◆何儒鋒

校園無(wú)線局域網(wǎng)的安全保障策略研究

◆何儒鋒

（河源市衛(wèi)生學(xué)校 廣東 517000）

近年來(lái)，隨著無(wú)線局域網(wǎng)技術(shù)及相應(yīng)產(chǎn)品的漸趨成熟，無(wú)線局域網(wǎng)在各行各業(yè)的應(yīng)用越來(lái)越普及，各個(gè)學(xué)校的也基本實(shí)現(xiàn)了“有線+無(wú)線”模式的校園網(wǎng)絡(luò)全覆蓋，但由于無(wú)線局域網(wǎng)的開(kāi)放性卻使這種模式的校園網(wǎng)面臨了不少新的安全挑戰(zhàn)，對(duì)此本文將從分析校園無(wú)線局域網(wǎng)的安全隱患入手，探討如何實(shí)施安全策略來(lái)保障校園網(wǎng)的安全。

數(shù)字化校園；無(wú)線局域網(wǎng)；安全隱患；安全保障策略

1 引言

目前，我們?cè)缫巡饺肓诵畔⒒鐣?huì)，進(jìn)入了互聯(lián)網(wǎng)時(shí)代，越來(lái)越多的學(xué)校也建設(shè)了數(shù)字化校園，校園網(wǎng)已成為是在校師生獲取學(xué)校資源和信息的主要途徑，特別是無(wú)線局域網(wǎng)技術(shù)及無(wú)線客戶(hù)端的普及，讓師生在校內(nèi)可以隨時(shí)隨地訪問(wèn)校園網(wǎng)資源及獲取互聯(lián)網(wǎng)資源，為學(xué)校的教學(xué)、管理和科研等工作提供了極大的幫助及便利。

但是，由于校園環(huán)境的開(kāi)放特點(diǎn)，常常會(huì)有很多訪客甚至是一些無(wú)關(guān)人員進(jìn)入到校園網(wǎng)絡(luò)覆蓋范圍內(nèi)，如果這些未授權(quán)人員可以任意的通過(guò)無(wú)線網(wǎng)絡(luò)的方式接入校園網(wǎng)，必然會(huì)對(duì)校園網(wǎng)絡(luò)的完全構(gòu)成威脅，在日常生活中也常會(huì)出現(xiàn)由于管理不當(dāng)，安全意識(shí)薄弱等原因?qū)е碌男畔⑿孤兜仁录?。這就需要我們對(duì)校園網(wǎng)內(nèi)的無(wú)線局域網(wǎng)存在的安全隱患有清晰的了解，并針對(duì)性實(shí)施無(wú)線局域網(wǎng)的安全保障策略來(lái)保障我們的校園網(wǎng)絡(luò)的安全。

2 無(wú)線局域網(wǎng)的安全隱患

無(wú)線局域網(wǎng)技術(shù)是以無(wú)線廣播信號(hào)為基礎(chǔ)的網(wǎng)絡(luò)通信技術(shù)，這種技術(shù)天然具有開(kāi)放性的特點(diǎn)，使用戶(hù)能非常方便地接入網(wǎng)絡(luò)，但這種便捷性同時(shí)也給校園網(wǎng)絡(luò)的安全保障帶來(lái)了不小的安全挑戰(zhàn)。與有線網(wǎng)絡(luò)相比，無(wú)線局域網(wǎng)主要面臨以下安全威脅：

首先，由于無(wú)線網(wǎng)絡(luò)信號(hào)天然具有的開(kāi)放性，使無(wú)線用戶(hù)客戶(hù)端不用與無(wú)線局域網(wǎng)發(fā)生實(shí)際上的物理連接，未授權(quán)的非法用戶(hù)只需要使用與無(wú)線局域網(wǎng)具有相同的技術(shù)標(biāo)準(zhǔn)的客戶(hù)端，即可輕易地截獲局域網(wǎng)內(nèi)的無(wú)線網(wǎng)絡(luò)信號(hào)，使得非法入侵者可以更簡(jiǎn)單地偽裝成局域網(wǎng)內(nèi)的合法用戶(hù)。

其次，由于無(wú)線局域網(wǎng)通信技術(shù)是基于電磁波的廣播信號(hào)，這就使無(wú)線局域網(wǎng)內(nèi)無(wú)法像傳統(tǒng)有線網(wǎng)絡(luò)那樣可以通過(guò)物理隔離手段來(lái)保障整個(gè)網(wǎng)絡(luò)的安全，無(wú)法阻止未授權(quán)的非法用戶(hù)對(duì)無(wú)線局域網(wǎng)的攻擊及無(wú)線設(shè)備之間通信數(shù)據(jù)竊聽(tīng)。

3 無(wú)線局域網(wǎng)的安全策略

在無(wú)線局域網(wǎng)中，主要是通過(guò)用戶(hù)身份認(rèn)證技術(shù)和通信數(shù)據(jù)加密技術(shù)等手段來(lái)保障數(shù)據(jù)安全。為應(yīng)對(duì)無(wú)線局域網(wǎng)中通信竊聽(tīng)及信號(hào)偽裝等安全隱患，本文主要從無(wú)線局域網(wǎng)的接入策略、接入技術(shù)、傳輸安全及網(wǎng)絡(luò)分段四方面來(lái)探討校園無(wú)線局域網(wǎng)的安全保障。

3.1 接入策略

3.1.1不同用戶(hù)群的接入策略

為了便于管理，首先需要對(duì)校園局域網(wǎng)的用戶(hù)根據(jù)不同的特性劃分為不同的用戶(hù)群，并賦予不同的校園網(wǎng)絡(luò)資源訪問(wèn)權(quán)限。本文將用戶(hù)群分為：在校師生，中長(zhǎng)期訪客，臨時(shí)訪客三個(gè)用戶(hù)群，對(duì)不同用戶(hù)群采用不一樣的接入策略。

（1）對(duì)于在校師生用戶(hù)群，可以設(shè)立一組長(zhǎng)期的用戶(hù)賬號(hào)，并將接入校園無(wú)線局域網(wǎng)的連接認(rèn)證與校內(nèi)其他已有的認(rèn)證系統(tǒng)相統(tǒng)一，這樣可以在不增加新的賬號(hào)和密碼的情況下，實(shí)現(xiàn)校園“一卡通”，“一號(hào)通”。

（2）對(duì)于中長(zhǎng)期訪客，如來(lái)校培訓(xùn)人員，可以為這類(lèi)用戶(hù)增加單獨(dú)的賬號(hào)群，并由校園網(wǎng)絡(luò)管理人員根據(jù)訪客的實(shí)際情況授權(quán)訪問(wèn)特定校園網(wǎng)絡(luò)資源。

（3）對(duì)于短期來(lái)訪的客人，如到學(xué)校參加會(huì)議的與會(huì)人員，則可以設(shè)立一組臨時(shí)賬號(hào)來(lái)讓這類(lèi)用戶(hù)訪問(wèn)特定的網(wǎng)絡(luò)服務(wù)。

3.1.2不同地點(diǎn)的接入策略

在實(shí)施針對(duì)不同用戶(hù)群設(shè)置不同接入策略的同時(shí)，還可以根據(jù)校內(nèi)的不同地點(diǎn)、不同場(chǎng)景采用不同的校園網(wǎng)接入策略。這種接入策略主要是通過(guò)配置管理不同網(wǎng)絡(luò)節(jié)點(diǎn)的交換機(jī)來(lái)將校園網(wǎng)按區(qū)域和場(chǎng)景分隔成不同的若干個(gè)更小的局域網(wǎng)來(lái)實(shí)現(xiàn)，主要可以分為以下幾個(gè)不同區(qū)域的接入配置策略：

（1）教學(xué)樓外、校園廣場(chǎng)等室外公共區(qū)域。由于無(wú)線信號(hào)覆蓋范圍廣，且在這類(lèi)區(qū)域活動(dòng)的人員較復(fù)雜，流動(dòng)性強(qiáng)，導(dǎo)致學(xué)校無(wú)法對(duì)校園網(wǎng)絡(luò)進(jìn)行有效管理。為了保障校園網(wǎng)絡(luò)的信息安全，對(duì)于在這類(lèi)區(qū)域接入校園無(wú)線局域網(wǎng)的無(wú)線客戶(hù)端，應(yīng)當(dāng)采用更加嚴(yán)格的通信加密技術(shù)及用戶(hù)認(rèn)證方式。如采用Web portal認(rèn)證技術(shù)和802.1X認(rèn)證技術(shù)并存措施，這樣既能保證在校師生和來(lái)訪用戶(hù)都可以方便地接入校園無(wú)線局域網(wǎng)，同時(shí)又能降低網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)，保障校園網(wǎng)絡(luò)的安全。

（2）會(huì)議室及報(bào)告廳等臨時(shí)使用的室內(nèi)區(qū)域。由于這類(lèi)區(qū)域只在有會(huì)議或報(bào)告的時(shí)候才開(kāi)放，對(duì)網(wǎng)絡(luò)的使用需求是臨時(shí)性的，用戶(hù)需要的是能夠更方便、快捷的接入校園網(wǎng)絡(luò)，所以在這類(lèi)區(qū)域的無(wú)線客戶(hù)端設(shè)置需要盡量簡(jiǎn)單，最好是免設(shè)置，使與會(huì)人員可以快速接入網(wǎng)絡(luò)；因此，在這類(lèi)場(chǎng)景中應(yīng)采取開(kāi)放式認(rèn)證方式和廣播網(wǎng)絡(luò)信號(hào)的配置策略，以簡(jiǎn)化這類(lèi)用戶(hù)的校園網(wǎng)絡(luò)接入過(guò)程。在室內(nèi)區(qū)域由于墻壁對(duì)無(wú)線信號(hào)具有一定的屏蔽作用，且只在會(huì)議期間使用網(wǎng)絡(luò)，加上用戶(hù)身份容易確定，所以校園網(wǎng)絡(luò)管理員可以通過(guò)控制網(wǎng)絡(luò)信號(hào)的開(kāi)關(guān)的方式來(lái)控制這類(lèi)區(qū)域網(wǎng)絡(luò)的使用，因此，在這類(lèi)區(qū)域的網(wǎng)絡(luò)使用不會(huì)有太大的安全問(wèn)題。

3.2 接入技術(shù)

除了從校園網(wǎng)絡(luò)管理方面入手根據(jù)不同用戶(hù)群及不同接入地點(diǎn)采用不同接入策略外，還可以從接入技術(shù)方面考慮，通過(guò)使用以下技術(shù)來(lái)保障校園無(wú)線局域網(wǎng)的信息安全：

3.2.1采用MAC地址過(guò)濾

由于無(wú)線網(wǎng)卡的物理地址即MAC，具有唯一性，因此校園網(wǎng)的管理員可以在無(wú)線訪問(wèn)接入點(diǎn)（AP）中設(shè)置一份無(wú)線客戶(hù)端的MAC白名單，這個(gè)技術(shù)可以將不在MAC白名單內(nèi)的無(wú)線客戶(hù)端過(guò)濾掉，從而達(dá)到限制未授權(quán)非法設(shè)備接入校園網(wǎng)絡(luò)的目的。但該方法只能讓提前錄入AP白名單的無(wú)線客戶(hù)端接入校園網(wǎng)絡(luò)，對(duì)大量的中短期訪客不適用，且無(wú)法識(shí)別通過(guò)篡改MAC地址偽裝成合法用戶(hù)的未授權(quán)非法用戶(hù)訪問(wèn)校園網(wǎng)絡(luò)。

3.2.2采用802.1X協(xié)議認(rèn)證技術(shù)

802.1X協(xié)議認(rèn)證技術(shù)是一種無(wú)線網(wǎng)絡(luò)認(rèn)證方案，在實(shí)施了該認(rèn)證技術(shù)方案的無(wú)線局域網(wǎng)中，無(wú)線用戶(hù)端安裝802.1X協(xié)議客戶(hù)端軟件，無(wú)線訪問(wèn)接入點(diǎn)（AP）中內(nèi)嵌802.1X協(xié)議認(rèn)證，并作為設(shè)備訪問(wèn)校園網(wǎng)絡(luò)的第一道安全門(mén)。在無(wú)線客戶(hù)端認(rèn)證通過(guò)前，該協(xié)議只允許基于認(rèn)證協(xié)議的認(rèn)證數(shù)據(jù)通過(guò)AP，只有認(rèn)證通過(guò)后才能讓正常的網(wǎng)絡(luò)數(shù)據(jù)通過(guò)AP的端口，如果認(rèn)證失敗，則禁止該無(wú)線客戶(hù)端訪問(wèn)校園網(wǎng)資源。

3.2.3采用Web portal認(rèn)證方式

Web portal是一種更加簡(jiǎn)便的無(wú)線網(wǎng)絡(luò)用戶(hù)認(rèn)證方案，該方案適合部署在對(duì)網(wǎng)絡(luò)安全要求不是特別高但有大量臨時(shí)無(wú)線訪問(wèn)需求的地方。該認(rèn)證方式最大的特點(diǎn)是免客戶(hù)端軟件，只需要在瀏覽器中用自助服務(wù)的方式通過(guò)認(rèn)證即可訪問(wèn)網(wǎng)絡(luò)。該方式使用HTTPS方式也能對(duì)用戶(hù)認(rèn)證數(shù)據(jù)通信提供一定的安全保護(hù)，使校園網(wǎng)在保證了安全性的同時(shí)又極大地提高了便利性。

3.3 傳輸安全

無(wú)線局域網(wǎng)作為一種以電磁波作為載體的通信技術(shù)，使無(wú)線網(wǎng)絡(luò)信號(hào)具有開(kāi)放性，因此在無(wú)線網(wǎng)絡(luò)信號(hào)的覆蓋區(qū)域內(nèi)，任何一個(gè)遵循特定標(biāo)準(zhǔn)的無(wú)線客戶(hù)端都可以接收到該網(wǎng)絡(luò)的信號(hào)，這樣就可能導(dǎo)致無(wú)線局域網(wǎng)內(nèi)用戶(hù)的通信數(shù)據(jù)被其他未授權(quán)的非法客戶(hù)端截獲。這也就使得使用無(wú)線網(wǎng)絡(luò)的用戶(hù)相對(duì)于使用有線網(wǎng)絡(luò)的用戶(hù)更容易被非法用戶(hù)竊聽(tīng)數(shù)據(jù)或干擾信息的傳輸。

為解決以上數(shù)據(jù)傳輸?shù)陌踩珕?wèn)題，從傳輸技術(shù)角度入手，還可以采取以下方式來(lái)保障安全：

3.3.1關(guān)閉服務(wù)集標(biāo)識(shí)SSID廣播

服務(wù)集標(biāo)識(shí)，即：SSID（Service Set Identifier），該技術(shù)可以將一個(gè)無(wú)線局域網(wǎng)分為若干子網(wǎng)絡(luò)，每個(gè)子網(wǎng)絡(luò)用唯一SSID進(jìn)行標(biāo)識(shí)。在一些開(kāi)放區(qū)域，為了更好地提供網(wǎng)絡(luò)服務(wù)，都會(huì)將無(wú)線接入點(diǎn)的SSID設(shè)置為廣播狀態(tài)，這樣就可以使無(wú)線信號(hào)覆蓋范圍內(nèi)的所有無(wú)線客戶(hù)端都可以搜索到可用AP的SSID，從而可以很方便地接入網(wǎng)絡(luò)。但這種對(duì)外廣播SSID的方式同時(shí)也存在一定的安全隱患，即未授權(quán)的非法用戶(hù)也可以通過(guò)搜索到的SSID接入無(wú)線網(wǎng)絡(luò)，因此可以采取在特定區(qū)域關(guān)閉AP的SSID廣播的方式來(lái)管理，這樣無(wú)線客戶(hù)端就必須在指定區(qū)域設(shè)置正確的SSID才能與對(duì)應(yīng)的AP進(jìn)行通信，從而減少了非法用戶(hù)的接入。

此外還可以采用無(wú)線信號(hào)加密技術(shù)來(lái)保障無(wú)線通信數(shù)據(jù)的安全，這樣即使無(wú)線通信數(shù)據(jù)被竊聽(tīng)也可以保證通信內(nèi)容無(wú)法被破解、讀取，目前主要有WEP，WAP兩種加密技術(shù)可以為無(wú)線信號(hào)提供安全且穩(wěn)定的加密。

3.3.2采用WEP技術(shù)加密通信數(shù)據(jù)

WEP是Wired Equivalent Privacy的簡(jiǎn)稱(chēng)，有線等效保密（WEP）協(xié)議是IEEE802.11b標(biāo)準(zhǔn)規(guī)定一種可選的加密方案，該方案可以對(duì)設(shè)備間無(wú)線傳輸?shù)臄?shù)據(jù)進(jìn)行加密，使無(wú)線局域網(wǎng)具有與有線網(wǎng)絡(luò)相同級(jí)別的安全保護(hù)，用來(lái)阻止未授權(quán)的非法用戶(hù)竊聽(tīng)AP與無(wú)線客戶(hù)端之間的傳輸內(nèi)容或入侵無(wú)線局域網(wǎng)。

3.3.3采用WPA技術(shù)加密通信數(shù)據(jù)

WPA全名為Wi-Fi Protected Access，有WPA、WPA2和WPA3三個(gè)標(biāo)準(zhǔn)，是一種保護(hù)無(wú)線電腦網(wǎng)絡(luò)（Wi-Fi）安全的系統(tǒng)，WPA采用802.1x協(xié)議和TKIP來(lái)實(shí)現(xiàn)對(duì)無(wú)線局域網(wǎng)的訪問(wèn)控制、密鑰管理與數(shù)據(jù)加密，TKIP是一種基于RC4加密算法，對(duì)現(xiàn)有的WEP進(jìn)行了改進(jìn)，為無(wú)線通信傳輸?shù)臄?shù)據(jù)提供了更高等級(jí)的安全保護(hù)。

3.4 把網(wǎng)絡(luò)分段

從阻止未授權(quán)非法用戶(hù)訪問(wèn)校園網(wǎng)絡(luò)資源的角度來(lái)管理，還可以用虛擬局域網(wǎng)（VLAN）技術(shù)將具有不同訪問(wèn)權(quán)限的用戶(hù)群隔離開(kāi)來(lái)，可用具備VLAN功能的交換機(jī)來(lái)實(shí)現(xiàn)這一目的。VLAN技術(shù)是將在通過(guò)同一物理設(shè)備訪問(wèn)物理網(wǎng)絡(luò)的用戶(hù)，劃分為多個(gè)虛擬的邏輯網(wǎng)絡(luò)，從而將不同的用戶(hù)群分隔開(kāi)來(lái)，并賦予不同的校園網(wǎng)絡(luò)資源訪問(wèn)權(quán)限。如同樣在廣場(chǎng)等開(kāi)放區(qū)域，所有用戶(hù)都接入相同的AP，但是可以利用有VLAN功能的交換機(jī)劃分多個(gè)用戶(hù)群；將臨時(shí)訪問(wèn)的用戶(hù)劃分為一個(gè)用戶(hù)群，這類(lèi)用戶(hù)只需要進(jìn)行簡(jiǎn)單的身份認(rèn)證就能接入校園網(wǎng)，但是通過(guò)這個(gè)VLAN訪問(wèn)的用戶(hù)只能進(jìn)行簡(jiǎn)單的開(kāi)放資源的查詢(xún)，瀏覽新聞等操作。而對(duì)于在校師生這類(lèi)長(zhǎng)期的固定用戶(hù)群又劃分為一個(gè)用戶(hù)群，這類(lèi)用戶(hù)如果想訪問(wèn)校園網(wǎng)絡(luò)則需要進(jìn)行更嚴(yán)格的身份認(rèn)證，認(rèn)證通過(guò)后除了有基本的網(wǎng)絡(luò)訪問(wèn)權(quán)限，還能訪問(wèn)到更多更核心的校內(nèi)教學(xué)資源等。

4 結(jié)語(yǔ)

當(dāng)然，跟有線局域網(wǎng)比起來(lái)，無(wú)線局域網(wǎng)通信技術(shù)仍然還有不少問(wèn)題與挑戰(zhàn)，如無(wú)線局域網(wǎng)的傳輸速度還有很大的局限性，無(wú)線信號(hào)容易被干擾對(duì)通信環(huán)境的要求較高，同時(shí)還有不少的通信數(shù)據(jù)安全隱患等。但隨著無(wú)線通信技術(shù)的成熟及組網(wǎng)成本的下降，無(wú)線局域網(wǎng)將會(huì)在校園網(wǎng)絡(luò)及各行各業(yè)的建設(shè)中發(fā)揮越來(lái)越重要的作用。

[1]呂宏強(qiáng).淺談無(wú)線網(wǎng)絡(luò)安全防護(hù)[J].網(wǎng)絡(luò)安全和信息化，2021（6）：37-39.

[2]劉明輝.校園無(wú)線網(wǎng)絡(luò)安全管理風(fēng)險(xiǎn)和防范技術(shù)研究[J].長(zhǎng)春大學(xué)學(xué)報(bào)（自然科學(xué)版），2010，20（1）：68-70.

[3]劉健.高校校園網(wǎng)絡(luò)存在的安全隱患及防范技術(shù)探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（7）：29-30.

[4]姜?jiǎng)P文.高校無(wú)線局域網(wǎng)用戶(hù)認(rèn)證控制及管理機(jī)制[J].電腦迷，2018（7）：101-102.

[5]趙娟.無(wú)線局域網(wǎng)802.11x技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（8）：23-25.