校园无线网安全防御的策略探析.docVIP

校园无线网安全防御的策略探析 　　摘 要：本文通过对校园无线网络的安全隐患分析，结合现有的无线局域网安全技术，提出了在校园无线网络中的安全防御策略。 　　关键词：无线局域网 校园网 安全防御 　　无线网络已逐步在校园网络普及，逐渐成为校园网络建设的重点。无线网络给我们带来便捷的同时，也带来了网络安全隐患，无线网络的信道开放的特点，使得网络数据容易被攻击者窃听、修改或转发。因此，探索校园无线局域网安全防御策略和解决方案具有非常重要的理论意义和现实意义。 　　一、校园无线网的安全问题 　　（一）未经授权使用网络服务 　　由于WLAN的开放式访问方式特点，未经授权也可以使用网络资源。占用无线通道，增加了带宽费用，合法用户的服务质量遭到影响，而且非法用户滥用无线网络资源，使得合法的无线校园网的用户无法正常使用。 　　（二）地址欺骗和会话拦截 　　现在许多网卡都支持MAC地址重新配置，非法用户可以通过将自己所用网络设备的MAC地址改为合法用户MAC地址的方法，使用MAC地址“欺骗”，成功通过交换机的检查，进而非法访问网络资源。非法用户利用无线网路的特点监听合法站点的MAC地址，并对合法的MAC地址进行恶意攻击。 　　（三）高级入侵 　　一旦攻击者侵入无线网络，它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后，这样WLAN的安全隐患就会成为整个安全系统的漏洞，只要攻破无线网络，整个网络就将暴露在非法用户面前。 　　二、无线局域网安全技术 　　目前有很多种无线局域网的安全技术，有物理地址（MAC）过滤、服务集标识符（SSID）匹配、有线对等保密（WEEP）、端口访问控制技术（IEEE802.1x）、IEEE 802.11i等。下面对在无线局域网中常用的安全技术进行简介。 　　（一） 物理地址（MAC）过滤 　　物理地址过滤属于硬件认证，而不是用户认证，而且MAC过滤技术的可扩展性比较差，MAC地址在理论上还可以伪造，因此这也是较低级别的授权认证，也只适合于小型网络规模。 　　（二）服务集标识符（SSID）匹配 　　通过SSID设置，可以对用户进行有效分组，保证网路的安全和性能。对AP设置不同的SSID，无线工作站必须出示正确的SSID才能访问AP，这样就可以允许不同的用户群组接入，并且通过设置隐藏接入点及SSID的权限控制来达到保密的目的。 　　（三）有线对等保密（WEP） 　　有线对等保密（Wired Equivalent Privacy，WEP）是一种数据加密算法，用于提供等同于有线局域网的保护能力。使用了该技术的无线局域网，所有客户端与无线接入点的数据都会以一个共享的密钥进行加密，密钥的长度有40位至256位两种，密钥越长，黑客就需要更多的时间去进行破解，因此能够提供更好的安全保护。 　　（四）端口访问控制技术（IEEE802.1x）和可扩展认证协议（EAP） 　　IEEE802.1x是基于端口的网络访问控制标准，它能提供一种对连接到局域网的用户进行认证和授权的手段，达到接受合法用户接入，保护网络安全的目的。 　　（五）IEEE 802.1li 　　IEEE 802.11i的目标是以针对无线网路原本所具备的弱点加以补强，目前802.11i主要定义的加密机制可以分为TKIP（Temporal Key Integrity Protoco1）与AES，其中TKIP就是目前WPA 1.x（WPA/SSN）主要采用的加密机制。 　　三、校园无线网的安全防御策略 　　无线网络利用空中载波信道作为传输媒介，物理层和数据链路层的工作原理与有线网络不同，遵循的安全策略也不同。在校园无线网络的设计中，如何保证合法用户的使用权限，避免非法用户的侵入已成为无线网络规划者的设计重点。 　　现有的WLAN产品的安全技术中，SSID禁止广播、WEP机密、WPA认证、802.1X认证、EAP—TLS扩展认证、VLAN划分等一系列技术的得到广泛运用，有效的提升无线网络的安全防御性能。我们可以把室内型和室外型网络设备均支持SSID禁止广播、WEP机密、WPA认证、802.1X认证、EAP—TLS扩展认证、VLAN划分技术，可提供完备的安全防御功能。启用了目前先进的SSID广播禁止功能之后，由于空中不再广播明文的SSID号码，使得那些拥有截获SSID密码的无线终端非法访问网络。 　　另外，WEP（有线等效密钥）和WPA/WPA2（接入保护）技术的出现，可以通过大量的密文加密位和动态的密钥协议（TKIP/AES），为非法访问者制造难以攻破的障碍，从而避免网络安全事件的发生。我们在校园无线网络规划中，由于目前各高校校园有线网络已具备一定规模，因此，在无线网络融合进有线网络进行数据交换之前，通过WEP和WPA加密技术可以增加一层保护手段，可以极大的提升