四招实现安全WLAN

不要以为SOHO级WLAN设备在价格上让利，就会在安全上打折扣。其实，SOHO一族在家办公与企业员工在写字楼中办公一样需要安全保障，部分用户对安全的寻求相比公共热点甚至有过之而无不及。实际上，这类家用型WLAN设备在设计之初，即对设备或网络资源的安全防护进行了充分考虑，如中兴通讯ZXR10 WAS系统中的W100A、W200A、W800A、W150A、W105A、W531A、W531B等属于SOHO级产品，其中W100A、W200A、W800A同时还是企业级增强型产品，这样就可以保证用户在使用得当的情况下，将恶意入侵者拒之于门外。那么，在具体应用时，如何才能让用户高枕无忧？总的来说，SOHO级WLAN设备具有如下四种安全防护措施。

　　将无线网络隐藏，如限制SSID广播、发射功率可调等。

　　所谓限制SSID广播，是将SOHO网络让其他非法用户不可见。因为在WLAN中，有一个特殊的SSID“any”，即当用户在无线网卡终端配置SSID时，用户可以接入周边性能最好的AP或无线路由器中，除非用户在进行接入点使用前将“any”访问功能禁止。另外，目前很多网卡均具有接入点扫描功能，能够查看所有周围可用的接入网络。如果SOHO用户不禁止其WLAN的SSID广播（一般默认为开放SSID广播），就为其邻居或其他潜在黑客留了一道入侵之门。因此，在进行AP或无线路由器配置时，特别需要将默认开启的SSID广播去除，禁止用户通过“any”的SSID标记访问。

　　在设备的设置上，用户也要对家庭环境、使用区域进行合理布局和发射功率的调整（中兴通讯所有WLAN设备都具备功率连续可调功能）。这样，一方面可以合理控制射频信号的强度，另一方面可以合理控制无线信号涉及的广度，降低安全风险。

　　列黑白名单将用户区别对待，如MAC地址过滤、IP地址过滤等。

　　黑白名单，即对用户进行合理标记。黑名单是对可能的非法用户列表，并输入到设备中，配置设备如果接入用户出现的列表中，将禁止该用户进行网络访问，并中断用户接入；对于其他非列表用户，则假定为安全用户，允许用户进行网络访问。而白名单是对所有的授权用户列表配置到设备中，如果检测到接入用户为列表中用户，则允许通过。同样，我们也可以在第三层对用户端的IP地址进行类似的处理，把好网络接入的第一道关。

　　使用密码进行更隐蔽的沟通，如WEP加密等。

　　WEP要求AP与终端之间同时开启，而且利用AP接入的用户要与该AP具有相同的WEP加密密码。用户可以设置AP和客户端采用WEP加密的方式，进行WEP加密方式的接入认证并且加密无线链路上的数据传输。不知道密钥的非法用户仅能通过穷举法进行破译，需要数天的时间才能破译密钥，所以较安全的方法是定期更换密钥。其他诸如WPA技术以及AES高级加密技术等，可以根据SOHO办公环境的实际情况选择使用。例如，只是进行普通文件编辑等对安全性要求不高的应用时，只要WEP加密、MAC过滤、SSID广播限制即可。因为选择的安全方式越多，带给网络的负担越重，运行效率难免会降低。

　　做好安全认证工作。

　　SOHO级WLAN一般都是通过运营商或ISP接入Internet，并通过PPPoE或Web页面登录认证的。所以安全认证工作很重要，不过这一般由运营商的AC设备与RADIUS Server配合来实现。SOHO一族在购买AP或无线路由器时，一定要清楚选择具备各种认证功能的设备。SOHO用户在运营商网络接入口AC处接受“授权认证”，由AC与RADIUS Server根据用户实际登记的用户名、口令以及对应的MAC地址、IP地址等属性进行认证，合法用户才能接入到Internet。这时，就要求SOHO级WLAN设备要具备PPPoE包的透传、Web认证页面的透传、Portal个性化页面的透传、802.1x包的透传等功能。

　　此外，防火墙也是安全技术之一，在对安全要求高的SOHO网络中，可启用内置的防火墙功能，进行数据包过滤。