校園無線網(wǎng)絡(luò)安全建設(shè)實(shí)踐

當(dāng)前，無線網(wǎng)絡(luò)技術(shù)正在被廣泛的應(yīng)用到校園信息化建設(shè)之中，具有高靈活性、可移動(dòng)性、開放性等特點(diǎn)。但是，由于無線網(wǎng)絡(luò)本身所具有的這些特點(diǎn)，造成用戶量大、密度不均、應(yīng)用多樣和環(huán)境復(fù)雜等問題，無線網(wǎng)絡(luò)的安全性也備受關(guān)注。本文著重分析無線網(wǎng)絡(luò)的安全隱患以及隱患的來源，對(duì)校園無線網(wǎng)絡(luò)安全建設(shè)實(shí)踐進(jìn)行了分析與探究。

【關(guān)鍵詞】無線網(wǎng)絡(luò) 安全 防范

高效無線網(wǎng)絡(luò)校園是現(xiàn)在很多高校建設(shè)的目標(biāo)，因此，高校在為用戶提供基本的互聯(lián)網(wǎng)上網(wǎng)服務(wù)外，還需要為用戶提供安全可靠的網(wǎng)絡(luò)服務(wù)，用戶可以在校內(nèi)或者校外訪問相應(yīng)的資源。網(wǎng)絡(luò)安全設(shè)計(jì)實(shí)現(xiàn)對(duì)內(nèi)外接入時(shí)避免面臨網(wǎng)絡(luò)安全的問題，保證網(wǎng)絡(luò)資源及網(wǎng)絡(luò)設(shè)備的安全是校園無線網(wǎng)絡(luò)建設(shè)所面臨的一個(gè)嚴(yán)峻問題。

1 無線網(wǎng)絡(luò)安全面臨的主要問題

1.1 訪問權(quán)限的控制

學(xué)校一般擁有大量的外網(wǎng)地址，但是對(duì)外提供服務(wù)的只是其中的一部分或者少數(shù)幾個(gè)地址，因此需要在出口設(shè)備上嚴(yán)格限制外網(wǎng)對(duì)內(nèi)的訪問權(quán)限，只有允許的地址或者允許地址的特定端口才是可以被訪問的，其它地址一律禁止外網(wǎng)發(fā)起的主動(dòng)訪問。

1.2 攻擊主機(jī)的主動(dòng)識(shí)別和防護(hù)

動(dòng)態(tài)監(jiān)測(cè)外網(wǎng)主機(jī)對(duì)資源平臺(tái)的訪問，當(dāng)外部主機(jī)發(fā)起非法攻擊或者大量合法請(qǐng)求時(shí)，網(wǎng)關(guān)設(shè)備會(huì)主動(dòng)將非法主機(jī)進(jìn)行隔離，從而保證資源平臺(tái)的安全性；

2 無線網(wǎng)絡(luò)安全主要的設(shè)計(jì)內(nèi)容

基于“接入安全”的理念，將學(xué)院園區(qū)無線網(wǎng)絡(luò)認(rèn)證過程設(shè)置到離學(xué)生客戶端最近的網(wǎng)絡(luò)邊界處，通過啟用Web認(rèn)證模式，無線控制器和學(xué)校目前采用的AAA認(rèn)證系統(tǒng)的協(xié)同工作，當(dāng)學(xué)生在接入無線網(wǎng)絡(luò)的時(shí)候，網(wǎng)絡(luò)無線控制器和ZZ-OS認(rèn)證網(wǎng)關(guān)進(jìn)行對(duì)接，通過portal的方式將認(rèn)證頁面推送到客戶端，然后將學(xué)生認(rèn)證所需要的用戶名和密碼上傳到無線控制器，無線控制器通過與ZZ-OS認(rèn)證系統(tǒng)的對(duì)接，獲取學(xué)生相關(guān)的認(rèn)證信息，如果認(rèn)證通過，則無線控制器將通知無線AP接入點(diǎn)，允許該學(xué)生訪問相關(guān)的資源，學(xué)生使用瀏覽器即可完成認(rèn)證過程，不僅保證了接入學(xué)生的學(xué)生合法性，而且學(xué)生能快捷便利的使用無線網(wǎng)絡(luò)，極大的提高了學(xué)生的體驗(yàn)感。

2.1 學(xué)生數(shù)據(jù)加密安全

無線AP通過WEP、TKIP和AES加密技術(shù)，為接入學(xué)生提供完整的數(shù)據(jù)安全保障機(jī)制，確保無線網(wǎng)絡(luò)的數(shù)據(jù)傳輸安全。

2.2 虛擬無線分組技術(shù)

通過虛擬無線接入點(diǎn)（Virtual AP）技術(shù)，整機(jī)可最大提供16個(gè)ESSID，支持16個(gè)802.1QVLAN，網(wǎng)管人員可以對(duì)使用相同SSID的子網(wǎng)或VLAN單獨(dú)實(shí)施加密和隔離，并可針對(duì)每個(gè)SSID配置單獨(dú)的認(rèn)證方式、加密機(jī)制等。

2.3 標(biāo)準(zhǔn)CAPWAP加密隧道確保傳輸安全

無線AP接入點(diǎn)與網(wǎng)絡(luò)無線控制器以國際標(biāo)準(zhǔn)的CAPWAP加密隧道模式通信，確保了數(shù)據(jù)傳輸過程中的內(nèi)容安全。

3 安全準(zhǔn)入設(shè)計(jì)

無線網(wǎng)絡(luò)為開放式的網(wǎng)絡(luò)環(huán)境，基于端口的有線網(wǎng)絡(luò)管理方式已經(jīng)無法滿足無線用戶接入管理的需求。為了解決接入用戶管理的問題一般高校都會(huì)部署AAA服務(wù)器，通過AAA服務(wù)器實(shí)現(xiàn)無線用戶身份認(rèn)證。

通過引入AAA服務(wù)器雖然解決了“誰”可以連接無線網(wǎng)絡(luò)的問題，但是如何進(jìn)行用戶身份的認(rèn)證呢？無線網(wǎng)絡(luò)部署的初期一般采用SU的方式。SU方式需要無線用戶在無線終端設(shè)備上安裝特定的客戶端，通過該客戶端完成用戶身份的校驗(yàn)。但是隨著智能終端的出現(xiàn)，接入無線網(wǎng)絡(luò)的終端不僅僅是筆記本電腦，平板電腦、手機(jī)等智能終端也需要接入無線網(wǎng)絡(luò)，而SU模式并不適合安裝在智能終端上。為了解決智能終端接入無線網(wǎng)絡(luò)的問題很多設(shè)備廠商推出了Web認(rèn)證，智能終端不再需要安裝客戶端，只需要通過瀏覽器就可完成身份認(rèn)證。針對(duì)智能終端Web似乎是一種比較完美的身份認(rèn)證方式。隨著互聯(lián)網(wǎng)應(yīng)用的迅速崛起，用戶希望在物理位置移動(dòng)的同時(shí)可以使用微信、微博等互聯(lián)網(wǎng)應(yīng)用。如果依然采用Web方式進(jìn)行身份認(rèn)證，用戶將會(huì)感覺很麻煩，影響用戶對(duì)無線網(wǎng)絡(luò)的體驗(yàn)，為了解決認(rèn)證方式繁瑣的問題，無感知認(rèn)證應(yīng)用而生，無感知身份認(rèn)證只需要用戶首次進(jìn)行終端相關(guān)用戶信息配設(shè)置后續(xù)終端接入無需用戶干預(yù)自動(dòng)完成。

4 安全審計(jì)設(shè)計(jì)

無線網(wǎng)絡(luò)為了給用戶提供良好的上網(wǎng)體驗(yàn)，一般終端接入網(wǎng)絡(luò)時(shí)采用動(dòng)態(tài)地址分配方式，同時(shí)公有地址不足是所有國內(nèi)高校面臨的一個(gè)問題，為了解決地址不足的問題一般校內(nèi)采用私有地址，出口網(wǎng)絡(luò)設(shè)備進(jìn)行NAT轉(zhuǎn)化。在私有地址環(huán)境中采用動(dòng)態(tài)地址分配方式，管理員將會(huì)面臨一個(gè)問題：當(dāng)發(fā)生安全事件時(shí)，網(wǎng)監(jiān)部門只能為管理提供一個(gè)具體的外網(wǎng)地址和訪問的時(shí)間點(diǎn)，僅有的信息中要準(zhǔn)確定位問題的具體負(fù)責(zé)人。

傳統(tǒng)的日志審計(jì)平臺(tái)只記錄了出口設(shè)備的NAT日志，可以通過公網(wǎng)地址和具體的時(shí)間找到對(duì)應(yīng)的私網(wǎng)地址，但是由于地址采用動(dòng)態(tài)分配的方式，能難確定該時(shí)間段對(duì)應(yīng)的地址是哪個(gè)用戶在使用或者說需要查詢多個(gè)系統(tǒng)才能確認(rèn)最終的用戶，如果多個(gè)系統(tǒng)中有一個(gè)系統(tǒng)時(shí)鐘不一致，可能造成最終信息的錯(cuò)誤。為了加強(qiáng)出口行為管理和日志記錄，解決安全審計(jì)方面的問題，安全方案采用elog應(yīng)用日志及流量管理系統(tǒng)。elog配合出口網(wǎng)關(guān)可有效記錄NAT日志、流日志、URL日志、會(huì)話日志等，并可存儲(chǔ)3個(gè)月以上，滿足公安部82號(hào)令相關(guān)要求，學(xué)校也可對(duì)相關(guān)安全事件有效溯源。

日志對(duì)于網(wǎng)絡(luò)安全的分析和安全設(shè)備的管理非常重要，網(wǎng)關(guān)設(shè)備采用統(tǒng)一格式記錄各種網(wǎng)絡(luò)攻擊和安全威脅，支持本地查看的同時(shí)，還能夠通過統(tǒng)一的輸出接口將日志發(fā)送到日志服務(wù)器，為用戶事后分析、審計(jì)提供重要信息。

NAT日志查詢（如圖1所示）。

在充分考慮校園無線網(wǎng)絡(luò)安全設(shè)計(jì)的前提下，對(duì)網(wǎng)絡(luò)自身的數(shù)據(jù)加密、信息泄露以及網(wǎng)絡(luò)攻擊進(jìn)行嚴(yán)密防控的同時(shí)，提升用戶信息安全意識(shí)，從用戶自身入手防止出現(xiàn)簡單密碼、默認(rèn)密碼和用戶主機(jī)殺毒等問題。做到“防范為主、有據(jù)可查、追本溯源”，才能更好的應(yīng)對(duì)網(wǎng)絡(luò)安全問題，提高校園信息的安全性，為師生提供安全可靠的無線網(wǎng)絡(luò)服務(wù)。

參考文獻(xiàn)

[1]吳林剛.無線網(wǎng)絡(luò)的安全隱患及防護(hù)對(duì)策[J].科技信息，2011（25）.

[2]馮博琴，陳文革主編，呂軍，程向前，李波編.計(jì)算機(jī)網(wǎng)絡(luò)簡明教程[M].北京：高等教育出版2009.

[3]梁富強(qiáng).高校校園計(jì)算機(jī)無線網(wǎng)絡(luò)安全策略研究[J].河南科技，2014（02）：19-20.

作者簡介

楊國震（1976-），男。工程碩士，天津交通職業(yè)學(xué)院副教授。數(shù)字化校園。

作者單位

天津交通職業(yè)學(xué)院 天津市 300110