企業(yè)無線局域網接入訪問的安全控制

湯越

摘要：在無線局域網的使用中，終端接入訪問控制是網絡安全管理極為重要的環(huán)節(jié)，通過多種控制方式的結合使用，可以有效消除無線局域網的安全隱患，保障網絡安全運行。文章結合華為公司設備介紹了無線局域網幾種常用的接入訪問控制方式。

關鍵詞：無線局域網；接入訪問；無線控制器；安全

無線局域網（Wireless Local Area Networks，WLAN）技術是計算機網絡與無線通信技術相結合的產物，其以無線電波作為傳輸介質，通信范圍不受環(huán)境條件限制，網絡傳輸范圍得到拓寬。通過無線局域網，終端用戶可以擺脫有線網絡的束縛，方便地接入網絡，并在無線覆蓋區(qū)域內自由移動[1]。與有線傳輸介質的傳統局域網相比，無線局域網減少了繁雜的網絡布線，因此大大降低網絡部署成本。無線局域網具有易于規(guī)劃、安裝便捷、使用靈活等優(yōu)點，已成為一種經濟、高效的網絡接入方式，隨著企業(yè)信息化應用的不斷深入，它將具有廣泛的應用前景。

1 無線局域網接入訪問問題

無線局域網由于采用無線電波作為載體，因此任何訪問終端只要在無線電波信號覆蓋范圍內，都可成功搜索到無線信號，如果沒有完善的接入訪問控制機制，無線網絡資源就存在被非法訪問的危險。非法用戶可入侵無線局域網，占用網絡流量，降低網絡帶寬的利用率，甚至竊取數據并對網絡進行攻擊，導致網絡癱瘓等嚴重后果。如果一個企業(yè)的無線局域網未做任何接入訪問控制，為開放式接入方式，就會導致任何訪問終端都可以直接接入并訪問網絡資源，會對網絡造成嚴重的安全隱患。所以對企業(yè)無線局域網而言，必須要有一套保證其安全運行的管理維護措施，針對不同訪問終端進行嚴格的接入訪問控制，是其中一個極為重要的管理環(huán)節(jié)。

目前華為公司的網絡通信設備在國內大中型企業(yè)中已被廣泛使用，本文結合華為公司設備對無線局域網的接入訪問安全控制問題進行討論。

2 無線局域網接入訪問安全控制

為了保障無線局域網接入訪問的安全控制，通常可采用以下幾種方式對無線終端的接入訪問進行相關設置。

2.1 設置終端MAC地址黑白名單

通過在無線控制器上配置終端多址接入信道（Multiple Access Channel，MAC）地址黑白名單，添加具有允許或禁止訪問無線局域網的終端MAC地址，當無線終端訪問無線局域網時，無線控制器會根據名單上的MAC地址進行查找匹配，只有符合條件的終端才可以訪問無線網絡，否則禁止訪問。以華為無線控制器為例，配置白名單列表后，只有匹配白名單列表的終端可以接入無線局域網，其他終端則無法接入；配置黑名單列表后，匹配黑名單列表的終端無法接入無線局域網絡，其他終端則可以接入。由于企業(yè)內部員工的電腦終端MAC地址是可掌控的，建議采用白名單設置更為安全。

設置白名單命令如下所示，命令中所列MAC地址為可以合法接入無線局域網的終端MAC地址。

sta-whitelist-profile name 白名單模板名稱

sta-mac MAC地址1

sta-mac MAC地址2

sta-mac MAC地址3

……

此類方法可實現對無線終端的接入控制，設置簡便，是一種最基本的安全訪問控制方式。不過終端MAC地址一般需要網絡管理員手動進行管理操作，存在工作量大、網絡擴展能力受限的問題。同時，這種方法也不是絕對可靠的，它不能阻止所有的惡意攻擊行為，因為非法訪問者可以通過相關軟件修改終端MAC地址達到非法訪問無線局域網的目的。

2.2 設置無線SSID訪問權限

在企業(yè)的日常工作中，經常有臨時人員來訪，如果授予臨時人員具有和企業(yè)正式員工相同的內網訪問權限，臨時人員一旦訪問內網，可能會造成內部重要信息泄露等問題，會影響到企業(yè)網絡的安全，也不便于無線局域網的維護管理，因此，可針對正式員工和臨時人員分別設置不同的無線服務集標識（Service Set Identifier，SSID）。SSID為無線局域網服務集標識，可將一個無線局域網分為多個子網，從而為每個子網設置不同的訪問權限。例如，為企業(yè)員工建立一個SSID，名字為HOST，授予HOST訪問內網和外網的權限，企業(yè)員工電腦無線終端通過接入HOST網段訪問網絡；為臨時人員建立一個SSID，名字為GUEST，僅授予GUEST訪問外網權限，臨時人員電腦終端通過接入GUEST網段訪問網絡，這樣即可達到無線訪問控制管理目的。

在華為無線控制器中，授予GUEST網段訪問權限可通過設置訪問控制列表（Access Control Lists，ACL）來實現，由此限制臨時人員對內網資源的訪問，設置命令如下所示。

acl name訪問控制列表名稱

rule 5 deny ip source GUEST網段地址 GUEST網段反向子網掩碼destination內網網段地址內網網段反向子網掩碼

除了在無線控制器做ACL設置外，網絡管理員也可以在局域網網絡出口的路由器或防火墻上，使用訪問控制技術（如ACL訪問控制列表、防火墻訪問策略等）對無線SSID網段進行訪問權限設置，同樣實現對無線終端的訪問權限控制。此類方法可結合文中所述的其他接入訪問控制方法一起配合使用效果更好。

2.3 設置加密安全策略

在無線控制器上設置加密安全策略，當無線終端訪問無線局域網時，需要輸入預共享秘鑰進行驗證，通過驗證后方可訪問，從而保護無線局域網的通信安全。加密安全策略主要包括WEP，WPA/WPA2-PSK，WPA/WPA2-802.1X等多種方式，如表1所示。網絡管理員可根據企業(yè)需要，對企業(yè)無線局域網安全要求程度，選擇一種加密安全策略。

WPA/WPA2-PSK采用預共享密鑰和高級加密標準（Advanced Encryption Standard，AES）加密認證方式，安全性能高，為一種不錯的加密安全策略。在華為無線控制器上，如果采用WPA/WPA2-PSK方式加密，設置要點依次如下。

（1）創(chuàng)建安全模板，配置WPA2-PSK-AES的安全策略。

security-profile name 安全模板名稱

security wpa2psk pass-phrase 預共享秘鑰名稱 aes

（2）新建無線業(yè)務參數VAP模板，引用已創(chuàng)建的安全模板。

vap-profile name VAP模板名稱security-profile安全模板名稱

（3）將VAP模板通過配置命令下發(fā)到無線AP。

由于加密安全策略在無線終端訪問接入時要進行密鑰認證，不失為加強無線局域網安全的一種重要方法，可同文中所述的其他接入訪問控制方法一起配合使用。

2.4 設置NAC認證方式

網絡準入控制（Network Admission Control，NAC）認證方式能夠實現對接入終端嚴格管控，降低局域網安全風險，因此，該認證方式也可在無線局域網上采用。通過部署單獨的認證服務器，對無線終端的接入進行認證，保證合法終端入網。當終端接入無線網絡時，無線控制器和認證服務器結合使用進行終端身份認證，根據認證結果來控制終端的網絡訪問權限。

在華為設備中，認證方式包括802.1X認證、MAC地址認證、Portal認證和微信認證等，如果采用Portal認證方式，需要在認證服務器上部署認證門戶網站，當終端連接無線局域網時，無線控制器強制終端先登錄到認證服務器的認證門戶網站，要求訪問者輸入用戶名和密碼進行認證，無線控制器根據收到的認證結果進行識別，只有認證成功的終端才允許訪問無線局域網，否則拒絕終端訪問。

NAC認證方式側重于終端接入時的身份識別認證，能禁止非法終端接入，可和文中前述的幾種接入方法結合使用。2.5設置無線SSID廣播隱藏無線局域網在通常情況下會廣播SSID，因此接入終端能直接搜索到可用的無線網絡，將所有無線網絡SSID全部顯示出來，容易給非法訪問者提供嘗試非法訪問的機會。如果將無線SSID的廣播狀態(tài)設置為隱藏，這樣接入終端就無法通過搜索找到已有的無線SSID，減少了對企業(yè)無線局域網非法訪問機會。在華為無線控制器中，可通過下列命令對無線SSID設置為隱藏模式。

ssid-profile name 無線SSID名稱

ssid-hide enable

此方法可減少非法無線終端的接入機會，設置簡便，不過由于隱藏了無線SSID廣播，對于合法終端而言，訪問無線網絡時則需要網絡管理員在終端手動添加訪問連接，管理起來較為不便。

3 結語

企業(yè)無線局域網安全的重要性不容低估，通過加強對終端接入訪問的控制，可防止非法終端對無線局域網的訪問，進一步消除網絡安全隱患，保護合法終端的利益。控制無線局域網的接入訪問有多種方法，單一的方法有其局限性，可在企業(yè)現有的網絡環(huán)境中，根據實際需要采用多種方法相結合進行設置，才能有效保障無線局域網絡的安全運行。

[參考文獻]

[1]王順滿，陶然，陳朔鷹.無線局域網絡技術與安全[M].北京：機械工業(yè)出版社，2005.