校園無線網絡的安全策略分析

李敏

（青海交通職業技術學院 青海 西寧 810000）

校園網絡不僅能夠保障學校教學、科研、管理等各項工作的有序進行，還能促進學校間的交流溝通，豐富師生的生活[1]。隨著師生中移動終端的普遍使用，校園內傳統的有線網絡已經不能滿足師生的學習、工作、生活需求。校園無線網，能夠彌補有限網絡的不足，提高學校的信息化建設水平，為師生搭建起更加便捷的信息化平臺，加速建設校園無線網絡勢在必行[2-3]。

校園網關系著師生的工作、生活，必須高度重視校園網的安全性[4-5]。無線校園網在給我們帶來便捷的同時，由于其動態拓撲以及開放性等性質，容易遭受到篡改、非法竊聽和接入等一系列網絡攻擊，加上用戶數量遠多于家用無線網絡，較難開展網絡安全的防范工作[6]。因此，在構建無線校園網時，要充分考慮其安全性，綜合采取各種安全保障手段，搭建起一個安全的網絡環境。

1 校園無線網的安全威脅

校園無線網為成百上千的師生提供方便快捷的網絡接入，使得師生擺脫了有線電纜的束縛，能夠輕松的獲取新鮮資訊，隨時隨地的學習、工作，能夠極大的促進教育管理和科研水平。然而，也給校園網絡的安全性帶來了嚴峻的挑戰，威脅著校園網絡的正常運轉，其存在的安全威脅可以歸納為非法入侵、網絡監聽、地址欺騙和會話攔截、拒絕服務、高級網絡入侵等方面。

1）非法入侵

為了方便師生接入，無線局域網能夠輕松的獲取到，這給非法用戶提供了可乘之機。他們不經允許私自使用校園網的網絡資源，這一方面將使得寶貴的無線網絡資源變的更加擁擠，使得為師生提供的網絡服務質量下降，另一方面還將增加校園網絡費用支出。

2）網絡監聽和遠程控制

非法用戶通過入侵校園無線網，并利用一些監聽、分析工具，對師生的數據進行竊聽、修改以及轉發等；或是利用木馬植入等手段實現遠程控制，竊取用戶控制權限和資料。這嚴重威脅著校園師生的網絡安全，可能導致師生資料的泄露、賬號和密碼被破解等不良后果。

3）網絡攻擊

入侵者利用偽造MAC地址等方式，造成網絡里產生出眾多的ARP通信量，這將導致網絡阻塞，使得網絡發生中斷。

4）高級入侵

入侵者一旦攻擊進入到無線網絡中，將會再進一步的通過無線網絡入侵到整個校園網。這時，整個校園網絡內部所有的用戶、服務器、數據都暴露在入侵者面前，這將給校園網絡帶來無可想象的后果。

2 校園無線網絡的安全技術分析

在解決校園無線網絡安全性問題的過程中，主要采用過濾MAC地址、數據加密、隱藏及禁止廣播SSID等技術。

1）過濾 MAC地址

MAC地址是唯一的，因此常常采用過濾MAC地址的辦法來解決校園無線網絡的安全性問題。在實現過程中，把合法的MAC地址存放在無線控制器中或下發給所有的AP中，這樣，就能夠將不合法的MAC地址過濾掉，以阻止無線網絡中一些非法入侵行為。

2）數據加密處理

通過對所傳輸的數據進行加密處理，能夠有效的提高數據的安全性。經過加密后的數據即使被入侵用戶截獲、監聽，也能夠保障數據的安全，降低損失。

3）隱藏及禁止廣播SSID

SSID作為網絡標識符，被設置在無線接入點AP上，用于區分網絡，實現無線網絡中的跟蹤定位功能。在使用無線網絡的過程中，一臺設備只允許與一個SSID網絡進行連接和通信。一般情況下，AP廣播SSID以使得接入的設備能夠感知到附近的無線網絡，這給無線網絡的安全性造成了巨大的威脅。為了保障無線網絡的安全，應該禁止AP的廣播，并用一長串不規則的字符串映射SSID，實現SSID的隱藏。通過隱藏SSID以及禁止AP廣播SSID，那些未經許可的設備就算是能夠掃描到無線網絡，也不能接入到無線網絡中。

4）其他技術

除了以上介紹的3種主要的無線網絡安全保障技術外，一些其他的技術也常被用于提高校園無線網絡的安全性，如采用VPN技術、通過802.1x控制網絡進行接入以及停用動態主機配置協議等。

3 構建完整的校園無線網絡安全解決方案

為了全面的保障校園無線網絡的安全，需要從無線網絡的管理、搭建等各方面入手。一方面要加強用戶的網絡安全意識，加強對接入設備的管理，并定期備份和維護服務器，制定網絡安全的相應響應機制，積極應對出現的安全意外，保障校園網絡的暢通。另一方面，在搭建校園無線網絡的過程中，在軟硬件方面采用各種無線網絡安全保障技術，提升校園網抵抗入侵的能力。

3.1 加強校園網絡的安全管理

完善網絡運行管理規范，建立網絡安全應急響應機制，一旦校園網絡遭到入侵，出現了安全問題，立即通過標準化的流程采用應急手段，對出現的安全問題進行補救，恢復校園網絡的暢通。

組織網絡管理員對校園網用戶進行網絡安全的培訓，提高用戶的網絡安全防范意識，幫助校園網用戶掌握一些無線網絡的安全策略，幫助用戶養成安全上網習慣，使用戶自覺安裝安全軟件，及時補好系統的安全漏洞。

增加無線入侵的監測系統，加強對終端設備的監管、分析，建立起網絡用戶數據庫，對系統的監測日志進行嚴格管理，監測非法的網絡入侵行為。及時解決監測到的網絡安全問題，對于網絡入侵等異常情況進行報警。

3.2 硬件搭建過程中的安全策略

通過合理的采用無線網絡的硬件策略，對天線進行合理的布局、選取合適的AP發射的功率，能夠使無線網絡的安全性能得到明顯的提高。

在AP布局時，通過將天線布置在合適位置，并在無效區域方向添加反射板，能夠有效減弱無效區域的信號強度，這不僅能夠節約成本，提高信號有效區域的信號強度，還能消除無線網絡存在的一些安全隱患。

在搭建無線網絡的過程中，通過合理的選取AP的發射功率，在保證網絡覆蓋的前提下降低AP發射功率。這能夠減少AP間干擾的同時，還能降低網絡入侵的概率。

3.3 采用無線網絡安全技術

通過IP訪問的控制，阻止非授權的網絡接入，構建起無線網絡安全的第一道防線。除了IP控制外，還能夠采取MAC地址的控制，這能夠更加有效的保障校園網絡安全，因為設備的MAC地址唯一，在出現安全問題時能夠相應的定位到設備用戶，聯系用戶解決問題。

采用802.1x進行用戶認證，不僅能夠方便用戶接入，保證用戶隨時能夠對網絡進行訪問，還能保障用戶所訪問的數據的安全性。

在數據傳輸的過程中，通過WEP、WPA（圖1）、VPN等加密技術，對無線數據進行加密處理，能夠為用戶的數據安全構建起一道新的防線。

圖1 WPA數據幀加密處理過程Fig.1 Coding process of WPA data frame

此外，在搭配使用隱藏SSID技術，并限制SSID的廣播，進一步減少無線網絡被搜索到的可能性，從而提升校園無線網的安全性。

4 結束語

由于無線網絡接入的便捷性，能夠有利于師生隨時隨地的獲取信息資源，能夠極大提升學校的教育教學和管理水平，校園無線網絡的構建成為必然趨勢。然而，無線網絡存在著諸多安全性問題。文中分析了校園無線網絡的安全隱患以及一些常用的無線網絡安全技術，提出了從管理、硬件和安全技術3個方面綜合保障校園無線網絡安全運行的解決方案，能夠有效改善校園的網絡運行環境。

[1]馬玲.淺談校園無線網絡安全防范[J].黑龍江科技信息，2009（34）:97-98.MA Ling.Discussion on security protection of campus wireless network[J].Heilongjiang Science and Technology Information，2009（34）:97-98.

[2]常偉鵬.校園無線網絡安全防護研究[J].網絡安全技術與應用，2012（7）:75-76.CHANG Wei-peng.Study on security protection of campus wireless network[J].Network Security Technology and Application，2012（7）:75-76.

[3]馬杰，董杰.校園無線網絡安全技術[J].電腦開發與應用，2012（6）:68-70.MA Jie，DONG Jie.Campus wireless network security technology[J].Computer Development and Applications，2012（6）:68-70.

[4]蘇俊杰.校園無線網絡安全問題初探[J].計算機光盤軟件與應用，2012（9）:56-57.SU Jun-jie.Exploration of campus wireless network secutity[J].Computer CD Software and Applications，2012（9）:56-57.

[5]李方軍，唐贊玉.校園無線網絡的構建[J].軟件導刊，2012（11）:117-118.LI Fang-jun，TANG Zan-yu.Construction of campus wireless network[J].Software Guide，2012（11）:117-118.

[6]張景文.校園無線網絡安全技術分析 [J].電腦知識與技術，2010（12）:3104-3105.ZHANG Jing-wen.Analysis of campus wireless network security technology[J].Computer Knowledge and Technology，2010（12）:3104-3105.