校園無線網絡安全建設實踐

當前，無線網絡技術正在被廣泛的應用到校園信息化建設之中，具有高靈活性、可移動性、開放性等特點。但是，由于無線網絡本身所具有的這些特點，造成用戶量大、密度不均、應用多樣和環境復雜等問題，無線網絡的安全性也備受關注。本文著重分析無線網絡的安全隱患以及隱患的來源，對校園無線網絡安全建設實踐進行了分析與探究。

【關鍵詞】無線網絡 安全 防范

高效無線網絡校園是現在很多高校建設的目標，因此，高校在為用戶提供基本的互聯網上網服務外，還需要為用戶提供安全可靠的網絡服務，用戶可以在校內或者校外訪問相應的資源。網絡安全設計實現對內外接入時避免面臨網絡安全的問題，保證網絡資源及網絡設備的安全是校園無線網絡建設所面臨的一個嚴峻問題。

1 無線網絡安全面臨的主要問題

1.1 訪問權限的控制

學校一般擁有大量的外網地址，但是對外提供服務的只是其中的一部分或者少數幾個地址，因此需要在出口設備上嚴格限制外網對內的訪問權限，只有允許的地址或者允許地址的特定端口才是可以被訪問的，其它地址一律禁止外網發起的主動訪問。

1.2 攻擊主機的主動識別和防護

動態監測外網主機對資源平臺的訪問，當外部主機發起非法攻擊或者大量合法請求時，網關設備會主動將非法主機進行隔離，從而保證資源平臺的安全性；

2 無線網絡安全主要的設計內容

基于“接入安全”的理念，將學院園區無線網絡認證過程設置到離學生客戶端最近的網絡邊界處，通過啟用Web認證模式，無線控制器和學校目前采用的AAA認證系統的協同工作，當學生在接入無線網絡的時候，網絡無線控制器和ZZ-OS認證網關進行對接，通過portal的方式將認證頁面推送到客戶端，然后將學生認證所需要的用戶名和密碼上傳到無線控制器，無線控制器通過與ZZ-OS認證系統的對接，獲取學生相關的認證信息，如果認證通過，則無線控制器將通知無線AP接入點，允許該學生訪問相關的資源，學生使用瀏覽器即可完成認證過程，不僅保證了接入學生的學生合法性，而且學生能快捷便利的使用無線網絡，極大的提高了學生的體驗感。

2.1 學生數據加密安全

無線AP通過WEP、TKIP和AES加密技術，為接入學生提供完整的數據安全保障機制，確保無線網絡的數據傳輸安全。

2.2 虛擬無線分組技術

通過虛擬無線接入點（Virtual AP）技術，整機可最大提供16個ESSID，支持16個802.1QVLAN，網管人員可以對使用相同SSID的子網或VLAN單獨實施加密和隔離，并可針對每個SSID配置單獨的認證方式、加密機制等。

2.3 標準CAPWAP加密隧道確保傳輸安全

無線AP接入點與網絡無線控制器以國際標準的CAPWAP加密隧道模式通信，確保了數據傳輸過程中的內容安全。

3 安全準入設計

無線網絡為開放式的網絡環境，基于端口的有線網絡管理方式已經無法滿足無線用戶接入管理的需求。為了解決接入用戶管理的問題一般高校都會部署AAA服務器，通過AAA服務器實現無線用戶身份認證。

通過引入AAA服務器雖然解決了“誰”可以連接無線網絡的問題，但是如何進行用戶身份的認證呢？無線網絡部署的初期一般采用SU的方式。SU方式需要無線用戶在無線終端設備上安裝特定的客戶端，通過該客戶端完成用戶身份的校驗。但是隨著智能終端的出現，接入無線網絡的終端不僅僅是筆記本電腦，平板電腦、手機等智能終端也需要接入無線網絡，而SU模式并不適合安裝在智能終端上。為了解決智能終端接入無線網絡的問題很多設備廠商推出了Web認證，智能終端不再需要安裝客戶端，只需要通過瀏覽器就可完成身份認證。針對智能終端Web似乎是一種比較完美的身份認證方式。隨著互聯網應用的迅速崛起，用戶希望在物理位置移動的同時可以使用微信、微博等互聯網應用。如果依然采用Web方式進行身份認證，用戶將會感覺很麻煩，影響用戶對無線網絡的體驗，為了解決認證方式繁瑣的問題，無感知認證應用而生，無感知身份認證只需要用戶首次進行終端相關用戶信息配設置后續終端接入無需用戶干預自動完成。

4 安全審計設計

無線網絡為了給用戶提供良好的上網體驗，一般終端接入網絡時采用動態地址分配方式，同時公有地址不足是所有國內高校面臨的一個問題，為了解決地址不足的問題一般校內采用私有地址，出口網絡設備進行NAT轉化。在私有地址環境中采用動態地址分配方式，管理員將會面臨一個問題：當發生安全事件時，網監部門只能為管理提供一個具體的外網地址和訪問的時間點，僅有的信息中要準確定位問題的具體負責人。

傳統的日志審計平臺只記錄了出口設備的NAT日志，可以通過公網地址和具體的時間找到對應的私網地址，但是由于地址采用動態分配的方式，能難確定該時間段對應的地址是哪個用戶在使用或者說需要查詢多個系統才能確認最終的用戶，如果多個系統中有一個系統時鐘不一致，可能造成最終信息的錯誤。為了加強出口行為管理和日志記錄，解決安全審計方面的問題，安全方案采用elog應用日志及流量管理系統。elog配合出口網關可有效記錄NAT日志、流日志、URL日志、會話日志等，并可存儲3個月以上，滿足公安部82號令相關要求，學校也可對相關安全事件有效溯源。

日志對于網絡安全的分析和安全設備的管理非常重要，網關設備采用統一格式記錄各種網絡攻擊和安全威脅，支持本地查看的同時，還能夠通過統一的輸出接口將日志發送到日志服務器，為用戶事后分析、審計提供重要信息。

NAT日志查詢（如圖1所示）。

在充分考慮校園無線網絡安全設計的前提下，對網絡自身的數據加密、信息泄露以及網絡攻擊進行嚴密防控的同時，提升用戶信息安全意識，從用戶自身入手防止出現簡單密碼、默認密碼和用戶主機殺毒等問題。做到“防范為主、有據可查、追本溯源”，才能更好的應對網絡安全問題，提高校園信息的安全性，為師生提供安全可靠的無線網絡服務。

參考文獻

[1]吳林剛.無線網絡的安全隱患及防護對策[J].科技信息，2011（25）.

[2]馮博琴，陳文革主編，呂軍，程向前，李波編.計算機網絡簡明教程[M].北京：高等教育出版2009.

[3]梁富強.高校校園計算機無線網絡安全策略研究[J].河南科技，2014（02）：19-20.

作者簡介

楊國震（1976-），男。工程碩士，天津交通職業學院副教授。數字化校園。

作者單位

天津交通職業學院 天津市 300110