《家庭网络安全架构的案例.docx》由会员分享,可在线阅读,更多相关《家庭网络安全架构的案例.docx(40页珍藏版)》请在三一办公上搜索。
1、 浙江 职业技术学院毕业论文 (2011届)家庭网络安全架构的案例分析学生姓名 学 号 分 院 专 业 指导教师 完成日期 家庭网络安全架构的案例分析摘 要 现在的家庭中,不仅有计算机而且还有其它信息设备组成的网络。当这些信息设备与因特网连接时,它们很容易暴露在多种攻击之下。而用户并不想因此泄漏他们的个人隐私。所以这些家庭网络环境需要一个安全、可靠的解决方案。目前,虽然有很多家庭网络安全产品,比如说防火墙、虚拟个人网络(Virtual Private Network(VPN)、安全无线局域网(wireless LAN security)等,但是还缺少一种综合的安全解决方案来保护家庭网络免受有线
2、和无线攻击。虽然计算机网络给人们带来了巨大的便利,但互联网是一个面向大众的开放系统,对信息的保密和系统的安全考虑得并不完备,存在着安全隐患,网络的安全形势日趋严峻。目前在各家庭的网络中都存储着大量的信息资料,许多方面的工作也越来越依赖网络,一旦网络安全方面出现问题,造成信息的丢失或不能及时流通,或者被篡改、增删、破坏或窃用,都将带来难以弥补的巨大损失。而对于许多家庭来讲,加强网络安全建设的意义甚至关系到家庭的安全、利益和发展。关键词:计算机网络 虚拟专用网技术 防火墙目 录毕业论文1引 言4第一章 目前家庭网络的研究背景61.1目前家庭网络的背景分析61.2家庭网络系统结构71.3家庭网络存在
3、问题81.3.1 网络病毒81.3.2 网络入侵91.3.3 无线网络121.3.4 网络的架构和管理的问题12第二章 家庭网络安全技术案例分析142.1 家庭网络的概念142.2 家庭网络的关键技术14第三章 加强家庭网络安全的具体措施193.1 修改用户名和密码 (不使用默认的用户名和密码)193.2 使用加密213.2.1 在无线路由器上启用WEP加密223.2.2 在无线路由上启用WPA加密243.3 修改默认的服务区标识符(SSID)243.4 禁止SSID广播263.5 设置MAC地址过滤273.6 为网络设备分配静态IP293.7 隐藏你的路由器和中继器30第四章 家庭网络案例安
4、全设计314.1 关于无线路由器的安全设计31第五章 家庭网络未来展望36结 论37致 谢38参考文献39引 言随着宽带网络、无线网络的普及和家居设备的数字化发展,人们对通信服务的需求已不再是简单的话音和单向的视频,而是更快速、更丰富、交互式的宽带多媒体业务。数字技术的飞速发展,出现了众多的数码产品,个人电脑、手机、数字电视、数码相机、DV、MP3、PDA、DVD等数字产品逐步进入普通生活中。与此同时,宽带通信与互联网的普及,极大地促进了数字媒体内容的发展。以网络技术为代表的新媒体技术的飞速发展和推广带给人们一场信息的革命,新媒体的崛起带动了传播业市场和产业结构的调整,已经成为人们日常生活中获
5、知信息、了解社会、娱乐休闲的重要载体。新媒体具有无限的潜力,而极强的互动性、可以满足受众个性化需求、从“议题设置”转变到“设置议题”就是新媒体的特性,即核心竞争力,使新媒体在激烈的市场竞争中立于不败之地。设备间如何方便、智能地互联和协同工作,媒体内容如何安全地存储、共享等问题已经日益成为人们关注的焦点。但是,由于缺乏统一的消息格式、接口协议,而导致不同设备之间信息传递和工作协同很不方便。随着数字设备数量的增加,管理也越来越复杂。如何有效地发挥这些设备的作用,提高居家生活的智能化和方便性,已成为现代人生活乃至办公的重要问题。人们自然地产生了将各种电脑、家电之间合理地互连互通起来的强烈需求。于是,
6、数字家庭网络便应运而生了。家庭网络作为一个放大的终端,在开展家庭内部高质量业务中具有重要的地位。家庭网络是指通过数字家庭网关将公共网络的功能和应用延伸到家庭,构筑有线或无线环境,连接各种信息终端(如家电、PC 等),实现家庭中多部计算、控制、监控和通信设备连接与集成,达到信息在家庭内部终端与外部公共网络及家庭内部终端之间的流通和共享。家庭网络构建的最终目标是,高质量地向用户提供娱乐、数据、安防、控制等多种业务,并希望实现以用户为中心的真正业务融合。第一章 目前家庭网络的研究背景1.1目前家庭网络的背景分析在信息化飞速发展的今天,计算机网络得到了广泛应用,但随着网络之间的信息传输量的急剧增长,一
7、些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的攻击和破坏。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。这致使数据的安全性和自身的利益受到了严重的威胁。根据美国FBI(美国联邦调查局)的调查,美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部。而仅有59%的损失可以定量估算。在中国,针对银行、证券等金融领域的计算机系统的安全问题所造成的经济损失金额
8、已高达数亿元,针对其他行业的网络安全威胁也时有发生。由此可见,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。所以,计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。1.2家庭网络系统结构传统网络是由骨干网、接入网组成,家庭用户只是扮演单一的网络终端角色。而家庭网络出现后,网络结构将逐步演变为多级结构。数字家庭网络包含数字家庭网关、各种智能家电与信息终端设备等。其中数字家庭网关(Residential Gateway, RG或Home Gateway, HG)
9、是数字家庭网络的核心,是一种简单的、智能的、标准化的、灵活的个人家庭网络接口单元,它可以从不同的外部网络接收通信信号,将信号传递给某个设备。家庭网关也是整个家庭网络与外部网络联系的桥梁,是数字家庭各种业务和应用的关键。ITU-T已经将家庭网络纳入NGN(新一代网络)的一部分,而家庭网关将在其中扮演重要角色。数字家庭网络的典型结构如图1-1所示。图1-1 家庭网络结构图由于家庭住宅物理结构的局限性,加上用户经济承担能力有限等原因,因而构建网络时应以经济实用为主要原则。图1-1的家庭网络体系结构中,家庭骨干网络可以根据已有网络铺设情况,选择同轴电缆或双绞线等构成有线网络;图中以总线结构作为网络拓扑
10、结构,IP域和家电、移动终端以及其它设备域之间采用网关的形式实现信息互通及协议转换的功能;不同域的设备之间能够通过网关实现信息共享和交互,真正实现家庭中信息随处可得;高效有线骨干结合无线互连方式采用,以及QoS、UPnP、DHCP等关键技术的支持,使各种智能家居、家电设备可实现自动、无配置的接入系统,极大提高系统的灵活性、易用性及可扩展性。1.3家庭网络存在问题在计算机网络的飞速发展给人类社会带来巨大的便利的同时,网络安全问题便得日趋严重。当网络中的用户来自不同的阶层和部门时,大量在网络存储和传输的数据就需要保护。由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使这些网
11、络信息容易受到来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。要保护这些信息就需要有一套完善的网络安全保护机制。1.3.1 网络病毒网络病毒指计算机病毒的定义计算机病毒(COMPUTER VIRUS)在中华人民共和国计算机信息系统安全保护条例中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。传统病毒只是要破坏它们感染的设备,但是现代的病毒通常会通过Internet 上进行传播,复制并破坏其他计算机。现在的网络病毒具有明显的功利性,不再是显耀技术。很多这样的病毒都会在
12、感染的设备上安装一个特洛伊木马程序,特洛伊木马程序可能不会进行任何直接的损坏,但是会将用户的信息从它安装的电脑上通过 Internet 发送到黑客那里,然后这个黑客了解它正在运行什么软件以及哪些位置易于攻击,就可以对该设备发起一个有目标的攻击了。更甚者是盗取客户的银行帐户信息、股票帐户信息、QQ信息、游戏帐户信息、重要商业秘密等,进而进行实际的盗窃活动,造成客户严重的资金损失。1.3.2 网络入侵1数据包嗅探器最普遍的安全威胁来自内部,同时这些威胁通常都是致命的。其中网络嗅探对于安全防护一般的网络来说威胁巨大,很多黑客也使用嗅探器进行网络入侵的渗透。网络嗅探器对信息安全的威胁来自其被动性和非干
13、扰性,使得其具有很强的隐蔽性,往往使信息泄密不易被发现。数据包嗅探器指的是与局域网相连并从以太网帧获取信息的应用程序软件或硬件设备。这些系统的最初意图在于对以太网通信进行故障排除和分析,或者深入了解帧以检查单个的 IP 数据包。嗅探器以混合模式运行,即它们侦听物理线路上的每个数据包。很多应用程序(如 Telnet)都会以明文形式发送用户名和密码信息,这些内容可以被嗅探器读取,因此使用数据包嗅探器的黑客就可能会得到很多应用程序的访问权限,这种情况主要是通过确保使用强加密的密码。黑客可能在客户的系统中安装完特洛伊木马程序后安装sniffer(嗅探器),让sniffer监听局域网内的TCP/IP数据
14、包,并将监听到的信息形成一个文件,再由洛伊木马程序发送到外部的互联网的指定地址。2IP 欺骗IP 欺骗是指对 IP 数据包的源地址进行更改以隐藏发送方的身份。因为 Internet 中的路由操作只使用目标地址将数据包发送到它的路径上,而会忽略源地址,所以黑客可能会伪装这个源地址向您的系统发送破坏性的数据包,而您不了解它来自何处。欺骗不一定具有破坏性,但是它表明入侵随时会出现。该地址可能位于您的网络之外(来隐藏入侵者的身份),也可能是一个具有特许权限的受信任内部地址。3拒绝服务攻击拒绝服务攻击是最难阻止的攻击,这些攻击与其他类型的攻击不同,因为它们不会对网络产生永久性破坏,而是通过对某个特定的计
15、算机或者网络设备发起攻击,或者将网络链路的吞吐量降低到足以造成客户厌烦和业务损失的程度,从而停止网络的运行。拒绝服务攻击利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所使用的端口,从而造成服务器的CPU、内存资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成网络设备资源耗尽,导致服务中止。最严重的拒绝服务攻击是分布式 DoS (DDoS) 攻
16、击,它从很多其他计算机发起,集中攻击某个特定服务器或网络系统。承担攻击任务的计算机本身不一定主动发起了这个攻击,但是由于它们自身的安全漏洞,使得它们自身被黑客渗透,黑客指示它们向网络发送大量数据,从而造成ISP 拥塞或者某个设备拥塞。4应用程序层攻击应用程序层攻击通常是最引人注意的攻击,通常利用应用程序(如 Web 服务器和数据库服务器)中众所周知的弱点。这些应用程序的问题在于它们被设计为供公共用户访问,这些用户是未知的并且不可信任,尤其对于 Web 服务器来说更是这样。大多数攻击是针对应用程序产品中的已知缺陷的,因此最好的防护是安装软件生产商提供的最新更新。5网络侦察(或称网络扫描)网络侦察
17、指的是对网络进行扫描以发现有效的 IP 地址、域名系统 (DNS) 名称和服务端口,然后发起攻击。虽然网络侦察本身没有什么害处,但是可以发现哪些地址正在使用可能会帮助某些人发起恶意的攻击。实际上,如果查看防火墙的日志,则会发现大多数入侵都具有这种特征;典型的探询包括扫描传输控制协议 (TCP) 和用户数据报协议 (UDP) 侦听端口,以及一些其他的已知侦听端口所有这样的探询都会寻求一个响应,该响应将告知黑客服务器的存在并且在运行这些服务中的一种(聪明的黑客知道端口对应某个特定服务)。1.3.3 无线网络无线网络的通信链路通过无线信号开放在空气当中的建立的,它没有隐蔽性可言。一个不争事实就是绝大
18、多数的无线网络都是不安全的。对于无线网络用户来说,很重要的一点就是应该懂得:无论使用了多么安全的无线网络,除非已经部署了端到端的加密技术,否则都没有所谓的真正的安全。 1.3.4 网络的架构和管理的问题网络的架构如果设计不当,为给家庭网带来最大的安全隐患,比如不重视网络边界的防火墙和内网重要工作组防火墙的设置等。常规的网络安全防御手段往往局限于网络边界的防御,但是实际情况是,很多安全问题出自网络内部,家庭因信息自内部被窃取所造成的损失远远超过黑客攻击和病毒破坏所造成的损失。防火墙、入侵检测、入侵防御、物理隔离等网络安全保护对于防止外部入侵有着不可替代的作用,但对于网络内部由于管理不善所造成的安
19、全隐患却无可奈何,因此,内部网络的安全管理必须作为整个网络安全防范的重要组成部分。第二章 家庭网络安全技术案例分析2.1 家庭网络的概念家庭网络(HOME NETWORK):指的是融合家庭控制网络和多媒体信息网络于一体的家庭信息化平台,是在家庭范围内实现信息设备、通信设备、娱乐设备、家用电器、自动化设备、照明设备、保安(监控)装置及水电气热表设备、家庭求助报警灯设备互连和管理,以及数据和多媒体信息共享的系统。家庭网络系统构成了智能化家庭设备系统,提高了家庭生活、学习、工作、娱乐的品质,是数字化家庭的发展方向。2.2 家庭网络的关键技术根据传统信道的不同,组网方式划分为有线和无线两种方式。本节分
20、别介绍了有线、无线组网方面的现状,结合需求、组网普及性对各种组网方式进行分析。家庭网络平台的构建,首先要将家庭内部各种智能家居、家电设备连接互通起来,这就需要利用各种有线/无线互连组网技术。目前国内外已有的有线技术包括以太网、1394、USB、PCI-E等,无线技术有WiFi、新兴的超宽带(UWB)等。表1中比较了几种常见的组网技术的特点。组网技术最大数据传输速率 (单位: bps)有线组网技术IEEE 802.310/100/1000MIEEE 1394400MUSB 2.01.5/12/480MHomePlug 1.0 Turbo85MMoCA100M无线组网技术802.11n20MBlu
21、etooth1MZigBee250KUWB100M从以上资料可看出,家庭内互联组网技术呈现多样化趋势,各种有线、无线方式各有其特征及优势,同时也存在缺点和不足:有线方式通常带宽可较高,避免干扰有较好安全性,但需要复杂的家庭布线,并难以解决家庭内的泛在覆盖问题;无线方式可很好解决家庭内泛在覆盖问题,避免综合布线问题,可打破区域限制,但目前收限于带宽、串扰、安全性等问题,对于业务应用存在缺陷。考虑国内已有资源情况、易用性、安全性、覆盖度等因素,需要针对不同的技术的各自的专长领域,通过合理的分工定位,结合需求、组网普及性对各种组网方式进行分析,从而实现不同通信网络连接技术对广大用户的有效业务分流,保
22、证用户享用有效通信带宽的最大化。目前家庭无线组网中经常使用的设备主要有三种:无线网卡、无线AP(Access Point,无线基站)和无线路由器。下面我简单讲一下它们的用途:无线网卡是安装在计算机上,用于计算机之间或计算机与AP、路由器之间的无线连接;无线AP用于信号放大及无线网与有线网的通信,其作用类似于有线网络的集线器或交换机;无线路由器则类似于宽带路由器,除可用于连接无线网卡外,还可直接实现无线局域网的Internet连接共享。下面我就这三种设备组建的常见无线网络模式一一详细介绍。无线网络模式之 Ad-Hoc(点对点)模式:在家庭无线局域网的组建,我想大家都知道最简单的莫过于两台安装有无
23、线网卡的计算机实施无线互联,其中一台计算机连接Internet就可以共享带宽。一个基于Ad-Hoc结构的无线局域网便完成了组建。Ad-Hoc结构是一种省去了无线AP而搭建起的对等网络结构,只要安装了无线网卡的计算机彼此之间即可实现无线互联;其原理是网络中的一台电脑主机建立点对点连接相当于虚拟AP,而其它电脑就可以直接通过这个点对点连接进行网络互联与共享。由于省去了无线AP,Ad-Hoc无线局域网的网络架设过程十分简单,不过一般的无线网卡在室内环境下传输距离通常为40m左右,当超过此有效传输距离,就不能实现彼此之间的通讯;因此该种模式非常适合一些简单甚至是临时性的无线互联需求。另外,如果让该方案
24、中所有的计算机之间共享连接的带宽,比如有4台机器同时共享宽带每台机器的可利用带宽只有标准带宽的1/3。无线网络模式之 “无线AP+无线网卡”模式:“无线AP+无线网卡”模式是我今天介绍的三种方案中最经济实用的类型。AP是Access Point的简称,无线AP就是无线局域网中接入点、无线网关,它的作用类似于有线网络中的集线器。当网络中存在一个AP时,无线网卡的覆盖范围将变为原来的两倍,并且还可以增加无线局域网所容纳的网络设备。无线AP的加入,则丰富了组网的方式。由于技术的发展现在的AP已不再是单纯的连接“有线”与“无线”的桥梁,市场上带有各种附加功能的AP产品层出不穷,这就给目前多种多样的家庭
25、宽带接入方式提供了有力的支持。现在市场上有些无线AP还具有代理服务器功能,借助于ADSL或者Cable Modem等连接,来实现Internet接入共享,当然,这些产品的价格也比较贵一点了。对于有AP接入点的无线局域网需要先配置好AP以及其IP地址,然后再设置无线局域网客户端,使之与无线AP之间建立连接,并添加至相应的AP网络。有接入点无线局域网还可以通过AP上带有的以太网接口接入现有局域网,实现无线与有线的整合。无线网络模式之 “无线宽带路由器+无线网卡”模式:“无线宽带路由器+无线网卡”模式是现在很多家庭都在采用的无线组网模式;这种模式的无线网络可以是一种有线+无线的宽带混合网络。虽然无线
26、网络很自由,但有时候还是会出现信号不太好的事情;此时这种模式的有线网络优势就突现出来了。另外,对于用虚拟拨号软件上网的用户来说,他们再也不需要用电脑充当网关进行虚拟拨号,现在开机就能上网了并且可以永远在线。这种模式和上面的“无线AP+无线网卡”模式相比投入成本提高30%左右,如果大家的经济允许,我推荐大家采用这种模式。对于ADSL新用户我建议在开始安装前最好能够确定一下宽带服务是否已经开通(这可以打电话给ISP处获知,这里提醒大家ISP的技术支持电话最好保存好,在今后可能经常需要用到),然后清点一下无线宽带路由器、网线、无线网卡及其驱动光盘等是否齐全。尤其注意网线的水晶头是否掐的正确。如果您是
27、准备在以前的有线网络上升级那当然就不用前面的准备工作了。第三章 加强家庭网络安全的具体措施3.1 修改用户名和密码 (不使用默认的用户名和密码)一般的家庭无线网络都是通过通过一个无线路由器或中继器来访问外部网络。通常这些路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络,都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及帐号等信息。为了保证只有设备拥有者才能使用这个管理页面工具,该设备通常也设有登陆界面,只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时,制造商给每一个型号的设备提供的默认用户名和密码都是一样,不幸的是,很多家庭用户购买这些设备回
28、来之后,都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面,如果成功则立即取得该路由器/交换机的控制权。第一步:将线路连好,wan口接外网(即ADSL或别的宽带),LAN口接内网即你的电脑网卡,每个路由器都有默认的IP地址,看看说明书就知道,我的192.168.1.1,将自己的电脑IP配置为192.168.1.x ,网关和dns指向路由器,即为192.168.1.1,打开电脑上的Internet Explorer,输入http:/192.168.1.1/,进入路由器的配置界面。第二步:出现
29、如下的登陆界面图3-1,默认帐号与密码都是admin。图3-1无线路由登陆界面 第三步:运行状态,显示我们路由器当前内、外网的信息。图3-2运行状态第四步:单击系统工具里的修改登录口令,输入新的用户名和密码,保存即可。图3-3修改用户名密码界面3.2 使用加密所有的无线网络都提供某些形式的加密。之前我跟大家提过,攻击端电脑只要在无线路由器/中继器的有效范围内的话,那么它很大机会访问到该无线网络,一旦它能访问该内部网络时,该网络中所有是传输的数据对他来说都是透明的。如果这些数据都没经过加密的话,黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密,这样即使你在无线
30、网络上传输的数据被截取了也没办法(或者是说没那么容易)被解读。目前,无线网络中已经存在好几种加密技术。通常我们选用能力最强的那种加密技术。此外要注意的是,如果你的网络中同时存在多个无线网络设备的话,这些设备的加密技术应该选取同一个。3.2.1 在无线路由器上启用WEP加密第一步:将线路连好,wan口接外网(即ADSL或别的宽带),LAN口接内网即你的电脑网卡,每个路由器都有默认的IP地址,看看说明书就知道,我的192.168.1.1,将自己的电脑IP配置为192.168.1.x ,网关和dns指向路由器,即为192.168.1.1,打开电脑上的Internet Explorer,输入http:
31、/192.168.1.1/,进入路由器的配置界面。第二步:出现如下的登陆界面,默认帐号与密码都是admin。图3-4登陆界面 第三步:运行状态,显示我们路由器当前内、外网的信息。图3-5运行状态第四步:单击无线参数中的基本设置,先开启安全设置,在标有安全类型的一行,选择WEP。在密钥格式中选择16进制,输入密钥,点击保存。记下这个密钥。在你点了保存设置后,此前连接到该无线路由器的任何计算机将失去连接。这是正常的,因为你已经修改了他们与无线路由器之间的通信方式,但是你还没有告诉它们要使用什么安全密钥来访问无线路由器。图3-6无线参数基本设置3.2.2 在无线路由上启用WPA加密 第一步:进入无线
32、路由器的运行界面,单击无线参数,单击基本设置,选择开启安全设置,选择WPA-PSK,选择安全选项WPA-PSK,选择加密方法,输入PSK密码。在标有组密码更新周期的地方,输入多长时间该密钥将更新。图3-7无线参数基本设置3.3 修改默认的服务区标识符(SSID)通常每个无线网络都有一个服务区标识符(SSID),无线客户端需要加入该网络的时候需要有一个相同的SSID,否则将被“拒之门外”。通常路由器/中继器设备制造商都在他们的产品中设了一个默认的相同的SSID。例如linksys 设备的SSID 通常是“linksys”。如果一个网络,不为其指定一个SSID 或者只使用默认SSID 的话,那么任
33、何无线客户端都可以进入该网络。无疑这为黑客的入侵网络打开了方便之门。第一步:进入无线路由器的运行界面,单击无线参数,单击基本设置,把其中默认的SSID号修改掉即可。并且在SSID广播这个选项上不要打钩。图3-8无线参数基本设置3.4 禁止SSID广播在无线网络中,各路由设备有个很重要的功能,那就是服务区标识符广播,即SSID 广播。最初,这个功能主要是为那些无线网络客户端流动量特别大的商业无线网络而设计的。开启了SSID 广播的无线网络,其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID 号,无线网络客户端接收到这个SSID 号后,利用这个SSID 号才可以使用这个网络。但是,这
34、个功能却存在极大的安全隐患,就好象它自动地为想进入该网络的黑客打开了门户。在商业网络里,由于为了满足经常变动的无线网络接入端,必定要牺牲安全性来开启这项功能,但是作为家庭无线网络来讲,网络成员相对固定,所以没必要开启这项功能。第一步:进入无线路由器的运行界面,单击无线参数,单击基本设置,不要在允许SSID广播上打钩即可。图3-9无线参数基本设置3.5 设置MAC地址过滤众所周知,基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC 地址,当然无线网络设备也不例外。所有路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC 地址。通常,许多这类设备都提供对MAC 地址的操作
35、,这样我们可以通过建立我们自己的准通过MAC 地址列表,来防止非法设备(主机等)接入网络。但是值得一提的是,该方法并不是绝对的有效的,因为我们很容易修改自己电脑网卡的MAC 地址。第一步:进入无线路由器的运行界面,单击无线参数,点击MAC地址过滤。图3-10运行状态第二步:在无线网络MAC地址过滤设置中,选择开启MAC地址过滤功能。如果家里只有一台电脑上网,我们可以选择禁止列表中生效规则之外的MAC地址访问本无线网络。在添加新条目中,把主机的MAC地址填上去,选择类型允许,状态生效即可。图3-11无线路由MAC地址过滤设置第三步:返回无线路由器运行界面,单击安全设置,点击防火墙设置,开启防火墙
36、,开启MAC地址过滤,在缺省过滤规则中,选择仅允许已设MAC地址列表中已启用的MAC地址访问INTERNET。图3-12无线路由防火墙设置3.6 为网络设备分配静态IP由于DHCP 服务越来越容易建立,很多家庭无线网络都使用DHCP 服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患,那就是接入网络的攻击端很容易就通过DHCP 服务来得到一个合法的IP。然而在成员很固定的家庭网络中,我们可以通过为网络成员设备分配固定的IP 地址,然后再在路由器上设定允许接入设备IP 地址列表,从而可以有效地防止非法入侵,保护你的网络。第一步:进入无线路由器的运行界面,单击DHCP服务器,点击静态地址
37、分配,在添加新条目中,手动输入本机的MAC地址和IP地址,状态生效,保存即可。图3.13-3.14无线路由静态IP地址分配3.7 隐藏你的路由器和中继器无线网络路由器或中继器等设备,都是通过无线电波的形式传播数据,而且数据传播都有一个有效的范围。当你的设备覆盖范围,远远超出你家的范围之外的话,那么你就需要考虑一下你的网络安全性了,因为这样的话,黑客可能很容易再你家外登陆到你的家庭无线网络。此外,如果你的邻居也使用了无线网络,那么你还需要考虑一下你的路由器或中继器的覆盖范围是否会与邻居的相重叠,如果重叠的话就会引起冲突,影响你的网络传输,一旦发生这种情况,你就需要为你的路由器或中继器设置一个不同
38、于邻居网络的频段(也称Channel)。根据你自己的家庭,选择好合适有效范围的路由器或中继器,并选择好其安放的位置,一般来讲,安置再家庭最中间的位置是最合适的。第四章 家庭网络案例安全设计4.1 关于无线路由器的安全设计以我的家庭为例子,我选用的是无线网络,那就需要设置无线路由器。第一步:将线路连好,wan口接外网(即ADSL或别的宽带),LAN口接内网即你的电脑网卡,每个路由器都有默认的IP地址,看看说明书就知道,我的192.168.1.1,将自己的电脑IP配置为192.168.1.x ,网关和dns指向路由器,即为192.168.1.1,打开电脑上的Internet Explorer,输入
39、http:/192.168.1.1/,进入路由器的配置界面。第二步:出现如下的登陆界面图,默认帐号与密码都是admin。如图4-1图4-1无线路由登陆界面第三步:运行状态,显示我们路由器当前内、外网的信息。如图4-2图4-2运行状态第四步:单击系统工具里的修改登录口令,输入新的用户名和密码,保存即可。如图4-3图4-3修改用户名密码界面第五步:进入无线路由器的运行界面,单击无线参数,单击基本设置,选择开启安全设置,选择WPA-PSK,选择安全选项WPA-PSK,选择加密方法,输入PSK密码。在标有组密码更新周期的地方,输入86400秒该密钥将更新。如图4-4图4-4无线参数基本设置第六步:进入
40、无线路由器的运行界面,单击无线参数,单击基本设置,把其中默认的SSID号修改掉即可。并且在SSID广播这个选项上不要打钩。如图4-5图4-5无线参数基本设置第七步:进入无线路由器的运行界面,单击无线参数,点击MAC地址过滤。在无线网络MAC地址过滤设置中,选择开启MAC地址过滤功能。因为家里只有一台电脑上网,我们可以选择禁止列表中生效规则之外的MAC地址访问本无线网络。在添加新条目中,把主机的MAC地址00-21-00-38-D1-B4填上去,选择类型允许,状态生效即可。如图4.6图4-6无线路由MAC地址过滤设置第五章 家庭网络未来展望随着宽带和电脑的普及,数字家庭的技术也日益成熟,将来会有
41、更多的家用电器实现数字化并与网络连接。我们可以通过网络从网上图书馆下载可在各种设备如MP3播放机、电视机和PC上享用的个人想要的内容;自动识别来客,把门廊的灯打开;具Java支持能力的空调设备在有问题时能自动向制造厂家发送电子邮件,还允许用户远程控制家中的空调提前开放并通过手机向它发送指令,调节温度;通过网络监控随时了解家庭的安全状况;我们甚至可以通过联网的冰箱来订购需要的食品;还可通过数字家庭网络接入一个小区公共门户,进行网上购物、检查个人邮箱、发送电子邮件和预订住宅区公共设施等等;电视与宽带的结合已经成为实现,家庭网络的技术已经走向成熟, 并且不是很遥远的事情。现在,无论是家庭设备供应商和
42、服务提供商正在朝着这一方向前进。未来3C融合趋势就是保证家庭内IT、消费电子设备、电信终端设备的持续有效工作,和家庭内部3c设备的互联与信息共享。IT技术已经深刻地改变了我们的工作方式,生活的数字化革命即将来临。随着芯片技术的进步、Pc和互联网的普及,数字家庭网络离我们的生活越来越近。它不仅涉及IT业,同时也涉及传统的家电业,这一技术革新所孕育的巨大商机,对于在薄利的死亡线上苦苦挣扎的ITIJ造商和家电制造商们来说,意义不言而喻。结 论本文对当下家庭网络的现状进行了阐述和分析,在家庭网络不断高速发展的今天,绝大多数的家庭网络都存在安全隐患,怎样解决这些难题成为了很多家庭的首要难题。未来的几年,
43、将是IP宽带用户网发展和家庭网络普及的上升期, 随着全球IT界的3C (Computer、Communication、consumer)融合趋势,计算机与消费电子产品供应商、通信设备商、互联网增值服务提供商将同网络运营商一同打造增值的新宽带价值链,家庭网络的相关标准和规范也将逐步走向成熟,为这一目标的实现提供基础保障。在宽带网络完成最后一公里接入之后,随着家庭网络的普及,多种多样的终端设备将逐步完成宽带最后一公尺的延伸,将更多更好的应用和服务推送到用户桌面。不管数字家庭网络采用何种技术和接口,数字家庭网络的时代必将到来。 本文通过两种最流行的家庭网络类型无线网络和以太网,提出了多种简单易学的安
44、全措施以保护家庭网络免遭外来的入侵,希望对大家有所帮助。致 谢本论文是在指导老师陈军的悉心教诲指导下完成的,在整个毕业设计期间,得到了导师的认真指导和帮助,导师的严谨学风和渊博学识使本人受益匪浅,在此表示诚挚的敬意和由衷的感谢。同时要感谢分院领导和老师给我们提供了良好的环境和热心指导。 感谢在百忙中评阅论文和参加答辩的各位领导和老师,由于首次作家庭网络安全的架构,错误、漏洞一定不少,望各位老师不吝赐教。 最后感谢母校给与本人深造的机会。参考文献1 陈丽能,徐挺,孙慧平,楼土明.毕业综合实践导引M.杭州:浙江摄影出版社,2004. 2王宝会,王大印,范开菊等编著.计算机信息安全教程M. 北京:电
45、子工业出版社,2006.3杨波.从信息安全角度看家庭网络发展现状M.甘肃:甘肃联合大学信息技术中心,2007,3.4姚琼,孙鹏,倪宏.数字家庭网络技术发展现状研究与展望J.北京:中国科学院声学研究所国家网络新媒体研究中心,2009,2.5杨金秀.试论新媒体的核心竞争力J.浙江:今传媒,2008,7.6 MC.M.Ellison.家庭网络安全J.浙江:互联网信息技术期刊,2002,5.7姜国强,王育欣,李琳琳编著.家庭网络安全相关技术研究M.沈阳:沈阳广播电视大学,2009,5.8徐海,杨士元.家庭网络的网络通信研究J.江苏:计算机应用研究,2004,5.9彭海清 冯涛 童登金.家庭网络的关键技术、业务及标准M.北京:电信科学,2004,11.10徐军.家庭网的设计与实施M.江苏:江苏省南通市教育技术装备站,2003,6.40
