曾俊雄

（泉州市培元中學(xué)，福建泉州 362000）

校園無線網(wǎng)絡(luò)的安全防護(hù)方法

曾俊雄

（泉州市培元中學(xué)，福建泉州 362000）

一、校園無線網(wǎng)絡(luò)現(xiàn)狀分析

隨著教育信息化的發(fā)展，各個學(xué)校大量使用筆記本電腦及各種手持無線設(shè)備，而無線局域網(wǎng)(Wireless LAN，WLAN)有著傳統(tǒng)有線局域網(wǎng)(LAN)所沒有的優(yōu)點，如建網(wǎng)靈活，可擴(kuò)展性好，支持終端的移動性，支持在特殊場合(無法或很難架設(shè)網(wǎng)線)的應(yīng)用。但由于WLAN是以無線電波作為上網(wǎng)的傳輸媒介，而無線網(wǎng)絡(luò)信號可以傳播到預(yù)期以外的地域，給入侵者有機(jī)可乘，特別是使用外接增益天線，可以遠(yuǎn)程竊聽網(wǎng)絡(luò)中的數(shù)據(jù)，安全問題堪憂。我校無線局域網(wǎng)已經(jīng)使用了一段時間，積累了一些經(jīng)驗，因此，下文對校園無線網(wǎng)絡(luò)的安全防護(hù)方法作一下探討。

二、校園無線網(wǎng)絡(luò)的安全防護(hù)

1.安全規(guī)劃與配置

（1）規(guī)劃好天線安裝位置

布設(shè)校園無線網(wǎng)絡(luò)時，選擇好天線位置，也可使用定向天線，背向?qū)W校的方向就不易收到無線信號，學(xué)校一側(cè)也可以收到更強(qiáng)的信號。

（2）在沒有使用的時候關(guān)閉網(wǎng)絡(luò)

安裝時可將無線收發(fā)設(shè)備的電源與教學(xué)樓的電源裝于同一線路上，在晚上夜自習(xí)結(jié)束離開教室后，關(guān)閉電源時也同時關(guān)閉無線信號。

（3）AP隔離規(guī)劃

類似于有線網(wǎng)絡(luò)的VLAN，將所有的無線客戶端設(shè)備完全與有線網(wǎng)隔離，使之只能訪問AP連接的固定網(wǎng)絡(luò)，相當(dāng)于無線中的局域網(wǎng)。

（4）配置無線入侵檢測系統(tǒng)

用于無線局域網(wǎng)的入侵檢測系統(tǒng)，可用來監(jiān)視分析用戶的活動，判斷入侵事件的類型，檢測非法的網(wǎng)絡(luò)行為，對異常的網(wǎng)絡(luò)流量進(jìn)行報警。

（5）應(yīng)用 VPN 技術(shù)

無線接入網(wǎng)絡(luò)VLAN(AP和VPN服務(wù)器之間的線路)從局域網(wǎng)把VPN服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離出來。VPN服務(wù)器提供網(wǎng)絡(luò)的認(rèn)證和加密，并應(yīng)用于局域網(wǎng)網(wǎng)絡(luò)內(nèi)部，具有較好的擴(kuò)充、升級性能，可應(yīng)用于較大規(guī)模的校園無線網(wǎng)絡(luò)。

（6）配置無線控制器+FITAP集中式WLAN管理設(shè)備

較新的WLAN網(wǎng)絡(luò)架構(gòu)，用戶對FITAP的管理是通過無線控制器來代理完成，更改服務(wù)策略設(shè)定和安全策略設(shè)定只需要登錄到指定的無線控制器就可以完成設(shè)置，無線控制器會自動把新的配置下發(fā)到指定的FITAP。

2.使用中的安全措施

（1）修改管理員密碼和用戶名

修改無線AP設(shè)置中的默認(rèn)用戶名和密碼，盡量設(shè)置復(fù)雜的、較長的密碼，最好是字母與數(shù)字并存。

（2）啟用無線AP的連接密碼

升級到WPA2(WiFi Protected Access)加密協(xié)議。將安全設(shè)置改為“個人WPA2協(xié)議”并且勾選“TKIP+AES”運算法則。最后在“共享密鑰”中輸入密碼，保存修改。

（3）采用身份驗證和授權(quán)

Windows Server 2003內(nèi)的IAS，可用來架設(shè)Radius服務(wù)器?？蛻舳嗽谑褂镁W(wǎng)絡(luò)之前必須先輸入用戶名、密碼等認(rèn)證信息，并只有在認(rèn)證通過時才開放該客戶端的網(wǎng)絡(luò)使用權(quán)限。

（4）修改默認(rèn)系統(tǒng)SSID

改變默認(rèn)的SSID，可以使你區(qū)別于其它未受保護(hù)的網(wǎng)絡(luò)，還可以使你的用戶不會因此錯連接到其它的網(wǎng)絡(luò)中，從而就不會將你的數(shù)據(jù)暴露于黑客的嗅探器下。

（5）禁止SSID網(wǎng)絡(luò)廣播

SSID參數(shù)在設(shè)備缺省設(shè)定中是被AP無線接入點廣播出去的，禁止這個廣播后，我們必須把SSID名稱告訴各位用戶，在無線接收設(shè)備上設(shè)置好才能連接上無線AP。

（6）使用 MAC地址過濾與固定IP

這個方法要求登記學(xué)校里所有使用無線上網(wǎng)設(shè)備的MAC地址，來更新無線AP中的MAC地址列表。這樣就只有經(jīng)過登記的合法設(shè)備可以訪問你的網(wǎng)絡(luò)了。如果能關(guān)閉DHCP服務(wù)，為學(xué)校里的每臺電腦分配固定的靜態(tài)IP地址，然后再把這個IP地址與無線終端的MAC地址進(jìn)行綁定，這樣就可以得到雙重保險。

[1]李園，王燕鴻.無線網(wǎng)絡(luò)安全性威脅及應(yīng)對措施[J].現(xiàn)代電子技術(shù)，2007，（5）：91-94.

[2]王秋華，章堅武.淺析無線網(wǎng)絡(luò)實施的安全措施[J].中國科技信息，2005，（17）：18.

[3]冷月.無線網(wǎng)絡(luò)保衛(wèi)戰(zhàn)[J].計算機(jī)應(yīng)用文摘，2006，（26）：79-81.

[4]湛成偉.網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢淺析[J].重慶工學(xué)院學(xué)報，2006，20（8）：119-121.

（編輯：郭桂真）