郭韓英

（杭州輕工技師學院，浙江 杭州 310000）

1 在高校校園構建一個安全的無線局域網(wǎng)

伴隨著終身學習與泛在學習理念的廣泛傳播，教育日益趨向于高度的信息化，數(shù)字化學習如期而至，數(shù)字化校園應運而生，越來越多的學生與教職員工要求能夠隨時隨地地接收各種信息，從而達到提升自我的目標，因此，在高校校園里構建一個綠色安全的無線局域網(wǎng)是必需的，它具有廣闊的發(fā)展前景與空間。

1.1 無線局域網(wǎng)技術概述

1.1.1 無線局域網(wǎng)的概念

無線局域網(wǎng)絡（Wireless Local Area Networks，WLAN）是使用相當便利的數(shù)據(jù)傳輸系統(tǒng)。它是利用紅外線或射頻（Radio Frequency，RF）的技術，取代舊式礙手礙腳的雙絞銅線所構成的局域網(wǎng)絡，提供了在有限覆蓋區(qū)域內的無線連接，是以無線信道作傳輸媒介的計算機局域網(wǎng)，能利用簡單的存取架構讓用戶透過它，達到“信息隨身化、便利走天下”的理想境界。

無線局域網(wǎng)定位于有線網(wǎng)的延伸與重要補充，并逐漸成為計算機網(wǎng)絡中一個至關重要的組成部分，廣泛適用于需要可移動數(shù)據(jù)處理或無法進行物理傳輸介質布線的領域。

1.1.2 無線局域網(wǎng)的優(yōu)點

無線局域網(wǎng)具有高度可移動性，安裝方便快捷，高可擴充性，易于擴展，支持快速增長的用戶需求，可靠性高。由于無線局域網(wǎng)具有多方面的優(yōu)點，所以發(fā)展十分迅速。在最近幾年里，無線局域網(wǎng)已經(jīng)在科研所、軍事場所、醫(yī)院、商店、工廠和學校等不適合網(wǎng)絡布線的場合得到了廣泛應用，逐漸滲透到眾多領域。

1.2 無線局域網(wǎng)的高校校園應用

1.2.1 實現(xiàn)高校校園的無線網(wǎng)絡覆蓋

（1）設計目標。利用高速寬帶無線網(wǎng)絡，把一座校園覆蓋起來，實現(xiàn)全方位立體式無處不在的寬帶通信網(wǎng)絡，使得任何人都可以很快地在任何時間任何地點學習任何內容。以某高校為例，在規(guī)劃設計中，始終秉承高效、穩(wěn)定、安全為總體設計目標，建立了一個以有線網(wǎng)絡骨干為主、無線網(wǎng)絡接入為輔的復合型高校校園網(wǎng)絡。這樣就突破了有線網(wǎng)絡節(jié)點的限制、可以實現(xiàn)多人同時上網(wǎng)，大大地增加了校園網(wǎng)絡的信息點，方便在校師生獲取海量信息，進一步提升學校的信息化水平。

（2）應用范圍。學生的海量無縫資源學習；教師的專家型精細知識體系的獲??；學校規(guī)范化管理的支撐。

（3）方案設計。此例無線網(wǎng)絡的建立是完全基于現(xiàn)有網(wǎng)絡基礎，不會搭建新的網(wǎng)絡架構。無線依托有線。這里我們只考慮室內建筑。室外空曠場所主要依托3G蜂窩式無線通信網(wǎng)，利用的是手機、PDA等便攜式通信設備進行通信。

設計的某高校校園無線網(wǎng)絡拓撲如圖1所示。

圖1 無線網(wǎng)絡拓撲

①核心交換機中加載的無線控制器模塊，集無線安全技術、無線AP管理、完備的接入控制、用戶管理等功能。特別是對無線AP的集中管理配置，均衡各個AP流量。

②接入層交換機，各個大樓部署一定數(shù)量的接入層交換機，上連核心交換機，并做雙鏈路，防止單點故障。接入交換機下連AP。

③AP，即輕型AP也俗稱瘦AP。上連接入層交換機。在各個樓層科學地部署一定數(shù)量的AP，保證樓層任意位置信號良好，防止信號死角，以便用戶自由地游走而保持網(wǎng)絡通暢[1]。

1.2.2 無線集中組網(wǎng)實現(xiàn)

此例采用無線網(wǎng)絡拓撲類型中的基礎結構集中式或中心輻射式拓撲結構（HUB-Based）。在基礎結構拓撲中，固定（有線）基礎結構用來支持移動終端之間和移動終端與固定設備之間的通信。基礎結構網(wǎng)絡通常設計用于較大的無線覆蓋區(qū)域或使用多個基站或接入點的情況。在規(guī)劃與建設一個復合型校園網(wǎng)絡系統(tǒng)時，無線網(wǎng)絡接入技術作為有線網(wǎng)絡的補充手段，應該選擇基礎結構型拓撲結構作為主要選擇。無線組網(wǎng)示意如圖2所示。

圖2 無線組網(wǎng)示意

1.3 高校校園無線局域網(wǎng)絡的安全實現(xiàn)

（1）傳輸安全。

采取服務集標識（Service Set Identifier，SSID）非廣播方式。數(shù)據(jù)的加密，采用WPA或WPA2加密技術，不再使用WEP加密。

WPA優(yōu)點在于：①使用了混合型臨時密鑰而不像WEP使用靜態(tài)永久密鑰。②采用每幀序列計數(shù)器（per frame sequence counters）。

（2）認證控制。

采用802.1x認證體系，802.1x是一種基于端口的認證協(xié)議，是一種對用戶進行認證的方法和策略。端口可以是一個物理端口，也可以是一個邏輯端口（如VLAN）。對于無線局域網(wǎng)來說，一個端口就是一個信道。802.1x認證的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功那么就“打開”這個端口，允許所有的報文通過；如果認證不成功就使這個端口保持“關閉”，即只允許802.1x的認證協(xié)議報文通過。

（3）接入安全。

采用IP+MAC+DHCP控制方式。

只有合法的MAC地址才能獲取與其對應的IP地址，從而接入網(wǎng)絡。非法MAC地址，將被拒絕為其提供IP地址，并阻止其接入網(wǎng)絡。

使用DHCP，計算機將自動聯(lián)系DHCP服務器并且取得適合的新子網(wǎng)的IP地址，使得客戶機在不同子網(wǎng)間移動時不需要重新設置IP地址。

（4）確保鏈路的保密與數(shù)據(jù)的完整性。防止未授權的用戶讀取或更改網(wǎng)絡上傳輸?shù)臄?shù)據(jù)。

（5）偵測和阻斷非法AP接入。

（6）監(jiān)測和阻斷無線攻擊，防止攻擊占用某個接入點的所有帶寬，導致其他用戶的正當接入。

2 當前主流的網(wǎng)絡行為管理系統(tǒng)

網(wǎng)絡行為管理系統(tǒng)是一套架設在互聯(lián)網(wǎng)出口處，對局域網(wǎng)內所有計算機的網(wǎng)絡行為進行規(guī)范和調整的一套系統(tǒng)。

2.1 進行高校校園網(wǎng)絡行為管理的原因

（1）不分時段，不分區(qū)域，非業(yè)務流量肆無忌憚，嚴重占用了帶寬資源。師生利用校園的網(wǎng)絡資源，在寶貴的教學時間里從事網(wǎng)絡游戲、網(wǎng)上聊天、無效下載、網(wǎng)上購物等與學習無關的負效率網(wǎng)絡行為。這些都為師生自身的發(fā)展帶來無法估量的無形和有形的利益損失。

（2）高校公共機房、電子閱覽室等學習區(qū)域網(wǎng)吧化嚴重。

（3）數(shù)據(jù)庫資源超量下載。師生員工對網(wǎng)絡資源無節(jié)制濫用。

（4）上網(wǎng)出現(xiàn)“信息迷航”。師生不知道什么可以做，什么不可以做或者做什么，面對電腦上鋪天蓋地的海量信息無所適從。

（5）師生不良的網(wǎng)上行為。如誤操作，大量現(xiàn)成的網(wǎng)絡鏈接指向各種工具，只要輕點一下鼠標，在一瞬間就可以下載具有毀滅性的攻擊工具；或是惡意行為，對于尋找網(wǎng)絡系統(tǒng)中的脆弱點都有相同的興趣，為了滿足好奇心的驅使進行網(wǎng)絡攻擊。

（6）師生員工對Web內容無法正確有效地識別，遭受網(wǎng)絡欺詐和煩人軟件的侵擾。如一些惡意的灰色軟件（間諜軟件、廣告軟件、垃圾郵件、流氓軟件）和一些黑色軟件所帶來的不良信息（如色情、暴力和一些反動信息）廣泛傳播，為師生員工的身心帶來嚴重不良的影響。

（7）師生員工不受控制的網(wǎng)絡訪問行為。訪問黃色、非法站點，散布非法言論等。無人監(jiān)管，往往在發(fā)生不良后果后才追悔莫及。發(fā)現(xiàn)問題后無法跟蹤到具體的個人。

（8）常規(guī)的病毒問題，網(wǎng)絡病毒泛濫并迅速蔓延。

2.2 當前主流網(wǎng)絡行為管理系統(tǒng)

目前市面上有眾多的網(wǎng)絡行為管理系統(tǒng)，都頗具特色，如表1所示。

從表1我們可以看出，總的來說，網(wǎng)絡行為管理系統(tǒng)都比較關注“網(wǎng)頁過濾”“應用控制”“帶寬管理”“內容審計”這四大核心功能的構建。

目前上網(wǎng)行為管理產(chǎn)品技術層面主要分為協(xié)議識別、管理控制、報表分析。

網(wǎng)絡行為管理技術發(fā)展主要集中在以下4個特性：（1）上網(wǎng)內容過濾的準確性，特別是URL地址庫的及時更新完善。（2）針對不斷涌現(xiàn)的應用協(xié)議識別的完備性，如P2P，IM，音視頻，網(wǎng)游等。（3）信息保密性。防止重要信息通過郵件，IM，BBS，F(xiàn)TP等方式泄露出去。（4）網(wǎng)絡硬件平臺的增強型，通過不斷增強上網(wǎng)行為管理的網(wǎng)絡硬件平臺來保證其性能提升。

網(wǎng)絡行為管理針對的是人與人以及人與網(wǎng)絡間的交互。人是一個不斷發(fā)展變化的個體，這就決定了網(wǎng)絡行為管理的建設也必須是一個動態(tài)、持續(xù)、全方位的過程。通過研究目前的一些網(wǎng)絡行為管理產(chǎn)品，個人認為其發(fā)展趨勢主要有以下幾點：（1）產(chǎn)品的功能更加的完善。多維度的功能實現(xiàn)全方位的網(wǎng)絡行為管理。（2）不斷地自適應網(wǎng)絡的發(fā)展需求，跟隨網(wǎng)絡的發(fā)展而發(fā)展。（3）產(chǎn)品自身的安全性能越來越高。（4）網(wǎng)絡行為管理設計思路超前于網(wǎng)絡用戶，積極引導并規(guī)范網(wǎng)絡用戶上網(wǎng)行為。（5）協(xié)同防火墻、殺毒軟件共同完成網(wǎng)絡過濾凈化，提供安全穩(wěn)定的網(wǎng)絡環(huán)境[2]。

表1 目前市面上的網(wǎng)絡行為管理系統(tǒng)

3 某高校校園無線局域網(wǎng)網(wǎng)絡行為管理系統(tǒng)的框架

3.1 提出一套網(wǎng)絡行為管理理念

網(wǎng)絡行為，根植于人，故網(wǎng)絡行為管理一切要以人為本，把尊重放在第一位，繼而把無效的網(wǎng)絡行為和有害行為降低到最低限度，最終帶來網(wǎng)絡的利益最大化。我們必須通過有效的技術手段來對網(wǎng)絡的應用行為加以規(guī)范管理，對網(wǎng)絡進行合理的利用。

網(wǎng)絡行為管理系統(tǒng)是人、技術、規(guī)章制度的完美結合。它是一種特殊的行政管理的輔助手段。

3.1.1 目的

實現(xiàn)某高校校園嚴格的網(wǎng)絡管理，保證其安全、個性化、實時化。網(wǎng)絡行為管理與高校其他日常業(yè)務運作融為一體，互為支持。以期達到讓全體師生員工能夠不再依賴支架，能夠不斷地主動獨立學習，從而成為一個個自我監(jiān)控學習者，促進個性和社會性的發(fā)展。

3.1.2 策略

制定相應的合理策略。針對不同區(qū)域不同用戶不同部門制定相應合適的策略，滿足個性化和人性化的需要。在充分給予個人網(wǎng)絡行為自由的情況下進行不同程度的相應規(guī)范和約束，安全高效地完成個人價值的提升。

3.1.3 實現(xiàn)功能

進行網(wǎng)絡行為管理，網(wǎng)絡監(jiān)視和網(wǎng)絡控制是兩個重要方面。

（1）網(wǎng)絡流量監(jiān)控。針對不同區(qū)域實現(xiàn)不同的上網(wǎng)流量控制；P2P等非業(yè)務性應用的限制；帶寬管理。從而對網(wǎng)絡效能進行有效的統(tǒng)計、分析和評估。

（2）網(wǎng)絡行為監(jiān)控。嚴格對不同用戶的網(wǎng)絡行為進行規(guī)范管理，主動關注人的網(wǎng)絡行為。

（3）網(wǎng)絡安全審計。能夠對用戶的上網(wǎng)行為內容進行安全的審計，紀錄用戶網(wǎng)絡行為數(shù)據(jù)，過濾用戶網(wǎng)絡行為數(shù)據(jù)，分析用戶網(wǎng)絡行為，從而能夠進行事后追蹤查詢，如有違規(guī)則警懾。

（4）針對所有群體實現(xiàn)用戶有效身份認證和上網(wǎng)權限、責任的管理。

（5）具有良好的可擴充性，能夠滿足學校網(wǎng)絡的不斷發(fā)展需求。

（6）自身相應速度合理，安全性高，網(wǎng)絡運行穩(wěn)定。

（7）能夠進行有害信息的過濾，進行URL過濾、協(xié)議過濾等。

（8）上網(wǎng)時間段控制，如上課工作時間，只允許訪問相關網(wǎng)絡，其他時間開放所有網(wǎng)絡資源，提高有限資源利用率。

（9）報表自動生成，根據(jù)用戶需求，自動生成對流量統(tǒng)計報表、監(jiān)視報表等。

（10）端口級別的控制，進行嚴格的UDP/TCP整個網(wǎng)段的全系列端口級別的控制。

（11）協(xié)議級別的控制，針對網(wǎng)絡協(xié)議進行過濾控制。（12）倡導并輔助網(wǎng)絡用戶，如何安全使用網(wǎng)絡獲取知識，避免誤入歧途、害人害己。

（13）協(xié)同防火墻、殺毒軟件。病毒非法網(wǎng)站是網(wǎng)絡毒瘤，變異速度快，通過聯(lián)動，第一時間發(fā)現(xiàn)并上報，協(xié)同解決，最快速度的“斬殺”毒瘤。

3.2 某高校校園無線局域網(wǎng)網(wǎng)絡行為管理系統(tǒng)模型的建立

本文從教育心理學的角度出發(fā)，構架了某高校校園無線局域網(wǎng)網(wǎng)絡行為管理流程模型。網(wǎng)絡行為管理系統(tǒng)立足于人，以人為本，實現(xiàn)人的行為監(jiān)控和管理，促進人的發(fā)展。

校園，首先與之息息相關的是學習。何謂學習，指的是由經(jīng)驗引起知識和行為上的持久性變化的過程。那么，學生的學習，教師的授課，其他員工的工作都屬于校園學習的范疇。既然是變化，那么就有好的，也有不好的；有自覺的，也有不自覺的。本例趨向于由于人與校園無線網(wǎng)絡環(huán)境的相互作用，導致行動產(chǎn)生改變，從而產(chǎn)生蝴蝶效應。

學習的過程中，做為個體的人，首先必須具備足夠的知識，每個個體需要了解自我特征、自我學習的最佳方法、學習對象、學習任務、學習策略以及所需應用條件等，對自我的認知風格、學習風格、智力等有深入的了解。然后就可以擁有學習的動力了，具備相應的動機，從而確定具有強烈激勵性的目標，一切準備就緒后就可以憑借自我意識自由行動了，我們這里指的是無線局域網(wǎng)網(wǎng)絡行為。這是整個模型的核心部分，我們加入網(wǎng)絡行為管理軟件或是硬件，在知曉嚴格的規(guī)章制度的前提下，利用先進的技術手段，對網(wǎng)絡用戶的行為進行管理，一切都必須由人掌握和實施。主要有網(wǎng)絡監(jiān)控和網(wǎng)絡審計兩部分。實時進行網(wǎng)絡監(jiān)控，對用戶進行管理，如身份信息認證、安全認證、基于角色的動態(tài)授權、準入控制認證、用戶有效身份認證、上網(wǎng)權限管理、訪問策略管理等。我們需要對網(wǎng)絡行為的規(guī)范與內容安全審計過濾，進行上網(wǎng)行為審計和網(wǎng)絡訪問行為審計。生成用戶上網(wǎng)行為的日志，從而進行報表分析。違規(guī)警惕，滿足追蹤查詢需求。審計主要分為數(shù)據(jù)紀錄、數(shù)據(jù)挖掘、數(shù)據(jù)分析、反饋4個步驟。根據(jù)反饋的信息，個人進行行為的反思，看看到底什么是合適的，什么是不合適的，哪些是重要的，哪些是次要的，從而形成全新的個人自我意圖，這個意圖又反過來會影響下一次的網(wǎng)絡行為。個人不斷調整自我的網(wǎng)絡行為，不斷發(fā)展自身素質，不斷自我約束，最后成功地成為一個自我監(jiān)控學習者，達到終極目的。網(wǎng)絡行為流程如圖3所示。

進行網(wǎng)絡行為管理，首先要加強網(wǎng)絡行為的規(guī)范化教育，提高整體的自我控制思想意識。根據(jù)網(wǎng)絡資源用戶的職責，對不同用戶授予不同權限，分開制定用戶應該承擔的責任。加強內部管理，有相應文檔紀錄，日志文件分析系統(tǒng)，建立審計和追蹤系統(tǒng)。

圖3 網(wǎng)絡行為流程

網(wǎng)絡的結構是多維的，但是網(wǎng)絡本身的管理卻是平面的。對網(wǎng)絡用戶的行為進行管理，是由人來掌控的。總體結構如圖4所示，整個的系統(tǒng)都是人與人之間的一個交互過程，網(wǎng)絡用戶通過行為數(shù)據(jù)庫讓網(wǎng)絡管理員知曉管理方面的眾多信息，網(wǎng)絡管理員通過分析數(shù)據(jù)庫里的數(shù)據(jù)能夠對網(wǎng)絡用戶的行為進行監(jiān)控管理。最終達到行為的規(guī)范與和諧。系統(tǒng)需要管理控制臺、數(shù)據(jù)存儲中心、數(shù)據(jù)處理器等部分。

圖4 總體結構

深入了解了學習的整個流程和總體的結構，我們可以更加方便地實現(xiàn)校園無線局域網(wǎng)網(wǎng)絡行為管理，以期達到整個高校校園的安全、綠色、和諧，促進所有師生員工的整體發(fā)展。

[1]吳金龍，洪家軍.網(wǎng)絡安全[M].北京：高等教育出版社，2009.

[2]阿妮塔·伍德沃克.教育心理學[M].陳紅兵，譯.南京：江蘇教育出版社，2005.