无线局域网在校园网中的安全构建

摘要：近年来，随着无线通信技术的飞速发展，无线局域网技术正逐步进入校园网络。本文概述了无线局域网的相关概念和技术，详细探讨了校园无线局域网的安全策略，并在实践的基础上探讨了无线局域网在校园网中的安全构建。

关键词：校园 无线局域网 安全策略

随着科学技术的日新月异，无线网络以其独特的灵活性、易扩展性、可移动性得到了广泛的应用。无线校园网是计算机网络与无线通信技术结合的产物，它不受电缆的限制，并且可移动、可满足各类便携设备入网的要求，实现计算机无线网的接入、图文传输、电子邮件收发、网络教学等多种功能。无线网络的飞速发展，对目前学校的教学模式、理念以及教学管理产生了非常重要的影响，也使得教师和学生的学习方式发生了巨大的变化。

1、无线局域网技术概述

无线局域网(WLAN)是计算机网络与无线通信技术结合的产物，在普通局域网的基础上可以通过无线Hub、无线接入站AP（Access Point）、无线网桥、无线网卡及无线Modem等来实现。无线网通信协议所采用的标准有：IEEE 802.11a、IEEE 802.11b和 IEEE 802.11g等。目前运行的无线局域网络大多采用IEEE 802.11b/g标准，以及最新的标准IEEE802.1i。

2、无线网络安全基本技术

2.1 有线等价保密协议（WEP）

无线局域网的安全技术体现在利用有线等效保密协议对数据进行加密。有线等价保密协议（WEP）是IEEE802．11b协议中最基本的无线网络安全加密措施。它的目的是访问控制和保密，采用这种协议只允许拥有正确WEP密钥的用户通过加密来保护无线网络的数据流。有线等价保密协议在传输上提供了一定的保密性和安全性，并且可以阻止无线用户对AP和STA之间传输的内容进行查看。

2.2 基于802.1x认证的安全解决方案

无线网络是以空气当做媒介、通过电波进行信息传输，这就导致在一个无线局域网接入点（AP）所服务的区域中，每个客户端都可以随意接受到此接入点所传播的电磁波信号，从而导致数据被窃取。这对无线局域网的安全认证、数据加密、接入控制显得非常重要。802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访WLAN。

2.3 新一代WLAN安全标准——802.11i

802.11i是新一代的无线安全标准。这一安全标准定义了RSN（Robust Security Network）的概念，增强了无线网络的数据加密和认证性能，并且针对WEP加密机制的各种缺陷做了多方面的改进。

3、校园无线局域网的安全威胁

校园局域网不是无线产品的简单组合，它具有较大的构建规模，是一种整体的校园网络系统。在构建时，一方面要考虑到无线网络的信号覆盖问题，另一方面也要考虑到无线网络所面临的安全威胁。而且还要考虑到其规模在以后会扩展的需求，校园无线局域网系统应当满足高吞吐量、安全的移动性以及与有线网络的无缝结合等问题。

对于校园无线局域网的安全构成主要威胁的来源有：

(1)依靠有效保密（WEP）方式对无线局域网数据加密存在的漏洞：①密钥容易泄漏；②密钥容易通过一些无线破解软件进行破解；③MAC地址认证接入方式。

(2)网络黑客的恶意攻击、窃取、修改信息；

(3)内部用户可能的恶意攻击、误操作；

4、校园无线局域网安全策略及构建

无线局域网的安全问题是一个系统工程，在校园无线局域网的构建上更存在安全隐患。由于学校的各部门对网络的需求不一样，例如，某些部门（比如学生宿舍区）只需要对校园内部数据资源进行访问，不允许其访问互联网数据，而有的部门比如财务部等重要部门需要对银联数据进行访问。这就对无线控制器提出了级别不同的安全技术策略。为了保证校园无线局域网的安全性，在制定其安全策略时应该符合以下几个方面的要求：

(1)校园无线局域网设备应合理设计配置，并使校园无线局域网和核心网络有效隔离。

具体措施是：把默认的服务器改掉，关闭定期广播功能；时常查看接入点的日志记录，及时发现攻击情况做出相应处理。在结构方面，校园无线局域网和内部重要网络之间设置防火墙进行有效的安全隔离，必要时同时采用物离手段。这样，可以避免在局域网出现安全问题时，导致内部网络产生严重危机。

(2)合理利用加密技术，设置附加的第三方数据加密方案。

具体措施是：首先正确、合理地利用无线局域网加密技术，用以提高校园无线局域网的可靠性。如在将数据包中的数据发送到校园无线局域网之前，通过多种加密方式对数据进行加密，最终可以读取或恢复这些数据的人或者组织，只能是那些拥有正确密钥的站点。

其次可通过附加的第三方数据加密方案对校园无线局域网进行相应的安全设置，这样，即便黑客窃取了无线局域网的信号，窃听到的内容也是不能够准确获得的。

(3)无线入侵检测/防御。采用网络入侵检测系统可以弥补防火墙的不足，可以提供安全、实时的入侵检测，对发现的问题采取相应的防御手段，如记录数据用于跟踪、恢复、断开网络连接等。

具体措施是：可以采用H3CWX5000系列多业务无线控制器进行检测。监测无线网络中的非法设备，并对发生的情况实时上报；支持静态配置白名单功能，从而进一步减少非法报文对网络的冲击，降低网络安全风险，防止入侵者的破坏。

(4)用户的计算机安全管理要加强。

具体措施是：网内的个人用户应该管理好自己的计算机。在计算机上安装防火墙、防ARP欺骗的相关工具软件和杀毒软件；定期修改用户个人密码；其次对于用户的密码及认证措施必须设置严密，可以利用802．1x身份认证和WEP。再次是对用户进行严格的隔离。用以太网MUX设备。

5、结语

随着计算机技术、网络通信技术的飞速发展，无线局域网技术正向着快速、安全、稳定的方向发展，但同时也存在着很多的安全问题。在构架校园无线局域网技术的时候，根据校园实际情况，如何制定一个合理的、安全强度足够高的方案显得尤为重要，必须及时掌握和了解最新的安全技术，建立多层安全保护机制，从接入、加密、认证等多方面充分考虑，最大限度减少无线网络带来的风险。

参考文献

[1]周伟.高校校园网安全分析与对策[J].网络安全技术用,2009,(6)．

[2]程海英.校园无线局域网的安全策略探讨[J].软件导刊,2010,(03)．