無線局域網安全技術在校園網絡中的應用探究

摘 要：無線網絡因其便捷、靈活等優勢而受到越來越多人群的使用和關注。青年學生屬于較為容易接受新鮮事物的群體。隨著智能手機、筆記本電腦在學生群體中的普及，無線網絡已經成為現代校園中應用的主流。然而，目前校園無線局域網中的安全問題還存在著一些隱患。本文將對校園無線局域網中的安全隱患進行研究，并隱患問題的解決提出多種安全防御策略。

關鍵詞：無線局域網；安全技術；校園網絡

中圖分類號：TP393.18；TN925.93 文獻標識碼：A 文章編號：1674-7712 （2014） 10-0000-01

相對于有線網絡而言，無線局域網（wlan）省去了繁瑣的線路布設，不僅節省了施工費用，而且安裝簡潔，可以根據用戶的實際需要進行擴展和壓縮，因此受到越來越多人群的使用和關注。隨著近年來國家對教育投入的增大，高校的硬件條件也有了突飛猛進的提升，無線網絡也逐步成為校園網絡建設的重點。但是，人們在獲得無線網絡便捷的同時，也因為其信道開放的特點，成為網絡攻擊者竊取用戶信息的重要渠道。

一、無線局域網存在的安全威脅

（一）未經授權而使用

開放式是wlan網絡最重要的特點，給使用者帶來了很多的便利，但同時也是因為這一特征，導致了部分非法使用者，即使沒有得到授權，也可以使用網絡資源。這樣的漏洞造成了非法使用者對無線通道的占用，增加了寬帶費用的投入，情況嚴重者還會造成無線校園網的堵塞，侵害了合法使用者的權益。如果非法使用者擅自增設無線AP，誘使用戶接入，輕者造成介入者無法訪問網絡，重者還會導致用戶數據被非法竊取。

（二）地址欺騙和會話攔截

在網卡的眾多功能當中，有一項功能對于地址欺騙具有很好的防御功能，即對MAC地址進行重置，在日常使用當中，一些非法用戶可以輕易地將自己所用的設備的MAC地址進行修改，使之與合法用戶的相應地址進行吻合設置，這樣的地址設置就非常具有欺騙性，通過上述地址的設置，并且借助于交換機，可以順利地對網絡進行非法訪問。通過對這一漏洞的利用，非法用戶不僅可以對MAC地址進行監聽，更為嚴重的是可以進行惡意性攻擊。

另外，非法用戶又可以借助ieee802.11對AP身份的不識別行，通過幾種簡單的技術操作便可以使用偽裝后的AP進入到無線網絡當中，甚至可以輕松的獲得合法用戶的鑒別身份信息，可以攔截對話，這樣就可以對網絡進行完全性的侵入。

（三）網絡入侵

網絡入侵是最可怕、后果最嚴重的一種形式。目前，絕大部分學校將wlan部署在防火墻的后面，因此wlan的隱患就成為整個校園網絡的漏洞。非法入侵者只要攻破無線網絡，整個校園落網就會被暴露。

二、無線局域網安全技術

針對上述無線局域網絡存在的安全隱患，研究者們發明和創造了不少安全技術，對無線局域網絡的安全進行保障。

（一）物理地址（MAC）過濾

每一個無線網絡的客戶端都會存在唯一的一個物理地址（MAC），它就好比人的身份證，與無線網卡一一對應。需要注意的是，AP中的MAC地址列表必需隨時更新，這樣就會給非法入侵者的破譯增加難度。但必須注意，從理論上講，mac地址是可以偽造的，因此這樣的安全防護也是較低級別的。

（二）有線對等保密（wep）

有線對等保密技術是對數據加密的一種方式。一旦在無線局域網中使用了該門技術，就可以使得所有無線接入點和客戶端使用的數據以共享密鑰的形式而加密。通常來說，密鑰越長，保護的作用越好，因為黑客需要更多地時間破解。

（三）端口訪問控制技術（ieee802.1x）和可擴展認證協議（eap）

ieee802.1x可以提供對連接到局域網用戶進行認證和授權驗證，達到接受合法接入，拒絕非法訪問的目的。以一臺筆記本電腦接入無線局域網為例。筆記本電腦就是請求方；認證方是對接入設備進行管理的設備，例如以太交換機；認證服務器是支持radius和eap軟件的主機，在認證過程中起到關鍵作用。

三、校園無線局域網的安全措施

為了保證校園網絡的安全，避免受到攻擊，用戶應該加強無線局域網的技術管理，提高使用的安全性，達到通信數據的保密性。

（一）合理規劃天線放置位置，有效掌控信號覆蓋范圍

在進行無線局域網的規劃時，需要對封閉的無線訪問點進行布局。合理規劃天線放置的位置，可以有效控制信號的傳輸距離，避免過多的傳輸到覆蓋區域以外。建議將天線放在計劃覆蓋區域的中心點，這樣可以減少信號的外泄。布置好天線后，還可以用無線設備進行勘測，核實覆蓋區域，并將其反應在學校的拓撲網絡里面。

（二）采用WPA安全加密

WPA安全加密是ieee802.1x的升級版，設計和驗證性比wep更加周密，這不僅體現在加密機制、身份驗證和數據包檢查等反面，而且還提升了對無線網絡的管理。

（三）過濾MAC地址

無線客戶端的網卡具有唯一性，每一個無線網卡都有一個唯一的物理地址，針對某些固定的合法訪問者，我們可以通過手動方式，在AP中設置允許訪問的MAC地址列表。

（四）禁止DHCP的使用

DHCP的禁用，使得非法訪問者只有通過破譯IP地址、子網掩碼以及其他還需要修改的參數，才能進入無線局域網中，這就很大程度上增加了破譯的難度，達到了保護的目的。

（五）合理使用移動管理器

移動管理器能對無線網絡進行清晰的管理，一旦網絡出現故障或者受到攻擊，能第一時間向管理員發出警告，以便迅速采取措施。

四、結束語

校園無線局域網的發展是大勢所趨。我們不能阻礙和限制他們的發展，而是應該通過有效地方法和技術，促使其安全、有效地發展。上述的安全措施對于校園無線局域網安全的建立和保障是有相當大的保障作用的。但是我們也必須看到，科學的發展日新月異，面對黑客技術的不斷進步，相應的防范措施也要跟進，這將是筆者繼續研究的課題。

參考文獻：

[1]程海英.校園無線局域網的安全策略探討[J].軟件導刊，2010（03）.

[2]蘆艷芳，吳娜.淺談威脅無線網絡安全的途徑與防范措施[J].計算機光盤軟件與應用，2010（01）.

[作者簡介]徐海濤（1984.09-），男，助理工程師，本科，東莞市嶺南培訓中心。