摘 要：文章通過(guò)探討高校網(wǎng)絡(luò)建立的必要性，并針對(duì)當(dāng)前存在的隱患，提出一些相關(guān)安全架構(gòu)的設(shè)計(jì)思想和方法，希望能滿足當(dāng)前高校無(wú)線校園網(wǎng)建設(shè)的安全需要，為網(wǎng)絡(luò)工程的實(shí)踐提供一些設(shè)計(jì)參考。

關(guān)鍵詞：校園網(wǎng)；無(wú)線網(wǎng)；網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TN92

隨著無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展以及高校需求的不斷提高，校園網(wǎng)已經(jīng)成為提高教學(xué)品質(zhì)、增加教育交流靈活性的重要方式。在它正朝著高效率、大規(guī)模、集中管理的方向快速發(fā)展的同時(shí)，我們也應(yīng)該發(fā)現(xiàn)，網(wǎng)絡(luò)在安全部署和安全應(yīng)用方面還存在著諸多的問(wèn)題，因此建立一個(gè)安全的高校無(wú)線網(wǎng)絡(luò)必不可少。

1 高校網(wǎng)絡(luò)建立的必要性

由于Internet的安全機(jī)制較為脆弱以及無(wú)線局域網(wǎng)技術(shù)傳輸介質(zhì)的開(kāi)放性，致使在無(wú)線網(wǎng)絡(luò)環(huán)境下除了要面對(duì)傳統(tǒng)網(wǎng)絡(luò)問(wèn)題，還必須要兼顧無(wú)線網(wǎng)絡(luò)中出現(xiàn)的其它安全問(wèn)題。對(duì)于校園網(wǎng)來(lái)說(shuō)，普遍存在以下幾點(diǎn)安全隱患：（1）非法入侵。由于高校辦公網(wǎng)絡(luò)中，通常存在著考試信息、師生資料等眾多的硬件資源，而非法用戶在成功連接到無(wú)線網(wǎng)絡(luò)后，就可免費(fèi)使用這些資源，因此也就容易造成信息被盜取、泄漏的嚴(yán)重后果。（2）網(wǎng)絡(luò)攻擊。非法用戶在登錄到無(wú)線網(wǎng)絡(luò)后，可使用向合法用戶發(fā)送木馬、病毒等方式對(duì)合法用戶的網(wǎng)絡(luò)進(jìn)行攻擊，或者用DoS攻擊手段對(duì)合法用戶發(fā)起攻擊，使合法用戶網(wǎng)絡(luò)出現(xiàn)各種問(wèn)題。

2 設(shè)計(jì)原則

2.1 標(biāo)準(zhǔn)的成熟性。要想使網(wǎng)絡(luò)系統(tǒng)在高校中更好地發(fā)揮其操作和兼容協(xié)調(diào)的功能，高校無(wú)線網(wǎng)絡(luò)的規(guī)劃必須秉承標(biāo)準(zhǔn)化的建網(wǎng)思路，同時(shí)還要注意同多個(gè)主流廠商的互操作性，保證操作功能的正常發(fā)揮。

2.2 完善的安全措施。對(duì)于高校無(wú)線網(wǎng)絡(luò)管理人員而言，還需要面對(duì)一個(gè)不可避免的問(wèn)題：高校中除了存在普通學(xué)生以外，也有可能存在網(wǎng)絡(luò)黑客。因此在設(shè)計(jì)高校無(wú)線網(wǎng)絡(luò)安全構(gòu)架的同時(shí)必須要把安全放在重要位置，例如用戶認(rèn)證、用戶訪問(wèn)、數(shù)據(jù)傳輸?shù)谋Ｗo(hù)、射頻環(huán)境的監(jiān)控等，仔細(xì)考慮任何可能出現(xiàn)的問(wèn)題。

2.3 網(wǎng)絡(luò)的可擴(kuò)展性。隨著無(wú)線網(wǎng)絡(luò)的不斷發(fā)展，其系統(tǒng)普及和解決技術(shù)也在不斷加快。而高校的網(wǎng)絡(luò)構(gòu)建工作系統(tǒng)龐大，投入巨大，很難在短時(shí)間內(nèi)再次進(jìn)行設(shè)計(jì)構(gòu)建，因此網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)和構(gòu)建必須要充分考慮到未來(lái)的可擴(kuò)充性和可升級(jí)性。同時(shí)還要求整個(gè)網(wǎng)絡(luò)系統(tǒng)可根據(jù)需要進(jìn)行規(guī)模擴(kuò)張，以此滿足更多用戶的登錄、操作以及數(shù)據(jù)傳輸?shù)取?/p>

2.4 靈活完善的部署方式。就標(biāo)準(zhǔn)而言，高?？刹捎弥С謽?biāo)準(zhǔn)802.3af協(xié)議的PoE（以太網(wǎng)供電）技術(shù)，以滿足所有無(wú)線接入點(diǎn)都無(wú)需專(zhuān)門(mén)拉電源線的要求。而在設(shè)計(jì)的過(guò)程中，為了保持學(xué)?，F(xiàn)有裝修結(jié)構(gòu)的完整性，以及堅(jiān)持安全美觀的原則，可考慮增加吸頂天線的方式來(lái)進(jìn)行AP部署，這樣不但增強(qiáng)了靈活性，同時(shí)還可增加信號(hào)強(qiáng)度。

3 安全架構(gòu)的設(shè)計(jì)思想和方法

3.1 網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)

根據(jù)高校的規(guī)模，設(shè)計(jì)時(shí)可采用AP+AC的集中式架構(gòu)方案。在核心交換機(jī)上設(shè)計(jì)部署超大規(guī)模的智能AC設(shè)備對(duì)整個(gè)校園無(wú)線網(wǎng)絡(luò)的所有AP進(jìn)行集中整合和管理，達(dá)到所有數(shù)據(jù)流必須通過(guò)AC集中轉(zhuǎn)發(fā)。但必須注意的是，由于AP+AC的集中式架構(gòu)，因此AC出現(xiàn)問(wèn)題時(shí)，便會(huì)對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)產(chǎn)生影響，因此考慮到無(wú)線網(wǎng)絡(luò)的高可用性，本設(shè)計(jì)中的AC采用雙AC冗余設(shè)計(jì)。

所謂的雙AC冗余設(shè)計(jì)就是采用兩臺(tái)AC設(shè)備（一臺(tái)控制主設(shè)備，一臺(tái)控制副設(shè)備）分別與核心交換機(jī)互聯(lián)。而AP同時(shí)與兩臺(tái)AC建立CAPWAP道。當(dāng)網(wǎng)絡(luò)中主控制器不小心出現(xiàn)故障，備控制器立即代替主控制器進(jìn)行運(yùn)作，并將所有AP的主CAPWAP遂道切換到自己身上，保證業(yè)務(wù)的正常運(yùn)行。當(dāng)主控制器恢復(fù)運(yùn)作時(shí)，又便會(huì)備份AC，鏈路也隨之連接到主控制器上進(jìn)行運(yùn)作。

3.2 安全接入功能的設(shè)計(jì)

3.2.1 WIDS功能設(shè)計(jì)。由于校園網(wǎng)存在著諸多的非法登錄、泛洪攻擊等行為，因此可在AC上部署WIDS模塊。當(dāng)AC的WIDS模塊檢查到無(wú)線接入網(wǎng)受到入侵攻擊等行為時(shí)，AC可根據(jù)自身的認(rèn)證檢驗(yàn)功能自動(dòng)檢測(cè)發(fā)生問(wèn)題的AP和客戶端，并運(yùn)用設(shè)備訪問(wèn)網(wǎng)絡(luò)的進(jìn)入條件將其從網(wǎng)絡(luò)里剔除，從而更好地實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)入侵攻擊行為的監(jiān)測(cè)和隔離。

3.2.2 支持先進(jìn)加密算法和用戶訪問(wèn)控制。由于校園網(wǎng)辦公中存在著大量機(jī)密的數(shù)據(jù)，因此在設(shè)計(jì)過(guò)程中要充分保證數(shù)據(jù)的安全，要求AP/AC必須支持多種加密和認(rèn)證技術(shù)，并限定訪問(wèn)用戶。

3.3 統(tǒng)一認(rèn)證和準(zhǔn)入準(zhǔn)出安全設(shè)計(jì)

3.3.1 統(tǒng)一的認(rèn)證機(jī)制設(shè)計(jì)。在這里采用統(tǒng)一的身份認(rèn)證方案。可以獨(dú)立設(shè)計(jì)出一套帶有綜合認(rèn)證計(jì)費(fèi)系統(tǒng)并能夠?qū)邮盏降臄?shù)據(jù)進(jìn)行備份的方案。認(rèn)證的整個(gè)流程需要AP、AC配合Portal認(rèn)證服務(wù)器和Radius認(rèn)證服務(wù)器來(lái)完成，并根據(jù)校園無(wú)線網(wǎng)絡(luò)的不同業(yè)務(wù)類(lèi)型采用不同的認(rèn)證方式?？偟膩?lái)說(shuō)：公共區(qū)域的無(wú)線接入認(rèn)證可使用web portal認(rèn)證，而非公共區(qū)域可選擇802.1X認(rèn)證。

其好處在于，認(rèn)證系統(tǒng)可互不相連，任何一處認(rèn)證系統(tǒng)出了問(wèn)題都不會(huì)對(duì)校園網(wǎng)造成任何影響。

3.3.2 準(zhǔn)入和準(zhǔn)出一體化的設(shè)計(jì)。本設(shè)計(jì)最大的特點(diǎn)就是保證用戶使用的便捷性。對(duì)于802.1X認(rèn)證用戶在接入網(wǎng)絡(luò)時(shí)，無(wú)線網(wǎng)絡(luò)會(huì)自動(dòng)通過(guò)客戶端的協(xié)議為用戶的內(nèi)外網(wǎng)選擇進(jìn)行自主切換。一旦身份得到認(rèn)證，中間連接的計(jì)費(fèi)管理系統(tǒng)會(huì)控制用戶的準(zhǔn)入準(zhǔn)出過(guò)程，并在驗(yàn)證成功后根據(jù)用戶的授權(quán)結(jié)果采用不同的計(jì)費(fèi)方式。一次認(rèn)證就可實(shí)現(xiàn)準(zhǔn)入準(zhǔn)出兩種功能，快速便捷。而對(duì)于web portal認(rèn)證用戶，可先將用戶的認(rèn)證信息交到計(jì)費(fèi)網(wǎng)關(guān)中心，計(jì)費(fèi)過(guò)后計(jì)費(fèi)中心會(huì)自動(dòng)將信息傳至認(rèn)證中心進(jìn)行檢查認(rèn)證，這也是由內(nèi)網(wǎng)轉(zhuǎn)外網(wǎng)的過(guò)程。兩個(gè)步驟就可以輕松實(shí)現(xiàn)認(rèn)證。但需要注意的是，為保證入網(wǎng)用戶的身份合法，實(shí)現(xiàn)內(nèi)網(wǎng)安全、定位和審計(jì)等功能，用戶在準(zhǔn)入過(guò)程中要被實(shí)施ID+MAC+IP的多重綁定，以保證能對(duì)其互聯(lián)網(wǎng)的訪問(wèn)行為進(jìn)行有效記錄。

3.4 出口的安全功能設(shè)計(jì)。

為了校園網(wǎng)絡(luò)安全，本設(shè)計(jì)可要求網(wǎng)絡(luò)具有獨(dú)立的網(wǎng)絡(luò)出口。首先須具備能支持多種路由協(xié)議的路由功能；其次，本設(shè)計(jì)在安全功能上可采用一體化的安全網(wǎng)關(guān)設(shè)備代替大量的安全設(shè)備來(lái)綜合實(shí)現(xiàn)安全功能。出口網(wǎng)關(guān)設(shè)備要完善，基本的防病毒系統(tǒng)、IPS/IDS等功能模塊要具備，同時(shí)再配合集群服務(wù)器系統(tǒng)充分保證內(nèi)網(wǎng)的安全。

4 結(jié)束語(yǔ)

由于無(wú)線網(wǎng)絡(luò)本身在安全方面就存在著諸多的弱點(diǎn)，再加上校園網(wǎng)應(yīng)用環(huán)境的系統(tǒng)和復(fù)雜性，要想真正構(gòu)建一個(gè)相對(duì)安全的校園網(wǎng)，就必須從全方面、多層次進(jìn)行考慮，建立多元化的安全防護(hù)機(jī)制，這樣才能真正實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的安全部署。

參考文獻(xiàn)：

[1]陳孚.校園無(wú)線局域網(wǎng)方案設(shè)計(jì)[J].硅谷，2012（22）：80-81.

[2]朱陽(yáng)春.無(wú)線校園網(wǎng)的需求與設(shè)計(jì)[J].電腦編程技巧與維護(hù)，2013（20）：134-135+144.

作者簡(jiǎn)介：李玉平（1982.06-），男，黑龍江人，網(wǎng)絡(luò)工程師，技師，工程碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全、無(wú)線通訊。

作者單位：齊齊哈爾工程學(xué)院，黑龍江齊齊哈爾 161005