校园无线网络安全建设实践.docVIP

校园无线网络安全建设实践 　　当前，无线网络技术正在被广泛的应用到校园信息化建设之中，具有高灵活性、可移动性、开放性等特点。但是，由于无线网络本身所具有的这些特点，造成用户量大、密度不均、应用多样和环境复杂等问题，无线网络的安全性也备受关注。本文着重分析无线网络的安全隐患以及隐患的来源，对校园无线网络安全建设实践进行了分析与探究 【关键词】无线网络 安全 防范 高效无线网络校园是现在很多高校建设的目标，因此，高校在为用户提供基本的互联网上网服务外，还需要为用户提供安全可靠的网络服务，用户可以在校内或者校外访问相应的资源。网络安全设计实现对内外接入时避免面临网络安全的问题，保证网络资源及网络设备的安全是校园无线网络建设所面临的一个严峻问题 1 无线网络安全面临的主要问题 1.1 访问权限的控制 学校一般拥有大量的外网地址，但是对外提供服务的只是其中的一部分或者少数几个地址，因此需要在出口设备上严格限制外网对内的访问权限，只有允许的地址或者允许地址的特定端口才是可以被访问的，其它地址一律禁止外网发起的主动访问 1.2 攻击主机的主动识别和防护 动态监测外网主机对资源平台的访问，当外部主机发起非法攻击或者大量合法请求时，网关设备会主动将非法主机进行隔离，从而保证资源平台的安全性； 2 无线网络安全主要的设计内容 基于“接入安全”的理念，将学院园区无线网络认证过程设置到离学生客户端最近的网络边界处，通过启用Web认证模式，无线控制器和学校目前采用的AAA认证系统的协同工作，当学生在接入无线网络的时候，网络无线控制器和ZZ-OS认证网关进行对接，通过portal的方式将认证页面推送到客户端，然后将学生认证所需要的用户名和密码上传到无线控制器，无线控制器通过与ZZ-OS认证系统的对接，获取学生相关的认证信息，如果认证通过，则无线控制器将通知无线AP接入点，允许该学生访问相关的资源，学生使用浏览器即可完成认证过程，不仅保证了接入学生的学生合法性，而且学生能快捷便利的使用无线网络，极大的提高了学生的体验感 2.1 学生数据加密安全 无线AP通过WEP、TKIP和AES加密技术，为接入学生提供完整的数据安全保障机制，确保无线网络的数据传输安全 2.2 虚拟无线分组技术 通过虚拟无线接入点（Virtual AP）技术，整机可最大提供16个ESSID，支持16个802.1QVLAN，网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离，并可针对每个SSID配置单独的认证方式、加密机制等 2.3 标准CAPWAP加密隧道确保传输安全 无线AP接入点与网络无线控制器以国际标准的CAPWAP加密隧道模式通信，确保了数据传输过程中的内容安全 3 安全准入设计 无线网络为开放式的网络环境，基于端口的有线网络管理方式已经无法满足无线用户接入管理的需求。为了解决接入用户管理的问题一般高校都会部署AAA服务器，通过AAA服务器实现无线用户身份认证 通过引入AAA服务器虽然解决了“谁”可以连接无线网络的问题，但是如何进行用户身份的认证呢？无线网络部署的初期一般采用SU的方式。SU方式需要无线用户在无线终端设备上安装特定的客户端，通过该客户端完成用户身份的校验。但是随着智能终端的出现，接入无线网络的终端不仅仅是笔记本电脑，平板电脑、手机等智能终端也需要接入无线网络，而SU模式并不适合安装在智能终端上。为了解决智能终端接入无线网络的问题很多设备厂商推出了Web认证，智能终端不再需要安装客户端，只需要通过浏览器就可完成身份认证。针对智能终端Web似乎是一种比较完美的身份认证方式。随着互联网应用的迅速崛起，用户希望在物理位置移动的同时可以使用微信、微博等互联网应用。如果依然采用Web方式进行身份认证，用户将会感觉很麻烦，影响用户对无线网络的体验，为了解决认证方式繁琐的问题，无感知认证应用而生，无感知身份认证只需要用户首次进行终端相关用户信息配设置后续终端接入无需用户干预自动完成 4 安全审计设计 无线网络为了给用户提供良好的上网体验，一般终端接入网络时采用动态地址分配方式，同时公有地址不足是所有国内高校面临的一个问题，为了解决地址不足的问题一般校内采用私有地址，出口网络设备进行NAT转化。在私有地址环境中采用动态地址分配方式，管理员将会面临一个问题：当发生安全事件时，网监部门只能为管理提供一个具体的外网地址和访问的时间点，仅有的信息中要准确定位问题的具体负责人 传统的日志??计平台只记录了出口设备的NAT日志，可以通过公网地址和具体的时间找到对应的私网地址，但是由于地址采用动态分配的方式，能难确定该时间段对应的地址是哪个用户在使用或者说需要查询多个系统才能确