曾俊雄

（泉州市培元中學(xué)，福建泉州 362000）

校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全防護(hù)方法

曾俊雄

（泉州市培元中學(xué)，福建泉州 362000）

一、校園無(wú)線(xiàn)網(wǎng)絡(luò)現(xiàn)狀分析

隨著教育信息化的發(fā)展，各個(gè)學(xué)校大量使用筆記本電腦及各種手持無(wú)線(xiàn)設(shè)備，而無(wú)線(xiàn)局域網(wǎng)(Wireless LAN，WLAN)有著傳統(tǒng)有線(xiàn)局域網(wǎng)(LAN)所沒(méi)有的優(yōu)點(diǎn)，如建網(wǎng)靈活，可擴(kuò)展性好，支持終端的移動(dòng)性，支持在特殊場(chǎng)合(無(wú)法或很難架設(shè)網(wǎng)線(xiàn))的應(yīng)用。但由于WLAN是以無(wú)線(xiàn)電波作為上網(wǎng)的傳輸媒介，而無(wú)線(xiàn)網(wǎng)絡(luò)信號(hào)可以傳播到預(yù)期以外的地域，給入侵者有機(jī)可乘，特別是使用外接增益天線(xiàn)，可以遠(yuǎn)程竊聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)，安全問(wèn)題堪憂(yōu)。我校無(wú)線(xiàn)局域網(wǎng)已經(jīng)使用了一段時(shí)間，積累了一些經(jīng)驗(yàn)，因此，下文對(duì)校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全防護(hù)方法作一下探討。

二、校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全防護(hù)

1.安全規(guī)劃與配置

（1）規(guī)劃好天線(xiàn)安裝位置

布設(shè)校園無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)，選擇好天線(xiàn)位置，也可使用定向天線(xiàn)，背向?qū)W校的方向就不易收到無(wú)線(xiàn)信號(hào)，學(xué)校一側(cè)也可以收到更強(qiáng)的信號(hào)。

（2）在沒(méi)有使用的時(shí)候關(guān)閉網(wǎng)絡(luò)

安裝時(shí)可將無(wú)線(xiàn)收發(fā)設(shè)備的電源與教學(xué)樓的電源裝于同一線(xiàn)路上，在晚上夜自習(xí)結(jié)束離開(kāi)教室后，關(guān)閉電源時(shí)也同時(shí)關(guān)閉無(wú)線(xiàn)信號(hào)。

（3）AP隔離規(guī)劃

類(lèi)似于有線(xiàn)網(wǎng)絡(luò)的VLAN，將所有的無(wú)線(xiàn)客戶(hù)端設(shè)備完全與有線(xiàn)網(wǎng)隔離，使之只能訪(fǎng)問(wèn)AP連接的固定網(wǎng)絡(luò)，相當(dāng)于無(wú)線(xiàn)中的局域網(wǎng)。

（4）配置無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)

用于無(wú)線(xiàn)局域網(wǎng)的入侵檢測(cè)系統(tǒng)，可用來(lái)監(jiān)視分析用戶(hù)的活動(dòng)，判斷入侵事件的類(lèi)型，檢測(cè)非法的網(wǎng)絡(luò)行為，對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警。

（5）應(yīng)用 VPN 技術(shù)

無(wú)線(xiàn)接入網(wǎng)絡(luò)VLAN(AP和VPN服務(wù)器之間的線(xiàn)路)從局域網(wǎng)把VPN服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離出來(lái)。VPN服務(wù)器提供網(wǎng)絡(luò)的認(rèn)證和加密，并應(yīng)用于局域網(wǎng)網(wǎng)絡(luò)內(nèi)部，具有較好的擴(kuò)充、升級(jí)性能，可應(yīng)用于較大規(guī)模的校園無(wú)線(xiàn)網(wǎng)絡(luò)。

（6）配置無(wú)線(xiàn)控制器+FITAP集中式WLAN管理設(shè)備

較新的WLAN網(wǎng)絡(luò)架構(gòu)，用戶(hù)對(duì)FITAP的管理是通過(guò)無(wú)線(xiàn)控制器來(lái)代理完成，更改服務(wù)策略設(shè)定和安全策略設(shè)定只需要登錄到指定的無(wú)線(xiàn)控制器就可以完成設(shè)置，無(wú)線(xiàn)控制器會(huì)自動(dòng)把新的配置下發(fā)到指定的FITAP。

2.使用中的安全措施

（1）修改管理員密碼和用戶(hù)名

修改無(wú)線(xiàn)AP設(shè)置中的默認(rèn)用戶(hù)名和密碼，盡量設(shè)置復(fù)雜的、較長(zhǎng)的密碼，最好是字母與數(shù)字并存。

（2）啟用無(wú)線(xiàn)AP的連接密碼

升級(jí)到WPA2(WiFi Protected Access)加密協(xié)議。將安全設(shè)置改為“個(gè)人WPA2協(xié)議”并且勾選“TKIP+AES”運(yùn)算法則。最后在“共享密鑰”中輸入密碼，保存修改。

（3）采用身份驗(yàn)證和授權(quán)

Windows Server 2003內(nèi)的IAS，可用來(lái)架設(shè)Radius服務(wù)器?？蛻?hù)端在使用網(wǎng)絡(luò)之前必須先輸入用戶(hù)名、密碼等認(rèn)證信息，并只有在認(rèn)證通過(guò)時(shí)才開(kāi)放該客戶(hù)端的網(wǎng)絡(luò)使用權(quán)限。

（4）修改默認(rèn)系統(tǒng)SSID

改變默認(rèn)的SSID，可以使你區(qū)別于其它未受保護(hù)的網(wǎng)絡(luò)，還可以使你的用戶(hù)不會(huì)因此錯(cuò)連接到其它的網(wǎng)絡(luò)中，從而就不會(huì)將你的數(shù)據(jù)暴露于黑客的嗅探器下。

（5）禁止SSID網(wǎng)絡(luò)廣播

SSID參數(shù)在設(shè)備缺省設(shè)定中是被AP無(wú)線(xiàn)接入點(diǎn)廣播出去的，禁止這個(gè)廣播后，我們必須把SSID名稱(chēng)告訴各位用戶(hù)，在無(wú)線(xiàn)接收設(shè)備上設(shè)置好才能連接上無(wú)線(xiàn)AP。

（6）使用 MAC地址過(guò)濾與固定IP

這個(gè)方法要求登記學(xué)校里所有使用無(wú)線(xiàn)上網(wǎng)設(shè)備的MAC地址，來(lái)更新無(wú)線(xiàn)AP中的MAC地址列表。這樣就只有經(jīng)過(guò)登記的合法設(shè)備可以訪(fǎng)問(wèn)你的網(wǎng)絡(luò)了。如果能關(guān)閉DHCP服務(wù)，為學(xué)校里的每臺(tái)電腦分配固定的靜態(tài)IP地址，然后再把這個(gè)IP地址與無(wú)線(xiàn)終端的MAC地址進(jìn)行綁定，這樣就可以得到雙重保險(xiǎn)。

[1]李園，王燕鴻.無(wú)線(xiàn)網(wǎng)絡(luò)安全性威脅及應(yīng)對(duì)措施[J].現(xiàn)代電子技術(shù)，2007，（5）：91-94.

[2]王秋華，章堅(jiān)武.淺析無(wú)線(xiàn)網(wǎng)絡(luò)實(shí)施的安全措施[J].中國(guó)科技信息，2005，（17）：18.

[3]冷月.無(wú)線(xiàn)網(wǎng)絡(luò)保衛(wèi)戰(zhàn)[J].計(jì)算機(jī)應(yīng)用文摘，2006，（26）：79-81.

[4]湛成偉.網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)淺析[J].重慶工學(xué)院學(xué)報(bào)，2006，20（8）：119-121.

（編輯：郭桂真）