湯越

摘要：在無線局域網(wǎng)的使用中，終端接入訪問控制是網(wǎng)絡(luò)安全管理極為重要的環(huán)節(jié)，通過多種控制方式的結(jié)合使用，可以有效消除無線局域網(wǎng)的安全隱患，保障網(wǎng)絡(luò)安全運(yùn)行。文章結(jié)合華為公司設(shè)備介紹了無線局域網(wǎng)幾種常用的接入訪問控制方式。

關(guān)鍵詞：無線局域網(wǎng)；接入訪問；無線控制器；安全

無線局域網(wǎng)（Wireless Local Area Networks，WLAN）技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，其以無線電波作為傳輸介質(zhì)，通信范圍不受環(huán)境條件限制，網(wǎng)絡(luò)傳輸范圍得到拓寬。通過無線局域網(wǎng)，終端用戶可以擺脫有線網(wǎng)絡(luò)的束縛，方便地接入網(wǎng)絡(luò)，并在無線覆蓋區(qū)域內(nèi)自由移動[1]。與有線傳輸介質(zhì)的傳統(tǒng)局域網(wǎng)相比，無線局域網(wǎng)減少了繁雜的網(wǎng)絡(luò)布線，因此大大降低網(wǎng)絡(luò)部署成本。無線局域網(wǎng)具有易于規(guī)劃、安裝便捷、使用靈活等優(yōu)點(diǎn)，已成為一種經(jīng)濟(jì)、高效的網(wǎng)絡(luò)接入方式，隨著企業(yè)信息化應(yīng)用的不斷深入，它將具有廣泛的應(yīng)用前景。

1 無線局域網(wǎng)接入訪問問題

無線局域網(wǎng)由于采用無線電波作為載體，因此任何訪問終端只要在無線電波信號覆蓋范圍內(nèi)，都可成功搜索到無線信號，如果沒有完善的接入訪問控制機(jī)制，無線網(wǎng)絡(luò)資源就存在被非法訪問的危險(xiǎn)。非法用戶可入侵無線局域網(wǎng)，占用網(wǎng)絡(luò)流量，降低網(wǎng)絡(luò)帶寬的利用率，甚至竊取數(shù)據(jù)并對網(wǎng)絡(luò)進(jìn)行攻擊，導(dǎo)致網(wǎng)絡(luò)癱瘓等嚴(yán)重后果。如果一個(gè)企業(yè)的無線局域網(wǎng)未做任何接入訪問控制，為開放式接入方式，就會導(dǎo)致任何訪問終端都可以直接接入并訪問網(wǎng)絡(luò)資源，會對網(wǎng)絡(luò)造成嚴(yán)重的安全隱患。所以對企業(yè)無線局域網(wǎng)而言，必須要有一套保證其安全運(yùn)行的管理維護(hù)措施，針對不同訪問終端進(jìn)行嚴(yán)格的接入訪問控制，是其中一個(gè)極為重要的管理環(huán)節(jié)。

目前華為公司的網(wǎng)絡(luò)通信設(shè)備在國內(nèi)大中型企業(yè)中已被廣泛使用，本文結(jié)合華為公司設(shè)備對無線局域網(wǎng)的接入訪問安全控制問題進(jìn)行討論。

2 無線局域網(wǎng)接入訪問安全控制

為了保障無線局域網(wǎng)接入訪問的安全控制，通常可采用以下幾種方式對無線終端的接入訪問進(jìn)行相關(guān)設(shè)置。

2.1 設(shè)置終端MAC地址黑白名單

通過在無線控制器上配置終端多址接入信道（Multiple Access Channel，MAC）地址黑白名單，添加具有允許或禁止訪問無線局域網(wǎng)的終端MAC地址，當(dāng)無線終端訪問無線局域網(wǎng)時(shí)，無線控制器會根據(jù)名單上的MAC地址進(jìn)行查找匹配，只有符合條件的終端才可以訪問無線網(wǎng)絡(luò)，否則禁止訪問。以華為無線控制器為例，配置白名單列表后，只有匹配白名單列表的終端可以接入無線局域網(wǎng)，其他終端則無法接入；配置黑名單列表后，匹配黑名單列表的終端無法接入無線局域網(wǎng)絡(luò)，其他終端則可以接入。由于企業(yè)內(nèi)部員工的電腦終端MAC地址是可掌控的，建議采用白名單設(shè)置更為安全。

設(shè)置白名單命令如下所示，命令中所列MAC地址為可以合法接入無線局域網(wǎng)的終端MAC地址。

sta-whitelist-profile name 白名單模板名稱

sta-mac MAC地址1

sta-mac MAC地址2

sta-mac MAC地址3

……

此類方法可實(shí)現(xiàn)對無線終端的接入控制，設(shè)置簡便，是一種最基本的安全訪問控制方式。不過終端MAC地址一般需要網(wǎng)絡(luò)管理員手動進(jìn)行管理操作，存在工作量大、網(wǎng)絡(luò)擴(kuò)展能力受限的問題。同時(shí)，這種方法也不是絕對可靠的，它不能阻止所有的惡意攻擊行為，因?yàn)榉欠ㄔL問者可以通過相關(guān)軟件修改終端MAC地址達(dá)到非法訪問無線局域網(wǎng)的目的。

2.2 設(shè)置無線SSID訪問權(quán)限

在企業(yè)的日常工作中，經(jīng)常有臨時(shí)人員來訪，如果授予臨時(shí)人員具有和企業(yè)正式員工相同的內(nèi)網(wǎng)訪問權(quán)限，臨時(shí)人員一旦訪問內(nèi)網(wǎng)，可能會造成內(nèi)部重要信息泄露等問題，會影響到企業(yè)網(wǎng)絡(luò)的安全，也不便于無線局域網(wǎng)的維護(hù)管理，因此，可針對正式員工和臨時(shí)人員分別設(shè)置不同的無線服務(wù)集標(biāo)識（Service Set Identifier，SSID）。SSID為無線局域網(wǎng)服務(wù)集標(biāo)識，可將一個(gè)無線局域網(wǎng)分為多個(gè)子網(wǎng)，從而為每個(gè)子網(wǎng)設(shè)置不同的訪問權(quán)限。例如，為企業(yè)員工建立一個(gè)SSID，名字為HOST，授予HOST訪問內(nèi)網(wǎng)和外網(wǎng)的權(quán)限，企業(yè)員工電腦無線終端通過接入HOST網(wǎng)段訪問網(wǎng)絡(luò)；為臨時(shí)人員建立一個(gè)SSID，名字為GUEST，僅授予GUEST訪問外網(wǎng)權(quán)限，臨時(shí)人員電腦終端通過接入GUEST網(wǎng)段訪問網(wǎng)絡(luò)，這樣即可達(dá)到無線訪問控制管理目的。

在華為無線控制器中，授予GUEST網(wǎng)段訪問權(quán)限可通過設(shè)置訪問控制列表（Access Control Lists，ACL）來實(shí)現(xiàn)，由此限制臨時(shí)人員對內(nèi)網(wǎng)資源的訪問，設(shè)置命令如下所示。

acl name訪問控制列表名稱

rule 5 deny ip source GUEST網(wǎng)段地址 GUEST網(wǎng)段反向子網(wǎng)掩碼destination內(nèi)網(wǎng)網(wǎng)段地址內(nèi)網(wǎng)網(wǎng)段反向子網(wǎng)掩碼

除了在無線控制器做ACL設(shè)置外，網(wǎng)絡(luò)管理員也可以在局域網(wǎng)網(wǎng)絡(luò)出口的路由器或防火墻上，使用訪問控制技術(shù)（如ACL訪問控制列表、防火墻訪問策略等）對無線SSID網(wǎng)段進(jìn)行訪問權(quán)限設(shè)置，同樣實(shí)現(xiàn)對無線終端的訪問權(quán)限控制。此類方法可結(jié)合文中所述的其他接入訪問控制方法一起配合使用效果更好。

2.3 設(shè)置加密安全策略

在無線控制器上設(shè)置加密安全策略，當(dāng)無線終端訪問無線局域網(wǎng)時(shí)，需要輸入預(yù)共享秘鑰進(jìn)行驗(yàn)證，通過驗(yàn)證后方可訪問，從而保護(hù)無線局域網(wǎng)的通信安全。加密安全策略主要包括WEP，WPA/WPA2-PSK，WPA/WPA2-802.1X等多種方式，如表1所示。網(wǎng)絡(luò)管理員可根據(jù)企業(yè)需要，對企業(yè)無線局域網(wǎng)安全要求程度，選擇一種加密安全策略。

WPA/WPA2-PSK采用預(yù)共享密鑰和高級加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）加密認(rèn)證方式，安全性能高，為一種不錯的加密安全策略。在華為無線控制器上，如果采用WPA/WPA2-PSK方式加密，設(shè)置要點(diǎn)依次如下。

（1）創(chuàng)建安全模板，配置WPA2-PSK-AES的安全策略。

security-profile name 安全模板名稱

security wpa2psk pass-phrase 預(yù)共享秘鑰名稱 aes

（2）新建無線業(yè)務(wù)參數(shù)VAP模板，引用已創(chuàng)建的安全模板。

vap-profile name VAP模板名稱security-profile安全模板名稱

（3）將VAP模板通過配置命令下發(fā)到無線AP。

由于加密安全策略在無線終端訪問接入時(shí)要進(jìn)行密鑰認(rèn)證，不失為加強(qiáng)無線局域網(wǎng)安全的一種重要方法，可同文中所述的其他接入訪問控制方法一起配合使用。

2.4 設(shè)置NAC認(rèn)證方式

網(wǎng)絡(luò)準(zhǔn)入控制（Network Admission Control，NAC）認(rèn)證方式能夠?qū)崿F(xiàn)對接入終端嚴(yán)格管控，降低局域網(wǎng)安全風(fēng)險(xiǎn)，因此，該認(rèn)證方式也可在無線局域網(wǎng)上采用。通過部署單獨(dú)的認(rèn)證服務(wù)器，對無線終端的接入進(jìn)行認(rèn)證，保證合法終端入網(wǎng)。當(dāng)終端接入無線網(wǎng)絡(luò)時(shí)，無線控制器和認(rèn)證服務(wù)器結(jié)合使用進(jìn)行終端身份認(rèn)證，根據(jù)認(rèn)證結(jié)果來控制終端的網(wǎng)絡(luò)訪問權(quán)限。

在華為設(shè)備中，認(rèn)證方式包括802.1X認(rèn)證、MAC地址認(rèn)證、Portal認(rèn)證和微信認(rèn)證等，如果采用Portal認(rèn)證方式，需要在認(rèn)證服務(wù)器上部署認(rèn)證門戶網(wǎng)站，當(dāng)終端連接無線局域網(wǎng)時(shí)，無線控制器強(qiáng)制終端先登錄到認(rèn)證服務(wù)器的認(rèn)證門戶網(wǎng)站，要求訪問者輸入用戶名和密碼進(jìn)行認(rèn)證，無線控制器根據(jù)收到的認(rèn)證結(jié)果進(jìn)行識別，只有認(rèn)證成功的終端才允許訪問無線局域網(wǎng)，否則拒絕終端訪問。

NAC認(rèn)證方式側(cè)重于終端接入時(shí)的身份識別認(rèn)證，能禁止非法終端接入，可和文中前述的幾種接入方法結(jié)合使用。2.5設(shè)置無線SSID廣播隱藏?zé)o線局域網(wǎng)在通常情況下會廣播SSID，因此接入終端能直接搜索到可用的無線網(wǎng)絡(luò)，將所有無線網(wǎng)絡(luò)SSID全部顯示出來，容易給非法訪問者提供嘗試非法訪問的機(jī)會。如果將無線SSID的廣播狀態(tài)設(shè)置為隱藏，這樣接入終端就無法通過搜索找到已有的無線SSID，減少了對企業(yè)無線局域網(wǎng)非法訪問機(jī)會。在華為無線控制器中，可通過下列命令對無線SSID設(shè)置為隱藏模式。

ssid-profile name 無線SSID名稱

ssid-hide enable

此方法可減少非法無線終端的接入機(jī)會，設(shè)置簡便，不過由于隱藏了無線SSID廣播，對于合法終端而言，訪問無線網(wǎng)絡(luò)時(shí)則需要網(wǎng)絡(luò)管理員在終端手動添加訪問連接，管理起來較為不便。

3 結(jié)語

企業(yè)無線局域網(wǎng)安全的重要性不容低估，通過加強(qiáng)對終端接入訪問的控制，可防止非法終端對無線局域網(wǎng)的訪問，進(jìn)一步消除網(wǎng)絡(luò)安全隱患，保護(hù)合法終端的利益?？刂茻o線局域網(wǎng)的接入訪問有多種方法，單一的方法有其局限性，可在企業(yè)現(xiàn)有的網(wǎng)絡(luò)環(huán)境中，根據(jù)實(shí)際需要采用多種方法相結(jié)合進(jìn)行設(shè)置，才能有效保障無線局域網(wǎng)絡(luò)的安全運(yùn)行。

[參考文獻(xiàn)]

[1]王順滿，陶然，陳朔鷹.無線局域網(wǎng)絡(luò)技術(shù)與安全[M].北京：機(jī)械工業(yè)出版社，2005.