高校無線校園網安全設計研究

楊名

【摘 要】本文論述高校無線校園網安全設計，從高校無線校園網面臨的安全問題來分析高校無線校園網安全建立的必要性，提出網絡安全架構設計需要遵循標準成熟性、完善性、網絡可擴展性、部署靈活性四項原則，應對結構安全做全面性考慮、對安全接入功能做設計、做認證安全設計準入準出安全設計，并在具體實踐中進行網絡結構設計、安全接入設計、統一認證和準入準出設計、出口安全設計，以促進高校無線校園網絡安全建設。

【關鍵詞】高校 ?無線網絡 ?安全架構 ?設計

【中圖分類號】G ?【文獻標識碼】A

【文章編號】0450-9889（2019）08C-0187-02

在信息化社會，無線網絡的應用使較多領域的具體工作發生了顯著的變化，就調查統計分析來看，無線網絡的應用便捷了資料信息的傳輸，對管理起到了非常積極的作用，同時，無線網絡的普及也為高校的網絡教育提供了條件。就目前的高校無線校園網應用來看，無線網絡提高了管理的效率，幫助實現了高校管理的信息化發展，同時，無線校園網也為教育教學的模式變化以及靈活性提升創造了良好的條件。但是在具體的實踐應用中發現，當前的網絡環境對高校無線校園網的應用及發展還存在不利影響，高校無線校園網普遍存在安全隱患，因此要在復雜的環境中保證無線校園網絡的有效利用，必須強化安全架構的設計。

一、高校無線校園網安全建立的必要性

就目前的高校建設來看，為了建設信息化高校，同時也為了提高高校的教學效率和管理實效，無線校園網在高校中已經非常普遍。對高校的無線校園網具體分析發現其面臨兩方面的安全問題。一方面是無線校園網存在非法入侵的情況。高校網絡作為信息化管理的重要工具，有較多機密性的資料和數據，非法入侵會導致信息資料的泄露。另一方面是高校無線校園網還普遍存在著網絡惡意攻擊的情形。一些非法用戶會利用網路渠道發送木馬、病毒等對高校無線校園網進行攻擊，嚴重時會造成網絡癱瘓，給學校的信息化建設及應用帶來嚴重影響。以上兩方面嚴重影響了高校無線網絡的應用安全，必須對網絡做安全強化。

二、設計原則

高校無線校園網的安全架構需要基于高校網絡利用的基本現狀來開展，所以其具體的網絡安全架構設計需要遵循以下四項原則：

（一）標準成熟性原則

無線校園網在高校管理實踐中要發揮突出的價值，需要具有成熟性和可操作性，如此，其運行才會更加的穩定。在高校無線校園網構建的時候要基于技術成熟和可操作做標準的制定，并依據標準做設計，校園網的整體效果發揮才會得到保障。簡言之，網絡安全要保證，網絡的標準性是必須要強調的，操作的成熟性也是需要重視的，因此遵循標準成熟性原則有突出的意義。

（二）完善性原則

所謂的完善性原則具體指的是在高校無線校園網絡安全架構設計中必須要對安全措施做完善性考慮。在高校無線網絡的具體利用中，除了學生會利用網絡，網絡黑客也會攻擊網絡，所以高校網絡的管理人員必須要將網絡安全放在重要的位置，并采取任何可以實現網絡安全的措施來保證無線網絡的運行安全，總之，無線網絡的安全需要從傳輸安全保護、運行環境安全防護、用戶認證以及訪問控制等各個方面進行強化，實現無線網絡安全完善的目標。

（三）網絡可擴展性原則

之所以要強調可擴展性主要是因為當前的網絡技術還處在飛速發展的階段，在之后的網絡建設中會利用到相比于當前更先進的技術以及設備，所以現階段的網絡結構需要為未來的網絡應用提供利用空間。基于此，在現階段的網絡安全架構中需要對未來安全做考慮，所以安全架構要具有可擴展性。

（四）部署靈活性的原則

部署靈活性主要是考慮到目前高校網絡建設的不統一。就具體的分析來看，現階段的高校無線網絡部署采用的形式與技術并不唯一，所以利用統一的標準會使具體的安全部署無法實施，所以在實踐中做靈活性部署強調，這樣可以使高校網絡的具體利用更具實踐性價值。

三、安全架構的設計思想

高校無線校園網的安全架構需要以保證高校網絡應用的安全為目的，所以具體的設計思想和方法都要為最終的目的服務。總結目前的高校無線校園網絡應用并對當前社會無線網絡應用的安全設計做分析與探討，高校無線網絡安全設計需要從以下四個方面展開。一是高校網絡的結構安全要得到保障，因此在具體的設計中需要對結構安全做全面性考慮。二是需要對安全接入功能做設計。從現實分析來看，很多網絡的安全性較差，是因為在接入方面沒做安全考慮，所以會有大量的病毒、木馬對網絡進行攻擊。三是做認證安全設計準入準出安全設計。該方面的設計會對非法登錄形成打擊，而且做好準入準出的安全設計，用戶的安全體驗效果會更加完善。四是出口的安全設計。出口的安全設計對網絡形成了保護，這會讓高校的網絡應用更具安全效果。

四、高校網絡安全架構實踐

筆者所在高校為實現無線校園網的安全保障，積極尋求網絡安全的架構方法，參考上述的網絡安全設計原則和思路進行校園網絡結構的設計，以下是具體的設計分析：

（一）網絡結構設計

高校基于自身的實踐在網絡結構設計中采用了AP+AC的集中式架構方案，該方案有兩大核心。一是基于核心交換機進行規模化的設備設計和部署，而利用的設備主要為智能AC設備。二是對校園無線網絡進行集中的整合和管理，主要集中的對象為AP。

在方案的實施中該校網絡安全設計人員意識到AP+AC的集中式架構的特點是集中，在AP出現問題后整個網絡會受到影響，因此具體的方案執行中采用了雙AC冗余設計。所謂的雙AC冗余設計具體指的是在設計中利用兩臺智能AC設備，其中一臺為主控，另一臺為副控，兩臺AC設備分別和核心交換機做互聯并構建CAPWAP隧道。此設計在實際運行的時候，如果網絡中存在主控制器故障的情況，副控制器會對主控制器進行替代實現系統的繼續運用，而所有AP的主CAPWAP隧道也會切換到副控制器上，保證業務的正常。在主控制器恢復后，AC會實現備份，鏈路也隨之和主控制器進行連接，從而保證其運行。

學校設計人員基于方案做設計后，對具體的網絡運行做了分析，發現雙AC冗余在網絡穩定性和持續性方面有非常突出的效果。

（二）安全接入設計

接入是否具有安全性是高校無線校園網絡安全設計需要重點考慮的內容，因此高校在具體的網絡安全設計中對安全接入設計做了重點的考慮，最終決定做兩方面的設計：一是進行WIDS功能設計。高校網絡管理人員對校園用戶做具體的資料總結發現非法登錄和廣泛性的攻擊在校園網絡中表現十分的普遍，這影響了校園網的安全。基于網絡管理部門提供的實時參考，設計人員在設計的時候于AC設備中做了WIDS模塊的部署。WIDS模塊實現了AP以及客戶端的認證檢測，從而屏蔽了導致非法登錄訪問網絡的條件。二是高校網絡設計人員先對加密算法的有效性做了研究并對訪問用戶進行了控制。校園網中的機密數據和教學資源比較多，安全設計考慮資源獲取和存儲十分必要。設計人員通過設計實現AP/AC中的多種加密技術和認證技術支持，以此實現對訪問用戶的有效限定。

（三）統一認證和準入準出設計

在網絡安全設計中，對統一認證和準入準出也進行了全面性設計。從設計結果來看，其設計主要涵蓋兩部分：一是做統一的認證機制設計。設計人員認為學校的認證可以利用身份認證方案，當然也可以使用一套能夠實現綜合認證的計費系統并對接收到的數據做備份的方案。無論是哪種方案，在具體的認證中，均需要AP、AC和Portal認證服務器做配合，同時還需要與Radius認證服務器做聯合。二是對準入和準出做一體化設計。設計人員的具體設計其能夠滿足不同認證用戶的需要，在實踐中既有對802.1X用戶的認證，也有對web portal用戶的認證。對于802.1IX用戶的認證，接入網絡后用戶網的內外網會自行切換，當身份得到認證后認證系統所連接的計費系統便會啟動，并基于不同的授權做計費處理。此設計實現了準入和準出的雙重功能合一，具有明顯的便利性。對于web portal認證用戶，可以先在計費網關中心遞交用戶的認證信息，在計費過后，計費中心會自動將信息轉移至認證中心做信息的檢查和認證，這種認證是從內網向外網進行的，具體過程就兩步。在此種認證方式的利用中，為了保證用戶的身份具有合法性，需要實現內網安全、定位以及審計等功能的利用。

（四）出口的安全設計

高校的無線校園網絡安全設計中對出口安全也進行了考慮。出口的獨立性會讓校園網絡的使用更具安全效果，獨立的安全出口需要滿足兩方面的要求：一是需要對多種路由協議做支持，二是需要設計具有統一性的網關設備，該設備能夠對原有的安全設備進行替代。

綜上所述，高校無線校園網的應用安全關系著校園管理以及師生的合法權益，所以為了保證校園網絡的安全有效利用，必須要對網絡安全做全面性考慮。文章對高校網絡安全架構設計的原則以及具體內容等進行分析，為高校的網絡安全架構提供了參考，具有一定的參考價值。

【參考文獻】

[1]黃嵩.基于SDN架構的無線局域網安全研究[J].電腦知識與技術，2017（13）

[2]李學龍，郝文英.基于IT治理的高校校園安全網絡框架設計研究與實現[J].網絡安全技術與應用，2017（2）

[3]王斐.電力公司安全辦公無線局域網的設計與實現[D].南昌：江西財經大學，2017

[4]蕭益民.高職院校無線校園網絡的分析與設計[J].電腦知識與技術，2017（21）

[5]呂旻.網絡安全體系結構的設計原則與實現方案研究[J].自動化技術與應用，2017（6）

【基金項目】2017年度廣西高校中青年教師基礎能力提升項目“高校無線數字化校園網絡安全技術研究”（2017KY1224）

【作者簡介】楊 名（1973— ），男，碩士，廣西工商職業技術學院副教授，研究方向：高職教育。

（責編 何田田）