◆何儒鋒

校園無線局域網(wǎng)的安全保障策略研究

◆何儒鋒

（河源市衛(wèi)生學(xué)校 廣東 517000）

近年來，隨著無線局域網(wǎng)技術(shù)及相應(yīng)產(chǎn)品的漸趨成熟，無線局域網(wǎng)在各行各業(yè)的應(yīng)用越來越普及，各個學(xué)校的也基本實現(xiàn)了“有線+無線”模式的校園網(wǎng)絡(luò)全覆蓋，但由于無線局域網(wǎng)的開放性卻使這種模式的校園網(wǎng)面臨了不少新的安全挑戰(zhàn)，對此本文將從分析校園無線局域網(wǎng)的安全隱患入手，探討如何實施安全策略來保障校園網(wǎng)的安全。

數(shù)字化校園；無線局域網(wǎng)；安全隱患；安全保障策略

1 引言

目前，我們早已步入了信息化社會，進(jìn)入了互聯(lián)網(wǎng)時代，越來越多的學(xué)校也建設(shè)了數(shù)字化校園，校園網(wǎng)已成為是在校師生獲取學(xué)校資源和信息的主要途徑，特別是無線局域網(wǎng)技術(shù)及無線客戶端的普及，讓師生在校內(nèi)可以隨時隨地訪問校園網(wǎng)資源及獲取互聯(lián)網(wǎng)資源，為學(xué)校的教學(xué)、管理和科研等工作提供了極大的幫助及便利。

但是，由于校園環(huán)境的開放特點，常常會有很多訪客甚至是一些無關(guān)人員進(jìn)入到校園網(wǎng)絡(luò)覆蓋范圍內(nèi)，如果這些未授權(quán)人員可以任意的通過無線網(wǎng)絡(luò)的方式接入校園網(wǎng)，必然會對校園網(wǎng)絡(luò)的完全構(gòu)成威脅，在日常生活中也常會出現(xiàn)由于管理不當(dāng)，安全意識薄弱等原因?qū)е碌男畔⑿孤兜仁录?。這就需要我們對校園網(wǎng)內(nèi)的無線局域網(wǎng)存在的安全隱患有清晰的了解，并針對性實施無線局域網(wǎng)的安全保障策略來保障我們的校園網(wǎng)絡(luò)的安全。

2 無線局域網(wǎng)的安全隱患

無線局域網(wǎng)技術(shù)是以無線廣播信號為基礎(chǔ)的網(wǎng)絡(luò)通信技術(shù)，這種技術(shù)天然具有開放性的特點，使用戶能非常方便地接入網(wǎng)絡(luò)，但這種便捷性同時也給校園網(wǎng)絡(luò)的安全保障帶來了不小的安全挑戰(zhàn)。與有線網(wǎng)絡(luò)相比，無線局域網(wǎng)主要面臨以下安全威脅：

首先，由于無線網(wǎng)絡(luò)信號天然具有的開放性，使無線用戶客戶端不用與無線局域網(wǎng)發(fā)生實際上的物理連接，未授權(quán)的非法用戶只需要使用與無線局域網(wǎng)具有相同的技術(shù)標(biāo)準(zhǔn)的客戶端，即可輕易地截獲局域網(wǎng)內(nèi)的無線網(wǎng)絡(luò)信號，使得非法入侵者可以更簡單地偽裝成局域網(wǎng)內(nèi)的合法用戶。

其次，由于無線局域網(wǎng)通信技術(shù)是基于電磁波的廣播信號，這就使無線局域網(wǎng)內(nèi)無法像傳統(tǒng)有線網(wǎng)絡(luò)那樣可以通過物理隔離手段來保障整個網(wǎng)絡(luò)的安全，無法阻止未授權(quán)的非法用戶對無線局域網(wǎng)的攻擊及無線設(shè)備之間通信數(shù)據(jù)竊聽。

3 無線局域網(wǎng)的安全策略

在無線局域網(wǎng)中，主要是通過用戶身份認(rèn)證技術(shù)和通信數(shù)據(jù)加密技術(shù)等手段來保障數(shù)據(jù)安全。為應(yīng)對無線局域網(wǎng)中通信竊聽及信號偽裝等安全隱患，本文主要從無線局域網(wǎng)的接入策略、接入技術(shù)、傳輸安全及網(wǎng)絡(luò)分段四方面來探討校園無線局域網(wǎng)的安全保障。

3.1 接入策略

3.1.1不同用戶群的接入策略

為了便于管理，首先需要對校園局域網(wǎng)的用戶根據(jù)不同的特性劃分為不同的用戶群，并賦予不同的校園網(wǎng)絡(luò)資源訪問權(quán)限。本文將用戶群分為：在校師生，中長期訪客，臨時訪客三個用戶群，對不同用戶群采用不一樣的接入策略。

（1）對于在校師生用戶群，可以設(shè)立一組長期的用戶賬號，并將接入校園無線局域網(wǎng)的連接認(rèn)證與校內(nèi)其他已有的認(rèn)證系統(tǒng)相統(tǒng)一，這樣可以在不增加新的賬號和密碼的情況下，實現(xiàn)校園“一卡通”，“一號通”。

（2）對于中長期訪客，如來校培訓(xùn)人員，可以為這類用戶增加單獨的賬號群，并由校園網(wǎng)絡(luò)管理人員根據(jù)訪客的實際情況授權(quán)訪問特定校園網(wǎng)絡(luò)資源。

（3）對于短期來訪的客人，如到學(xué)校參加會議的與會人員，則可以設(shè)立一組臨時賬號來讓這類用戶訪問特定的網(wǎng)絡(luò)服務(wù)。

3.1.2不同地點的接入策略

在實施針對不同用戶群設(shè)置不同接入策略的同時，還可以根據(jù)校內(nèi)的不同地點、不同場景采用不同的校園網(wǎng)接入策略。這種接入策略主要是通過配置管理不同網(wǎng)絡(luò)節(jié)點的交換機來將校園網(wǎng)按區(qū)域和場景分隔成不同的若干個更小的局域網(wǎng)來實現(xiàn)，主要可以分為以下幾個不同區(qū)域的接入配置策略：

（1）教學(xué)樓外、校園廣場等室外公共區(qū)域。由于無線信號覆蓋范圍廣，且在這類區(qū)域活動的人員較復(fù)雜，流動性強，導(dǎo)致學(xué)校無法對校園網(wǎng)絡(luò)進(jìn)行有效管理。為了保障校園網(wǎng)絡(luò)的信息安全，對于在這類區(qū)域接入校園無線局域網(wǎng)的無線客戶端，應(yīng)當(dāng)采用更加嚴(yán)格的通信加密技術(shù)及用戶認(rèn)證方式。如采用Web portal認(rèn)證技術(shù)和802.1X認(rèn)證技術(shù)并存措施，這樣既能保證在校師生和來訪用戶都可以方便地接入校園無線局域網(wǎng)，同時又能降低網(wǎng)絡(luò)被攻擊的風(fēng)險，保障校園網(wǎng)絡(luò)的安全。

（2）會議室及報告廳等臨時使用的室內(nèi)區(qū)域。由于這類區(qū)域只在有會議或報告的時候才開放，對網(wǎng)絡(luò)的使用需求是臨時性的，用戶需要的是能夠更方便、快捷的接入校園網(wǎng)絡(luò)，所以在這類區(qū)域的無線客戶端設(shè)置需要盡量簡單，最好是免設(shè)置，使與會人員可以快速接入網(wǎng)絡(luò)；因此，在這類場景中應(yīng)采取開放式認(rèn)證方式和廣播網(wǎng)絡(luò)信號的配置策略，以簡化這類用戶的校園網(wǎng)絡(luò)接入過程。在室內(nèi)區(qū)域由于墻壁對無線信號具有一定的屏蔽作用，且只在會議期間使用網(wǎng)絡(luò)，加上用戶身份容易確定，所以校園網(wǎng)絡(luò)管理員可以通過控制網(wǎng)絡(luò)信號的開關(guān)的方式來控制這類區(qū)域網(wǎng)絡(luò)的使用，因此，在這類區(qū)域的網(wǎng)絡(luò)使用不會有太大的安全問題。

3.2 接入技術(shù)

除了從校園網(wǎng)絡(luò)管理方面入手根據(jù)不同用戶群及不同接入地點采用不同接入策略外，還可以從接入技術(shù)方面考慮，通過使用以下技術(shù)來保障校園無線局域網(wǎng)的信息安全：

3.2.1采用MAC地址過濾

由于無線網(wǎng)卡的物理地址即MAC，具有唯一性，因此校園網(wǎng)的管理員可以在無線訪問接入點（AP）中設(shè)置一份無線客戶端的MAC白名單，這個技術(shù)可以將不在MAC白名單內(nèi)的無線客戶端過濾掉，從而達(dá)到限制未授權(quán)非法設(shè)備接入校園網(wǎng)絡(luò)的目的。但該方法只能讓提前錄入AP白名單的無線客戶端接入校園網(wǎng)絡(luò)，對大量的中短期訪客不適用，且無法識別通過篡改MAC地址偽裝成合法用戶的未授權(quán)非法用戶訪問校園網(wǎng)絡(luò)。

3.2.2采用802.1X協(xié)議認(rèn)證技術(shù)

802.1X協(xié)議認(rèn)證技術(shù)是一種無線網(wǎng)絡(luò)認(rèn)證方案，在實施了該認(rèn)證技術(shù)方案的無線局域網(wǎng)中，無線用戶端安裝802.1X協(xié)議客戶端軟件，無線訪問接入點（AP）中內(nèi)嵌802.1X協(xié)議認(rèn)證，并作為設(shè)備訪問校園網(wǎng)絡(luò)的第一道安全門。在無線客戶端認(rèn)證通過前，該協(xié)議只允許基于認(rèn)證協(xié)議的認(rèn)證數(shù)據(jù)通過AP，只有認(rèn)證通過后才能讓正常的網(wǎng)絡(luò)數(shù)據(jù)通過AP的端口，如果認(rèn)證失敗，則禁止該無線客戶端訪問校園網(wǎng)資源。

3.2.3采用Web portal認(rèn)證方式

Web portal是一種更加簡便的無線網(wǎng)絡(luò)用戶認(rèn)證方案，該方案適合部署在對網(wǎng)絡(luò)安全要求不是特別高但有大量臨時無線訪問需求的地方。該認(rèn)證方式最大的特點是免客戶端軟件，只需要在瀏覽器中用自助服務(wù)的方式通過認(rèn)證即可訪問網(wǎng)絡(luò)。該方式使用HTTPS方式也能對用戶認(rèn)證數(shù)據(jù)通信提供一定的安全保護(hù)，使校園網(wǎng)在保證了安全性的同時又極大地提高了便利性。

3.3 傳輸安全

無線局域網(wǎng)作為一種以電磁波作為載體的通信技術(shù)，使無線網(wǎng)絡(luò)信號具有開放性，因此在無線網(wǎng)絡(luò)信號的覆蓋區(qū)域內(nèi)，任何一個遵循特定標(biāo)準(zhǔn)的無線客戶端都可以接收到該網(wǎng)絡(luò)的信號，這樣就可能導(dǎo)致無線局域網(wǎng)內(nèi)用戶的通信數(shù)據(jù)被其他未授權(quán)的非法客戶端截獲。這也就使得使用無線網(wǎng)絡(luò)的用戶相對于使用有線網(wǎng)絡(luò)的用戶更容易被非法用戶竊聽數(shù)據(jù)或干擾信息的傳輸。

為解決以上數(shù)據(jù)傳輸?shù)陌踩珕栴}，從傳輸技術(shù)角度入手，還可以采取以下方式來保障安全：

3.3.1關(guān)閉服務(wù)集標(biāo)識SSID廣播

服務(wù)集標(biāo)識，即：SSID（Service Set Identifier），該技術(shù)可以將一個無線局域網(wǎng)分為若干子網(wǎng)絡(luò)，每個子網(wǎng)絡(luò)用唯一SSID進(jìn)行標(biāo)識。在一些開放區(qū)域，為了更好地提供網(wǎng)絡(luò)服務(wù)，都會將無線接入點的SSID設(shè)置為廣播狀態(tài)，這樣就可以使無線信號覆蓋范圍內(nèi)的所有無線客戶端都可以搜索到可用AP的SSID，從而可以很方便地接入網(wǎng)絡(luò)。但這種對外廣播SSID的方式同時也存在一定的安全隱患，即未授權(quán)的非法用戶也可以通過搜索到的SSID接入無線網(wǎng)絡(luò)，因此可以采取在特定區(qū)域關(guān)閉AP的SSID廣播的方式來管理，這樣無線客戶端就必須在指定區(qū)域設(shè)置正確的SSID才能與對應(yīng)的AP進(jìn)行通信，從而減少了非法用戶的接入。

此外還可以采用無線信號加密技術(shù)來保障無線通信數(shù)據(jù)的安全，這樣即使無線通信數(shù)據(jù)被竊聽也可以保證通信內(nèi)容無法被破解、讀取，目前主要有WEP，WAP兩種加密技術(shù)可以為無線信號提供安全且穩(wěn)定的加密。

3.3.2采用WEP技術(shù)加密通信數(shù)據(jù)

WEP是Wired Equivalent Privacy的簡稱，有線等效保密（WEP）協(xié)議是IEEE802.11b標(biāo)準(zhǔn)規(guī)定一種可選的加密方案，該方案可以對設(shè)備間無線傳輸?shù)臄?shù)據(jù)進(jìn)行加密，使無線局域網(wǎng)具有與有線網(wǎng)絡(luò)相同級別的安全保護(hù)，用來阻止未授權(quán)的非法用戶竊聽AP與無線客戶端之間的傳輸內(nèi)容或入侵無線局域網(wǎng)。

3.3.3采用WPA技術(shù)加密通信數(shù)據(jù)

WPA全名為Wi-Fi Protected Access，有WPA、WPA2和WPA3三個標(biāo)準(zhǔn)，是一種保護(hù)無線電腦網(wǎng)絡(luò)（Wi-Fi）安全的系統(tǒng)，WPA采用802.1x協(xié)議和TKIP來實現(xiàn)對無線局域網(wǎng)的訪問控制、密鑰管理與數(shù)據(jù)加密，TKIP是一種基于RC4加密算法，對現(xiàn)有的WEP進(jìn)行了改進(jìn)，為無線通信傳輸?shù)臄?shù)據(jù)提供了更高等級的安全保護(hù)。

3.4 把網(wǎng)絡(luò)分段

從阻止未授權(quán)非法用戶訪問校園網(wǎng)絡(luò)資源的角度來管理，還可以用虛擬局域網(wǎng)（VLAN）技術(shù)將具有不同訪問權(quán)限的用戶群隔離開來，可用具備VLAN功能的交換機來實現(xiàn)這一目的。VLAN技術(shù)是將在通過同一物理設(shè)備訪問物理網(wǎng)絡(luò)的用戶，劃分為多個虛擬的邏輯網(wǎng)絡(luò)，從而將不同的用戶群分隔開來，并賦予不同的校園網(wǎng)絡(luò)資源訪問權(quán)限。如同樣在廣場等開放區(qū)域，所有用戶都接入相同的AP，但是可以利用有VLAN功能的交換機劃分多個用戶群；將臨時訪問的用戶劃分為一個用戶群，這類用戶只需要進(jìn)行簡單的身份認(rèn)證就能接入校園網(wǎng)，但是通過這個VLAN訪問的用戶只能進(jìn)行簡單的開放資源的查詢，瀏覽新聞等操作。而對于在校師生這類長期的固定用戶群又劃分為一個用戶群，這類用戶如果想訪問校園網(wǎng)絡(luò)則需要進(jìn)行更嚴(yán)格的身份認(rèn)證，認(rèn)證通過后除了有基本的網(wǎng)絡(luò)訪問權(quán)限，還能訪問到更多更核心的校內(nèi)教學(xué)資源等。

4 結(jié)語

當(dāng)然，跟有線局域網(wǎng)比起來，無線局域網(wǎng)通信技術(shù)仍然還有不少問題與挑戰(zhàn)，如無線局域網(wǎng)的傳輸速度還有很大的局限性，無線信號容易被干擾對通信環(huán)境的要求較高，同時還有不少的通信數(shù)據(jù)安全隱患等。但隨著無線通信技術(shù)的成熟及組網(wǎng)成本的下降，無線局域網(wǎng)將會在校園網(wǎng)絡(luò)及各行各業(yè)的建設(shè)中發(fā)揮越來越重要的作用。

[1]呂宏強.淺談無線網(wǎng)絡(luò)安全防護(hù)[J].網(wǎng)絡(luò)安全和信息化，2021（6）：37-39.

[2]劉明輝.校園無線網(wǎng)絡(luò)安全管理風(fēng)險和防范技術(shù)研究[J].長春大學(xué)學(xué)報（自然科學(xué)版），2010，20（1）：68-70.

[3]劉健.高校校園網(wǎng)絡(luò)存在的安全隱患及防范技術(shù)探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（7）：29-30.

[4]姜凱文.高校無線局域網(wǎng)用戶認(rèn)證控制及管理機制[J].電腦迷，2018（7）：101-102.

[5]趙娟.無線局域網(wǎng)802.11x技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（8）：23-25.