院校WLAN安全管理技术的研究.docVIP

院校WLAN安全管理技术的研究 　　信息资讯时代,网络已成为现代学子们获得信息的最关键渠道,但传统校园网络是由双绞线、光纤组成的有线网络,建设时受到网络布线、线路损毁、改线工程量、节点转移等硬件方面的严重制约,扩容较难。而日益增长的3G数据业务也因为其带宽流量压力问题,暂时受限。而简称为WLAN的无线局域网(Wire2Less Local Area Network)很好地祢补了有线和3G网络的缺陷。WLAN具有的移动方便,扩展便捷等众多的优势,可以不受有线网络节点限制。无线网络利用无线电波作为媒体,接入便捷的同时也需高度关注数据安全问题。因此,院校内必须对无线网络进行有效的安全管理,以确保院校内无线局域网乃至整个网络的安全,高效运行。 　　一、当前院校WLAN存在的安全问题 　　无线局域网(WLAN) 的访问范围较大。例如,大部分802.11b 实现的速度为1 Mbps,范围大约为 500 米(1500 英尺)。在接近访问点(AP) 的地方,传输速度最高能够达到11 Mbps。在院校计算机网络中接入无线网络,可提供比有线网络更便捷、更广泛的服务,使得师生们能更好地访问校园网信息,随时随地地进行网络资源查询、评教等操作。但如果无线网络的安全防范机制不健全,就会导致如数据信息的外泄,数据篡改、资料被盗用,病毒传播,更严重则发生网络被破坏等安全问题。 　　(一)入侵网络破坏数据由于无线网络具有易获取及开放访问的特性,一旦无线局域网络被入侵,网络中的数据资源及共享文档就首当其冲地被暴露出来,而入侵者还可以对接入网络的其它用户的数据进行窃听、恶意修改,甚至传播病毒。 　　(二)泄露用户私隐信息无线网络入侵者使用黑客工具,可轻松盗取用户的身份验证、用户凭证等私隐信息,进而利用信息损害用户利益。 　　(三)遭受拒绝服务DoS 入侵者攻入WLAN内并对网内计算机大量发送数据包,可以导致网络堵塞甚至网络瘫痪;还可以使用干扰设备干扰无线网络信号的正常使用,使无线网络遭到拒绝服务(Denial of Service)攻击,破坏网络的正常运行。 　　二、WLAN的安全应对措施 　　由于WLAN相对于有线网络所具有的特殊性及其在安全方面存在的种种问题,无线网络的安全措施要比有线网络更需高度重视。 　　(一)建立规范的网络管理制度 　　网络管理首先要建立健全严格的网络安全管理制度,使网络管理规范化,并培养具有高度的网络安全管理意识和水平的网络技术人员队伍。网络技术人员应避免非技术隐患,发现隐患应及时排除,避免造成重大后果。 　　(二)合理设置WLAN范围和网络物理结构 　　学校经常会使用大功率和增益效果较强的WLAN设备来增大覆盖范围及增强信号强度,但却容易造成信息外泄的后果。我们应尽量将信号接入设备放置于覆盖范围的中心区域,并根据区域大小合理设置接入端的信号发射强度和覆盖范围。还可以通过房屋的电磁屏蔽来防止电磁波的泄漏。 　　(三)合理配置WLAN设备 　　网络管理员应及时对新添置的WLAN设备进行彻底的安全设置,将默认的出厂设置进行更改。从基本的无线网卡物理地址(MAC)过滤、更改无线AP的管理员登陆密码、服务区标识符(SSID)匹配、有线等效保密(WEP) 密钥等的设置,都是被广泛采用的无线网络安全策略的技术[2]。 　　(四)建立有效的网络监测和记录机制 　　网络管理员可以安装无线网络控制器来监测网络的异常情况,网络控制器会记录下包含用户名、目的IP地址等信息的网络日志,从日志中可以分析出网络存在的安全隐患,如果网络发生故障还可分析出故障原因。 　　三、WLAN的安全配置技术 　　如何正确、合理进行无线网络设备配置是无线网络安全策略的技术实现很重要的一个部分。但要有针对性、有侧重点地按照不同的方案进行配置。这里对无线网络设备配置方案的几种安全应对技术进行了分析探讨。 　　(一)使用有效的数据加密技术 　　数据的加密是我们最常接触到的安全防范措施之一。无线网络中有好几种加密技术,其中有线等效协议(WEP)是早期的加密方式,存在较多安全漏洞。还有Wi-Fi保护接入(WPA)、临时密钥完整性协议(TKIP)、可扩展认证协议(EAP)等技术,我们可以选择能力最强的加密技术[3]。 　　(二)更改管理界面登录密码 　　同一厂家生产的网络设备,出厂时用户名、密码等设置往往都是默认相同的,购置回来的路由器或中继器等网络设备必须及时更改为较复杂的密码,并且定期更换,否则网络入侵者很容易就可以破解密码,攻入网内。 　　(三)采取AP用户隔离管理 　　AP隔离管理与有线网络的VLAN(虚拟局域网)相类似,隔离开所有的无线客户端设备,采用IEEE802.1x协议对接入的AP进行验证,通过验证的客户端也只能访问AP接入指