WLAN 的網絡安全問題有哪些

WLAN的網絡安全問題有以下這些：

• WebPortal安全問題：WLAN的WebPortal由于在公網上能夠訪問，存在網頁篡改、拒絕服務攻擊等網站安全威脅。鑒于Web Portal對全國WLAN用戶登錄的重要性，建議在Web Portal前部署防火墻、防DDoS等安全防護系統，確保高安全強度。

• ARP泛濫攻擊：ARP泛濫攻擊是指攻擊者發起洪泛ARP廣播請求，致使AC向各AP轉發大量數據，造成網絡擁塞。為應對該問題，AC應嚴格劃分VLAN，將AP劃分到不同VLAN中，嚴禁VLAN間互通，并禁止AP向與其關聯的所有終端廣播ARP報文。

• 利用DNS端口繞開計費問題：WLAN用戶在未通過網絡認證時也需要進行DNS解析，因此目前AC會無條件允許所有目標端口為53的流量通過。未經過認證的用戶應用Socket代理或者端口重定向工具將訪問流量定向到 53 端口，再由互聯網的特定服務器進行轉發，從而實現免費訪問互聯網。應對措施在AC配置合法DNS地址白名單，阻止發往其他服務器的流量通過。

• 對AP的DoS攻擊：非法用戶的接入導致合法用戶的服務和性能被嚴重限制。無線局域網的傳輸帶寬是有限的，由于物理層的開銷，使無線局域網的實際最高有效吞吐量僅為標準的一半，而且該帶寬是共享給所有用戶的。針對該問題要定期對網絡進行檢測，定位性能故障應當從監測和發現問題入手，無線網絡測試儀能夠如實反映當前位置信號的質量和網絡健康情況。測試儀可以有效識別網絡速率、幀的類型，幫助進行故障定位。AP應支持DoS檢測功能，并及時隔離非法用戶。

• 偽DHCP服務器攻擊：在正常用戶發送DHCP廣播請求后，攻擊者冒充DHCP服務器，響應用戶并分配偽IP地址給用戶，從而使攻擊者可以劫持用戶的上網請求，竊取用戶敏感信息。為應對該問題，AC嚴格劃分VLAN，縮小廣播范圍，并禁止AC向AP所在的VLAN轉發DHCP請求。

• IP地址濫用問題：WLAN中用戶無需認證即可獲得AC分配的公網IP地址。如果AC上的IP地址池中地址被非法終端耗盡，則會導致AC無法接入新用戶，合法終端因為IP地址耗盡而無法正常接入。為應對該問題，應采用EAP-SIM/AKA等認證機制，先認證后分IP。AC只分配私網地址，通過NAT設備訪問公網。

回答所涉及的環境：聯想天逸510S、Windows 10。