法IP地址的时难度会大大增加。

（编辑：ASP站长网）