关于无线网络安全技术研究的论文

关于无线网络安全技术研究的论文

　　因无线网络的出现，使信息交流的速度和质量有了提高，有助于为许多用户提供方便快捷的网络服务。具体来说，无线媒介由于开放式设计的蔓延，以信号在传输过程中信号的传输介质，以实施有效的保护，这使得传输信号尽可能不被他人截获不法分子在网络上的攻击的漏洞，造成了很多困难。以下是学习啦小编为大家整理到的关于无线网络安全技术研究的论文，欢迎大家前来阅读。

　　关于无线网络安全技术研究的论文一：

　　自从20世纪90年代以来，互联网和移动通信是信息产业发展最快的两个领域，它们直接影响了亿万人的生活，互联网能够使人们获取各种各样想要知道的信息，移动通信则使人们可以任何时间、任何地点和任何人进行联络。无线网络能够将互联网和移动通信很好的结合起来，使得人们可以在任何时间和任何地点同任何人进行联网。你可以想象这样的情形吗?校园里学生带着他们的笔记本电脑校园里漫步时，坐在草坪上讨论问题时或则在咖啡厅里静静的学习时，都能够从图书馆中获得他们想要知道的信息，而这些正是无限网络让它们变成了现实。

　　一、无线通信的类型

　　计算机无线方式通信使用的无线电波(短波，微波或FM)和光波(红外，激光)。这些无线通讯媒体有自己的特点和适用性。

　　(一)红外和激光：易受天气，没有穿透力，在实践中难以适用。

　　(二)短波或超短波：类似广播电视，使用载波的振幅，频率或相位调制，通信距离可以达到几十公里，长期使用电脑通信，但幅度速度慢，安全性差，有没有一个单一性别的沟通。和窄范围的通信，都与其他无线电或电器设备的干扰，可靠性差，易受他人干扰。和通道的拥挤，和乐队需要专门申请。这样没有无线网络的基本要求。

　　(三)微波炉：微波收入，作为一个计算机网络通信信道的头发烘干机，因为它的高频率，它可以实现高速数据传输速率，受天气影响非常小。这种高频通信两个彼此可视化，但一定的渗透和控制波通信的角度是非常有用的。

　　二、无线网络的特点

　　(一)移动性强。无线网络摆脱了有线网络的束缚，只要在有无线网络信号覆盖的地区则可以在该地区内任何位置访问互联网，并且支持自由移动和持续连接，能够完美的解决移动办公问题。

　　(二)高速带宽。随着无限网络的发展，用户对速率传输率要求越来越高，IEEE802.11g无限局域网实现的物理层关键调制技术随着WLAN技术应用日益广泛，其最高传输率为54Mbps，很好的满足了用户的需求。

　　(三)维护成本低。虽然无限网络搭建的初期投入的成本会比较高，但对于后期来说，维护则相对的方便，运行的费用也相比有线网络大约低50%左右。

　　三、无线网络的安全威胁

　　因无线网络的出现，使信息交流的速度和质量有了提高，有助于为许多用户提供方便快捷的网络服务。具体来说，无线媒介由于开放式设计的蔓延，以信号在传输过程中信号的传输介质，以实施有效的保护，这使得传输信号尽可能不被他人截获不法分子在网络上的攻击的漏洞，造成了很多困难。另一个由于无线网络的传输介质，无线终端移动性和动态的网络拓扑结构，以及无线终端的计算能力和存储能力的限制，开放性，使得一些安全方案和技术在有线网络环境可以不适用于直接无线网络，而且还安全计划的实施，增加了许多限制。因此，如何在网络和网络设计的无线网络信号有效的安全机制，已成为当前无线网络的主要问题。

　　无线网络的基本原则是连接一台计算机终端，以形成资源共享系统，可以连接到对方和通信，无线通信技术。不同的无线网络，有线网络的特点是通过空间的电磁波，以取代传统的电缆来实现传输的信息和联系。

　　在无线网络的规划和建设工作人员面临着两大问题：首先，以市场为标准的安全解决方案，最终选择什么是好的，第二，如何避免网络已被破坏或攻击?有线网络的阶段，技术人员可以创建一个防止外部的攻击，通过防火墙的硬件安全设备的部署防线，然而，“考虑到的防线往往是从内部突破”。无线网络接入和方便的特点，在现有的有线网络部署成本，并防止设备很容易绕过无用的“马其诺防线”。

　　无线网络的主要安全威胁如下：

　　1.数据窃听。窃听网络对网络流量可能导致机密和敏感数据泄漏，无保护的接触到用户的凭据，导致身份盗窃。它还允许有经验的入侵者的移动电话用户，IT环境中，然后使用此信息来攻击对方是没有漏洞的系统或数据。社会工程攻击，甚至攻击的供应商范围。

　　2.拦截和篡改的数据传输。如果攻击者能够连接到内部网络，他可以使用一个恶意计算机拦截或修改法律方面的剑锻造网关和其他渠道的网络数据的正常传输。

　　3.信息重放。在没有足够的安全防范措施的情况下，是很容易受到利用非法AP进行的中间人欺骗攻击，及时采用了等保护措施也很难防范这样的攻击。

　　4.MAC地址欺骗。通过网络窃听工具获取数据，从而进一步获得AP答应通信的静态地址池，这样不法之徒就能通过MAC地址伪装等手段合理的接入网络中。

　　5.拒绝服务。为了使得AP拒绝服务，攻击者可能对AP进行泛洪攻击，而这种攻击是最为严重的，另外还可以选择对移动的节点进行攻击，让移动节点提供服务或则帮忙转发数据包，使得该节点能源耗尽而不能正常工作，这样的攻击也成为能源耗尽攻击。

　　四、无限网络的安全防范措施

　　我们从以上的几个对无限网络的安全危险看出，如何保护好“接入关”是确保无线网络安全性非常直接的举措，目前对无限网络安全措施的方法都是对接入关对入侵者进行防范，那么最常见的几种措施有以下几种：

　　(一)MAC地址过滤。在有线网络的保安措施，MAC地址过滤是一个非常普遍的安全手段，因此它的操作与在有线网络的开关操作是一致的。通过无线控制器的AP运输向前将指定的无线网卡的物理地址(MAC地址)，或直接保存在无线控制器或AP的交换机端设置。

　　(二)规划天线的放置，掌控信号的覆盖范围。要部署无线的封闭方位点，首先就是要找到合理放置天线的位置，使得能够限制信号在覆盖区外的传输距离，最好就是选择在覆盖区的中心放置，这样比较能有效减少信号的外泄至墙外。

　　(三)端口访问控制技术。使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。

　　(四)连线对等保密(WEP)，启用无线设备的安全能力。保护无线网络安全最基础的方法就是加密，我们可以通过设置AP及网卡等设备，就可以启用加密，虽然WEP加密存在着一些漏洞并且也比较脆弱，但对于非法入侵者来说也设置了不笑的障碍，在链路层采用RC4对称加密技术，钥匙长40位，从而防止非授权用户的监听以及非法用户的访问。用户的加密钥匙必需与AP的钥匙相同，并且一个服务区内的所有用户都共享一把钥匙。

　　随着无线应用的普及，其安装方便，使用，高速的接入速度，赢得了用户的青睐连续访问可移动的无线网络。但仍然是一个主要的关注，我们应该始终现在和未来的无线网络和无线网络的入侵防御安全。事实上，根据不同的安全需求，透彻的分析，不同层次的无线网络的网络结构所固有的物理特性，采取适当措施保护，可用于无线网络的安全性是完全可行的。

　　关于无线网络安全技术研究的论文二：

　　一、校园网无线网络安全现状

　　在无线网络技术相对成熟的今天，无线网络解决方案能够很好满足校园网的种种特殊的要求，并且拥有传统网络所不能比拟的易扩容性和自由移动性，已经逐渐成为一种潮流，成为众多校园网解决方案的重要选择。这都源于无线局域网拓展了现有的有线网络的覆盖范围，使随时随地的网络接入成为可能。但在使用无线网络的同时，无线接入的安全性也面临严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种：①基于MAC地址的认证。基于MAC地址的认证就是MAC地址过滤，每一个无线接入点可以使用MAC地址列表来限制网络中的用户访问。实施MAC地址访问控制后，如果MAC列表中包含某个用户的MAC地址，则这个用户可以访问网络，否则如果列表中不包含某个用户的MAC地址，则该用户不能访问网络。②共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥，那么就授予该用户对无线网络的访问权。③802.1x认证。802.1x协议称为基于端口的访问控制协议，它是个第二层协议，需要通过802.1x客户端软件发起请求，通过认证后打开逻辑端口，然后发起DHCP请求获得IP以及获得对网络的访问。

　　从目前情况来看，不少校园网的无线接入点都没有很好地考虑无线接入的安全问题，如基于MAC地址的认证或共享密钥认证没有设置，更不用说像802.1 x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动，会搜索到很多无线接入点，这些接入点几乎没有任何的安全防范措施，可以非常方便地接入。试想，如果让不明身份的人进入无线网络，进而进入校园网，就会对我们的校园网络构成威胁。

　　二、校园网无线网络安全解决方案

　　校园网内无线网络建成后，怎样才能有效地保障无线网络的安全。前面提到的基于MAC地址的认证存在两个问题：一是数据管理的问题，要维护MAC数据库;二是MAC可嗅探，也可修改。如果采用共享密钥认证，攻击者可以轻易地搞到共享认证密钥。802.1x定义了三种身份：申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间，认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份，然后认证服务器对申请者进行认证，认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。

　　虽然802.1x仍旧存在一定的缺陷，但较共享密钥认证方式已经有了很大的改善，IEEE 802.11i和WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下，选择无线客户端身份验证的依据是基于密码凭据验证，或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS;在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2)。

　　该协议在PEAP(Protected Extensible Authentication Protoco1)协议中，也称作PEAP-EAP-MSCHAPv2。考虑到校园群体的特殊性，为了保障校园无线网络的安全，可对不同的群体采取不同的认证方法。在校园网内，主要分成两类不同的用户：一类是校内用户;另一类是来访用户。校内用户主要是学校的师生，由于工作和学习的需要，他们要求能够随时接入无线网络，访问校园网内资源以及访问Internet。这些用户的数据，如工资、科研成果、研究资料和论文等安全性要求比较高。对于此类用户，可使用802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。

　　这类用户对网络安全的需求不是特别高，对他们来说最重要的就是能够非常方便而且快速地接入Internet以浏览相关网站和收发邮件等。针对这类用户，可采用DHCP+强制Portal认证的方式接入校园无线网络。开机后，来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Internet网站时，强制Portal控制单元首先将用户访问的Internet定向到Portal服务器中定制的网站，用户只能访问该网站中提供的服务，无法访问校园网内部的其他受限资源，比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源，必须通过强制Portal认证，认证通过就可以访问Internet。

　　对于校内用户，先由无线用户终端发起认证请求，没通过认证之前，不能访问任何地方，并且不能获得IP地址。可通过数字证书(需要设立证书服务器)实现双向认证，既可以防止非法用户使用网络，也可以防止用户连入非法AP。双向认证通过后，无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后，就可以利用双方约定的密钥，运用所协商的加密算法进行通信，并且可以重新生成新的密钥，这样就很好地保证了数据的安全传输。

　　使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全，具有一定的现实意义。来访用户所关心的是方便和快捷，对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件，用户直接使用Web浏览器认证后即可上网。采用此种方式，对来访用户来说简单、方便、快速，但安全性比较差。虽然用户名和密码可以通过SSL加密，但传输的数据没有任何加密，任何人都可以监听。当然，必须通过相应的权限来限制和隔离此类用户，确保来访用户无法访问校园网内部资料，从而保证校园网络的高安全性。因此针对校内用户可使用802.1x认证方式，以保障传输数据的安全。

　　校园网各区域分别覆盖无线局域网络以后，用户只需进行相应的设置就可以连接到校园网，从而实现各自需要的功能，进一步促进校园网内无线网络的建设。现在，不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时，因为对无线网络的安全不够重视，对校园网无线网络的安全考虑不及时，也造成了一定的影响和破坏。由此可见，做好无线网络的安全管理工作，并完成全校无线网络的统一身份验证，是当前学校组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接，确保无线网络的高安全性，提高学校的信息化的水平。

　　关于无线网络安全技术研究的论文三：

　　网络技术的不断进步使得无线网络以其新的发展优势成为当下家庭构建局域网的主流选择，但是无线网络的安全性问题也成为了WLAN应用过程中所要面对的最重要的问题之一。如何实现无线网络的安全使用是大多数家庭选择无线网络的一个关键影响要素。本文旨在通过分析无线网络的安全威胁，提供常见的安全技术，引导普通家庭进行基本的安全设置，从而实现家庭式无线网络的安全使用。

　　1无线网络的安全威胁

　　虽然无线网络的安全问题受到了各个网络设备厂商的高度重视，并且在他们的产品设计开发上也都做了种种努力，但是无线局域网还是被认为是一种安全得不到保证的网络，具体表现为：

　　1.1 容易侵入。无线局域网非常容易被发现，为使用户发现无线网络的存在，网络必须发送有特定参数的信标账，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其它任何地方对网络发起攻击而不需要任何物理方式的侵入。

　　1.2 非法的AP。无线局域网易于访问和配置简单的特性，使网络管理员和安全管理员非常头痛。因为任何人的计算机都可以通过自己购买的AP不经过授权而连入网络。很多用户未通过授权就自己搭建无线局域网，用户通过非法AP接入给网络带来了很大的安全隐患。

　　1.3 未经授权使用服务。一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用网络资源，不仅会增加带宽费用，更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款，可能会导致ISP中断服务。

　　1.4 服务和性能的限制。无线局域网的传输带宽是有限的，由于物理层的开销，使无线局域网的实际最高有效吞吐量仅为标准的一半，并且该带宽是被AP所有用户共享的。如果受到来自有线网络用户发送的大量PING流量，或者是广播流量，这时候就会阻塞一个或者多个AP，整个无线网络的带宽将受到吞噬;另一种情况是攻击者可以在同无线网络相同的无线时延内发送信号，这样被攻击的网络就会通过CSMA/CA机制进行自动适应，同样影响无线网络的传输;最后一种情况，传输较大的数据文件或者复杂的Client/Server系统都会产生很大的网络流量。

　　1.5 地址欺骗和会话拦截。由于802.11无线局域网对数据帧不进行认证操作，攻击者可以通过欺骗帧去重定向数据流和使ARP(Address Resolution Protocol，地址转换协议)表变得混乱。通过非常简单的方法，攻击者可以轻易获得网络中站点的MAC地址，这些地址可以被恶意攻击者使用。

　　1.6 高级入侵。一旦攻击者进入无线网络，它将成为进一步入侵其它系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部却非常脆弱，也容易受到攻击。无线网络通过简单配置就可以快速地接入网络主干，但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络，同样也会使网络暴露出来从而遭到攻击。

　　1.7 控制发散区。无线网络工作时会广播出射频(RF)信号，信号将无线数据从一个访问点传输到无线网卡，也能从无线网卡传回。这种射频的发散区可能相当大，这具体取决于基本发射单元的位置及信号强度。虽然实体墙、金属梁和电线可能阻碍信号，但是与产品说明书所宣称的相比，实际发散区通常都要大得多。这样发散区的信号可能会泄漏到比实际服务区更远的地方，黑客还可以用一些工具和技术将信号放大，使其能够在更远的距离里也能攻击你的WLAN。

　　2无线网络安全技术

　　针对以上无线网络的危害，现有无线技术也提供了相应的对策，常见的无线网络安全技术有以下几种：

　　2.1 服务集标识符

　　通过对多个无线接入点AP(Access Point)设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令，从而提供一定的安全，但如果配置AP向外广播其SSID，那么安全程度还将下降。由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。目前有的厂家支持“任何(ANY)”SSID方式，只要无线工作站在AP的任何范围内，客户端都会自动连接到AP，这将跳过SSID安全功能。

　　2.2 物理地址过滤(MAC)

　　由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新，可扩展性差;而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必须随时更新，目前都是手工操作;如果用户增加，则扩展能力很差，因此只适合于小型网络规模。

　　2.3 连线对等加密(WEP)

　　在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)或128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的，要手工维护，扩展能力差。目前为了提高安全性，建议采用128位加密钥匙。

　　2.4 Wi-Fi保护接入(WPA)

　　WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其原理为：根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法，而且有更为丰富的内涵。作为802.11i标准的子集，WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。

　　2.5 国家标准(WAPI)

　　WAPI(WLAN Authentication and Privacy Infrastructure)，即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游，方便用户使用。与现有计费技术兼容的服务，可实现按时计费、按流量计费、包月等多种计费方式。AP设置好证书后，无须再对后台的AAA服务器进行设置，安装、组网便捷，易于扩展，可满足家庭、企业、运营商等多种应用模式。

　　2.6 端口访问控制技术(802.1x)

　　该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。

　　2.7 虚拟专用网络()

　　虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，目前许多企业以及运营商已经采用技术。可以替代连线对等加密解决方案以及物理地址过滤解决方案。采用技术的另外一个好处是可以提供基于Radius的用户认证以及计费。技术不属于802.11标准定义，因此它是一种增强性网络解决方案。

　　2.8 终端安装防火墙

　　个人网络受到保护的同时，各工作站、PC机本身也安装防火墙软件，实现上层攻击的防患。

　　2.9 针对信号泄露的防范

　　一种较为简易的方法是控制访问点的物理位置，可以将AP放在办公室的中央位置，使发散区的范围在实际服务区的范围内;另一种方法是通过控制信号强度来决定信号的传输距离，有些AP设备可以通过软硬件的设置来控制信号强度。

　　3家庭式应用的无线网络安全设置

　　3.1 驱动器保护无线网络

　　在802.11a、802.11b、802.11g中内置有WEP(Wired Equivalent Privacy)加密功能，由于加密的包比未加密的包更加难以读取，且WEP的密钥并不容易破解，所以使用WEP加密有足够的安全性。每个AP在出厂时都预先设置了网络名称、IP地址、管理员账户名称与密码等，这些出厂设置很容易被破解，我们在安装与设置的时候就需要对管理员账户名和密码作相关的更改，同时也对AP的初验IP地址进行更改，进一步保证AP的安全。

　　3.2 保护终端数据

　　Windows操作系统的默认安全性很低，特别是资源的共享安全性，所认必须更改设置，以提高安全性能保护终端数据。以操作系统Windows XP为例，它没有一个选项来集中控制是否允许用户从网络访问计算机的共享文件和打印机，所以在运行这类操作系统的计算机上必须逐一关闭共享功能。通过点击目标后右击鼠标会显示快捷菜单，选择“共享与安全”项来设置关闭目标资源的共享功能。由于磁盘中的文件夹结构比较复杂，有时一个共享文件夹是深藏在磁盘中的某个位置，所以很难确定其路径，因此可以利用操作系统内置的控制台来确定磁盘中到底有哪些共享文件夹，执行“开始-运行”功能后输入fsmgmt.msc指令打开“共享文件夹”控制台，点击“确定”后打开“共享文件夹”控制台，在“共享文件夹”控制台左边树状目录中单击“共享”项目之后，可以查看本计算机所有共享的文件夹列表。“共享文件夹”表示文件夹的共享名，“共享路径”表示文件夹在磁盘中的位置。

　　3.3系统防火墙功能

　　防火墙可以筛选所有经过网络的包，管理员通过设置防火墙的包筛选规则限制因特网对终端用户的访问，从而保护局域网内用户的安全。仍以Windows XP操作系统为例，它内置的个人防火墙功能可以用于控制网络用户对计算机的访问，保护计算机的安全。运行Windows XP的计算机可以启用简单的个人防火墙功能，内置的防火墙可以保护计算机免遭非法入侵，但是这个功能在默认时并未启用，用户可以通过执行以下操作来启动防火墙功能：打开无线网络的属性窗口后选择高级选项，可以显示Windows防火墙的设置项，点击设置按钮就可以对个人防火墙进行设置。在常规选项中首先要启用防火墙，在例外菜单中是针对系统中各应用程序和服务的阻止设置，可以根据自身的需要进行需求设置。在高级菜单选项中可以对各网络连接的例外设置，还包括对安全日志的记录、ICMP的设置。其中安全设置可以根据需要对被丢弃的数据包和记录成功的连接进行记录，可以设置记录日志的文件路径和文件名，包括文件大小都可以设置。其中默认情况下是在C:\WINDOWS\pfirewall.log中查看安全设置，文件大小默认为4096K。

　　3.4 安装无线网络安全工具

　　除了系统本身的安全设置以外，为了进一步保障局域网机器的安全性，还可以选择安装防病毒软件如Norton，安装防火墙软件如瑞星等。Norton AntiVirus的防毒软件，每次运行都会实时监控内存、系统主引导扇区、引导扇区，若没有发现异常，就接着监控检查程序中是否存在病毒。发现异常或者发现带病毒程序，就会发出警告并且将当前系统禁止运行，提醒使用者退出系统进行杀毒，这一点在系统已经染毒，且第一次安装该软件时表现得尤为明显。为了能够进一步预防病毒的产生，Norton AntiVirus软件还提供了手动扫描、调度扫描、启动扫描、自动防护、疫苗及病毒定义文件等手段，使病毒侵袭的机会大大缩小。

　　Norton AntiVirus还提供了实时升级功能，是通过Live Update实现的。它有点类似于经理人的角色，斡旋于Symantec与用户之间，它会实时监视Norton产品的各方面信息，如果有了新的病毒定义，它就会通知系统去获得它们并得到新的病毒定义库，使系统认识新病毒，预防新病毒的侵袭。瑞星个人防火墙软件可以对系统的安全级别进行定义(分成高、中、普通三种级别)，并且通过对系统的各个端口(TCP，UDP)的实时监控来观察是否被黑客攻击，受到攻击将会产生报警，以提示用户采用相应的防范措施。软件还能对内存中运行程序和应用程序进行信息包的监控与限制，进一步防止像木马这种驻留内存的信息获取程序。软件还能对系统中各应用程序的安全规则进行单独设置，防止黑客通过各通讯应用程序进行攻击。