无线局域网安全防护研究

◆刘艳花

（邯郸市人民政府办公室 河北 056000）

手机的普遍使用迫切需要随时随地连接网络，用户使用手机已不仅仅是浏览网页、聊天娱乐，人们需要使用手机进行移动办公、业务办理、网上听课等各种行为，为有效节约用户移动网络流量开支，保障用户使用手机终端上网的便捷性，一些机关单位、高校、企业陆续建立了无线局域网（WLAN）。无线局域网是对有线联网模式的有效补充，带来上网便利的同时也存在网络安全隐患。一些单位为节约开支，甚至将无线网络与有线办公网络共用核心网络设备，一旦手机感染病毒，极有可能通过无线局域网攻击有线网络，造成内部信息被窃取等安全隐患。为此，加强无线网络安全防护非常必要。

1 无线网络特点

无线局域网是以IEEE802.11标准为基础，应用无线通信技术建设的相互通信及资源共享的网络。无线局域网无需将终端设备进行有线连接，可满足终端随时接入网络需要。

1.1 无线网络的开放性

无线网络以微波进行辐射传播，使得任何进入无线覆盖区域的终端都能接收到来自其发射的信号，便利了用户使用。除手机、笔记本等能接入到网络中，电话手表等智能终端设备也可以接入进来。

1.2 接入终端的移动性

手机等接入终端无需使用固定线路，可以随时接入并移出无线网络。在整个无线WIFI覆盖区域内，这些终端可以自由漫游，不影响网络信号接收。除在办公场所使用无线局域网将这些终端接入网络外，员工回到家中或在公共场所同样可以使用相同的终端连接不同的网络。

1.3 无线网络结构的灵活性

无线网络克服了有线网络的线缆限制，解决了建设时间过长问题。其组网结构灵活，架设方便。在会议室、餐厅、室外等有线网络部署比较不便捷的地方，通过快速安装接入交换机和无线接入点（AP），就能达到很好的网络覆盖效果。

2 无线网络安全问题分析

2.1 非授权用户接入网络

由于无线网络的开放性，只要是信号覆盖到的地方都有可能有用户尝试连接进入网络，实现非授权访问。在便利合法用户使用网络的同时，也给不法分子带来了可乘之机。如果没有任何接入权限设置将导致无线信号随意被使用，不法分子可以冒充合法用户上网发表不当言论，甚至轻易入侵网络造成破坏。

2.2 病毒入侵和黑客攻击

无线局域网遭受的攻击可分为“主动”和“被动”两种。由于接入终端的移动性，员工除在办公场所使用无线局域网接入网络外，回到家庭或在公共场所连接一些没有安全防护的免费WIFI系统，极有可能使得手机终端被感染病毒木马[1]。当再次使用该手机终端连接单位无线局域网时，病毒就会“主动”通过网络蔓延到单位内部。“被动”攻击主要是黑客尝试通过无线局域网的互联网出口或手机客户端攻击无线网络，窃取手机内的信息，甚至通过无线局域网与有线网络的相互通联部分，进入到办公网络，造成信息泄露。

2.3 无线与有线混接

许多单位认为无线网络只是便利员工手机上网，手机并非单位资产，无需进行深入防护，建设无线局域网只需投入设备实现发射信号即可，因此，将AP、POE交换机直接连接在办公网络中，共用核心交换机、共用互联网出口的现象经常发生。

3 无线网络和有线网络的分离

3.1 无线网络基本组成

采用层次化、模块化的设计思路进行无线局域网设备部署，由核心交换机组成核心层，带POE供电的交换机组成接入层，AP设备直接连接到接入层交换机上，无线控制器（AC）实现对AP的管控，连接在核心交换机上。为保障网络的健壮性，也可以部署双AC。AP设备分为室内AP和室外AP，室内AP又分为放装式AP、面板式AP、高密度AP。在楼道天花板部署放装AP，安装AP时，需考虑吊顶材质，若为无机复合板、石膏板，衰减较小，可安装于吊顶内，若为铝制板，衰减较大，需要吸顶安装在天花板上。面板AP多用于房间有隔断、部分隔断为承重墙、相对封闭的环境，这里在重点办公室安装面板AP保障WIFI覆盖质量。在会议室或餐厅可安装高密度AP，保障人员密集分布时的上网质量。室外AP通常安装于楼顶或周边的较高灯杆上，在目标覆盖区域中央与室外AP之间无遮挡物，可按照全向天线100米半径、定向天线300米半径参考指标进行覆盖。部署AP时要避免大功率电器或变电器等干扰源。

3.2 无线与有线的隔离

一些单位在初期建设无线局域网时，为节约资源和便于部署，直接将POE交换机挂接在有线网络上，无线局域网与有线网络共用核心设备和互联网出口，如图1所示。

图1 无线局域网与有线网络混接

随着网络安全形势的逐年严峻，根据《网络安全法》及网络安全等级保护2.0标准要求，必须对网络进行整改，保障无线网络和有线网络的相对独立，防止手机等移动终端在其他网络感染病毒、木马后，将病毒、木马感染到办公计算机或服务器。要采取措施将无线网络和有线网络在结构上有效隔离，分别使用不同的核心交换机和不同的互联网出口。这里使用一台防火墙将无线局域网与有线办公网络隔离，形成无线网络和有线网络的清晰边界。一是通过设置防火墙的过滤策略有效拦截非法访问，禁止无线网络和办公网络用户的互访，将无线网络与有线办公网络形成一道安全屏障；二是防火墙开启端口镜像功能，将无线网络的流量引流到有线网络的核心交换机设备上，使用有线网络安全管理区域的入侵检测、日志审计等设备进行安全审计，实现旁挂设备的共享使用。如图2所示。

图2 无线网络与有线网络的隔离

4 安全防护策略

无线局域网同样需要网络安全等级保护备案和测评，通过等级保护备案测评过程，发现无线局域网安全防护的薄弱点，有针对性地实现网络安全加固，确保网络安全各项要求的高效落实，一旦出现网络安全问题，根据影响程度，可以免受或减少被处罚程度。根据网络安全等级保护测评具体要求，采取“积极防御、综合防范”的方针，通过用户认证和MAC地址过滤、上网行为管理等策略实现人员准入、定位和行为治理，通过防火墙、审计设备等实现网络防护和监视审计。

4.1 用户认证机制

针对无线局域网，必须采取认证机制控制用户访问[2]，实现移动终端的可管可控可溯源。通过部署无线终端准入控制系统，可对所有接入设备强制进行接入认证，系统支持Portal、802.1X、短信、二维码等多种认证协议。网络管理人员按照部门、科室等组织结构对单位用户分配账号密码，用户通过Web Portal认证登录界面填写用户名和密码后，系统将记录终端MAC地址，对用户合法身份赋予权限。系统能够实现一次登录长期有效使用的功能。对于来宾用户，可采取短信认证方式，来宾用户在来宾登录界面向系统发送短信，系统收到验证码后实现验证上网登录。来宾用户只可访问限定的网络资源，如表1所示。短信认证功能需要与第三方短信平台对接，租用运营商的短信服务包。为防止有人冒充来宾用户长期蹭网，可设置来宾用户有效时间为几个小时或1天，超时将自动断开网络。

表1 用户认证方式

终端准入控制系统以可视化的界面，实现用户管理。可以设置用户分组和访问网络资源的权限、统计员工用户列表、来宾用户列表、当前在线人数列表，系统将IP地址翻译成用户账号、MAC地址和手机名称，可以查看具体某个人员的用户名、终端MAC地址、终端数量、当天登录时间等，方便对用户的流量审计等网络管理。终端准入控制系统也可通过直接MAC地址绑定的方式，将不支持弹出Web界面进行认证的电话手表等智能终端设备接入无线局域网，实现所有接入设备的在线管控。

4.2 隐藏无线SSID

SSID是无线设备的身份标识符，用户通过SSID建立终端与接入点之间的连接。我们可以设置隐藏无线设备的SSID[3]，即禁止SSID广播，无线客户端必须提供正确的SSID才能与AP进行连接，防止非授权接入和侦听。

4.3 MAC地址过滤技术

终端准入控制系统可查看用户名对应的用户MAC地址，通过MAC地址过滤功能禁止不在用户名列表中的MAC地址，有效控制访客的访问[4]。MAC地址过滤是防止无线“蹭网”的高效方法，保障了网络安全。

4.4 独立互联网出口

为保障无线局域网与有线网络的相互独立性，用户单位要租用至少两条运营商出口，手机用户通过无线互联网出口访问网络，办公计算机使用另一个互联网出口访问网络资源。

4.5 下一代防火墙

在互联网出口部署具有入侵防御和防病毒模块的下一代防火墙设备，形成较为完善的网络安全防御屏障。传统防火墙主要工作在网络层，实现边界合法接入和安全访问控制，对各安全域访问控制进行安全过滤，保障网络资源不被非法使用。但针对应用层的攻击，传统防火墙不能检测出封装在有效数据内的恶意威胁与攻击，这时需要针对网络和应用系统进行深度包过滤[5]，实现非法信息阻断，提高系统整体安全性。下一代防火墙中的入侵防御模块能够监视网络应用层的恶意活动，识别并记录活动信息，尝试阻断会话。防病毒模块实现对病毒攻击的防范，监视端口扫描、强力攻击、木马后门、DDoS、IP碎片攻击和网络蠕虫攻击等行为，实现对病毒攻击的防范。

4.6 上网行为管理

用户访问互联网需要进行严格的控制和审计，如果没有上网行为管理设备，用户手机终端的访问行为、使用的软件、对带宽的利用情况等均无法进行管理。一方面互联网链路的使用情况不可控，各种非关键业务占用着带宽且不易控制，关键业务不能得到保障，不能满足网络安全等级保护关于“资源控制”的要求。另一方面用户上网行为缺乏审计，既不能让单位“网络行为规范”的相关制度落地，也不能满足等级保护关于“行为审计”的要求。通过在互联网出口串接部署上网行为管理设备，实现用户上网行为的控制和监测，对网络中的网络社区、P2P或IM带宽滥用以及网络游戏、炒股、非法网站访问等行为进行精细化识别和控制，利用设备的日志分析功能，保障网络关键应用和服务的带宽，实现对网络流量、用户上网行为进行深入分析和审计。

4.7 Web防护

在无线局域网内部也可部署一些服务器，但这时一定要加强对服务器的防护，服务器内各类业务系统是黑客攻击的主要对象，这些系统一旦被攻破将会给用户单位带来严重损失。这里使用WAF设备来进一步保障终端准入控制系统等服务器的安全，WAF设备能够检测、阻断对Web服务产生威胁的可疑行为，如篡改网页、SQL注入、XSS攻击等。

4.8 全面监测和审计技术

全面监测和审计技术能够实现全网的实时监控，弥补安全防护系统的不足。虽然网络安全防护系统能够阻挡大部分攻击，但针对内部有意或无意的攻击行为，以及较高级的透过防护系统进入网络内造成严重威胁的黑客攻击，防护系统不能对其有效阻止，也不能实现监视和记录。这时在网内部署入侵检测等监控和审计设备，能够力争攻击行为在产生破坏前被发现并进行有效处理，即使发生网络安全事件，也能够通过实行监测保障对事件追踪溯源。

（1）入侵检测技术

入侵检测系统将流经核心交换机各个重要通信端口的进出数据流量镜像至监听端口[6]，通过入侵检测系统监听、收集和分析获得的网络流量信息，检查网络中是否存在违反安全策略的行为和被攻击的迹象，实现对网络攻击行为的全方位检测和立体呈现。入侵检测是实时发现入侵的专家，由于其部署于旁路位置，对于来自内部和外部的攻击行为都能够起到有效的发现作用。入侵检测系统在精确检测行为的基础上强调对威胁的可管理性，尤其是对产生的大量事件进行了智能过滤，仅向网络管理人员展示真正需要关注的威胁，在减轻网络管理人员工作量的同时，保障威胁处理的及时性。同时，入侵检测设备能够与防火墙联动，一旦发现攻击可通过与防火墙联动或发阻断包等方式进行网络访问限制。

（2）审计技术

无线局域网通过共享使用有线网络内安装的审计系统，建立安全审计机制，可以完整记录网络操作过程，一旦发生网络安全事件，能够根据审计信息提供技术证据。全面的审计体系包括网络审计、日志审计、数据库审计。网络审计设备针对网络操作行为进行细粒度的合规性审计，通过对人员访问系统的行为进行解析、分析、记录和汇报，帮助网络管理人员事前规划预防、事中监视、事后合规报告，并对行为进行追踪溯源。日志审计系统收集并分析全网网络设备、安全设备和主机设备的日志等数据，从而发现违反安全策略的行为。数据库审计设备通过对网络数据的采集、分析和识别，实时监控对数据库的所有访问操作，实现数据库操作的内容监测识别，发现违规操作行为时，能够及时报警响应、全过程操作还原，从而实现安全事件的准确全程跟踪定位，保障数据库系统安全。

5 人员培训

“网络安全为人民，网络安全靠人民”，网络安全已不仅仅是单纯靠技术防护，还需要使用人员的大力支持与配合。因手机等无线接入终端的移动性，网络管理人员无法限制离开办公区域后用户接入家庭网络，甚至接入无任何防护的免费WIFI。因此必须经常对员工进行网络安全培训，要求员工避免在公共场所接入免费WIFI，防止终端从其他网络感染病毒、木马。员工不得随意下载安装包，点击无关网站或邮箱中的不明链接。单位也可组织人员参加网络安全宣传周等活动，通过观摩宣传周生动、形象的案例，增强用户的网络安全防护意识。用户还要为自己的手机安装杀毒软件进行病毒查杀，发现异常情况要及时断开网络连接，并向网络管理人员报告。同时，要经常提醒和灌输“上网不涉密、涉密不上网”的用网底线，防止员工利用微信、QQ、邮箱、移动办公系统等发送、传输涉密文件。

6 结束语

无线局域网安全不能被忽视，它关系着单位每个用户手机终端的安全使用，出现网络安全问题可能会波及到有线网络。本文在研究无线局域网特点的基础上，为保障网络安全，通过防火墙隔离技术，实现了无线局域网与有线办公网络的有效分离，通过在互联网出口构建网络安全防护体系，并部署终端准入控制系统，大大提高了无线网络的安全程度。同时，复用有线网络安全管理中心的监测和审计设备，在保障网络有效隔离的同时，实现了无线流量的安全监测，节约了经济成本。本文对于机关事业单位、高校、企业等机构的无线网络安全部署提供了一定的参考价值。