無線校園網絡安全策略規劃與設計

鐘文基

（廣西水利電力職業技術學院，廣西 南寧 530023）

隨著移動智能設備的普及和信息化教學的蓬勃發展，各大高校紛紛組建了高校無線校園網，逐步形成了以有線校園網為骨干，無線校園網為補充的信息化校園。無線網絡為師生信息化教學的開展提供了有利的支撐，有利于幕課、私播課的傳播，但其安全性也面臨著嚴峻的挑戰。

1 無線網絡安全面臨的問題

1.1 非法用戶侵入

傳統的有線校園網通過交換機端口綁定、上網撥號認證等方式，可對用戶的網絡接入進行身份認證、接入控制，但無線網絡信號覆蓋廣，接入門檻低，如果不對用戶網絡接入進行控制，非法分子利用無線校園網傳播病毒，發布反動言論，容易發生安全事故。

1.2 信息泄密

與傳統的有線網絡利用雙絞線、光纖等作為傳輸介質傳送信息不同，無線網絡利用無線電波進行信息的傳遞，在信號的傳輸過程中，容易受到干擾和泄密。黑客可在無線校園網覆蓋的地方，利用特定的設備和軟件就可竊聽到數據，導致信息泄密，嚴重威脅到用戶的數據安全。

1.3 拒絕服務攻擊

與傳統有線網絡用戶具備信息接入點才能連入網絡不同，黑客可在無線網絡覆蓋的區域，對無線AP進行拒絕服務攻擊，使得無線AP無法提供正常的服務，輕則導致網絡中斷，重則用戶信息泄露。

1.4 非法AP欺騙

黑客通過架設非法AP或者WiFi熱點，誘導校園網用戶接入，竊聽到用戶的數據信息，或跳轉到釣魚網站，誘使用戶輸入支付寶、網銀、郵箱等賬號密碼，獲取到敏感數據信息，危害師生財產安全。

1.5 遭受病毒攻擊

由于無線網絡的使用者水平參差不齊，容易感染病毒，如果某個同學的筆記本中了地址解析協議（Address Resolution Protocol，ARP）病毒，將會對無線網絡設備造成攻擊，導致網絡中斷。

1.6 用戶隨意架設無線路由器

部分校園網用戶為了方便自己，未經許可自行架設無線路由器接入校園網，這些無線路由器安全級別設置較低，未設置密碼或僅設置弱口令、弱加密方式等，安全防范措施差，用戶可隨意接入，若被非法用戶利用，則會造成較大安全隱患[1]。

2 無線校園網安全防范措施

2.1 用戶接入認證

通過部署用戶接入認證方式，對用戶的網絡接入進行認證，認證方式包括802.1x認證、Portal認證、CA雙向證書認證，短信、微信認證等。對于校內師生員工等固定用戶，可通過802.1x方式、Portal認證、CA雙向證書認證等方式進行認證，以廣西水利電力職業技術學院為例，該校無線校園網采用的是802.1x認證，通過對用戶設備進行認證，認證過程進行隧道加密保護，避免認證信息泄露，也利于實現用戶快速漫游切換。對于短期使用網絡的來訪用戶，可通過短信認證、微信認證、二維碼審核認證等，既便利了臨時用戶的無線接入，也對用戶的訪問進行了身份授權和控制。

2.2 上網權限管理

根據用戶的身份、終端的種類、應用的類型、地理位置、時間段、第三方屬性等進行訪問規則設置，確保信息數據在授權范圍內能合法使用。例如，根據高校的管理要求，在學生宿舍區域夜間23：30—6：00斷網，避免學生通宵使用網絡打游戲，影響第二天學習；在圖書館的無線網絡中，能過濾游戲網站和游戲軟件的網絡接入，避免個別同學在圖書館沉迷游戲，耽誤學習。在廣西水利電力職業學院校園網中，設置了兩個服務集標識（Service Set Identifier，SSID）信號，分別是SDXY_Teacher和SDXY_Student，SDXY_Teacher主要分配給老師使用，接入后可以放到學院OA系統、教務系統、科研系統、學院幕課網站等業務系統，便于教師辦公；SDXY_Student主要分配給學生使用，接入后能訪問到教務系統、學院幕課平臺、超星學習通網站，便于信息化的教學[2]。

2.3 上網行為審計

通過應用識別技術，實現上網審計功能，對網頁、郵件、IM聊天、微博微信等內容進行審計，控制和管理用戶的互聯網訪問，防止惡意信息非法傳播。學院采用深信服上網行為審計管理產品，與傳統的普通報文檢測的識別方式不同，深信服上網行為審計主要采用深度包檢測（Deep Packet Inspection，DPI）與深度/動態流檢測技術（Deep/Dynamic Flow Inspection，DFI）相結合的數據分析技術。普通報文檢測識別通過IP包頭中的“五元組”，即源、目標地址，協議類型，源、目的端口號信息來確定前數據包的類別（見圖1）；而DPI，不僅分析IP包頭的五元組，包括源地址、目的地址、源端口、目的端口以及協議類型，而且還增加了應用層分析，識別各種應用及其內容（見圖2）。

圖1 普通報文識別技術

圖2 DPI技術

DFI是一種較新的應用流量分析技術，與DPI進行應用層的載荷分析匹配不同，DFI是基于流量行為的應用識別技術。采用了以DPI分析技術為主，輔助于傳統普通報文分析和DFI技術來處理分析，既發揮了DPI在應用區分、識別精度、功能擴展等方面優勢明顯，也拓展了DFI在新應用和加密協議的識別方面有一定的優勢，更能精確實現上網行為的審計與管理。

2.4 防釣魚AP

部署安裝具有非法釣魚AP檢測與反制功能的無線設備，這些設備能嗅探出釣魚AP的無線信號，并能夠對其進行反制，防止用戶連接到釣魚AP中，泄露用戶密碼或支付寶、網銀密碼等敏感信息，保障用戶信息安全。

廣西水利電力職業技術學院在安全性要求較高的場所部署信銳反制AP，定時掃描無線環境中的無線信號，根據無線控制器下發的防釣魚策略識別出釣魚信號，并將掃描結果傳輸給后端無線控制器，控制器對前端反制AP下發并執行反制命令；AP接收到命令，發射對應釣魚信號的無線解關聯數據幀給已鏈接該釣魚信號的終端設備，終端設備接收到解關聯數據幀后，通過打斷手機終端跟釣魚AP的關聯隧道，使手機終端雖然可以看到釣魚WiFi信號，卻始終無法與之關聯上網，保障客戶的安全上網[3]。

2.5 無線用戶隔離

采用無線用戶隔離功能，隔離同一AP下、不同AP間無線用戶間的數據通信，用戶只能與上行端口進行通信，不能互訪，防止數據竊聽。該措施非常適合會議室、教室、禮堂等公共場所的無線網絡，各個無線客戶端之間相互保持隔離，提供更加安全的接入，加強無線網絡的安全性。

2.6 數據加密

對校園網內重要的信息采用加密傳輸，加密后的數據在傳遞過程中倘若被截獲，黑客由于沒有密鑰，也無法識別出傳遞的具體內容，在一定程度上保障數據的安全。

2.7 部署無線入侵檢測防御設備

無線入侵檢測和防御設備能自動監測出攻擊流量，對惡意的攻擊進行攔截，防止惡意攻擊對無線網絡造成破壞，最大限度地保護無線網絡[4]。

3 結語

無線校園網實現了師生員工的快速便捷接入校園網絡，便于信息化教學的開展，是高校校園網的重要組成部分。隨著計算機網絡技術和信息安全技術的發展，各種無線網絡安全問題總是會不斷出現，需要網絡管理部門提高認識，長期在無線網絡安全、接入認證、安全防范、運維管理等方面深入探索研究。