企業(yè)無線局域網(wǎng)接入訪問的安全控制

湯越

摘要：在無線局域網(wǎng)的使用中，終端接入訪問控制是網(wǎng)絡安全管理極為重要的環(huán)節(jié)，通過多種控制方式的結(jié)合使用，可以有效消除無線局域網(wǎng)的安全隱患，保障網(wǎng)絡安全運行。文章結(jié)合華為公司設備介紹了無線局域網(wǎng)幾種常用的接入訪問控制方式。

關(guān)鍵詞：無線局域網(wǎng)；接入訪問；無線控制器；安全

無線局域網(wǎng)（Wireless Local Area Networks，WLAN）技術(shù)是計算機網(wǎng)絡與無線通信技術(shù)相結(jié)合的產(chǎn)物，其以無線電波作為傳輸介質(zhì)，通信范圍不受環(huán)境條件限制，網(wǎng)絡傳輸范圍得到拓寬。通過無線局域網(wǎng)，終端用戶可以擺脫有線網(wǎng)絡的束縛，方便地接入網(wǎng)絡，并在無線覆蓋區(qū)域內(nèi)自由移動[1]。與有線傳輸介質(zhì)的傳統(tǒng)局域網(wǎng)相比，無線局域網(wǎng)減少了繁雜的網(wǎng)絡布線，因此大大降低網(wǎng)絡部署成本。無線局域網(wǎng)具有易于規(guī)劃、安裝便捷、使用靈活等優(yōu)點，已成為一種經(jīng)濟、高效的網(wǎng)絡接入方式，隨著企業(yè)信息化應用的不斷深入，它將具有廣泛的應用前景。

1 無線局域網(wǎng)接入訪問問題

無線局域網(wǎng)由于采用無線電波作為載體，因此任何訪問終端只要在無線電波信號覆蓋范圍內(nèi)，都可成功搜索到無線信號，如果沒有完善的接入訪問控制機制，無線網(wǎng)絡資源就存在被非法訪問的危險。非法用戶可入侵無線局域網(wǎng)，占用網(wǎng)絡流量，降低網(wǎng)絡帶寬的利用率，甚至竊取數(shù)據(jù)并對網(wǎng)絡進行攻擊，導致網(wǎng)絡癱瘓等嚴重后果。如果一個企業(yè)的無線局域網(wǎng)未做任何接入訪問控制，為開放式接入方式，就會導致任何訪問終端都可以直接接入并訪問網(wǎng)絡資源，會對網(wǎng)絡造成嚴重的安全隱患。所以對企業(yè)無線局域網(wǎng)而言，必須要有一套保證其安全運行的管理維護措施，針對不同訪問終端進行嚴格的接入訪問控制，是其中一個極為重要的管理環(huán)節(jié)。

目前華為公司的網(wǎng)絡通信設備在國內(nèi)大中型企業(yè)中已被廣泛使用，本文結(jié)合華為公司設備對無線局域網(wǎng)的接入訪問安全控制問題進行討論。

2 無線局域網(wǎng)接入訪問安全控制

為了保障無線局域網(wǎng)接入訪問的安全控制，通常可采用以下幾種方式對無線終端的接入訪問進行相關(guān)設置。

2.1 設置終端MAC地址黑白名單

通過在無線控制器上配置終端多址接入信道（Multiple Access Channel，MAC）地址黑白名單，添加具有允許或禁止訪問無線局域網(wǎng)的終端MAC地址，當無線終端訪問無線局域網(wǎng)時，無線控制器會根據(jù)名單上的MAC地址進行查找匹配，只有符合條件的終端才可以訪問無線網(wǎng)絡，否則禁止訪問。以華為無線控制器為例，配置白名單列表后，只有匹配白名單列表的終端可以接入無線局域網(wǎng)，其他終端則無法接入；配置黑名單列表后，匹配黑名單列表的終端無法接入無線局域網(wǎng)絡，其他終端則可以接入。由于企業(yè)內(nèi)部員工的電腦終端MAC地址是可掌控的，建議采用白名單設置更為安全。

設置白名單命令如下所示，命令中所列MAC地址為可以合法接入無線局域網(wǎng)的終端MAC地址。

sta-whitelist-profile name 白名單模板名稱

sta-mac MAC地址1

sta-mac MAC地址2

sta-mac MAC地址3

……

此類方法可實現(xiàn)對無線終端的接入控制，設置簡便，是一種最基本的安全訪問控制方式。不過終端MAC地址一般需要網(wǎng)絡管理員手動進行管理操作，存在工作量大、網(wǎng)絡擴展能力受限的問題。同時，這種方法也不是絕對可靠的，它不能阻止所有的惡意攻擊行為，因為非法訪問者可以通過相關(guān)軟件修改終端MAC地址達到非法訪問無線局域網(wǎng)的目的。

2.2 設置無線SSID訪問權(quán)限

在企業(yè)的日常工作中，經(jīng)常有臨時人員來訪，如果授予臨時人員具有和企業(yè)正式員工相同的內(nèi)網(wǎng)訪問權(quán)限，臨時人員一旦訪問內(nèi)網(wǎng)，可能會造成內(nèi)部重要信息泄露等問題，會影響到企業(yè)網(wǎng)絡的安全，也不便于無線局域網(wǎng)的維護管理，因此，可針對正式員工和臨時人員分別設置不同的無線服務集標識（Service Set Identifier，SSID）。SSID為無線局域網(wǎng)服務集標識，可將一個無線局域網(wǎng)分為多個子網(wǎng)，從而為每個子網(wǎng)設置不同的訪問權(quán)限。例如，為企業(yè)員工建立一個SSID，名字為HOST，授予HOST訪問內(nèi)網(wǎng)和外網(wǎng)的權(quán)限，企業(yè)員工電腦無線終端通過接入HOST網(wǎng)段訪問網(wǎng)絡；為臨時人員建立一個SSID，名字為GUEST，僅授予GUEST訪問外網(wǎng)權(quán)限，臨時人員電腦終端通過接入GUEST網(wǎng)段訪問網(wǎng)絡，這樣即可達到無線訪問控制管理目的。

在華為無線控制器中，授予GUEST網(wǎng)段訪問權(quán)限可通過設置訪問控制列表（Access Control Lists，ACL）來實現(xiàn)，由此限制臨時人員對內(nèi)網(wǎng)資源的訪問，設置命令如下所示。

acl name訪問控制列表名稱

rule 5 deny ip source GUEST網(wǎng)段地址 GUEST網(wǎng)段反向子網(wǎng)掩碼destination內(nèi)網(wǎng)網(wǎng)段地址內(nèi)網(wǎng)網(wǎng)段反向子網(wǎng)掩碼

除了在無線控制器做ACL設置外，網(wǎng)絡管理員也可以在局域網(wǎng)網(wǎng)絡出口的路由器或防火墻上，使用訪問控制技術(shù)（如ACL訪問控制列表、防火墻訪問策略等）對無線SSID網(wǎng)段進行訪問權(quán)限設置，同樣實現(xiàn)對無線終端的訪問權(quán)限控制。此類方法可結(jié)合文中所述的其他接入訪問控制方法一起配合使用效果更好。

2.3 設置加密安全策略

在無線控制器上設置加密安全策略，當無線終端訪問無線局域網(wǎng)時，需要輸入預共享秘鑰進行驗證，通過驗證后方可訪問，從而保護無線局域網(wǎng)的通信安全。加密安全策略主要包括WEP，WPA/WPA2-PSK，WPA/WPA2-802.1X等多種方式，如表1所示。網(wǎng)絡管理員可根據(jù)企業(yè)需要，對企業(yè)無線局域網(wǎng)安全要求程度，選擇一種加密安全策略。

WPA/WPA2-PSK采用預共享密鑰和高級加密標準（Advanced Encryption Standard，AES）加密認證方式，安全性能高，為一種不錯的加密安全策略。在華為無線控制器上，如果采用WPA/WPA2-PSK方式加密，設置要點依次如下。

（1）創(chuàng)建安全模板，配置WPA2-PSK-AES的安全策略。

security-profile name 安全模板名稱

security wpa2psk pass-phrase 預共享秘鑰名稱 aes

（2）新建無線業(yè)務參數(shù)VAP模板，引用已創(chuàng)建的安全模板。

vap-profile name VAP模板名稱security-profile安全模板名稱

（3）將VAP模板通過配置命令下發(fā)到無線AP。

由于加密安全策略在無線終端訪問接入時要進行密鑰認證，不失為加強無線局域網(wǎng)安全的一種重要方法，可同文中所述的其他接入訪問控制方法一起配合使用。

2.4 設置NAC認證方式

網(wǎng)絡準入控制（Network Admission Control，NAC）認證方式能夠?qū)崿F(xiàn)對接入終端嚴格管控，降低局域網(wǎng)安全風險，因此，該認證方式也可在無線局域網(wǎng)上采用。通過部署單獨的認證服務器，對無線終端的接入進行認證，保證合法終端入網(wǎng)。當終端接入無線網(wǎng)絡時，無線控制器和認證服務器結(jié)合使用進行終端身份認證，根據(jù)認證結(jié)果來控制終端的網(wǎng)絡訪問權(quán)限。

在華為設備中，認證方式包括802.1X認證、MAC地址認證、Portal認證和微信認證等，如果采用Portal認證方式，需要在認證服務器上部署認證門戶網(wǎng)站，當終端連接無線局域網(wǎng)時，無線控制器強制終端先登錄到認證服務器的認證門戶網(wǎng)站，要求訪問者輸入用戶名和密碼進行認證，無線控制器根據(jù)收到的認證結(jié)果進行識別，只有認證成功的終端才允許訪問無線局域網(wǎng)，否則拒絕終端訪問。

NAC認證方式側(cè)重于終端接入時的身份識別認證，能禁止非法終端接入，可和文中前述的幾種接入方法結(jié)合使用。2.5設置無線SSID廣播隱藏無線局域網(wǎng)在通常情況下會廣播SSID，因此接入終端能直接搜索到可用的無線網(wǎng)絡，將所有無線網(wǎng)絡SSID全部顯示出來，容易給非法訪問者提供嘗試非法訪問的機會。如果將無線SSID的廣播狀態(tài)設置為隱藏，這樣接入終端就無法通過搜索找到已有的無線SSID，減少了對企業(yè)無線局域網(wǎng)非法訪問機會。在華為無線控制器中，可通過下列命令對無線SSID設置為隱藏模式。

ssid-profile name 無線SSID名稱

ssid-hide enable

此方法可減少非法無線終端的接入機會，設置簡便，不過由于隱藏了無線SSID廣播，對于合法終端而言，訪問無線網(wǎng)絡時則需要網(wǎng)絡管理員在終端手動添加訪問連接，管理起來較為不便。

3 結(jié)語

企業(yè)無線局域網(wǎng)安全的重要性不容低估，通過加強對終端接入訪問的控制，可防止非法終端對無線局域網(wǎng)的訪問，進一步消除網(wǎng)絡安全隱患，保護合法終端的利益?？刂茻o線局域網(wǎng)的接入訪問有多種方法，單一的方法有其局限性，可在企業(yè)現(xiàn)有的網(wǎng)絡環(huán)境中，根據(jù)實際需要采用多種方法相結(jié)合進行設置，才能有效保障無線局域網(wǎng)絡的安全運行。

[參考文獻]

[1]王順滿，陶然，陳朔鷹.無線局域網(wǎng)絡技術(shù)與安全[M].北京：機械工業(yè)出版社，2005.