校園無線網絡的安全防護方法

曾俊雄

（泉州市培元中學，福建泉州 362000）

校園無線網絡的安全防護方法

曾俊雄

（泉州市培元中學，福建泉州 362000）

一、校園無線網絡現狀分析

隨著教育信息化的發展，各個學校大量使用筆記本電腦及各種手持無線設備，而無線局域網(Wireless LAN，WLAN)有著傳統有線局域網(LAN)所沒有的優點，如建網靈活，可擴展性好，支持終端的移動性，支持在特殊場合(無法或很難架設網線)的應用。但由于WLAN是以無線電波作為上網的傳輸媒介，而無線網絡信號可以傳播到預期以外的地域，給入侵者有機可乘，特別是使用外接增益天線，可以遠程竊聽網絡中的數據，安全問題堪憂。我校無線局域網已經使用了一段時間，積累了一些經驗，因此，下文對校園無線網絡的安全防護方法作一下探討。

二、校園無線網絡的安全防護

1.安全規劃與配置

（1）規劃好天線安裝位置

布設校園無線網絡時，選擇好天線位置，也可使用定向天線，背向學校的方向就不易收到無線信號，學校一側也可以收到更強的信號。

（2）在沒有使用的時候關閉網絡

安裝時可將無線收發設備的電源與教學樓的電源裝于同一線路上，在晚上夜自習結束離開教室后，關閉電源時也同時關閉無線信號。

（3）AP隔離規劃

類似于有線網絡的VLAN，將所有的無線客戶端設備完全與有線網隔離，使之只能訪問AP連接的固定網絡，相當于無線中的局域網。

（4）配置無線入侵檢測系統

用于無線局域網的入侵檢測系統，可用來監視分析用戶的活動，判斷入侵事件的類型，檢測非法的網絡行為，對異常的網絡流量進行報警。

（5）應用 VPN 技術

無線接入網絡VLAN(AP和VPN服務器之間的線路)從局域網把VPN服務器和內部網絡隔離出來。VPN服務器提供網絡的認證和加密，并應用于局域網網絡內部，具有較好的擴充、升級性能，可應用于較大規模的校園無線網絡。

（6）配置無線控制器+FITAP集中式WLAN管理設備

較新的WLAN網絡架構，用戶對FITAP的管理是通過無線控制器來代理完成，更改服務策略設定和安全策略設定只需要登錄到指定的無線控制器就可以完成設置，無線控制器會自動把新的配置下發到指定的FITAP。

2.使用中的安全措施

（1）修改管理員密碼和用戶名

修改無線AP設置中的默認用戶名和密碼，盡量設置復雜的、較長的密碼，最好是字母與數字并存。

（2）啟用無線AP的連接密碼

升級到WPA2(WiFi Protected Access)加密協議。將安全設置改為“個人WPA2協議”并且勾選“TKIP+AES”運算法則。最后在“共享密鑰”中輸入密碼，保存修改。

（3）采用身份驗證和授權

Windows Server 2003內的IAS，可用來架設Radius服務器?？蛻舳嗽谑褂镁W絡之前必須先輸入用戶名、密碼等認證信息，并只有在認證通過時才開放該客戶端的網絡使用權限。

（4）修改默認系統SSID

改變默認的SSID，可以使你區別于其它未受保護的網絡，還可以使你的用戶不會因此錯連接到其它的網絡中，從而就不會將你的數據暴露于黑客的嗅探器下。

（5）禁止SSID網絡廣播

SSID參數在設備缺省設定中是被AP無線接入點廣播出去的，禁止這個廣播后，我們必須把SSID名稱告訴各位用戶，在無線接收設備上設置好才能連接上無線AP。

（6）使用 MAC地址過濾與固定IP

這個方法要求登記學校里所有使用無線上網設備的MAC地址，來更新無線AP中的MAC地址列表。這樣就只有經過登記的合法設備可以訪問你的網絡了。如果能關閉DHCP服務，為學校里的每臺電腦分配固定的靜態IP地址，然后再把這個IP地址與無線終端的MAC地址進行綁定，這樣就可以得到雙重保險。

[1]李園，王燕鴻.無線網絡安全性威脅及應對措施[J].現代電子技術，2007，（5）：91-94.

[2]王秋華，章堅武.淺析無線網絡實施的安全措施[J].中國科技信息，2005，（17）：18.

[3]冷月.無線網絡保衛戰[J].計算機應用文摘，2006，（26）：79-81.

[4]湛成偉.網絡安全技術發展趨勢淺析[J].重慶工學院學報，2006，20（8）：119-121.

（編輯：郭桂真）