无线校园网络安全策略规划与设计

钟文基

（广西水利电力职业技术学院，广西 南宁 530023）

随着移动智能设备的普及和信息化教学的蓬勃发展，各大高校纷纷组建了高校无线校园网，逐步形成了以有线校园网为骨干，无线校园网为补充的信息化校园。无线网络为师生信息化教学的开展提供了有利的支撑，有利于幕课、私播课的传播，但其安全性也面临着严峻的挑战。

1 无线网络安全面临的问题

1.1 非法用户侵入

传统的有线校园网通过交换机端口绑定、上网拨号认证等方式，可对用户的网络接入进行身份认证、接入控制，但无线网络信号覆盖广，接入门槛低，如果不对用户网络接入进行控制，非法分子利用无线校园网传播病毒，发布反动言论，容易发生安全事故。

1.2 信息泄密

与传统的有线网络利用双绞线、光纤等作为传输介质传送信息不同，无线网络利用无线电波进行信息的传递，在信号的传输过程中，容易受到干扰和泄密。黑客可在无线校园网覆盖的地方，利用特定的设备和软件就可窃听到数据，导致信息泄密，严重威胁到用户的数据安全。

1.3 拒绝服务攻击

与传统有线网络用户具备信息接入点才能连入网络不同，黑客可在无线网络覆盖的区域，对无线AP进行拒绝服务攻击，使得无线AP无法提供正常的服务，轻则导致网络中断，重则用户信息泄露。

1.4 非法AP欺骗

黑客通过架设非法AP或者WiFi热点，诱导校园网用户接入，窃听到用户的数据信息，或跳转到钓鱼网站，诱使用户输入支付宝、网银、邮箱等账号密码，获取到敏感数据信息，危害师生财产安全。

1.5 遭受病毒攻击

由于无线网络的使用者水平参差不齐，容易感染病毒，如果某个同学的笔记本中了地址解析协议（Address Resolution Protocol，ARP）病毒，将会对无线网络设备造成攻击，导致网络中断。

1.6 用户随意架设无线路由器

部分校园网用户为了方便自己，未经许可自行架设无线路由器接入校园网，这些无线路由器安全级别设置较低，未设置密码或仅设置弱口令、弱加密方式等，安全防范措施差，用户可随意接入，若被非法用户利用，则会造成较大安全隐患[1]。

2 无线校园网安全防范措施

2.1 用户接入认证

通过部署用户接入认证方式，对用户的网络接入进行认证，认证方式包括802.1x认证、Portal认证、CA双向证书认证，短信、微信认证等。对于校内师生员工等固定用户，可通过802.1x方式、Portal认证、CA双向证书认证等方式进行认证，以广西水利电力职业技术学院为例，该校无线校园网采用的是802.1x认证，通过对用户设备进行认证，认证过程进行隧道加密保护，避免认证信息泄露，也利于实现用户快速漫游切换。对于短期使用网络的来访用户，可通过短信认证、微信认证、二维码审核认证等，既便利了临时用户的无线接入，也对用户的访问进行了身份授权和控制。

2.2 上网权限管理

根据用户的身份、终端的种类、应用的类型、地理位置、时间段、第三方属性等进行访问规则设置，确保信息数据在授权范围内能合法使用。例如，根据高校的管理要求，在学生宿舍区域夜间23：30—6：00断网，避免学生通宵使用网络打游戏，影响第二天学习；在图书馆的无线网络中，能过滤游戏网站和游戏软件的网络接入，避免个别同学在图书馆沉迷游戏，耽误学习。在广西水利电力职业学院校园网中，设置了两个服务集标识（Service Set Identifier，SSID）信号，分别是SDXY_Teacher和SDXY_Student，SDXY_Teacher主要分配给老师使用，接入后可以放到学院OA系统、教务系统、科研系统、学院幕课网站等业务系统，便于教师办公；SDXY_Student主要分配给学生使用，接入后能访问到教务系统、学院幕课平台、超星学习通网站，便于信息化的教学[2]。

2.3 上网行为审计

通过应用识别技术，实现上网审计功能，对网页、邮件、IM聊天、微博微信等内容进行审计，控制和管理用户的互联网访问，防止恶意信息非法传播。学院采用深信服上网行为审计管理产品，与传统的普通报文检测的识别方式不同，深信服上网行为审计主要采用深度包检测（Deep Packet Inspection，DPI）与深度/动态流检测技术（Deep/Dynamic Flow Inspection，DFI）相结合的数据分析技术。普通报文检测识别通过IP包头中的“五元组”，即源、目标地址，协议类型，源、目的端口号信息来确定前数据包的类别（见图1）；而DPI，不仅分析IP包头的五元组，包括源地址、目的地址、源端口、目的端口以及协议类型，而且还增加了应用层分析，识别各种应用及其内容（见图2）。

图1 普通报文识别技术

图2 DPI技术

DFI是一种较新的应用流量分析技术，与DPI进行应用层的载荷分析匹配不同，DFI是基于流量行为的应用识别技术。采用了以DPI分析技术为主，辅助于传统普通报文分析和DFI技术来处理分析，既发挥了DPI在应用区分、识别精度、功能扩展等方面优势明显，也拓展了DFI在新应用和加密协议的识别方面有一定的优势，更能精确实现上网行为的审计与管理。

2.4 防钓鱼AP

部署安装具有非法钓鱼AP检测与反制功能的无线设备，这些设备能嗅探出钓鱼AP的无线信号，并能够对其进行反制，防止用户连接到钓鱼AP中，泄露用户密码或支付宝、网银密码等敏感信息，保障用户信息安全。

广西水利电力职业技术学院在安全性要求较高的场所部署信锐反制AP，定时扫描无线环境中的无线信号，根据无线控制器下发的防钓鱼策略识别出钓鱼信号，并将扫描结果传输给后端无线控制器，控制器对前端反制AP下发并执行反制命令；AP接收到命令，发射对应钓鱼信号的无线解关联数据帧给已链接该钓鱼信号的终端设备，终端设备接收到解关联数据帧后，通过打断手机终端跟钓鱼AP的关联隧道，使手机终端虽然可以看到钓鱼WiFi信号，却始终无法与之关联上网，保障客户的安全上网[3]。

2.5 无线用户隔离

采用无线用户隔离功能，隔离同一AP下、不同AP间无线用户间的数据通信，用户只能与上行端口进行通信，不能互访，防止数据窃听。该措施非常适合会议室、教室、礼堂等公共场所的无线网络，各个无线客户端之间相互保持隔离，提供更加安全的接入，加强无线网络的安全性。

2.6 数据加密

对校园网内重要的信息采用加密传输，加密后的数据在传递过程中倘若被截获，黑客由于没有密钥，也无法识别出传递的具体内容，在一定程度上保障数据的安全。

2.7 部署无线入侵检测防御设备

无线入侵检测和防御设备能自动监测出攻击流量，对恶意的攻击进行拦截，防止恶意攻击对无线网络造成破坏，最大限度地保护无线网络[4]。

3 结语

无线校园网实现了师生员工的快速便捷接入校园网络，便于信息化教学的开展，是高校校园网的重要组成部分。随着计算机网络技术和信息安全技术的发展，各种无线网络安全问题总是会不断出现，需要网络管理部门提高认识，长期在无线网络安全、接入认证、安全防范、运维管理等方面深入探索研究。