远离危险 无线网络“隐身”两招

随着Internet网络普通及，智能型手持式装备也越来越多地得到应用，笔记本电脑、PDA、手机等产品已经成为必备的外出工具了，如今移动办公已成新趋势。现在，出差在外的企业员工、商务人士，已经开始运用VPN技术从远程实时存取企业资源与应用，据全球知名市场调查公司IDC分析，2006年，全球移动与远程工作者的人数已激增至1亿5千万以上。

面对如此大的市场应用，应用安全则显得尤为重要需要。据有使用经验的人士指出，能兼顾安全、便利的联机方式，是提升远程工作的最佳考虑。移动用户大多不具备专业的网络安全技术，一旦设定环节出现问题，便要耗费许多精力解决；所以，经常遇到有问题需要解决时，没有办法应对，因而拖延了工作效率。因此，在安全联机的基础之下，“安全、便利”成了移动用户们最关注的话题。

据笔者观察，目前市场上能兼顾安全、便利两要素的移动用户VPN解决方案，共有SSL VPN与VPN客户端密钥两种类型。前者强调移动用户只要可以上网，即可安全联机到总部；后者强调移动用户只要插入一把U盘大小的客户端设备，简单输入密码即可快速作VPN安全联机。两者对于移动客户端而言，几乎都具备“零配置”的优势，但基于不同的协议，在应用层面上会产生不同的效果。下面，就以侠诺科技新近推出的SSL VPN及QnoKey密钥产品为例，向二者的应用特点大家进行简单介绍：

一、SSL VPN客户端应用优势

1、零客户端配置

SSL VPN是通过所有标准浏览器内建的SSL / HTTPS安全的传送数据，因此移动用户不需费力的在公司的笔记本电脑中安装与设定客户端软件，只要可以上网的地方，就可以使用。

2、区隔于不同权限

SSL VPN另外一个特色在于可在管理端上，设定不同使用者有不同的权限，因此非常适合想要区分移动用户使用的权限范围的企业。比如技术人员、业务人员、管理阶层人员，可使用不同的权限应用，对于数据安全管理上，有更上一层楼的保护。

虽然SSL VPN在安全、便利上具有很强大的优势，但由于取得SSL VPN协议比较昂贵，以前多半使用在大型企业。不过，近年来随着网络应用技术的不断进步，SSL VPN风潮也逐渐吹向中小企业，出现了许多适合中小企业应用的SSL VPN。因此对于短中期有扩张需求的中小企业来说，简单易操作、安全系列，并且价格适中的SSL VPN的确是不错的选择。

图一是Qno侠诺SSL VPN客户端应用界面，在应用设计上以极简风格，更加突显了其“安全”与“简易”的两大特性，值得推荐。

图一：Qno侠诺 SSL VPN客户端使用界面

据Frost & Sullivan提供的研究报告预计，到2010年亚太区基于“应用交付”技术的市场收入将突破10亿美元。伴随互联网用户的逐渐成熟和用户需求的进一步细化，应用交付产业的市场被不断放大。就2007年而言，在互联网发展、统一通信和各种安全技术的助推下，应用交付产业的发展势头颇为强劲。

行业需求强劲带动应用交付产业稳定发展
互联网的迅猛发展在便利人们生活的同时，也为金融行业和电子商务领域的从业者提出了更高的要求。而奥运的临近和人们日常出行观念的改变给各种电子售票系统增加了巨大的负载压力。

1、证券市场的火爆使应用交付厂商在金融领域大展拳脚
伴随国内股市的连续上涨和大规模网上交易的增长，证券公司的网络交易系统承载了大范围的金融网上应用，原有的网络系统已无法及时充分满足所有用户的需求响应，交易系统急需配置更稳定、更大容量的网上交易系统，以使用户的交易更为顺畅、便捷。

国内著名的兴业证券、华夏基金、深圳中投和财富证券等基金公司，在注意到股市火爆和网上交易大幅增长时，迅速为其系统服务器采用了Radware的高端负载均衡解决方案，以构建安全、稳定、高效的硬件平台，提升证券公司网上交易的安全性和交易效率。牛市的到来给2007年的股市注入了强大动力，而应用交付厂商则在这场牛市的风云变幻中，扮演了非常重要的角色。Juniper、Cisco、F5、Citrix等厂商也纷纷中标国内知名证券公司，为国内证券市场的繁荣添砖加瓦。

2、电子商务巨头关注挖掘服务器潜能和防止DOS/DDOS攻击
随着近年全球化和电子商务的逐步发展，企业IT系统的应用越来越外延，用户越来越多、公司盈利健康增长的同时，客户服务的稳定性、需求的及时响应和交易的安全性保障成为电子商务网站建设的重点。在全局/本地IP应用负载均衡、应用层攻击和防DOS/DDOS攻击方面拥有独特优势的厂商则在该领域有着出色表现。

Citrix指出：应用交付基础架构的建立可以保障新增的业务系统的可用性，维持企业的业务优势，更可以确保IT架构的易管理性、降低IT投资的总体拥有成本。2007年底，Radware则推出全新应用交付解决方案AppXML，帮助用户解决当前Web服务与SOA部署的困难和挑战，提升Web服务安全与性能。融合了APSolute应用交付平台和业内领先的XML Sentry软件强大的功能，AppXML可帮助企业优化Web性能并提供高度安全保障。业界有评论认为：AppXML联合了Radware与Forum System的独特优势，将为金融、电信和电子商务等机构组织提供更具竞争力的解决方案，并使这些行业收益匪浅。重新建立的应用交付标准将使客户的需求得到更快速的响应，同时也获得更可靠的安全保障。

颇具代表性的是，国内著名电子商务网站阿里巴巴通过采用Radware应用交付解决方案保证了其全球用户的高可用性和快速响应，并通过该集成方案实现了实时的防DOS/DDOS攻击，对所有网络资源进行密切的监视以确保端到端业务操作的正常进行。

3、公共设施纷纷升级系统以应对假日购票热潮
2007年10月，北京奥组委启动第二阶段奥运会门票预售后，公众纷纷抢在第一时间订票，致使票务网承受的压力激增，承受了超过自身设计容量8倍的流量。北京奥组委票务中心主任容军在之后的新闻发布会上指出，从目前境内公众参与购票的趋势和规模来看，票务销售系统必须进行升级和扩容。但是仅仅从技术一个角度去扩容的话，很难估计再次启动的时候是每小时800万次的流量还是更多，因此票务中心将从技术的扩容更新升级和售票政策的必要调整两个方面来综合考虑，制定解决方案。

对此，著名的应用交付解决方案供应商Radware专家分析认为：服务器容量不足、应用加速设备不到位和缓存及带宽管理不充分是目前奥运票务系统存在的主要问题。通过大力改善服务器性能，扩增容量、消除突然的流量骤增而导致的系统崩溃现象，采用高效的应用交付设备和应用加速设备可有效解决该问题。

“思科网助学堂”定义网络公益新模式

Web2.0时代，网络正成为汇聚、释放“爱心”的平台。作为“网聚公益力量”的最佳例证之一，思科中国于2007年3月正式启动第一期思科网助计划，通过三个多月在网络上的物品交换，网助大使们成功地为偏远地区学校筹集了大量的书籍、电脑等教学用品。对此，思科全球副总裁兼大中华区总裁林正刚表示：“网助计划突破了传统的企业拿钱做捐助的办法，通过网络有效聚焦原本分散的力量，让每个参与者都能尽到自己的一份爱心，它成功地完成了我们预期的捐助工作。而这并不是思科探讨创新型公益模式的句号，网助学堂便是下一个全新的开始。”

网助学堂：从物质捐助到知识互换

网助学堂是思科公司继网助计划后推出的又一次创新的公益模式，鼓励大家通过网络为偏远地区的孩子们上传视频分享知识。而偏远山区的学生们也不再是传统意义上的受捐助者，他们也将自己独特的知识和才能通过互联网展现给城市里的人们，从这个角度上说，网络缩小差距，使得知识得以共享，偏远地区的孩子们依靠自己的力量帮助了自己。

通过网助一期计划的实施，活动参与者都认识到：公益将不仅仅局限在物质层面的捐助，有时候精神层面的及时帮助也会是一种公益。在网助活动小组将换物所得的学习物品送到偏远山区孩子们的手中时，一些乡村老师却为没有足够多的、可以在电脑或VCD上演示并真正为孩子们所需要的知识而苦恼：“孩子们目前需要的是能够学习到更多的知识，而我们现在的师资现状还无法满足他们对外面世界的好奇。”孩子们亟需的“爱心”不仅仅是捐来的电脑，他们更需要得到的是来自缤纷世界的内容和知识，只有这些“精神食粮”才能真正为他们开拓眼界，获得有效的教育。

这种对知识的需求呼吁更创新的公益模式，也催生了 “思科网助学堂”。 思科全球副总裁兼大中华区总裁林正刚表示：“思科有义务帮助那些偏远山区的孩子们获得更多有用的知识，这也是思科应尽的企业社会责任的重要一部分。思科网助学堂正是利用网络平台将这种承诺延续下去。”

思科网助学堂将搭建起受捐助的孩子们和捐助者之间的“知识交换”网络桥梁，承载并传送这一段段充满爱心的知识短片。这样，人们可以足不出户，即可将自己的知识分享给孩子们，奉献自己的公益力量，并在这个过程中获得那些看似遥不可及，而对山区孩子们来说却信手拈来的有趣常识。

2008年1月21日，由思科公司联手新浪和中国企业社会责任同盟共同发起的“思科网助学堂”活动正式启动。该活动旨在打造一个基于网络的创新型公益平台，这一公益平台将通过网络汇聚社会各界的力量，并从孩子的实际需求出发，提供平等参与和知识分享的机会，从而创造从物质捐助到精神分享的最佳公益实践。

思科“网助学堂”作为一个提供平等参与和知识分享的平台，实现了传统以物易物网络捐助公益模式在Web2.0时代从形式和内容上的创新和超越：参与者只需要根据孩子们的需求将自己的知识视频或图片上传到指定网络平台即可完成捐助过程。在这个过程中，参与者在贡献出孩子们所需知识的同时，也可以享受到孩子们独特知识带来的乐趣。在这一知识互换中，基于人本网络实现充分互动交流的Web2.0平台特性得以充分体现，同时也让公益捐助更为高效和平等。

在启动仪式上，思科全球副总裁兼大中华区总裁林正刚表示：“进入Web2.0时代，网络已经成为人们相互交流、沟通及协作的平台。网助学堂正是借用网络的这种互动性，搭建起一个公益平台，并把公益捐助从物质层面扩展到知识层面，让公益通过网络更加简单有效，让每个人都能方便参与，奉献爱心。”

思科中国于2007年3月正式启动第一期思科网助计划，通过三个多月在网络上的物品交换，网助大使们成功地为偏远地区学校筹集了大量的书籍、电脑等教学用品。通过网助一期计划的实施，活动参与者都认识到：公益将不仅仅局限在物质层面的捐助，精神层面的及时帮助也会是一种公益。孩子们亟需的“爱心”不仅仅是捐来的电脑，他们更需要得到的是来自缤纷世界的内容和知识。这种对知识的需求呼吁更创新的公益模式，也由此催生了“网助学堂”。

路由器是局域网与Internet之间最重要的网络互联设备。可以这样说，没有路由器就没有互联网。互联网迅速发展，使得小型无线局域网络悄然兴起，用户可以在网上办公、购物等，享受互联网带来的便捷和愉快。不过，就我们享受网络所带来的这些优越性时，包括黑客在内的恶意用户会利用各种手段窃取各种敏感信息，如银行账号、口令等。印度大学的计算机科学系的研究者们最近发布了一份调查报告，其中概括了黑客访问、篡改家庭网络路由器配置的情况，描述了黑客怎样用嵌入到Web页面中的JavaScript登录到路由器超级用户账户，并修改其DNS配置的阴险伎俩。

一旦路由器连接了被黑客控制的DNS服务器，此路由器就可以被用作一个各种恶意需要的跳板，从恶意软件感染到通过“钓鱼”进行用户身份窃取等都会发生。印度大学的报告指出这种攻击并不利用任何浏览器的漏洞，而且，更重要的是，它看起来几乎在任何路由器上都能正常工作，不管什么牌子或型号。

更为有趣的是，这种黑客行为只有在目标路由器的默认管理员口令采用的仍是厂家默认配置的情况下发生。换句话说，只要用户简单地改变了默认口令，用户就会受到保护，因为攻击依赖于这种大家熟知的设备厂商提供的默认口令。

实际上有很多路由器仍采用这种默认口令。其实，许多自动配置的路由器向导并不提示用户修改默认的管理员口令，大多数路由器厂商将设置方法放在菜单中一个不为人注意的地方。这易于造成用户对默认口令疏于管理与改变。

这种特定的攻击情况表明，哪怕是一种看似次要的局部的设置，仍会对安全产生深远的影响。因此，有必要检查一些具体措施，使我们可以确信有线或无线路由器——甚至进一步讲——我们的网络可以达到尽可能的安全。

修改路由器的管理员口令

如前所述，如果你的路由器的口令为"password"、 "admin" 、"1234"或任何其它的默认口令，那你简直就是在自寻烦恼，赶快修改吧！

修改默认的SSID

正如许多用户忽视了修改路由器的口令一样，许多用户还可能保持着默认的无线网络SSID。SSID/ESSID（Service Set Identifier）即“服务组标识符”， 用来区分不同的网络，最多允许有32个字符。无线网卡设置了不同的SSID就可以进入不同网络，SSID通常由访问点广播出来。不过，SSID几乎总可以指明或预示着设备制造商的名称，从而可以推断出其它信息。请放弃使用默认的SSID吧，创建一个自己的SSID，不过要避免使用如家庭住址、生日或姓名等。

关闭SSID广播

广播SSID可将新的无线设备很轻松地连接到你的网络中。但这会将你的网络广播给任何经过无线通信区域的“过路人”，这绝对不是个好主意。关闭这个特性并不会绝对地隐藏你的存在，特别是对那些使用特殊软件的、坚决的闯入者来说更是这样。但是，有越少的人知道你的信息，情况就对你越有利。其实，只要你知道自己的SSID，在设置新设备时你就不会有任何麻烦。

网吧应用在网络应用中属于一种特殊的环境。由于各节点经常同时不间断地在进行浏览、聊天、下载、视频点播和网络游戏，数据流量巨大，尤其是出口流量，来网吧消费的网民，上网的需求各异，应用十分繁杂。这些特殊性决定了网吧对于网络设备的需求有着以下几个共同点：网络应用类型多样化，对网络带宽、传输质量和网络性能提出了更高的要求，但是同时，又不能花费太高的网络成本。广东佛山网吧正是这样的一个典型例子，它拥有约300个用户点，需为用户提供网页浏览、收发邮件、QQ聊天、网络游戏、网络教育、网上电影、网上其它各类服务；同时配备了游戏服务器、电影服务器、VOD点播服务器等，用户可通过局域网玩游戏、看电影等，目前的网络条件已经不足以支撑，需要迅速进行网络设备升级。

打造高性价比网络

华硕作为业界领先的网络设备和方案提供商，正是通过长期以来对网吧行业的深入了解，选用了华硕交换机产品家族中性价比高、功能强大的GigaX 2124X和GigaX1124B作为核心，分别使用1台GX 2124X，16台GX1124B，通过量身定制的核心层＋接入层的两层结构，为佛山网吧提供了高速宽带、高稳定性、高性价比的网络设备，确保了网吧经营的正常运行及用户的极速多媒体网络应用。整个网络的拓扑图如下：

由于佛山网吧规模属于中小型网吧，拥有300个节点，核心层＋接入层的两层结构对于这类型的中小型网吧来说特别合适，不仅免去了多余的转发时间损耗，而且使整个网络能更快的传输数据。但与此同时，这种方案需要核心层的交换机拥有有很高的背板带宽，高速的包转发速度，因为几乎所有数据都会经过核心交换机，如果背板带宽过小，很容易造成交换机宕机。

所以，华硕在此方案中选用了性价比较高的GigaX 2124X，它的背板带宽高达48G，转发速度达到了35.7Mbps, 能够提供24个1000M RJ-45口以及4个SFP的光纤插槽，线缆接入类型灵活，便于服务器及下级交换机的联接；高速背板及线速转发速率保证高速数据转发，消除网络访问瓶颈，视频应用更顺畅，玩游戏更顺手，多种网络应用共存时响应速度也不会变慢；丰富的二层管理功能VLAN、TRUNK、端口镜像、QoS，ACL等，实现网吧区域规划、过滤及安全监控等各方面的需求，保障网络安全；基于WEB的友好管理界面方式，不仅简单明了，而且方便配置和维护；最后，接入层采用了全千兆高性价比的GigaX1124B,从而可以实现千兆到桌面。从此，佛山网吧用户的接入带宽全面提速，可以尽情体验畅通高速的网上冲浪体验。

过年了亲人团聚、回乡探亲，春节是中国人最重要的节日了。随着网络应用的普及化，现代人对于网络需求与应用有越来越多了，根据产业市场动态分析，预计春节期间各地网吧市场将出现更胜往年的盛况荣景。然而，对于网吧业主来说，如何保证在天天客户爆满的情况下，提供客户优质的网络服务与玩家畅游的质量，是最值得下功夫的事情了，过年、生意两不误，相信是所以网吧老板的心声。有着多年客户服务的经验的Qno侠诺工程师们，向广大网吧用户介绍了几点网络防攻击的方法，希望能够帮助用户过一个愉快而轻松的春节。

一般而言，网吧要能维持长时间优质的网络服务，最重要的是能防范内外网的攻击，有效降低内外网被瘫痪的机会，避免造成卡网或当机等网络服务被中断等严重问题。侠诺工程师在这里为大家提供了常见的内网攻击包含ARP攻击、洪水攻击、内网恶意占用带宽者等快速有效的解决方法，以及针对目前新型外网攻击例如机器狗病毒等应对措施，并期望能帮助网吧的网管人员，轻松安心过个黄金鼠年！

一、内网攻击

1、IP / MAC 双项邦定，有效防制ARP攻击 / IP欺骗

对于网吧来说，ARP攻击可以说是一个最常见的攻击模式，自2006年至今已演变为新的攻击方式，使用更高频率的ARP ECHO，超过了用户的ARP ECHO广播。由于发出广播包的次数太多，因此会使整个局域网变慢或占用网关运算能力，发生内网很慢或上网卡的现象。甚至严重时，会经常发生瞬断或全网掉线的情况。而内网IP欺骗是在ARP攻击普及后，另一个紧随出现的攻击方式。攻击计算机会伪装成一样的IP，让受攻击的计算机产生IP冲突，无法上网。这种攻击现象，通常影响的计算机有限，不致出现大规模影响。

要同时解决ARP攻击以及IP欺骗，到现在为止最简单有效的方法仍属于Qno侠诺提出的双向绑定方式。网管人员可预先在每台PC上做好路由器及网吧游戏、电影服务器等IP / MAC绑定，再通过路由器对内网每台PC之IP / MAC进行绑定。如此一来，通过路由器与PC双向IP/MAC绑定，即可有效避免受到ARP攻击与IP欺骗。不过，由于网吧客户端PC关机后，IP/ MAC绑定会自动清除，因此网管若要重新一一进行绑定，确实是一个很沉重的负担，因此PC端可通过建立一个BAT文件@echo / arp -d / arp -s，让用户开机可自动执行IP/MAC绑定，即可有效解决这个问题。

无线网络能否真正融入我们的生活，除了价格、辐射、安全性和兼容性这些因素外，更关键的是在于无线技术是否能满足用户在娱乐和各种应用上的支持。也许对于很多消费者来说，无线技术固然再好、再便捷但是如果不能BT下载，不能流畅地游戏那么它就没有价值。而本文的重点就是向大家介绍如何在WLAN环境下进行合理的BT下载设置，以便获得最佳的使用效果。

也许很多朋友都有这样的感觉，在将自家的有线路由器换成无线路由器以后，BT下载的稳定性和连接速度有了明显的下降，甚至是不能进行BT下载。其实，无论是有线还是无线路由他们的工作原理都基本一样：对内网向外网发出的信息不会进行阻拦，但对来自外部想进入内部网络的信息则会在进行识别、筛选后才会转发给内网电脑，也正是基于此原理，才导致了很多内网BT用户在下载时出现断流和缓慢的现象。当然，对于无线路由器来说，我们还需要进行一些额外的设置才能够获得与有线网络相同的下载效果。

关闭SSID

SSID（ServiceSetIdentifier）一般是由AP或无线路由器广播出来的局域网名称，它的目的是让只有设置为名称相同SSID的值的电脑才能互相通信。

对于BT下载来说，我们建议大家关闭SSID来获得更好的使用你效果。因为，关闭SSID后可以节省带宽的占用率和免除许多网络冗余信息，提高BT的下载速度。 另一方面，关闭SSID后也可以起到对网络保护的作用。关闭SSID广播后，其他用户将无法搜索到你无线设备的SSID，除非他能手动填写出你正确的SSID才能进行连接。

启用加密，控制用户数量

与传统有线路由相比，无线路由器更容易被他人入侵，尤其是没有采用任何加密措施的无线路由，你的邻居将毫不费力的使用你的网络进行下载和其他操作，从而影响你的网络质量。

除了上面提到的关闭SSID，我们还可以通过WEP和WPA这些无线加密手段来对网络进行保护。这里我们建议大家，在其他设置正常的情况下，排除ISP和软件的问题后，您不妨看看是否有人偷偷潜入了您的网络。

使用UPnP功能

UPnP(Universal Plug andPlay，通用即插即用)是因特网及LAN中使用的以TCP／IP协议为基础的技术。通过无线网络上网的用户都是处于内网，为了保证像BT这样的P2P软件正常工作，开启UPnP是必须的，而目前大多数无线路由器都具有此功能。（大多数无线路由器的UPnP默认为关闭，用户可手动开启该功能，重启路由器后即可生效）

2008年1月29日，全球领先的智能网络集成应用解决方案供应商Radware（NASDAQ：RDWR）宣布推出全新的应用交付控制器硬件平台OnDemand Switch，该平台易于通过许可证升级的方式以扩充吞吐能力，提供突破性的性能提升及可扩展性。

为了充分适应不断增长的客户需求，Radware研发并推出了应用交付领域首例可提供按需拓展网络吞吐能力的解决方案，帮助终端用户在无需投入资金来更新现有设备的情况下，轻松提高网络吞吐量。OnDemand Switch使用户只需要进行简单的许可证更新，即可有效提升网络吞吐量，避免不必要的停机所带来的资源浪费。该营运模式为客户提供了无与伦比的灵活性和快速响应能力，同时可配合现有资源来保障网络运行的持续性和稳定性、充分满足业务增长带来的和第四至第七层网络应用的所有需求。

国际著名的市场研究机构IDC数据中心网络副总裁Cindy Borovick表示：“OnDemand Switch的成功推出，意味着Radware可完全满足下一代数据中心在网络应用方面的要求。大中型数据中心的客户将从这个新型、具备高性价比、部署简易的解决方案中获益良多。尤其当他们因业务迅速发展而面临整合现有设备、节能降耗环保和日益增长的Web 2.0等需求时，这一效应将更加明显。”

888.com技术营运副总裁Ziv Oren指出：“结合无懈可击的产品性能和强大的延展性能，OnDemand Switch为Radware应用交付控制器创造出巨大的增值价值。能够轻松提升吞吐量且不需要更换硬件的解决方案恰好满足了我们的需求，这样更能适应我们业务持续增长和保护投资的需要。”

Radware全新的OnDemand Switch平台是信息科技基础建设及商业应用之间的坚实桥梁，能够帮助企业有效控制所有部门的关键业务运营。通过先进的硬件架构优化资源运用，Radware’s OnDemand Switch使应用性能获得最大程度的发挥，并为第四至七层网络提供顶级的可靠性和管理能力。此外，OnDemand Switch提供持续的可用性保障，以及专为远程管理系统而设计的增强安全防护性能，而管理则采用隔离及不阻碍现有带宽的带外管理方式。主要功能包括：

在2007年的网络市场，无线网络堪称热点中的热点。无线技术的发展，推动无线网络应用的普及，越来越多的用户可以借助无线网络，灵活、快捷地访问网络资源。无线市场原本风起云涌，2007，更有新厂商不断加入这块热点区域，其中不乏H3C等已在有线网络市场奠定坚实基础的综合型厂商。

2007：无线网络风景好 引厂商竞争加剧

WLAN的兴起，不仅在一定程度上节约了网络建设的成本，同时实现了更加便捷的网络应用，网络浏览、电子邮件收发、文件下载、日常办公等应用，都可通过无线网络来完成。因此，国内越来越多的企业级用户开始注重无线网络的建设和应用。

专家指出，在广泛的客户群中，诸如教育、医疗等行业的众多用户已经着手搭建无线网络，通过无线网络实现随时随地接入，并开展各种应用。此外，H3C网络产品线副总裁孙德和介绍说，像酒店、机场等场所也有着强烈的移动接入网络需求，尤其是随着2008年北京奥运会临近，指定的酒店、机场、火车站等，必须要提供固定宽带接入，移动通信服务和无线上网全面覆盖，也在一定程度上推动了无线网络建设持续升温。

无线应用的普及化也促使着网络厂商纷纷加大在无线领域的技术和市场投入，意在分享这块越来越厚重的“蛋糕”。最为典型的就是H3C。据H3C网络产品线副总裁孙德和介绍，H3C在2003年就成立了WLAN研发团队，对WLAN技术进行了深入的研究分析，目前拥有专利技术100多项。如今H3C已拥有包括无线插卡、无线控制器、FIT AP、FAT AP系列、无线应用管理平台等在内的系列化无线产品，成为目前极少数能够同时提供FAT AP和FIT AP两套WLAN解决方案的国内厂商。

记者了解到，2007年，H3C在无线网络市场销售业绩超过5000万，WLAN产品累计出货量国内厂商第一名。H3C推出的无线网络解决方案已经在首都国际机场、国家大剧院、北京交通大学、华东理工大学、中国石化、中国石油等众多用户获得广泛应用。

业内人士指出，因为H3C在有线网络的积累，无论是技术方面还是客户资源方面，都有普通无线厂商所无法比拟的优势，而且H3C还通过一体化设备管理、一体化用户管理、一体化安全接入和一体化硬件等方面保证有线无线的一体化，很具有市场竞争力，他的进一步表现值得期待。更有专家评价，H3C在2007年的无线市场就是一匹黑马，它的加入极有可能改变无线网络市场的竞争格局。

2008年1月30日，高性能网络领导厂商瞻博网络公司 (NASDAQ: JNPR)今天宣布推出全新EX系列以太网交换机，把企业高性能网络架构提升到更高水平。EX系列运行的JUNOS 网络操作系统软件由瞻博独家提供，效能强大，为EX系列带来营运简化的同时，也为用户提供电信运营商级别的设备可靠性，更可巩固和整合网络架构，有助高性能企业在网络上加速部署业务所需的应用和服务。EX系列交换机能够改善旧有交换机架构导致的成本、复杂性和风险问题，提升网络的经济效益。

企业不断创新及变化，各种应用和服务的要求也瞬息万变，令企业IT部门面临巨大压力。为满足全球营运和分布式企业的需求，企业信息科技主管要让用户随时随地存取客户价值链上的策略性资产和业务程序；同时为了与新、旧客户和伙伴建立和加强关系，企业要不断投资于先进应用程序和服务，以提升业务灵活性；并要改善安全状况以保护网络内的共享资产。此外，企业信息科技主管还要增加营运效率以提升生产力及利润。然而，许多旧有的网络架构不仅性能和适应能力有限，而且管理昂贵而复杂，令企业难以满足上述要求。

EX系列交换机为高效能企业的高性能网络架构带来营运简化、电信运营商级别的可靠性及系统整合功能等三大效益，因此用户能够为跨境运营的企业解决一系列网络难题，包括，随时随地存取策略性资产、减少网络停顿时间，以及改善共享资产的整体安全状况。瞻博的EX系列交换器能够协助企业减少资产及运营支出，一方面提升网络的经济效益，并可把节省下来的信息科技资源调配至其它创新科技和服务，藉此改善运营效率和提升利润。

冲破限制 达成目标

瞻博的EX系列交换机具有极高成本效益，让高性能企业能够实现当前商业环境所要求的高可用性（High Availability, HA）、统一通讯、整合安全防护及优化营运，还可以满足未来升级的需要。EX系列交换机适用于校园、数据中心及远程办事处等各种规模的环境，而且其丰富功能媲美瞻博核心路由器系列中的专属式电信服务供应商级别硬件和软件架构，可于单个持续运作的网络上支持数据、语音和影像融合。

简化营运：提升创新效率

企业旧有的交换机架构很多时候会混合不同版本的网络操作系统，每当网络加入新功能时，可能会导致无法预测的影响，令整体性能降低。EX系列交换器采用单一供货商提供的模块式JUNOS操作系统软件，不仅功能统一、部署模式一致，再配合共通的配置和管理工具，能够消除不同版本软件所引起的混乱情况，更可以让网络管理人员放心地迅速启动新功能，同时保持网络性能和稳定性，更可以提升创新效率。整个企业网络架构统一采用共通的操作系统，更可减低培训、维护和管理支出，有效节省整体拥有成本。

电信运营商级别的设备可靠性：与业务需求同步前进

高效能企业日益认同高性能的网络是业务成功的关键，因此不能任由网络因为新增功能而提高复杂性、开支及风险，甚至令网络瘫痪。为缓减保安威胁对网络运作的影响，瞻博网络公司的全新EX系列交换机融合统一接入控制（Unified Access Control, UAC）方案，让企业能够通过端对端政策，控制用户存取关键任务应用和企业资产的状况。此外，EX系列交换器可以检查网络异常情况，从而可以线速侦测网络威胁；并可以抽样进行深入封包检查，既可了解应用程序运作情况，同时降低恶意威胁的影响。

2008年1月30日，高性能网络领导厂商瞻博网络公司 (NASDAQ: JNPR)今天宣布推出全新以太网交换机系列（参考相关新闻稿）以扩展其高性能网络架构方案阵容。在瞻博网络公司卓越的技术阵容进一步扩展后，将为该公司带来独特的产品优势，能够协助高效能企业建立反应迅速、可靠的信息科技环境，加速部署相关应用以启动所需服务，在激烈竞争中脱颖而出。

视网络为成功关键，并充满创新观念的企业都明白，现存的旧有网络架构日渐落伍，不但无法追上现在不断提升的业务要求，甚至会带来风险，无法有效地应付需要。旧有网络架构的效能有限，也无法迅速适应不断改变的业务环境，再加上繁复的管理，不仅耗用大量信息科技资源，而且会阻碍创新步伐和减弱竞争优势。

业界研究机构Gartner副总裁及高级分析师Mark Fabbi表示：“支持高性能企业的信息科技部门，需要配合不断改变的应用和服务要求，面对极大压力。现在的网络不再是单纯的基本数据传输渠道，而是讲求以服务启动式网络架构来配合业务重点。网络架构必须可靠及能够简化营运，让企业可以加速部署应用和服务。只有围绕这个理念来设计的方案，才可以满足不断变化的信息科技要求。”

力求完美的系统基础

全球许多要求最严谨的企业，都运行在瞻博网络公司的高性能网络架构之上。这些架构设备包括：顶级 IP 路由平台、以太网交换设备、整合式安全产品，及应用加速方案，结合行之有效的服务和支持，以及业内最具实力的合作伙伴，合力推动和保护网络以及运行于其上的应用。

瞻博网络公司主席及行政总裁 Scott Kriens 表示：“瞻博网络公司全力研发所需技术，为高性能企业带来至关重要的高性能网络架构。在业务表现取决于网络性能的商业环境中，瞻博网络公司为企业提供更好的选择和更紧密的控制，既可更迅速地满足业务要求，同时能够节省成本。”

通过软件带来更佳选择和更紧密操控

JUNOS软件是由瞻博网络公司独家提供的网络操作系统，已经部署于全球逾200家电信服务运营商的网络内，让瞻博网络公司名列高性能网络市场内的领导地位。JUNOS软件经过专门设计，能够改善商业应用的可用性、效能和安全状况，令系统维持不断运作。JUNOS软件版本更新一致，通过单一版本模式，统一整个网络内的各种功能，从而在架设网络功能和升级时减少复杂性、成本和风险，有助为网络运作进行自动化。这些优点令网络管理人员能够节省更多时间来开发所需应用以开拓收益，进一步提升高性能网络的经济效益。

适用于分支办事处至数据中心的顶级IP路由平台

瞻博网络公司J系列路由器为企业、遥距及地区性办事处提供速度达到 Gigabit水平的以太网性能。瞻博网络公司M系列多重服务路由器让企业以单一网络架构融合多个网络，进一步实现高性能网络的基本理念。JUNOS软件支持 J及 M系列路由设备，是瞻博网络高性能网络基建的核心。

一、IP地址盗用方法分析

IP地址的盗用方法多种多样，其常用方法主要有以下几种：

1、静态修改IP地址

对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权机构分配的IP地址，就形成了IP地址盗用。由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改，除非使用DHCP服务器分配IP地址，但又会带来其它管理问题。

2、成对修改IP-MAC地址

对于静态修改IP地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。MAC地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的，它由IEEE分配，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。

另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。

3、动态修改IP地址

对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的IP地址(或IP-MAC地址对)，达到IP欺骗并不是一件很困难的事。

二、防范技术研究

针对IP盗用问题，网络专家采用了各种防范技术，现在比较通常的防范技术主要是根据TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP地址的盗用。

1、交换机控制

解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制：使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入，这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。

草案、标准?消费类电子市场、企业网市场?千元以上的价格、几百元的802.11n无线套装?标准正式颁布前不推802.11n产品，自己抽自己嘴，又宣布进入802.11n市场......临近岁末，802.11n市场给业界呈现的是一个并不令人满意的成绩单。

相比2005年曾有高达100万单位的802.11n芯片出货量，2006年802.11n曾在Wi-Fi路由器产品市场中占据1.4%的市场份额的巨大成绩，在2007年年底之际，曾豪言将在2007年底将取代802.11g、取代有线的802.11n，至今仍然是扑朔迷离。

虽然市场中家庭SOHO类802.11n产品的价格已逼近802.11g产品，虽然802.11n产品的种类已经越来越齐全，虽然曾表态短时间内将不推802.11n产品的企业级厂商也纷纷涉足802.11n市场......

低价策略令802.11n陷入尴尬

在IT、通信领域，价格策略通常是催生市场繁荣发展的利刃，无往不利。但就发展到目前的802.11n市场而言，价格战略并未催生802.11n市场繁荣，而且还在一定程度上还令802.11n提前陷入迷局，甚至十分尴尬。

7月，Linksys首先将802.11n产品价格拉入千元以下，9月，TP-Link更是推广600元左右的802.11n产品套餐，从企业角度本以为能极大地推动802.11n产品的市场普及，但是，事实已经证明此举完全是一败笔。

因为对于消费者而言，目前其对于Wi-Fi应用的认识主要还只是基于无线接入，802.11n并未给最终消费者带来任何实实在在的技术好处，更何况尚未给消费提供更好地应用。此外，对于经销商，低价策略很难让其从802.11n产品市场中获利，相反他还必须耗费更多资源来让消费者认可、接受802.11n产品，加上Wi-Fi产品本来的利润就很薄，结果也就可想而知。

这就不难理解当初TP-Link公司总经理赵佳兴先生所言，“不久的将来，我们再回过头来看看TP-Link对802.11n无线所做的工作，我相信会是一个很正面的评价!”

如今，虽然Linksys、TP-Link、D-Link、SMC、ASUS、Netgear等公司的802.11n产品价格一降再降，但就整个Wi-Fi家庭SOHO类产品市场销售情况而言，802.11n产品远未达所预期的销售量，802.11g产品仍占主流。因为，在目前的市场中802.11n除了技术优势以外，无论是产品价格，还是802.11n正式标准进展等等，802.11n很难令人信服。

于是，我们之前所期待的802.11n市场井喷现象并未发生，相反而且更为严重的是802.11n曾给业界所带来的激情在一步一步的冷却。

其中最为显著的特性表现为，在中国网通、中国电信新近为Wi-Fi运营所进行的产品测试和招标中，对于802.11n只字未提，可见802.11n的失败。

对于大多数企业局域网来说，路由器已经成为正在使用之中的最重要的安全设备之一。一般来说，大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。

经过恰当的设置，边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话，这种路由器还能够让好人进入网络。不过，没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。

在下列指南中，我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙，而不是一个敞开的大门。

1.修改默认的口令

据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称，80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表，以及一个口令的可靠性测试。

2.关闭IP直接广播(IP Directed Broadcast)

你的服务器是很听话的。让它做什么它就做什么，而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中，攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。

参考你的路由器信息文件，了解如何关闭IP直接广播。例如，“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。

3.如果可能，关闭路由器的HTTP设置

正如思科的技术说明中简要说明的那样，HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而，遗憾的是，HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。

虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的，但是，你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器，你一定要确保使用SNMPv3以上版本的协议，因为它支持更严格的口令。

4.封锁ICMP ping请求

ping的主要目的是识别目前正在使用的主机。因此，ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力，你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。

请注意，这样做实际上并不能保护你的网络不受攻击，但是，这将使你不太可能成为一个攻击目标。

如果您对“9步轻松加强路由器安全防护能力”有任何疑问要咨询，或者您对我们专家的解答有任何疑义，请您点击以下的链接提交意向单，我们的编辑和信息化专家将会很快为您做出回答，您提供的信息经过审核后将有机会出现在我们的网页上。

5.关闭IP源路由

IP协议允许一台主机指定数据包通过你的网络的路由，而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是，这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像，或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障，否则应该关闭这个功能。

无线网络与有线网相信比，有更多的安全隐患。因为无线信号不受空间的限制，只需要在其覆盖的范围内，都可以比较轻松的连接上。因此，加强无线网络的安全是一件极为重要的事情。说起安全，每个人都会有自己的解决方法。而在无线网络中，笔者认为除做好常规的安全防范外，还应将网络中的电脑和路由隐藏起来，以避免被入侵者搜索到。

一、隐藏电脑

要让自己的电脑隐身，方法比较多，在这里我们向大家介绍一些常用的方法。

DOS命令法

对于处在局域网里的电脑，我们可以打开命令提示符窗口，然后在提示符下输入“net config server /hidden:yes”，这样即可实现隐身。

取消共享法

打开本地无线连接的属性窗口，在“常规”标签中把“此连接使用下列项目”下的“Microsoft网络的文件和打印机共享”项选中，然后单击“卸载”按钮，将文件和打印共享服务卸载，同样可以起到隐身的作用。

组策略法

对于Windows 2000/XP用户，还可以通过组策略来解决。运行“gpedit.msc”打开组策略，依次找到“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”，在右侧窗口中找到“从网络访问这台计算机”，然后将其中所有的用户都删除即可。

对于Windows XP SP2用户，我们还可以使用防火墙来解决这个问题。黑客入侵，一般都会使用Ping命令判断主机是否在线。对此我们可以让他Ping不通。进入控制面板打开Windows防火墙，切换到“高级”标签，在“网络连接设置”中选中无线连接并单击“设置”按钮，将打开的窗口再切换到“ICMP”，把相关的传入和传出请求都禁止，这样再Ping时将无法判断主机是否在线。

二、隐藏无线路由

很多用户为了方便客户机连接，一般都会启用SSID广播。事实上如果客户端比较固定，那么我们根本不需要，应该将其停止广播，使其处于隐身状态，避免处于信号覆盖范围内的非法计算机接入网络。

不同设备禁用SSID广播的方法大体相同，只需要登录管理界面，然后找到SSID广播设置将其禁用即可。例如我们的无线路由为TL-WR 340G，在登录配置界面后单击左侧的“无线参数”下的“基本配置”命令，在出现的窗口上方输入SSID名称，同时将“允许SSID广播”项取消，最后单击“保存”按钮即可。在禁用SSID广播后，客户端需要连接时，只需要手工添加首先网络并输入SSID名称即可。

虽然说，上面的方法并不能绝对保障无线网络的安全，但是将相应的设备隐藏起来，将可以阻止大部分非法侵入。