regsvr32 Oleaut32.dll
regsvr32 Actxprxy.dll
regsvr32 Mshtml.dll
regsvr32 Urlmon.dll
regsvr32 Msjava.dll
regsvr32 Browseui.dll

如以上几种方法还是没用的话不妨检查一下网关，也许问题就出在这儿，

在本地连接里打开TCP/IP协议选项--高级TCP/IP设置，检查一下默认网关有没有，如没

有添加一下，OK！

1.首先新建一个文本文件.txt，然后将下面的注册表代码复制到文本文件里

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\添加到QQ表情]
@="C:\\Program Files\\Tencent\\QQ2009\\Bin\\AddEmotion.htm"
"contexts"=dword:00000002

2.要注意修改你QQ的路径。如果你的QQ装在C盘，以上代码就不用变，如果你装在其他盘，就把下面这行的C:改为你QQ所在的盘。

@="d:\\Program Files\\Tencent\\QQ2009\\Bin\\AddEmotion.htm"

3.最后，将文本另存为扩展名为 .reg的文件，或者保存后重命名，比如QQ.reg，然后双击导入。接着只要重启动浏览器，以后在图片上单击右键，就可以直接把图片存为QQ表情了。

　　以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正逐渐地得到普及和广泛。随着应用层次的不断深入，应用领域开始从传统的、小型业务系统逐渐向大型、关键业务系统扩展，比较典型的如政府部门业务系统、金融业务系统、教育科研系统等。
　　与此同时，这股强劲的Internet旋风也以惊人的速度渗透到银行、证券等金融行业的各个方面。各金融企业之间的竞争也日益激烈，主要是通过提高金融机构的运作效率，为客户提供方便快捷和丰富多彩的服务，增强金融企业的发展能力和影响力来实现的。为了适应这种发展趋势，银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作，以提高银行的竞争力，争取更大的经济效益。而实现这一目标必须通过实现金融电子化，利用高科技手段推动金融业的发展和进步，网络的建设为银行业的发展提供了有力的保障，并且势必为银行业的发展带来巨大的经济效益。目前银行主要应用有：储蓄、对公、信用卡、储蓄卡、IC卡、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统等。但是我们应该意识到事务的两面性，随着应用的不断增加，网络安全风险也会不断暴露出来。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失。而且由于银行属于商业系统，都有一些各自的商业机密信息，如果这些机密信息在网上传输过程中泄密，其造成的损失将是不可估量的。所以金融业网络安全方案的解决不容忽视。

第二章 银行网络安全需求

　　通过以上对银行网络系统应用与安全风险分析，我们提出防范网络安全危险的安全需求：
　　1) 采用相关的访问控制产品及控制技术来防范来自不安全网络或不信任域的非法访问或非授权访问。
　　2) 采用加密设备应用加密、认证技术防范信息在网络传输过程中被非法窃取，而造成信息的泄露，并通过认证技术保证数据的完整性、真实性、可靠性。
　　3) 采用安全检测技术来实时检查进出网络的数据流，动态防范各种来自内外网络的恶意攻击。
　　4) 采用网络安全评估系统定期或不定期对网络系统或操作系统进行安全性扫描，评估网络系统及操作系统的安全等级，并分析提出补救措施。
　　5) 采用防病毒产品及技术实时监测进入网络或主机的数据，防范病毒对网络或主机的侵害。
　　6) 采用网络备份与恢复系统，实现数据库的安全存储及灾难复。
　　7) 构建CA认证中心，来保证加密密钥的安全分发及安全管理。
　　8) 应用安全平台的开发，针对银行特殊的应用进行特定的应用开发。
　　9) 必须制定完善安全管理制度，并通过培训等手段来增强员工的安全防范技术及防范意识。

第三章 网络安全解决方案

　　3.1.1网络结构安全
　　网络结构布局的合理与否，也影响着网络的安全性。对银行系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、安全保密程度进行合理分布，以免局部安全性较低的网络系统造成的威胁，传播到整个网络系统。
　　3.1.2加强访问控制
　　1) 如果银行系统有上Internet公网的需求，则从安全性考滤，银行业务系统网络必须与Internet公网物理隔离。解决方法可以是两个网络之间完全断开或者通过物理安全隔离卡来实现。
　　2) 网结构合理分布后，在内部局网内可以通过交换机划分VLAN功能来实现不同部门、不同级别用户之间简单的访问控制。
　　3) 内部局域网与外单位网络、内部局域网与不信任域网络之间可以通过配备防火墙来实现内、外网或不同信任域之间的隔离与访问控制。
　　4) 根据企业具体应用，也可以配备应用层的访问控制软件系统，针对局域网具体的应用进行更细致的访问控制。
　　5) 对于远程拔号访问用户的安全性访问，可以利用防火墙的一次性口令认证机制，对远程拔号用户进行身份认证，实远程用户的安全访问。
　　3.1.3安全检测
　　由于防火墙等安全控制系统都属于静态防护安全体系，但对于一些允许通过防火墙的访问而导致的攻击行为、内部网的攻击行业，防火墙是无能为力的。因此，还必须配备入侵检测系统，该系统可以安装在局域网络的共享网络设备上，它的功能是实时分析进出网络数据流，对网络违规事件跟踪、实时报警、阻断连接并做日志。它既可以对付内部人员的攻击，也可以对付来自外部网络的攻击行为。
　　3.1.4网络安全评估
　　黑客攻击成功的案例中，大多数都是利用网络或系统存在的安全漏洞，实现攻击的。网络安全性扫描分析系统通过实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略，根据扫描结果配置或修改网络系统，达到增强网络安全性的目的。操作系统安全扫描系统是从操作系统的角度，以管理员的身份对独立的系统主机的安全性进行评估分析，找出用户系统配置、用户配置的安全弱点，建议补救措施。
　　3.2.1安全认证
　　银行系统在解决网络安全问题肯定要配备加密系统，由于要加密就涉及到密钥，则密钥的产生、颁发与管理就存在安全性。我们都知道密钥的发放一般都是通过发放证书来实现。那么，证书的发送方与接收方如何确认对方证书的真实性，因此，就引入了通过第三方来发放证书，即构建一个权威认证机构（CA认证中心）。银行系统可以联合各专业银行一同构建一个银行系统的CA系统。实现本系统内证书的发交与业务的安全交易。随着网络经济的发展，慢慢可以升级为和其它系统CA的交叉认证。
　　3.2.2病毒防护
　　提起病毒的危害，我想很多人都会为之震惊。CIH、爱虫等真让IT界恐慌一时，病毒侵害小的引起死机影响工作、大的可能引起系统瘫痪（彻底摧毁数据）。病毒的防护必须通过防病毒系统来实现，银行系统中业务网络操作系统一般都采用UNIX操作系统，而办公网络都为Windows系统，因此，防范病毒的入侵，就应该根据具体的系统类型，配置相应的、最新的防病毒系统。从单机到网络实现全网的病毒安全防护体系，病毒无论从外部网络还是从内部网络中的某台主机进入网络系统，通过防病毒软件的实时检测功能，将会把病毒扼杀在发起处，防止病毒的扩散。
　　3.3.1加密传输
　　要保护数据在传输过程中不被泄露，保证用户数据的机密性，必须对数据进行加密。加密后，数据在传输过程中便是以密文传输，既使被入侵者截获，由于是密文形式，也读不懂；即使加密后的数据存在被破译的可能性，但现行密码算法的密钥都在64位以上，解密工作并不容易，需要花费相当的资金、时间。等到破译，也许这种信息已经没有什么价值了。数据加密的方法有从链路层加密、网络层加密及应用层加密。链路层加密机主要根据企业采用链路协议（Frame Relay、X。25、DDN、PSTN），采用相应类型的加密机；网络层加密由于是在网层上，因此它对链路层是透明的，与链路是何种协议无关；应用层加密主要适用于具有的加密需求，针对具体的应用进行开发。不同企业可以根据自身网络特点及应用需求选择合适的加密方法。对于银行系统，由于系统庞大，采用电信网络链路协议有Frame Relay、X.25、DDN、PSTN等多种链路，如果采用链路加密，采必须采用多种类型的加密机，这样对一个系统来说，就会给产品维护、升级等带来一定的困难；对于应用层加密，在网上银行应用比较广泛，网上银行针对公网用户，其数据在公网上传输不可能使用链路层或网络层加密设备，只能通过应用层加密来实现，应用层加密可以采用SET协议或者SSL协议，通过B/S 结构完成网上交易的加密及解密。因此，对银行普通业务系统，我们建议采用网络层加密设备，来保护数据在网络上传输的安全性。而对网上银行、网上交易等业务系统可以采用应用层加密机制来加密，以保护数据在网上传输的机密性。

 3.3.2信息鉴别
　　保护数据的完整性、真实性、可靠性也是网络系统安全防护的一个重要方面。数据在传输过程中存在着被非法窃取、篡改的安全威胁，为此，为了保证数据的完整性，就必须采用信息鉴别技术。VPN设备便能实现这样的功能，其实现过程：原始数据包到达VPN设备时首先对数据进行加密并用HASH函数对数据进行HASH运算产生信息摘要与加密后的数据一同发出去，数据包到达目的方的VPN加密设备后，先对加密的密钥对对数据包进行解密，然后用HASH函数对解密后的数据进行HASH运算，也产生信息摘要，把这个信息摘要与收到的信息摘要进行对比，由于进行HASH运算后产生的信息摘要可以被认为具有唯一性，所以，如果这两个信息摘要完全相同，则说明解密的数据是完整的原始数据，否则说明数据在传输过程中已经被修改过，失去的完整性。
　　数据源身份认证也是信息鉴别的一种手段，它可以确认信息的来源的可靠性。数据源身份认证的实现是通过数字签名技术。数字签名基本原理是发送方利用自已的私钥对信息进行加密（签名）后发送给对方，对方收到信息后用发送方的公钥进行解密，如果通顺利解成明文这说明信息来源是可信的，否则证明信息来源是不可靠的。同时采用数字签名技术达到防抵赖目的。
    对于银行系统，由于其行业的特殊性，在网上传输信息都是重要信息。因此，结合传输加密技术，我们可以选择VPN设备，实现保护数据的机密性、完整性、真实性、可靠性。
　　3.3.3信息存储
　　对银行系统主要是数据库的安全，由于各地银行系统都是采用客户/服务器模式，数据都集中存在一个大型数据库系统中，因此数据库的安全尤其重要。保护数据库最安全、最有效的方法就是采用备份与恢复系统。备份系统可以保存相当完整的数据库信息，在运行数据库主机发生意外事故时，通过恢复系统把备份的数据库系统在最短时间内恢复正常工作状态，保证银行业务系统提供服务的及时性、连续性。
　　3.4应用开发
　　银行系统由于职能的特殊性，可能会存在其特殊的应用，而要保护其应用的安全性，并不是市场上的那些通用产品都能满足，必须通过详细了解，分析，进行有针对性地开发，量体裁衣，才能切实让用户用得放心。
　　3.5管理安全
　　我们知道网络安全实现并不完全取决于技术手段，管理安全是网络安全真正得以维系的重要保证。管理安全银行系统安全制度的制定、国家法律、法规的宣传以及提高企业人员的整体网络安全意识。
　　3.6安全服务
　　网络安全是动态的、整体的，并不是简单的安全产品集成就解决问题。随着时间推移，新的安全风险又将随着产生。因此，一个完整的安全解决方案还必须包括长期的、与项目相关的信息安全服务。安全服务包括：全方位的安全咨询、培训；静态的网络安全风险评估；特别事件应急响应。
　　3.7安全目标
　　· 保护网络系统的可有性
　　· 保护网络资源的合法使用性
　　· 防范入侵者的恶意攻击与破坏
　　· 保护信息通过网上传输的机密性、完整性及不可抵赖性
　　· 防范病毒的侵害
　　· 实现网络的安全管理

第四章 典型应用实例

　　我们举一个比较典型的银行网络应用系统。如下图示：整个网络纵向覆盖全国各省市、区县；而横向也与许多单位连接。我们针对这样的网络来举例说明如何解决其网络安全问题。

4.1访问控制
　　1) 银行有连接Internet公网的应用需求，出于安全，把银行系统中业务网及内部有涉密信息的办公网与有上Internet公网需求的子网完全物理隔离。使它们是两组完全互相独立的网络，防止因上公网而造成的安全问题危及到需保护的网络。
　　2) 对内部办公系统中不同部门或不同安全级别的用户组利用交换机划分虚拟子网技术划分不同子网，对局域网内部做到较简单的访问控制。
　　3) 在各级银行内部网主交换机与本系统纵向网互连的边界路器之间安装防火墙系统，防火墙可以做到隔离不同网络，并防范外部网络非法访问及恶意攻击。
　　4) 对远程拔号访问内部网用户可以充分利用防火墙系统的一次性口令认证机制来对访问用进行安全的身份检查，只有通过认证才可进行访问，而且由于采用一次性口令机制，所以，这样防护措施安全强度相当高。
　　5) 在各级银行内部网主交换机与电话局、水电局、证券、保险等外单互连的边界路器之间安装防火墙系统，防火墙做到隔离不同网络，并防范外部网络非法访问及恶意攻击。
　　4.2信息传输
　　为了保护数据信息从发起端到接收端传输过程的安全性，在每一级网络配备的防火墙系统与边界路由器之间配备网络层加密机，由于网络层加密设备可以实现网关到网关的加密与解密，因此，在每个有重要传输数据的网点只需配备一台网络层加密机。利用加密技术以及安全认证机制，保护信息在网络上传输的机密性、真实性、完整性及可靠性。
　　而针对银行系统网上银行、网上交易业务，可以在应用层采用SET或SSL协议进行应用层加密，并通过数字签名等技术保证网上交易数据的机密性、完整性及不可抵赖性。
　　4.3安全检测
　　防火墙的安全保护是属于静态安全防护，其功能及作用范围也是有限的，不可能做到全面的防护。入侵检测技术是防火墙的有利补充。因此，在总行、各省市、区县行中存放有业务数据库或者是存放有涉密信息的网络，配备一套入侵检测系统，通过实时监测进出网络的数据流，一旦发现不安全的访问行为，并依据策略采取相应的处理手段（阻断、报警等）。做到既防范外网的攻击，又能防范内部网发起的攻击。

7.再切换到数据包视图，发现客户端（192.168.0.88）的确存在和220.167.29.102的通讯。
奇怪了，为什么192.168.0.88会主动和220.167.29.102进行通讯呢，会不会是有人在伪造数据包呢？为确定是否存在伪造数据包的情况，我强制显示数据包的IP层摘要信息，在图2所示的数据包视图中，单击右键，在弹出的菜单中选择“数据包摘要->IP摘要”，查看这些数据包IP层的信息，如图4。


图片附件: packet2.gif (2006-4-21 14:35, 41 K)


（图4　通过IP层摘要查看220.167.29.102的伪造数据包）
从图4可知，TCP三次握手的服务器返回数据包（编号2）的生存时间是48，而第5个数据包的生存时间却是119，同一个服务器返回的两个数据包生存时间差别如此之大，表示它们经过的路由存在较大的差异，这与正常通讯的状态明显不符，由此我们怀疑编号为5的数据包可能是某个主机伪造的。
查看该数据包的解码（图4中间，红色圈住部份），发现该数据包是由220.267.29.102发起的，这表示220.267.29.102主动向192.168.0.88发起了一个欺骗数据包，双击第5个数据包，打开该数据包的详细解码窗口，如图5。


图片附件: packet3.gif (2006-4-21 14:35, 21.84 K)


（图5　220.167.29.102伪造的数据包的详细解码信息）

从图5解码信息中可知，该数据包的TCP标记中，同时将确认位、急迫位、终止位置为1，这表示这个数据包想急于关闭连接，以防止客户端（192.168.0.88）收到服务器（www.colasoft.com）的正常响应，它这样做的目的是获取客户端（192.168.0.88）传输的数据信息，其获得的信息如图4中的右下角红色圈住部份，这是一个base64的编码信息，其具体的信息我会在后面进行详细说明。
8.由于客户端（192.168.0.88）被220.167.29.102伪造的数据包5欺骗，所以它向服务器（www.colasoft.com）确认并发送一个关闭连接请求的数据包，也就是第6和第7这两个数据包
9.第9和第10这两个数据包，也是220.167.29.102伪造的重置连接数据包，它的目的是欺骗客户端（192.168.0.88）关闭连接。
10.接着，客户端（192.168.0.88）主动向220.167.29.102发起TCP的三次握手，即第8,11,12这三个数据包，以和220.167.29.102建立连接。
11.13,14,15,17这几个数据包，是客户端（192.168.0.88）和220.167.29.102之间的数据通讯。从第15这个数据包的解码中，可以清楚地看到220.167.29.102将重新将访问重定向到www.colasoft.com，从而让客户端（192.168.0.88）向www.colasoft.com再次发起页面访问请求，以让客户端（192.168.0.88）完成正常的网页访问，其解码如图6。


图片附件: packet4.gif (2006-4-21 14:36, 37.54 K)


（图6　220.167.29.102向192.168.0.88发起的数据包）
12.        16,18,19是客户端（192.168.0.88）向服务器（www.colasoft.com）发起三次握手数据包。
13.        20,21,22是三次握手成功后，客户端和服务器正常的HTTP通讯数据包，也就是传递客户端所请求的页面，这里是www.colasoft.com。
14.        查看会话，选择TCP，发现此次的网页访问共连接起了3个连接，如图7。这三个连接的TCP流重组信息分别如图7,8,9，通过流的重组信息，我们也可以较为清楚地看到客户端和服务器（www.colasoft.com），以及客户端和220.167.29.102之间的数据通讯信息。


图片附件: stream1.gif (2006-4-21 14:38, 27.06 K)


（图7　此次网页访问产生的三个TCP连接及第一个连接的TCP流信息）
图7中，客户端（192.168.0.88）向www.colasoft.com发起GET请求，但从服务器端返回的数据可知，返回服务器是220.167.29.102，且带了一串base64编码的参数， “ABcHJvdmluY2VpZD04Jm随机删除部份MTIwNDExJnNvdXJjZXVybD13d3cuY29sYXNvZnQuY29tLw==”，
对其进行反编译后的内容如下：“provinceid=8&cityid=2&classid=1000541&username=adsl拨号用名&sourceurl=www.colasoft.com/”
注意：上面的红色删除部份和adsl拨号用户名已经过笔者更改。
这里很清楚了吧，220.167.29.102主动欺骗客户端让客户端告诉220.167.29.102自己的相关信息。客户端在收到此请求后，由于不知道被欺骗，所以它会立即主动和220.167.29.102建立连接，并发送相关信息给220.167.29.102，从而导致信息被电信监控，让电信可以轻易的知道我们的网页访问情况。



（图8　220.167.29.102欺骗客户端的TCP流信息）
图8即客户端（192.168.0.88）主动向220.167.29.102发起的连接，并告知其相应的信息。在图中的下面我们可以看到，220.167.29.102在收到相应的信息后，再次强客户端的请求重定向到www.coalsoft.com，即用户需要访问的页面。


图片附件: stream3.gif (2006-4-21 14:40, 27.32 K)


（图9　客户端和www.colasoft.com第二次连接的TCP流信息）
图9即是客户端在被220.167.29.102欺骗后，再次向www.colasoft.com发起GET请求，且服务器正常返回数据的信息，这让电信在不知不觉中完成了对用户网页访问的监控。
至此，访问www.colasoft.com的过程全部分析完毕。从该分析中，我们明白了电信监控我们普通用户访问网页的具体方法，其访问流程如图10所示。
  

图片附件: 访问流程.gif (2006-4-21 14:41, 15.25 K)


（图10　客户端实际的访问流程图）
1.客户端主机（192.168.0.88）向www.colasoft.com发起正常的访问网页请求。
2.监控服务器（这里是220.167.29.102，不同地方该服务器可能不同）就立刻向客户端发起一个伪造数据包，这个数据包的源地址被伪造成客户端请求的服务器地址，同时该数据包的内容是预先设定好的。
3.客户端主机在收到该数据包后，以为是服务器端返回的，于是它根据收到的伪造数据包的要求，主动向220.167.29.102发起连接，并向220.167.29.102传输一些客户端的私人敏感信息，如客户端的拨号用户名、访问的网址、NAT内网主机数等信息。
4.220.167.29.102再次将访问重定向的指令发给192.168.0.88。
5.客户端根据第4步中收到的指令，再次向www.colasoft.com发起正常的访问网页请求。
6.www.coalsoft.com将客户端请求的页面传给客户端（192.168.0.88），让客户端成功完成网页访问。
以上便是电信网页访问监控原理的简单分析过程，注意实验的环境是内部通过NAT方式，并使用ADSL拨号上网，对于其它的连接方式以及其它的ISP接入，由于没有相应的环境，并未进行测试。

中国网络分析论坛　菜鸟人飞
2006年4月21日

图1

　　使用无线漫游覆盖结构具有以下优势：

　　增加覆盖范围，实现全场覆盖；
　　使众多终端用户的负载平衡；
　　可以动态扩展，系统可伸缩性大；
　　对用户完全透明，保证覆盖场内服务不间断。

　　由于多个AP信号覆盖区域相互交叉重叠，因此，各个AP覆盖区域所占频道之间必须遵守一定的规范，邻近的相同频道之间不能相互覆盖，也就是说，相互覆盖区域的无线AP不能采用同一频道，否则会造成AP在信号传输时相互干扰，从而降低AP的工作效率。在AP可用的11个频道中，仅有3个频道是完全不覆盖的，他们分别是频道1、频道6和频道11。利用这些频道作为多蜂窝覆盖是最合适的。另外，用于实现无线漫游网络的无线AP必须使用同一网络名称（SSID）、同一网段的IP地址，否则无线客户端将无法实现漫游功能。
　　
　　●网络安全的设置

　　与双绞线和光纤等有线接入方式不同，只要处于无线网络的覆盖范围之内，就可以接收到无线网络信号，并接入无线网络。因此，为了确保无线网络的安全，必须采用一定的安全措施。通常情况下，可以采用WEP加密和IEEE 802.11认证方式进行安全认证和数据加密传输。另外，还可以在无线AP中设置MAC地址过滤。

　　3.无线AP位置的选择

　　在选择无线AP的位置时，应当注意以下几个方面：

　　第一，无线AP的位置应当相对较高。无线信号是直线传播的，每遇到一个障碍物，无线信号就会被削弱一部分，尤其是金属物体，更是无线信号的杀手。将无线AP置于相对较高的位置，可以有效地消除无线AP与无线网卡之间的固定的或移动的遮挡物，从而能够保证无线网络的覆盖范围，保障无线网络的畅通。

　　第二，无线AP应当尽量居于厂房的中央。由于无线AP的覆盖范围是一个圆形区域，所以，只有将无线AP置于厂房中央，才能保障厂房内的每个位置都能接收到无线信号，从而有效地接入无线网络。无线网络能够自动调整传输速率，以适应复杂的网络环境。离无线AP越近，无线信号越强，抗干扰能力越大，传输速率也就越高。反之，离无线AP越远，无线信号就越弱，抗干扰能力越差，传输速率也就越低。

　　第三，不要穿过太多的墙壁，尤其是浇注的钢筋混凝土墙体。实验表明，在10米的距离，无线信号穿过两堵砖墙后，仍然可以达到标称的最高的传输速率，但再穿过一层楼板后，传输速率将只有标称速率的一半了。可见，钢筋混凝土墙体会极大地削弱无线信号，因此，如果厂房是两层或两层以上建筑，建议在每一层楼都单独设置一个无线AP，以保证本楼层内能够覆盖无线信号。另外，如果厂房的隔间比较多，那么，应当保证无线AP与无线客户端之间不超过两道墙。否则，就应当考虑安装多个无线AP，以保证无线信号的强度。无线AP之间，需要借助于以太网络连接在一起。也就是说，应当为一个无线AP布设一条双绞线，并借助于交换机或其他集线设备，将这些无线AP连接在一起。

　　第四，多无线AP的覆盖范围应当重叠。随着距离的延长，无线信号将越来越弱，传输速率也不断下降。因此，为了保证有足够的网络带宽，就必须使每个无线AP的覆盖区域有少量的重叠，如图2所示。只有覆盖范围少许重叠后，才能尽可能多地减少无线电波的盲区，使无线网络覆盖到整个厂房。

建筑物之间的无线方案

　　由于厂房与厂房之间，以及厂房与办公大楼之间的距离均比较远，考虑到有效传输距离、网络安全和避免雷击等方面的因素，采用光纤连接无疑是最佳方案。然而，光纤设备和光纤铺设都需要较多的资金，所以，如果对传输速率要求不是很高，也可以采用无线方式进行连接。

　　1.拓朴结构

　　如果只有一个厂房，那么，厂房与办公大楼可以各安装一个室外无线网关，实现彼此之间点对点的连接（图3）。需要注意的是，两座建筑物上的无线天线彼此必须是可视的，也就是说，两个无线天线之间不能有任何阻挡物，否则，将导致通讯失败。因此，无线天线应当架设在楼顶最高位置。

图3

　　当三个或三个以上建筑物彼此相邻时，可以在每幢建筑物上均安装一个室外无线网关，实现点对多点的无线连接方式（图4）。

图4

　　在办公楼内，由于绝大多数计算机都采用以太网接入方式，因此，只需要将无线网关的以太网接口连接至局域网集线设备即可。如果在办公楼内也安装有无线AP，也应当全部接入局域网的集线设备，从而实现无线网络与以太网的连接，并通过无线网关实现与厂房计算机间的通讯（图5）。

　　在厂房内，也需要借助于一台交换机将无线AP与室外无线网关连接在一起（图6），实现无线AP之间的通讯，并通过无线网关实现与其他厂房和办公楼的通讯。

　　2.设备

　　采用点对点连接方案时，需要使用室外无线网关和室外定向天线。这时需要注意的是，一定要采用定向天线。由于定向天线可以将电波集中传输到一个方向，所以，能够提高无线信号的强度，实现无线网络间的稳定连接。

　　采用点对多点连接方案时，各建筑物都需要一个室外无线网关，但使用的无线天线并不相同。其中，办公楼应当采用全向天线，而各厂房应当使用定向天线。

　　3.设置

　　在点对点连接方式中，将办公楼的无线网关设置为“Master”，厂房的无线网关设置为“Slave”，从而实现两个无线网关间的通讯。在点对多点无线网络中，则必须将其中办公楼的无线网关设置为“Master”，而所有厂房的无线网关均设置为“Slave”。需要注意的是，必须将无线网关设置为“一主一从”或“一主多从”才能实现网络之间的连接。

　　无线客户端的设置只与建筑内的无线AP有关，与网络之间的连接没有任何关系。因此，客户端的设置与单独接入点的网络完全相同。

　　无线设备的选择

　　从标准上看，市场上充斥着IEEE 802.11b、IEEE 802.11a、IEEE 802.11g和IEEE 802.11b+四种标准的无线网络产品，它们的通信速率和价格都相差较大，而且彼此之间的兼容性并不很好，因此，用户应当根据经济实力和网络需求选择适当的产品。

　　IEEE 802.11b提供11 Mbps的最大带宽，技术最为成熟，产品最为廉价，应用也最为广泛。综合考虑产品的性价比和稳定性，建议选择IEEE 802.11b产品。

　　另外，从品牌上看，无线网络设备也大致分为三大阵营。第一阵营是美国产品，如Cisco、3Com等厂商，它们的产品品质优良、工作稳定、管理方便，但价格居高不下，普通用户很难承受。第二阵营是台湾地区的产品，如 D-Link、ACCTON等，作为美国公司的OEM厂商，它们的产品制作工艺及产品性能不错，性能价格比高。第三阵营是大陆产品，如清华比威、TP-LINK等厂商的产品，质量不错，价格也比较便宜。