练习文稿.docx
《练习文稿.docx》由会员分享,可在线阅读,更多相关《练习文稿.docx(10页珍藏版)》请在冰豆网上搜索。
练习文稿
4.3网络安全技术的实现
4.3.1网络安全问题的原因
众所周知,计算机联网的主要目的是为了共享资源和数据通信,然而网络的开放性与共享性也导致了网络的安全性问题,网络容易受到外界的攻击和破坏。
有的是环境因素造成的,也有的是人为因素造授权的怀有恶意的用户会给网络安全构成严重威胁。
(4)传输路径不确定性
在网络中,文件的传送可能途径多个主机的转发,因而沿途可能受到多处攻击。
由于网络路由选择不是固定的,很难确保网络信息在一条安全通道中传输。
(5)网络管理技术与规范的不完善
目前大多数的网络系统缺少安全管理技术规范,没有定期的安全审计、测试与检查,更没有安全监控。
正是因为忽视了网络在管理层上的安全,使得网络系统很脆弱,从而使不法分子有机可乘。
4.3.2漏洞扫描
1.什么是漏洞扫描
在军事术语中,漏洞的含义为有受攻击的嫌疑。
事实上,每个计算机系统都有漏洞,无论在系统安全性上投入多少财力,攻击者仍然可以发现一些可利用的特征和配置缺陷,这就是通常所说的系统安全漏洞。
漏洞大体上分为两类:
软件编写错误造成的漏洞和软件配置不当造成的漏洞。
如何快速简便地发现这些漏洞?
这就需要采用安全漏洞扫描技术。
漏洞扫描是对电脑进行全方位的扫描,检查当前的系统是否有漏洞,如果有漏洞,则需要马上进行修复,否则电脑很容易受到网络的伤害甚至被黑客借助于电脑的漏洞进行远程控制,所以漏洞扫描对于保护电脑和上网未知漏洞要容易,所以,多数攻击者所利用的都是常见的漏洞,这些漏洞均有书面资料记载。
如果能采用适当的工具,在攻击者利用这些常见漏洞之前,查处网络的薄弱之处,进行防范,就可以较好地抵御攻击。
2.安全漏洞扫描器
通常,将完成安全漏洞扫描的软件、硬件或软硬一体的组合称为安全漏洞扫描器。
根据工作模式,漏洞扫描器分为基于网络漏洞的扫描器和基于主机的漏洞扫描器。
基于网络的漏洞扫描器,就是通过网络来扫描远程计算机中的漏洞。
同时它也可以看作是一种漏洞信息收集工具,它可以根据不同漏洞的特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。
比如,利用低版本的DNSBind漏洞,攻击者能够获得root权限,侵入系统,使用基于网络的漏洞扫描工具,能够检测到这些低版本的DNSBind是否在运行。
基于主机的漏洞扫描器主要是针对如UNIX、Linux和Windows等操作系统内部的安全问题进行的设计的漏洞扫描器,常常采用客户/服务器三层体系结构。
这三层分别为漏洞扫描器控制台、漏洞扫描器管理器和漏洞扫描器代理。
当安全漏洞扫描系统工作时,由控制台向各个漏洞扫描器代理下达命令进行扫描,各个代理将扫描结果回送控制台,控制台最后给出安全漏洞扫描报告。
用户可以通过漏洞扫描器控制台浏览该报告。
漏洞扫描器管理器的作用则是负责漏洞扫描器代理的注册与管理。
基于网络的漏洞扫描器价格便宜,不需要在目标系统中安装软件,维护方便,但是不能穿过防火墙,不能直接访问目标系统的文件系统,检测到的漏洞数目较少且扫描服务器与目标机之间的通信未加密存在隐患。
而基于主机的漏洞扫描器可以扫描较多的漏洞数量,便于集中管理,网络流量小且较为安全。
但价格贵,扩展性差,需要在目标机上安装软件。
除了以上两种漏洞扫描器之外,还有一种专门对数据库服务器进行安全漏洞检查的扫描器,其主要功能是找出不安全的密码设定、过期密码设定、检测登录攻击行为,关闭久未使用的账户,并且能够追踪用户登录期间的活动等。
4.3.3防火墙
1.防火墙的定义
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
它是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,也可以理解为Internet与内部网络(Intranet)之间的一个安全网关(SecurityGateway)。
防火墙的,禁止特定端口流出信息等。
对内部网(或单机)具有很好的保护作用。
2.防火墙的主要功能
设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。
通常,被保护的网路属于用户(企业)自己,或者是用户(企业)负责管理的,而所要防备的网络则是一个外部的网络(如Internet),该外部网络是不可信赖的,因为可能有人会从该网络上对用户(企业)的网络发起攻击,破坏网络安全。
因此,在内部网和外部网之间安装防火墙,已经成为保护内部网安全的一项重要措施,防火墙可以拒绝XX的用户访问,阻止XX的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。
其主要功能包括:
(1)过滤进出网络的数据,是内外网之间的屏障。
防火墙是任何信息进出网络的必经之路,它检查所有数据的细节,并根据事先定义好的策略允许或禁止这些数据进行通信。
一个防火墙能极大地提高一个内部网络的安全性,并不为网络中的每一天计算机提供特殊的安全保护,简化了管理,提高了效率。
(2)强化网络安全策略。
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
例如在网络访问时,一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上,而集中在防火墙一身上。
(3)对网络存取和访问进行监控审计。
防火墙可以对内、外部网络存取和访问进行监控审计。
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并进行日志记录,同时也能提供网络使用情况的统计数据。
当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
这为网络管理人员提供非常重要的安全管理信息,可以使管理员清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
(4)隔离不同网络,防止内部信息的外泄
网络隔离是防火墙的基本功能之一,防火墙通过将内网和外网相互隔离来确保内网的安全,同时限制局部的重点或敏感的网络安全问题对全局网络造成的影响,降低外网对内网的一些统计数据的探测能力。
另外,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细在连线上网,进而根据这些情况展开攻击,而使用防火墙可以隐蔽Finger服务,避免内部信息的外泄。
3.防火墙的种类
防火墙技术可以根据功能、防范的技术原理或者硬件环境的不同分为很多种类型,有些是独立产品,有些集成在路由器中,有些以软件模块形式组合在操作系统中(如Windows就带有软件防火墙),但总体来讲,基于防火墙的技术原理可以将防火墙分为三大类:
包过滤防火墙、应用代理防火墙和复合型防火墙。
(1)包过滤(PacketFiltering)防火墙:
是一种在网络层实现的防火墙技术,它根据网络层和传输层的原则对传输的信息进行过滤。
在网络上传输的每个数据包都可分为两部分:
数据部分和包头。
包过滤就是根据包头中的源地址,目的地址和端口号、协议类型等标准确定是否允许数据包通过。
只有满足过滤规则的数据包才被转发到相应的目的地出口端,其余数据包则被丢弃。
如图4-1所示。
包过滤防火墙的过滤规则的主要描述形式有逻辑过滤规则表、文件过滤规则表和内存过滤规则表。
在包过滤系统中,规则表是十分重要的。
依据规则表可以检查过滤模块、端口映射模块和地址欺骗等。
规则表制定的好坏,直接影响安全策略是否会被有效的体现,规则表设置的结构是否合理,将影响包过滤防火墙的性能。
包过滤防火墙的主要优点之一就是数据包过滤对用户或者应用层是透明的。
数据包过滤不要滤只过滤网络层和传输层之间的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文的关联信息,即使是最完美的数据包过滤实现,也会发现一些协议不很适合数据包过滤安全保护,如RPC、X-Window和FTP;另外,大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的,而IP地址的伪造是很容易、很普遍的。
因此,包过滤防火墙不能彻底的防止地址欺骗,对于一些安全性要求较高的网络,包过滤防火墙是不能胜任的。
(2)应用代理(ApplicationProxy)防火墙:
应用代理也称为应用网关(ApplicationGateway),它作用在OSI模型的应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
实际中的应用网关通常由专用工作站实现,此工作站通常被称为“代理服务器”。
即,应用代理防火墙的核心实质上就是运行在代理服务器(防火墙主机)上的“代理服务进程”。
当代理服务器得到一个用户的连接请求时,会对该请求进行核实,要求用户提供正确的身份和认证信息,并经过特定的安全化的代理应用程序处理连接请求,将处理后的请求传递到真正的Internet服务器上,然后接收服务器应答。
代理服务器对真正的服务器应答做进一步处理后,将答复交给请求的终端用户,代理服务器起到通信中继的作用。
如图4-2所示。
应用代理防火墙的主要优点是安全性好,易于配置,并能提供透明的加密机制。
每一个内、外网络之间的连接都要通过代理服务技术的介入和转换,不给内、外网络的计算机直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理服务本身就是一个软件,所以它较过滤路由器更容易配置,且配置界面十分友好。
用户通过代理服务器收发数据,可以让代理服务完成加/解密功能,从而确保数据的机密性。
这点在虚拟专用网(VPN)中特别重要。
(3)复合型防火墙:
对于更高安全性的要求,常把基于数据包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙。
这种结合通常是以下两种方案。
①屏蔽主机防火墙体系结构:
在该结构中,包过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。
堡垒机是指一种配置了安全防范措施的网络上的计算机,堡垒机为网络之间的通信提供了一个阻塞点,也就是说如果没有堡垒机,网络之间将不能访问。
如图4-3所示。
②屏蔽子网防火墙体系结构:
堡垒机放在一个子网内,形成非军事化区,两个包过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。
在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。
屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层保护体系,即周边网络。
堡垒主机位于周边网络上,周边网络和内部网络被内部路由器分开。
为什么这么做?
因为堡垒主机是用户网络上最容易受侵袭的机器。
通过在周边网络上隔离堡垒主机,能减少在堡垒主机被侵入的影响。
屏蔽子网体系结构的最简单形式为两个屏蔽路由器,每一个都与周边网连接。
一个位于周边网与内部网之间,另一个位于周边网与因特网之间。
如图4-4所示。
周边网络是一个安全层,如果侵袭者垒主机,仍然必须通过内部路由器,这就消除了内部网络的单一侵入点。
4.防火墙技术的发展趋势
网络安全实际上是通过技术与管理相结合来实现的,良好的网络管理加上优秀的防火墙技术是提高网络安全性能的最好选择。
随着新的攻击手段的不断出现,以及防火墙在用户的核心业务系统中占据的地位越来越重要,用户对防火墙的要求也越来越高,出现了以下一些要求:
●防火墙提供更细粒度的访问控制手段
●对新出现的漏洞和攻击方式能够迅速提供有效的防御办法
●防火墙的管理更加容易和方便,减少配置所产生的安全误区
●在紧急情况下可以做到迅速响应
●具有很好的性能和稳定性。
因此,为适应Internet的发展,防火墙技术的发展也应具备智能化、高速度、分布式、复合型、专业化等发展趋势。
4.3.4入侵检测
1.入侵检测的概念
什么是入侵检测(IntrusionDetection)?
美国国际计算机安全协会(ICSA)对入侵检测的定义是:
通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析从中发现网络或系统中是否有违反安全策略的行为和遭受攻击的一种安全技术。
入侵检测系统(IntrusionDetectionSystem,IDS)主要功能是:
监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知攻击的活动模式并报警;对异常活动模式的统计分析;评估重要系统和数据文件的完整性;对操作系统进行审计跟踪管理,并识别用户违反安全策略的行为。
除此之外,有的入侵检测系统还能够自动安装厂商提供的安全补丁软件,并自动记录有关入侵者的信息。
2.入侵检测的分类
入侵检测系统依照检测的数据来源可以分为基于主机入侵检测系统(host-basedIDS)和基于网络的入侵检测系统(network-basedIDS)。
(1)基于主机的入侵检测系统(HIDS)
基于主机的入侵检测系统是早期的入侵检测系统结构,其检测的目标主要是主机系统和系统本地用户。
基于主机的入侵检测系统一般用于保护关键应用的服务器,实时监控可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视,如Web服务器应用。
检测原理是根据主机的审计数据和系统日志发现可疑事件。
检测系统可以运行在被检测的主机或者单独的主机上。
它的主要优势包括:
●监视特定的系统活动
它监视用户和访问文件的活动,包括文件访问、改变文件权限,试图建立新的可执行文件或者试图访问特殊的设备。
●能够检查到基于网络的入侵检查系统检查不出的攻击
可以检测到那些基于网络的入侵检测系统察觉不到的攻击。
例如,来自主要服务器键盘的攻击不经过网络,所以可以躲开基于网络的入侵检测系统。
●适用于采用了数据加密和交换式连接的子网环境
由于HIDS安装在遍布子网的各种主机上,它们比基于网络的入侵检测系统更加适于交换式连接和进行了数据加密的环境。
●有较高的实时性
尽管HIDS不能提供真正实时的反应,但如果应用正确,反应速度可以非常接近实时。
尽管在从操作系统作出记录到HIDS得到检测结果之间的这段时间有一段延迟,但大多数情
况下,在破坏发生之前,系统就能发现入侵者,并中止他的攻击。
●不需增加额外的硬件设备
HIDS存在于现行网络结构之中,包括文件服务器,Web服务器及其他共享资源。
这使得基于主机的系统效率很高。
(2)基于网络的入侵检测系统
基于网络的人侵检测产品(NIDs),通常也称硬件检测系统,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的数据包,对每一个数据包或可疑的数据包进行特征分析。
如果数据包与人侵检测产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。
基于网络的入侵检测系统的主要优点包括:
●拥有低成本
基于网络的IDS可在几个关键访问点上进行策略配置,以观察发往多个系统的网络通信。
所以它不要求在许多主机上装载并管理软件。
由于需监测的点较少,因此对于一个公司的环境来说,拥有成本很低。
●检测基于主机的系统漏掉的攻击
基于网络的IDS检查所有包的头部从而发现恶意的和可疑的行动迹象。
基于主机的IDS无法查看包的头部,所以它无法检测到这一类型的攻击。
例如,许多来自于IP地址的拒绝服务型(DOS)和碎片包型(Teardrop)的攻击只能在它们经过网络时,检查包的头部才能发现。
●攻击者转移证据更困难
基于网络的IDS使用活动的网络通信进行实时攻击检测,因此攻击者无法转移证据,被检测系统捕获的数据不仅包括攻击方法,而且包括对识别和指控入侵者十分有用的信息。
●实时检测和响应
基于网络的IDS可以在恶意及可疑的攻击发生的同时将其检测出来,并做出更快的通知和响应。
例如,一个基于TCP的对网络进行的拒绝服务攻击(DOS)可以通过将基于网络的IDS发出TCP复位信号,在该攻击对目标主机造成破坏前,将其中断。
●检测未成功的攻击和不良意图
放置在防火墙之外的基于网络的IDS可以检测到躲在防火墙后的攻击意图,尽管防火墙可以拒绝这些不良意图。
基于网络的IDS增加了许多有价值的数据,以判别不良意图,这些数据对于评估和改进安全策略十分重要。
●操作系统无关性
基于网络的IDS作为安全监测资源,与主机的操作系统无关。
与之相比,基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作。
(3)集成化的IDS的发展趋势
基于网络和基于主机的IDS都有各自的优势,两者相互补充。
这两种方式都能发现对方无法检测到的一些入侵行为。
将两者结合起来,可以达到更好的检测效果。
例如,基于主机的IDS使用系统日志作为检测以及,因此它们在确定攻击是否已经取得成功时与基于网络的检测和事件关联功能,使安全措施的实施更加有效,并使设置选项更加灵活。
3.典型的入侵检测系统与产品
入侵检测系统的典型代表是ISS公司(国际互联网安全系统公司)的RealSecure、Axent的ITA,以及NAI的CyberCopNetwork,ITI(InternetToolsInc.)的NetProwler等。
RealSecure包括基于主机的SystemAgent以及基于网络的NetworkEngine两个套件,支持与CheckPoint防火墙的交互式控制,支持由Cisco等主流交换机组成的交换黄金监听,可以在需要时自动切断入侵连接。
ITA(IntrusionAlert)是标准的基于网络的入侵检测系统,全部支持分布式的监视和集中管理模式。
NAI的CyberCopNetwork则可以同时在基于网络和基于主机的两种模式下工作。
NetPowerler提供了过滤器编程语言,使入侵检测系统在在必要时可以编译过滤器。
与国外产品相比,国内入侵检测系统的产品显得比较单薄。
主要代表有中科院研制成功的“天眼”入侵检测系统及“火眼”网络安全漏洞检测系统。
它根据国内网络的特殊情况,依据系统的安全策略作出反映,实现了对非法入侵的定时报警、记录事件,方便取证,自动阻断通信连接,可以重置路由器、防火墙,防范黑客攻击等。
4.3.5防病毒、恶意代码软件
计算机病毒具有破坏性、隐蔽性、传染性和传播性、潜伏性。
它的危害很大,病毒可能破坏文件内容,造成磁盘上的数据丢失;可能删除系统中一些重要的程序,使系统无法正常的工作,甚至无法启动。
在网络环境下,计算机病毒通过电子邮件、Web文档等能迅速而广泛的传播,这是计算机病毒最可怕的一种特性。
害,关键是做好预防工作。
例如,不使用来历不明的程序和数据,不轻易打开来历不明的电子邮件(特别是附件),确保系统的安装盘和重要数据处于“写保护”状态,在计算机上安装杀毒软件、防火墙等,启动程序运行、接收邮件和下载Web文档时自动检测与拦截病毒等。
最重要的是经常性地、及时做好系统备份工作,尤其是关键数据的备份。
除了以上预防工作之外,检测与消除计算机病毒的最常用方法就是使用专门的杀毒软件,常用的杀毒软件有江民、瑞星、金山毒霸、卡巴斯基、诺顿、麦咖啡(McAfee)等。
McAfee防毒软件,除了操作介面更新外,具有自动侦测与清除病毒的功能,当从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用密码将个人的设定锁住让别人无法乱改用户的设定。
虽然在计算机上安装可靠有效的杀毒软件和防火墙,并且可以不断升级版本,扩大功能,对病毒和恶意代码具有一定的防范作用,但是还不能完全、彻底的消除计算机病毒,这是因为杀毒软件的开发和更新总是滞后于新病毒的出现,因此,即使是功能强大的杀毒软件,也可能检测不出或一时无法消除某些病毒。
另外,人们亦无法预计今后病毒的发展及变化,所以很难开发出具有先知先觉功能的可以消除一切病毒的软硬件工具。
计算机病毒是人为制造的,也是通过人的操作传染、扩散的。
因此,只有加强对计算机系统的管理,采取措施预防病毒入侵的措施,自觉遵守规章制度,不断加强社会的精神文明建设,才能保证计算机安全可靠地工作。
4.4无线网络安全技术
4.4.1无线网络安全问题
问题一:
无线网络容易被入侵。
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。
入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
问题二:
非法的无线接入点(AccessPoint,AP)。
无线局域网易于访问和配置简单的特性,使网络管理员和安全官理员非常头痛。
因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。
很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。
问题三:
XX使用服务。
一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。
几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。
由于无线局域网的开放式访问方式,XX擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。
而且XX的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务
问题四:
地址欺骗和会话拦截。
由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP(AddressResolutionProtocol,地址解析协议)表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。
由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。
在没有采用802.11i对每一个802.11MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。
因此,在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。
网络管理员必须将无线网络同易受攻击的核心网络脱离开。
4.4.2解决方法
针对上述无线网络中的安全问题,最有效和最根本的方法就是保护无线网络的访问权限及传输数据的加密。
保护无线网络的访问权限的有效措施是访问控制,访问控制可以确保敏感数据仅由获得授权的用户访问,防止非授权用户进入网络,数据加密则确保传送的数据只被目标接收人接收和理解。
1.访问控制
对无线网络而言,访问控制的目的是为防止对网络资源进行非授权访问。
访问控制直接支持数据的保密性及完整性,它是保护网络免受侵害的第一道保护措施。
访问控制的功能有三种:
阻止非法用户进入无线网络系统;允许合法用户进入系统;使合法用户按照各自的权限,进行数据访问活动。
访问控制策略的实现方式通常可划分为两种:
主动性访问控制和强制性访问控制。
主动性访问控制由资源的拥有者在辨别各用户的基础上实现接入控制,每个用户的接入权限由资源的拥有者来建立;强制性访问控制则由系统管理员来统一管理系统的资源并集中分配接入权限。
这两种访问控制策略各有所长,前者操作灵活,适合对安全性要求不高的场合,后者则容易与网络的安全策略保持协调,具有较高的安全性。
在IEEE802.11协议中使用网络标识符(SSID)进行访问控制。
通过使用SSID,仅有那些持有正确SSID的用户才被允许与AP连接。
在每一个AP内设置一个特定服务区域认证的ID(ESSID,各AP内的ESSID可以相同),同时每块无线网卡也可以设置ESSID。
当无线终端设备要连接AP时,AP会坚持其ESSID是否与自己的ID一致,只有当AP和无线终端的ESSID相匹配时,才允许无线终端接入。
另一种访问控制的方法就是限制接入终端的MAC地址,由于每一块无线网卡拥有唯一的MAC地址,在AP内部可以建立一张“MAC地址控制表”,只有在表中列出的MAC才是合法的可以连接的无线网卡,否则会被拒绝连接。
MAC
升级会员 