引用

的

无线局域网是计算机网络与无线通信技术相结合的产物。通俗点说，无线局域网（Wireless local－area network，WLAN）就是在不采用传统电缆线的同时，提供传统有线局域网的所有功能，网络所需的基础设施不需要再埋在地下或隐藏在墙里，网络却能够随着实际需要移动或变化。之所以还称其是局域网，是因为会受到无线连接设备与电脑之间距离的远近限制而影响传输范围，所以必须要在区域范围之内才可以连上网路。

    无线路由器可以与所有以太网接的ADSL MODEM或CABLE MODEM直接相连，也可以在使用时通过交换机/集线器、宽带路由器等局域网方式再接入。其内置有简单的虚拟拨号软件，可以存储用户名和密码拨号上网，可以实现为拨号接入Internet的ADSL、CM等提供自动拨号功能，而无需手动拨号或占用一台电脑做服务器使用。此外，无线路由器一般还具备相对更完善的安全防护功能。

    GPRS上网卡是针对中国移动的GPRS网络推出来的无线上网设备。GPRS的英文全称为“General Packet Radio Service”，中文含义为“通用分组无线服务”，它是利用“包交换”（Packet-Switched）的概念所发展出的一套无线传输方式。所谓的包交换就是将Date封装成许多独立的封包，再将这些封包一个一个传送出去，形式上有点类似寄包裹，采用包交换的好处是只有在有资料需要传送时才会占用频宽，而且可以以传输的资料量计价，这对用户来说是比较合理的计费方式，因为像Internet这类的数据传输大多数的时间频宽是间置的。

    CDPD（蜂窝数字分组数据-Cellular Digital Packet Data）采用分组数据方式，是目前公认的{zj0}无线公共网络数据通信规程。它是建立在TCP/IP基础上的一种开放系统结构，将开放式接口、高传输速度、用户单元确定、空中链路加密、空中数据加密、压缩数据纠错和重发和运用世界标准的IP寻址模式无线接入有力的结合在一起，提供同层网络的无缝连接、多协议网络服务。CDPD具有速度快（19.2kbps），数据安全性高等特点，它支持用户越区切换和全网漫游、广播和xx，支持移动速度达100km/h的数据用户，可与公用有线数据网络互联互通。

GPRS上网卡是针对中国移动的GPRS网络推出来的无线上网设备。GPRS的英文全称为“General Packet Radio Service”，中文含义为“通用分组无线服务”，它是利用“包交换”（Packet-Switched）的概念所发展出的一套无线传输方式。所谓的包交换就是将Date封装成许多独立的封包，再将这些封包一个一个传送出去，形式上有点类似寄包裹，采用包交换的好处是只有在有资料需要传送时才会占用频宽，而且可以以传输的资料量计价，这对用户来说是比较合理的计费方式，因为像Internet这类的数据传输大多数的时间频宽是间置的。

CDPD（蜂窝数字分组数据-Cellular Digital Packet Data）采用分组数据方式，是目前公认的{zj0}无线公共网络数据通信规程。它是建立在TCP/IP基础上的一种开放系统结构，将开放式接口、高传输速度、用户单元确定、空中链路加密、空中数据加密、压缩数据纠错和重发和运用世界标准的IP寻址模式无线接入有力的结合在一起，提供同层网络的无缝连接、多协议网络服务。CDPD具有速度快（19.2kbps），数据安全性高等特点，它支持用户越区切换和全网漫游、广播和xx，支持移动速度达100km/h的数据用户,可与公用有线数据网络互联互通。

    在无高大障碍（山峰或建筑）的条件下，一对速组网和野外作业的临时组网。其作用距离取决于环境和天线，现7km的点对点微波互连。一对27dbi的定向天线可以实现10km的点对点微波互连。12dbi的定向天线可以实现2km的点对点微波互连；一对只实现到链路层功能的无线网桥是透明网桥，而具有路由等网络层功能、在网络24dbi的定向天线可以实层实现异种网络互联的设备叫无线路由器，也可作为第三层网桥使用。

    这里简要介绍一下TCP/IP的内部结构，为讨论与互联网有关的安全问题打点基础。TCP/IP协议组之所以流行，部分原因是因为它可以用在各种各样的信道和底层协议（例如T1和X.25、以太网以及RS-232串行接口）之上。确切地说，TCP/IP协议是一组包括TCP协议和IP协议，UDP（User Datagram Protocol）协议、ICMP（Internet Control Message Protocol）协议和其他一些协议的协议组。

    TCP/IP协议并不xx符合OSI的七层参考模型。传统的开放式系统互连参考模型，是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是:物理层、数据链路层、网路层、传输层、话路层、表示层和应用层。而TCP/IP通讯协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。这4层分别为：

应用层：应用程序间沟通的层，如简单电子邮件传输（SMTP）、文件传输协议（FTP）、网络远程访问协议（Telnet）等。
传输层：在此层中，它提供了节点间的数据传送服务，如传输控制协议（TCP）、用户数据报协议（UDP）等，TCP和UDP给数据包加入传输数据并把它传输到下一层中，这一层负责传送数据，并且确定数据已被送达并接收。
互连网络层：负责提供基本的数据封包传送功能，让每一块数据包都能够到达目的主机（但不检查是否被正确接收），如网际协议（IP）。
网络接口层：对实际的网络媒体的管理，定义如何使用实际网络（如Ethernet、Serial Line等）来传送数据。
    2. TCP/IP中的协议

    高层的TCP和UDP服务在接收数据包时，通常假设包中的源地址是有效的。也可以这样说，IP地址形成了许多服务的认证基础，这些服务相信数据包是从一个有效的主机发送来的。IP确认包含一个选项，叫作IP source routing，可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说，使用了该选项的IP包好象是从路径上的{zh1}一个系统传递过来的，而不是来自于它的真实地点。这个选项是为了测试而存在的，说明了它可以被用来欺骗系统来进行平常是被禁止的连接。那么，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。

源IP地址---发送包的IP地址。
目的IP地址---接收包的IP地址。
源端口---源系统上的连接的端口。
目的端口---目的系统上的连接的端口。
    注：端口是一个软件结构，被客户程序或服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口，例如，SMTP使用25、Xwindows使用6000。这些端口号是‘广为人知’的，因为在建立与特定的主机或服务的连接时，需要这些地址和目的地址进行通讯。

    尽管互联网上联接了无数的服务和电脑，但它们并不是处于杂乱无章的无序状态，而是每一个主机都有惟一的地址，作为该主机在Internet上的{wy}标志。我们称为IP地址（Internet　Protocol　Address）。它是一串4组由圆点分割的数字组成的，其中每一组数字都在0－256之间，如：0－255．0－255．0－255．0－255．0－255；如，202．202．96．33就是一个主机服务器的IP地址。

    其中：IEEE 802.11是IEEE（电气和电子工程师协会）在1997年提出的{dy}个无线局域网标准，它的制定是无线网络技术发展的一个里程碑。IEEE802.11标准除了介绍无线局域网的优点及各种不同性能外，还使得各种不同厂商的无线产品得以互联。另外，该标准使核心设备执行单芯片解决方案，降低了采用无线技术的造价。IEEE802.11标准的颁布，使得无线局域网在各种有移动要求的环境中被广泛接受。但是802.11标准也存在不足之处，主要是数据速率低：IEEE802.11标准的数据速率只能达到2Mbit/s，这个速度不能满足人们的要求，特别是在视频传输等大容量文件交换领域。

    那么网关到底是什么呢？网关实质上是一个网络通向其他网络的IP地址。比如有网络A和网络B，网络A的IP地址范围为“192.168.1.1~192. 168.1.254”，子网掩码为255.255.255.0；网络B的IP地址范围为“192.168.2.1~192.168.2.254”，子网掩码为255.255.255.0。在没有路由器的情况下，两个网络之间是不能进行TCP/IP通信的，即使是两个网络连接在同一台交换机（或集线器）上，TCP/IP协议也会根据子网掩码（255.255.255.0）判定两个网络中的主机处在不同的网络里。而要实现这两个网络之间的通信，则必须通过网关。如果网络A中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络B的网关，网络B的网关再转发给网络B的某个主机。网络B向网络A转发数据包的过程也是如此。

    Wi-Fi（wireless fidelity（无线保真）的缩写）实质上是一种商业认证，具有Wi-Fi认证的产品符合IEEE 802.11b无线网络规范，它是当前应用最为广泛的WLAN标准，采用波段是2.4GHz。IEEE 802.11b无线网络规范是IEEE 802.11网络规范的变种，{zg}带宽为11 Mbps，在信号较弱或有干扰的情况下，带宽可调整为5.5Mbps、2Mbps和1Mbps，带宽的自动调整，有效的保障了网络的稳定性和可靠性。

自从实行IEEE 802.11b以来，无线网络取得了长足的进步，因此基于此技术的产品也逐渐多了起来，解决各厂商产品之间的兼容性问题就显得非常必要。因为IEEE并不负责测试IEEE 802.11b无线产品的兼容性，所以这项工作就由厂商自发组成的非赢利性组织：Wi-Fi联盟来担任。这个联盟包括了最主要的无线局域网设备生产商，如Intel、Broadcom，以及大家熟悉的中国厂商华硕、BenQ等。凡是通过WiFi联盟兼容性测试的产品，都被准予打上“Wi-Fi CERTIFIED”标记。因此，我们在选购IEEE 802.11b无线产品时，{zh0}选购有Wi-Fi标记的产品，以保证产品之间的兼容性。
什么是WiMAX？

　　WiMAX可以替代现有的有线和DSL连接方式，来提供{zh1}一英里的无线宽带接入。WiMAX将提供固定、移动、便携形式的无线宽带连接，并最终能够在不需要直接视距基站的情况下提供移动无线宽带连接。在典型的3到10英里半径单元部署中，获得WiMAX论坛认证的系统有望为固定和便携接入应用提供高达每信道40Mbps的容量，可以为同时支持数百使用T-1连接速度的商业用户或数千使用DSL连接速度的家庭用户的需求，并提供足够的带宽。移动网络部署将能够在典型的（{zg}）3公里半径单元部署中提供高达15Mbps的容量。WiMAX技术预期将于2006年用于笔记本电脑和PDA，从而使城区以及城市之间形成“城域地带（MetroZones）”，为用户提供便携的室外宽带无线接入。

     infrastructure”模式：所谓infrastructure是在一种整合有线与无线局域网架构的应用模式，与ad- hoc不同的是配备无线网卡的电脑必须通过ap来进行无线通讯，设置后，无线网络设备就必须有AP（Access Pointer）来沟通，如下图所示。通过这种架构模式，即可实现网络资源的共享。
“infrastructure”模式其实还可以分为“无线AP+无线网卡”模式和“无线路由器+无线网卡”模式两种。

    介质访问控制(Media Access Control ，简称MAC)地址，是厂商生产的网卡的地址，对于每一台设备是惟一的，该地址定义了计算机间的网络连接，记录在网络接口卡(Network Interface Card ，NIC)上的硬件电路上。介质访问控制地址是由12位16进制数(O～F)共48位表示，前24位标识网络接口卡的厂商，不同厂商生产的标识不同，后24位是由厂商指定的网络接口卡序列号

    SSID（Service Set Identifier）也可以写为ESSID，用来区分不同的网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同网络，SSID通常由AP广播出来，通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID，此时用户就要手工设置SSID才能进入相应的网络。简单说，SSID就是一个局域网的名称，只有设置为名称相同SSID的值的电脑才能互相通信。

　　而在同样是54Mbps的传输速率的802.11g与802.11a标准中，802.11a在信道可用性方面更具优势。这是因为802.11a工作在更加宽松的5GHz频段，拥有12条非重叠信道，而802.11b/g只有11条，并且只有3条是非重叠信道（Channel 1、Channel 6、Channel 11或Channel 13）。所以802.11g在协调邻近接入点的特性上不如802.11a。由于802.11a的12条非重叠信道能给接入点提供更多的选择，因此它能有效降低各信道之间的冲突。

但事物的两面性在IEEE802.11a上表现无遗，802.11a也正因为频段较高，使得802.11a的传输距离大打折扣，其无线AP的覆盖范围只有802.11b/g的一半左右或更低，以实际情况来说，如果一个802.11b无线AP的室内覆盖可达80米，那么802.11a就只能达到30米左右。此外，由于设计复杂，基于802.11a标准的无线产品的成本要比802.11b高的多。信道数占优不向下兼容的802.11a最终在市场上失败也就不难理解。

　　当然，802.11g以54Mbps的高速和向下兼容802.11b的优势击败了802.11a，但随无线设备的普及化802.11b/g目前也面临困窘。802.11a支持12条非重叠信道，因此其总带宽为54Mbps*12=648Mbps。而802.11g只支持3条非重叠信道，其总带宽仅为54Mbps*3=162Mbps。也就是说，当接入的客户端数目较少时，你也许分辨不出802.11a和802.11g的速度差别，但随着客户端数目的增加，数据流量的增大，802.11g便会越来越慢，直至带宽耗尽，更不用说802.11b了。

　　此外，虽然目前一些厂商已在开发一种可在双频工作的能够兼容802.11a（5GHz）和802.11g（2.4GHz）的无线局域网方案，但一个双频接入点通常需要两个独立的射频模块及相应独立的数据处理能力，这将导致成本在独立型设备上的居高不下。而意法半导体（STMicroelectronics）的频段交错技术等方案其采用频段交错技术的接入点在两个频段之间交替工作，而不是同时工作在两个频段内，虽然能降低成本，但其仍比普通的单频接入节点的成本要高。所以，Intel在新一代迅驰中兼容802.11a标准，可以看做是一种新无线标准尚未出台前的一种无奈的对此有强列需求的用户短期解决方案。

　　此外，为什么说常用的IEEE 802.11b/g工作在2.4～2.4835GHz频段，这些频段被分为11或13个信道——为何有的是11个信道有的又是13个信道呢？这是各国各地区的标准不同，北美/FCC标准，其采用2.412～2.462GHz，共有11信道，其中1、6、11信道为不重叠的传输信道信道；欧洲/ETSI标准，其采用2.412～2.472GHz，共有13信道，其中1、6、13信道为不重叠的传输信道信道；小日本，其采用2.412～2.484GHz，14信道，除此而外，还有法国4信道、西班牙2信道等非主流标准。如果无线网卡支持，在安装驱动进行地区信道标准选择时，一般建议选择FCC（北美）或ETSI（欧洲）标准即可。
什么是DHCP？

    WDS把有线网路的资料，透过无线网路当中继架构来传送，藉此可将网路资料传送到另外一个无线网路环境，或者是另外一个有线网路。因为透过无线网路形成虚拟的网路线，所以有人称为这是无线网路桥接功能。严格说起来，无线网路桥接功能通常是指的是一对一，但是WDS架构可以做到一对多，并且桥接的对象可以是无线网路卡或者是有线系统。所以WDS最少要有两台同功能的AP，最多数量则要看厂商设计的架构来决定。

    1)、使用多组WEP密码（KEY），使用一组固定WEP密码，将会非常不安全，使用多组WEP密码会提高安全性，但是请注意WEP密码是保存在Flash中，所以某些黑客取得您的网络上的任何一个设备，就可以进入您的网络；
    2)、使用{zgj}的加密方式，当前的加密技术提供64和128位加密方法，尽量使用128位加密，这样WEP加密会将资料加密后传送，使得黑客无法知道资料的真实内容；
    3)、定期更换您的密码。

    防火墙在网络中经常是以下图所示的两种图标出现的。左边那个图标非常形象，真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的，在图标中有一个二极管图标。而二极管我们知道，它具有单向导电性，这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾，不过它却xx体现了防火墙初期的设计思想，同时也在相当大程度上体现了当前防火墙的过滤机制。

    防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门，各房间的人如何沟通呢，这些房间的人又如何进去呢？当火灾发生时，这些人又如何逃离现场呢？这个门就相当于我们这里所讲的防火墙的“安全策略”，所以在此我们所说的防火墙实际并不是一堵实心墙，而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信，在这些小孔中安装了过滤机制，也就是上面所介绍的“单向导通性”。

    根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

    防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。如下图：

    这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。

    DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。网络结构如下图所示。

    在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是{zg}的。