基于802.11X 無線網(wǎng)絡(luò)的校園安全體系設(shè)計(jì)

王佳佳　朱曄

摘要：無線校園的普及使得無線網(wǎng)絡(luò)的安全越來越受到人們的重視，而目前的網(wǎng)絡(luò)安全體系主要針對(duì)有線網(wǎng)絡(luò)。該文以某無線校園網(wǎng)絡(luò)環(huán)境為實(shí)際背景，研究了面臨的主要問題并結(jié)合關(guān)鍵技術(shù)給出了一種安全體系設(shè)計(jì)方案，從而增加校園網(wǎng)的安全性，保證了有線無線一體化校園網(wǎng)絡(luò)能夠正常運(yùn)行。

關(guān)鍵詞：無線校園；網(wǎng)絡(luò)安全；安全體系

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）03-0045-02

1 概述

無線局域網(wǎng)（wireless LAN）簡稱WLAN，是利用無線射頻技術(shù)構(gòu)成的網(wǎng)絡(luò)。隨著802.11X協(xié)議的成熟，WLAN也越來越被各行各業(yè)所接受。安裝便捷、使用靈活、性價(jià)比高等特點(diǎn)使得WLAN應(yīng)用廣泛，無線校園已經(jīng)普遍出現(xiàn)了。

我國目前共有高校6000多所，在校生人數(shù)數(shù)以億計(jì)。學(xué)校是傳播新知識(shí)的地方，以有線為主要技術(shù)的校園網(wǎng)已經(jīng)成熟，但是有線網(wǎng)絡(luò)只能滿足人們固定的上網(wǎng)需求，僅僅部署有線網(wǎng)絡(luò)已經(jīng)不能實(shí)現(xiàn)平安校園的目標(biāo)。

2 無線校園安全系統(tǒng)設(shè)計(jì)意義

目前針對(duì)校園網(wǎng)安全體系的研究主要是針對(duì)有線網(wǎng)絡(luò)的[1-3]，而無線校園網(wǎng)絡(luò)在人們的日常生活中起著非常重要的作用，如網(wǎng)絡(luò)課堂教學(xué)、移動(dòng)教學(xué)、科研實(shí)驗(yàn)等。隨著用戶需求的不斷變化，無線校園網(wǎng)絡(luò)也出現(xiàn)了新的需求：虛擬現(xiàn)實(shí)的學(xué)習(xí)環(huán)境、無線活動(dòng)教室、網(wǎng)上視頻點(diǎn)播等，這些無疑使得現(xiàn)有的無線校園網(wǎng)絡(luò)面臨嚴(yán)峻挑戰(zhàn)。本文結(jié)合當(dāng)前無線校園網(wǎng)面臨的普遍問題設(shè)計(jì)了一個(gè)安全體系，構(gòu)建一個(gè)人與網(wǎng)絡(luò)和諧共處的校園。

3 無線校園網(wǎng)絡(luò)面臨的主要問題

隨著無線技術(shù)運(yùn)用越來越廣泛，安全也普遍得到了人們的重視，無線校園網(wǎng)絡(luò)面臨的安全問題主要包括以下幾點(diǎn)：

1）無線接入安全問題

無線信號(hào)是在空中傳播的，不似有線信號(hào)能夠用線纜做保護(hù)，因此可能面臨非法用戶和非法設(shè)備接入竊聽的問題。

2）網(wǎng)絡(luò)安全問題

無線局域網(wǎng)與Internet相連接，因此常見的網(wǎng)絡(luò)安全問題依然肆虐，例如：ARP病毒肆虐，用戶經(jīng)常無法打開網(wǎng)頁；MAC欺騙、ARP欺騙；地址掃描攻擊；偽DHCP服務(wù)器接入等。

3）無線網(wǎng)絡(luò)不穩(wěn)定

關(guān)鍵設(shè)備沒有冗余設(shè)置，POE供電設(shè)備質(zhì)量參差不齊，故障點(diǎn)多，難以維護(hù)等，這些都是無線網(wǎng)絡(luò)不穩(wěn)定的原因。

4）無線信號(hào)不穩(wěn)定

各種無線干擾源的存在以至于AP之間信道干擾嚴(yán)重；終端設(shè)備靈敏度低，信號(hào)時(shí)有時(shí)無；無線帶寬不穩(wěn)定和沒有負(fù)載均衡機(jī)制，容易造成擁塞使得無線信號(hào)不穩(wěn)定。

5）管理分散

無線設(shè)備數(shù)量多、位置分散、應(yīng)用環(huán)境復(fù)雜，不便管理；有線、無線一體化管理問題；無線射頻管理等對(duì)網(wǎng)管人員都是很大的挑戰(zhàn)。

4 無線校園網(wǎng)絡(luò)安全體系設(shè)計(jì)

具體的無線校園網(wǎng)安全體系設(shè)計(jì)如圖1所示：

無線網(wǎng)絡(luò)安全體系按層次設(shè)計(jì)如下：

1）物理層

可采用適當(dāng)?shù)募用芊椒?，如WEP64/128、TKIP、CCMP加密，可升級(jí)支持WAPI加密，達(dá)到防止無線報(bào)文被監(jiān)聽和篡改的目的。

2）邏輯鏈路層

（1）802.1x/PSK/MAC/Portal多種認(rèn)證方式的混合接入，PEAP/TLS/TTLS/SIM多種模式，可升級(jí)支持WAPI認(rèn)證等實(shí)現(xiàn)用戶身份鑒別和安全準(zhǔn)入；

（2）動(dòng)態(tài)下發(fā)用戶的權(quán)限實(shí)現(xiàn)業(yè)務(wù)隔離；

（3）采用熱點(diǎn)用戶隔離能夠限制用戶訪問。

3）網(wǎng)絡(luò)層

（1）安裝合適的無線客戶端，能夠隔離感染病毒和存在系統(tǒng)漏洞的無線客戶端；

（2）安裝無線入侵檢測(cè)系統(tǒng)，能夠檢測(cè)非法設(shè)備和非法用戶的接入，并檢測(cè)和防御網(wǎng)絡(luò)的攻擊；

（3）在無線控制器（Access Control，AC）上統(tǒng)一部署安全策略，能夠避免在大量的無線接入點(diǎn)（Access Point，AP）部署策略；

（4）實(shí)行AC和AP間的CAPWAP隧道上行流量限速，用以防范外界對(duì)AP的數(shù)據(jù)流量攻擊；

（5）配置IPSEC VPN，實(shí)現(xiàn)端到端的安全加密。

對(duì)于部署的設(shè)備而言，AP本地不再保存配置信息 避免設(shè)備丟失造成配置泄漏；AP實(shí)行身份認(rèn)證，并支持AC的冗余。

對(duì)于網(wǎng)管工作人員而言，無線安全策略的統(tǒng)一部署不僅可以減輕工作量、降低復(fù)雜度而且可以提高安全性。非法設(shè)備的檢測(cè)、無線攻擊的告警和規(guī)避以及了解設(shè)備遭受干擾后的信道調(diào)整情況也很重要。

對(duì)于整個(gè)無線校園網(wǎng)絡(luò)的安全體系而言，可以通過采用大容量AC和安全插卡的形式體現(xiàn)。實(shí)現(xiàn)基于業(yè)務(wù)的數(shù)據(jù)識(shí)別，為無線校園網(wǎng)的業(yè)務(wù)開展提供有力的支持。

5 總結(jié)

本文根據(jù)實(shí)際無線校園網(wǎng)絡(luò)環(huán)境，設(shè)計(jì)了一種安全系統(tǒng)，能夠在一定程度上提高校園網(wǎng)絡(luò)的安全性。“三分技術(shù)，七分管理”，無線校園網(wǎng)的用戶還應(yīng)提高自身的安全意識(shí)并嚴(yán)格遵守各項(xiàng)規(guī)章制度，才能夠切實(shí)保證網(wǎng)絡(luò)的安全運(yùn)行。

參考文獻(xiàn)：

[1] 李巧君.虛擬Honeynet在校園網(wǎng)網(wǎng)絡(luò)安全防御中的實(shí)現(xiàn)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2015，24（8）：219-223.

[2] 傅漢柳.校園網(wǎng)絡(luò)安全技術(shù)及防范策略[J].廣西民族大學(xué)學(xué)報(bào)：自然科學(xué)版，2015，21（3）：78-81.

[3] 吳輝明，王彪.對(duì)當(dāng)前校園網(wǎng)絡(luò)信息安全的威脅與防范分析[J].信息通信，2015（7）：148.