浅谈无线校园网络安全构建

浅谈无线校园网络安全构建 　　随着手持智能终端的迅速普及，无线网络在未来的发展中占据着特别重要的角色，下面是搜集整理的一篇探究无线校园网络安全构建的，欢迎阅读查看。 　　摘要：作为高校教育信息化的一项重要基础设施建设，无线校园网在我国的发展已经将近二十年。与有线校园网相比，无线校园网可以让人们在校园里随时随地地访问网络资源，不再受到地域的限制。随着手持无线终端设备的普及，无线网络已被人们接受，大有取代有限网络的趋势。相伴而来的问题是由于采用了无线传输，用户在使用时面临越来越严重的安全问题，因此无线校园网的发展急需解决自身安全问题。目前，无线校园网正朝着高速率、大规模、集中管理的方向快速发展。伴随着无线网络架构的发展，无线网络从分散安全管理发展到集中安全管理，从与有线接入融合式的安全管理发展到无线接入专网的安全管理，有必要确定一种安全架构体系满足无线校园网的安全需求。本文着重讨论了应如何搭建无线校园网安全架构，并提出了相应的安全实施 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 。本文重点阐述了目前面临的无线网络安全问题，根据这些问题并结合中等规模校园的无线校园网络安全需求，详细阐述基于三层架构的独立成网的无线校园网的安全部署和安全措施，最后提出了一个适合中等规模高校的无线校园网安全架构 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 方案，供作参考。 　　【关键词】无线校园网络 WLAN安全 　　进入21世纪，随着无线技术及其应用的迅猛发展，人们的生活也因此而正在发生巨大的改变。近年来，全球的信息化与网络化无线技术与应用日益走向融合，网络时代正在无线技术的强力推动下悄然走进我们的生活。但与此同时，当无线网络技术渗透到社会方方面面的时候，技术本身的安全性就会成为了人们关注的重点。于是，一个有效的、安全的、强健的无线网络是越来越多人的期盼。 　　作为无线局域网最典型的应用场景之一，无线校园网的建设越来越得到人们的关注。随着高校规模的不断扩大，校园无线用户的数量飞速增加，传统思路下的无线校园网已满足不了现实的需要。当前，无线校园网在接入规模上要求满足大规模的移动智能终端接入;在接入速率上要求提供不逊色于有线LAN的传输速度;在信号覆盖上，更是要求既能弥补有线网络覆盖的不足，还要能同时覆盖有线网本身的区域;在服务支持上，无线校园网正在向实现全网移动漫游的方向发展。伴随着无线校园网的快速发展，无线校园网的安全问题也日趋凸显。亟需在无线网络性能高速提升的情况下，改善和增强其网络自身的安全性。但安全问题是一个动态的体系问题，不是靠哪一项安全技术的出现就可以彻底地解决，一味地强调安全会进入安全的误区。不存在绝对安全的网络，只存在相对安全的网络。于是研究在当前的技术条件下高校无线校园网的安全架构就十分具有现实意义。 　　1 校园WLAN的发展 　　一般而言，凡是采用无线传输的计算机局域网都可称为无线局域网WLAN。目前，市场上采用的WLAN的技术很多，比较典型的有IEEE802.11系列技术、蓝牙、红外技术等。在这些技术之中，又以IEEE802.11系列技术最为突出。它凭着自身优异的技术性能和成熟的 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 体系实际上已成为WLAN技术的代言人。我国的无线校园网起步较晚，直到2002年北京大学才建成了我国第一个校园无线网络。从已走过的十多个年头来看，我国校园网络建设发展经历了从简单有线LAN的接入端加上无线AP(Access Point)、引入AC设备集中管理AP到建设独立无线校园网的过程。由于独立的无线校园网络结构简单，既解决了带宽不足的问题，又能轻松实现全网AP的统一管理，目前己成为新建高校建设无线校园网主要方式。 　　2 校园网络安全问题及原因 　　与有线局域网相比，无线局域网(WLAN)具有易于扩展、便捷灵活、经济实用等优点，但是由于WLAN开放的传输信道，使其更容易受到这种攻击。 　　一般来说，攻击者的攻击方式有以下几种： 　　2.1 窃听 　　窃听是被动式的攻击方法，也是最常见和最容易的。由于WLAN的无线信号的特征，理论上只要是无线电波可以到达的地方都可以被攻击者窃听到。若用户的重要数据无线传送过程未进行复杂的加密措施，则信号传输过程中被窃听的概率相当之高，用户将遭受意外损失。另外，由于无线信号的区域覆盖性，攻击者无法被有效定位，因此其身份很难被察觉。隐蔽和随机的攻击，使网络的监控措施有很大的难度。 　　2.2 非法登陆 　　非法登陆是指某个非法用户使用非法技术手段通过AP连接上了一个WLAN的行为。一般来说非法登陆导致的后果通常都比较严重，因为它本身具备了主动攻击的能力，并可能借此为跳板对其它网络进行攻击。 　　2.3 攻击干扰 　　大部分的攻击干扰的目的纯粹只是为了破坏网络使其彻底瘫痪，使网络失去自身的作用。但还有一种行为被称为中间人攻击。攻击者把自己伪装成AP，使得用户在不知情的情况下就接入了攻击者伪装的AP，攻击者就可以轻松窃取用户发送的敏感信息。 　　2.4 DoS(拒绝服务)攻击 　　相比有线局域网，无线局域网面临着更多的在无线环境下特有的DoS攻击。攻击者通过不断的发出无效信息来干扰无线网络的正常运行。最常见的DoS攻击是通过向AP发送大量垃圾信息来消耗AP的资源，使其无法提供其他用户的接入，最终导致网络瘫痪。 　　2.5 重放攻击 　　重放攻击是指攻击者通过截获无线用户发送的认证凭据，重复向认证服务器发送骗取认证服务器的信任，以达到侵入网络的目的。 　　除了以上五种主要的安全问题外，WLAN还面临着很多形形色色的安全威胁，例如针对破解加密算法的攻击、地址欺骗攻击、重路由攻击等等。 　　针对WLAN中存在的这些安全问题，我们可以从研究WLAN的通信规格和相关的网络协议出发，系统分析WLAN安全问题的特点，通过构建一个较完善的WLAN安全架构来确保WLAN的安全。 　　3 无线校园网的安全需求 　　学校教学、科研水平的提高和使用人数的增多要求无线校园网承载更多的业务应用，因此对无线校园网的安全需求也越来越高。 　　常见的无线校园网的安全需求有八个方面：(1)高可用性的冗余设计; 　　(2)安全的准入准出机制; 　　(3)支持BYOD接入功能; 　　(4)完备的访问控制机制; 　　(5)安全威胁的监视与追踪; 　　(6)迅速的安全响应机制; 　　(7)出口安全控制; 　　(8)AP的负载均衡。 　　要满足无线校园网的安全性需求，有必要在建设之初通盘考虑网络架构设计，使其满足无线校园网各层次用户的实际需求。 　　4 无线校园网的安全设计 　　无线校园网的安全体系架构设计可分为七个部分：网络结构的安全设计、安全接入功能的设计、统一认证和准入准出的设计、出口的安全功能设计、SSID和VLAN划分设计、IP地址规划设计、网络管理安全系统的功能设计。 　　4.1 网络结构安全设计 　　一般来说，校园无线网络在设计采用了“瘦”AP+AC的单核心三层架构方案。在核心交换机上设计部署超大规模的智能AC设备对全网所有AP进行集中式管理。为了确保无线网络的高可用性，防止AC出现问题导致网络瘫痪，通常采用双AC冗余方式来保证网络结构的安全。双AC冗余设计采用AC的1+1快速热备份。采用两台AC设备分别与核心交换机连接互联，分别设置为一主一备两个控制器。网络里所有AP同时与两台AC建立CAPWAP隧道。 　　4.2 安全接入功能设计 　　安全接入功能设计一般分为两块内容，分别为WIDS功能设计和支持先进加密算法和用户访问控制。 　　在AC上部署WIDS模块主要是为了实现对无线网络的入侵攻击行为的检测和隔离，当AC的WIDS模块检查到无线接入网发生了诸如非法登陆等行为时，AC能自动监测发生问题的AP和客户端，并将其从网络里剔除。由于WIDS只能检测出离基于二层网络的攻击行为，因此还需要AC设备可以支持与高层的IDS设备联动。 　　为保证无线网络部分的安全，设计要求AP/AC必须支持多种加密和认证技术统一实施。 　　4.3 统一认证和准入准出的设计 　　基于保证用户使用的便捷性，校园无线网络一般采用统一身份认证和统一准入准出的设计方案。常见的web portal和802.1x两种认证方式能够满足不同区域的不同业务访问需求。 　　4.4 出口安全功能设计 　　一般来说网络具有独立的网络出口，作为连接内外网设备的出口网关需拥有强大的路由功能，支持多种路由协议。当用户访问互联网时，网关设备要自动校准DNS解析，在多种路由协议的支持下用户选择最快的路径访问互联网。另外，出口网关还需支持NAT的地址转换，实现内外网地址分离，节省公网IP地址资源。为保证内网能够抵御外网的攻击，出口设备需要有完善的安全措施，确保无线校园网的安全平稳运行。从节约建设资金的角度考虑，一般在安全功能上要求采用一体化的安全网关设备来综合实现安全功能，避免购买大量安全设备。 　　4.5 SSID和VLAN划分设计 　　一般来说无线校园网里至少需要规划五种VLAN，分别是：无线用户的业务VLAN、无线用户VLAN、AP的管理VLAN、AC的管理VLAN和交换机的管理VLAN。其中AP的管理VLAN用于AP到AC的通信，之所以将AP和无线用户的VLAN分开划分，是保护AP和AC通信的安全，增强其稳健性。AC的管理VLAN用于外网远程登录AC。交换机的管理VLAN用于交换机的远程管理。无线用户VLAN和无线用户的业务VLAN要根据实际情况灵活分配。 　　网络设备可分配的VLAN数量很大，一般来说支持数量达到4096个，完全可以满足中等规模无线校园网的业务需求。根据业务实行全网单一SSID的设计在无线校园网建设中比较常见。唯一SSID的设计简化了管理难度，用户在使用时也较易实现全网的无缝漫游。 　　4.6 IP地址规划设计 　　无线校园网里的IP地址规划，通常要考虑终端STA的IP地址、AP的管理IP地址、AC的IP地址和不同业务的网关IP地址。STA用户的IP地址和AP的管理IP地址都要求通过DHCP Server自动获得，不需要手工配置。DHCP Server的位置通常都在核心层，可集成在某个设备模块上。常见手法是独立采用ZHICHI DHCP reply功能的核心交换机。通过在出口网关上利用NAT地址转换，STA和AP分配到的私网地址就访问互联网。这样的IP地址规划，有利于节约公网地址资源。 　　4.7 网络管理安全系统的功能设计 　　面对像中等校园规模的网络实现统一的安全管理非常重要。由于网络规模很大，因此安全策略的制定需要从全网的角度来出发设计，完全有必要建立一套相应的、完善的安全管理系统来掌握全网的安全动向。设备方面，尽量采用同一个厂商的主要设备，那样可以很好的实现设备的兼容性。另外，新建立的网管系统在技术上必须满足包括支持大规模无线设备的配置和管理，支持B/S的架构，支持网络拓扑自动发现，支持无线AP和AC以及有线设备的统一管理，支持接收告警信息，能够准确定位故障点，可以分析映射 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 发现IP和MAC地址异常等。 　　5 无线校园网络的安全功能测试 　　要验证无线校园网方案的安全功能能不能达到高校安全的要求，还需要进行一系列的安全功能测试。比如：非法AP的检测和抑制功能测试、网管系统发现AP故障并处理的功能测试、网管系统定位合法和非法终端的功能测试等。如测试结果良好，则说明无线校园网的安全功能达到了设计要求。 　　6 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf 与展望 　　通过对当今常见的无线校园网架构进行研究，本文着重讨论了应如何搭建无线校园网安全架构，并提出了相应的安全实施方案。本文重点阐述了目前面临的无线网络安全问题，根据这些问题并结合中等规模校园的无线校园网络安全需求，详细阐述基于三层架构的独立成网的无线校园网的安全部署和安全措施。 　　随着手持智能终端的迅速普及，无线网络在未来的发展中占据着特别重要的角色。虽然当前无线网络还存在着各种各样的安全漏洞和隐患，但随着各项网络技术和系统技术的发展，我相信在不久的将来这些问题都能得到很好地解决。展望未来，信息时代即将到来。 　　 　　[1]钱进.无线局域网技术与应用[M].北京：电子工业出版社，2004. 　　[2]段水福，历晓华，段炼.无线局域网设计与实现[M].杭州：浙江大学出版社，2007(11). 　　[3]孙言强，王晓东，周兴铭.无线网络中的干扰攻击[J].软件学报，2012，34(05)：1207-1221. 　　[4]马建峰.无线局域网安全体系结构[M].北京：高等教育出版社，2008(05). 　　[5]王隆娟，杜文才，姚孝明.浅谈无线网络安全问题[J].信息安全与技术，2010(08)：87-93.