無線局域網安全防護策略有哪些

無線局域網安全防護策略如下：

• 靜態IP與MAC地址綁定：無線路由器或AP在分配IP地址時，通常是默認使用DHCP即動態IP地址分配，這對無線網絡來說是有安全隱患的，“不法”分子只要找到了無線網絡，很容易就可以通過DHCP而得到一個合法的IP地址，由此就進入了局域網絡中。因此，建議關閉DHCP服務，為家里的每臺電腦分配固定的靜態IP地址，然后再把這個IP地址與該電腦網卡的MAC地址進行綁定，這樣就能大大提升網絡的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因為還要驗證綁定的MAC地址，相當于兩重關卡。

• 有效隔離：在WLAN中，可以利用虛擬局域網把一個局域網從邏輯上分成幾個獨立的廣播域。網絡將根據無線客戶端的身份,而不是它的物理位置分配和執行 WLAN 策略。根據不同的身份為每個VLAN分配不同的SSID，當 WLAN與某個特定的VLAN關聯時，用戶通過SSID可以獲得對該VLAN上的網絡資源的訪問權限。同時若將AP安裝在像防火墻這樣的網絡安全設備的外面，可以阻止流量監聽和流量分析等攻擊手段。此外，通過對無線網絡設備的設定，建立基于MAC地址的訪問控制列表，AP將對收到的每個數據包的源地址做出過濾，只有在訪問控制列表中的地址才能被轉發，否則將會被丟棄或攔阻。

• 加強WLAN的身份認證：身份認證是防護網絡安全的前提，一般家庭用戶可以啟用預共享密鑰PSK來進行用戶的身份認證，但如果對安全要求較高的企業和政府部門的WLAN系統必須使用增強的企業級安全認證方案 802.1x/EAP。

• 監測非法無線局域網設備：無線局域網環境下的設備安全狀況可以借助監控裝置捕獲到的結果來進行分析評估，首先對捕獲設備部署數據幀以作為數據采集點。采集點設備的性能越高，則無線環境信息采集的精確度越高，同時部署的密度越高，信息采集的覆蓋率越高。然后通過監測捕獲無線環境下的數據幀，獲取到各種 AP與無線終端設備的相關信息，再通過分析采集到的終端設備和AP發送信息，可以繪制出無線局域網拓撲結構，檢測出釣魚接入點、 違規外聯內網終端與 Ad-Hoc（點對點）無線直連模式，進而評估整個無線局域網環境下的設備安全狀況，除此之外，對于設備的嚴格控制，可以通過設置黑白名單實時對非授權設備進行報警。

• 部署無線入侵防御系統（WIPS）：WIPS可以對有惡意的用戶攻擊和入侵行為進行早期檢測，保護企業網絡和用戶不被無線網絡上未經授權的設備訪問。WIPS可以在不影響網絡性能的情況下對無線網絡進行監測，從而提供對各種攻擊的實時防范。可以進行對非法 AP及非法的客戶端進行檢測，防御DOS攻擊及進行無線網絡的接入控制。

• 改變服務集標識符并且禁止SSID廣播：SSID是無線接人的身份標識符，用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設備制造商設置的，并且每個廠商都用自己的缺省值。需要給你的每個無線接入點設置一個唯一并且難以推測的SSID。如果可能的話。還應該禁止你的SSID向外廣播。這樣，你的無線網絡就不能夠通過廣播的方式來吸納更多用戶。當然這并不是說你的網絡不可用．只是不會出現在可使用網絡名單中。

回答所涉及的環境：聯想天逸510S、Windows 10。