校园无线网络覆盖中的安全措施及选择

摘　要：本文介绍了校园无线网络建设中所遇到的各种安全问题，以及应对各种无线安全问题的各种措施。分析了各种常见安全策略的优点和缺点，并提出了一个安全级别较高的综合安全策略。

关键词：校园无线网络；安全措施；802.11x认证；Portal认证


　　随着信息技术的发展和教育信息化进程的推进，在校园网内全面实现信息电子化交换、信息资源共享和信数字化管理成为必然，校园无线网络覆盖作为有线网络的补充受到越来越多重视。校园无线局域网表现出方便、灵活的组网方式和广泛的适用环境等优点．但是无线网络技术本身存在一定的局限性。由于无线介质上信号传播的开放性为校园无线局域网的设计与实现带来许多区别于有线网的特殊问题，如无线局域网络由于无法在传输介质中保护其信号不被他人截获，从而很容易遭受攻击．因此校园无线局域网的安全性是网络设计、管理和应用中必须解决的重要问题，对无线网络应进行更为完备的安全设计，使其能够有效的为教学、科研工作服务。

一、针对无线网络的安全威胁

　　校园无线局域网是在校园内，利用无线通信技术链接计算机设备，构成相互通信和资源共享的局域网体系。无线局域网的本质特点就是以空间电磁波的方式取代电缆的方式链接计算机与网络，增强了网络构建和终端移动的灵活性。与传统有线网络相比较而言，SWLAN的优点很明显：可移动性、安装简单、高灵活性和扩展能力，且不受地理空间的限制。也正是由于它的这些特点，使得SWLAN难以采用隔离等物理手段来满足网络的安全要求，因此保护SWLAN安全的难度要远大于保护有线网络。

　　学校IT技术人员在规划和建设校园无线网络中面临两大问题：首先，市面上的标准与安全解决方案太多，到底选什么好，无所适从；第二，如何避免网络遭到入侵或攻击？在有线网络阶段，技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线，但是，“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点，使得我们原先耗资部署的有线网络防范设备轻易地就被绕过，成为形同虚设的“马奇诺防线”。

　　针对无线网络的主要安全威胁有如下一些：

　　1、数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光，引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息，然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。

　　2、截取和篡改传输数据。如果攻击者能够连接到内部网络，则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。

二、常见的无线网络安全措施

综合上述针对无线网络的各种安全威胁，我们不难发现，把好“接入关”是我们保障校园无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防，常见的安全措施有以下各种。

1、MAC地址过滤

　　MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段，因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址（MAC地址）下发到各个AP中，或者直接存储在无线控制器中，或者在AP交换机端进行设置。

2、隐藏SSID

　　SSID（ServiceSetIdentifier，服务标识符）是用来区分不同的网络，其作用类似于有线网络中的VLAN，计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了，SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成，无线终端接入无线网路时必须提供有效的SIID，只有匹配的SSID才可接入。一般来说，无线AP会广播SSID，这样，接入终端可以通过扫描获知附近存在哪些可用的无线网络，例如WINDOWSXP自带扫描功能，可以将能联系到的所有无线网络的SSID罗列出来。因此，出于安全考虑，可以设置AP不广播SSID，并将SSID的名字构造成一个不容易猜解的长字符串。这样，由于SSID被隐藏起来了，接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络，即便他知道有一个无线网络存在，但猜不出SSID全名也是无法接入到这个网络中去的。　　

三、无线网络安全措施的选择

　　应用的方便性与安全性之间永远是一对矛盾。安全性越高，则一定是以丧失方便性为代价的。但是在实际的校园无线网络的应用中，我们不能不考虑应用的方便性。因此，我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。

　　在接入无线AP时采用WAP加密模式，又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID，因此不隐藏SSID，以提高接入的方便性。这样在接入时只要第一次需要输入接入密码，以后就可以不用输入接入密码了。

　　使用强制Portal+802．1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全，具有一定的现实意义。来访用户所关心的是方便和快捷，对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件，用户直接使用Web浏览器认证后即可上网。采用此种方式，对来访用户来说简单、方便、快速，但安全性比较差。

　　此外，如果在资金可以保证的前提下，在无线网络中使用无线网络入侵检测设备进行主动防御，也是进一步加强无线网络安全性的有效手段。

　　最后，任何的网络安全技术都是在人的使用下发挥作用的，因此，最后一道防线就是使用者，只有每一个使用者加强无线网络安全意识，才能真正实现校园无线网络的安全。否则，黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。

　　现在，不少学校校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时，因为对无线网络的安全不够重视，对校园网无线网络的安全考虑不及时，也造成了一定的影响和破坏。做好无线网络的安全管理工作，并完成全校无线网络的统一身份验证，是当前学校组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接，确保无线网络的高安全性，提高学校的信息化的水平。