曾俊雄

一、校园无线网络现状分析

随着教育信息化的发展，各个学校大量使用笔记本电脑及各种手持无线设备。而无线局域网(WirelessLAN，WLANl有着传统有线局域网(LAN)所没有的优点，如建网灵活，可扩展性好，支持终端的移动性，支持在特殊场合(无法或很难架设网线)的应用。但由于WLAN是以无线电波作为上网的传输媒介，而无线网络信号可以传播到预期以外的地域，给入侵者有机可乘，特别是使用外接增益天线，可以远程窃听网络中的数据，安全问题堪忧。我校无线局域网已经使用了一段时间，积累了一些经验，因此，下文对校园无线网络的安全防护方法作一下探讨。

二、校园无线网络的安全防护

1.安全规划与配置

(1)规划好天线安装位置

布设校园无线网络时，选择好天线位置，也可使用定向天线，背向学校的方向就不易收到无线信号，学校一侧也可以收到更强的信号。

(2)在没有使用的时候关闭网络

安装时可将无线收发设备的电源与教学楼的电源装于同一线路上，在晚上夜自习结束离开教室后，关闭电源时也同时关闭无线信号。

(3)AP隔离规划

类似于有线网络的VLAN，将所有的无线客户端设备完全与有线网隔离，使之只能访问AP连接的固定网络，相当于无线中的局域网。

(4)配置无线入侵检测系统

用于无线局域网的入侵检测系统，可用来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。

(5)应用VPN技术

无线接入网络VLANfAP和VPN服务器之间的线路)从局域网把VPN服务器和内部网络隔离出来。VPN服务器提供网络的认证和加密，并应用于局域网网络内部，具有较好的扩充、升级性能，可应用于较大规模的校园无线网络。

(6)配置无线控制器+HTAP集中式WLAN管理设备

较新的WLAN网络架构，用户对FITAP的管理是通过无线控制器来代理完成，更改服务策略设定和安全策略设定只需要登录到指定的无线控制器就可以完成设置，无线控制器会自动把新的配置下发到指定的FITAP。

2.使用中的安全措施

(1)修改管理员密码和用户名

修改无线AP设置中的默认用户名和密码，尽量设置复杂的、较长的密码，最好是字母与数字并存。

(2)启用无线AP的连接密码

升级到WPA2(WiFi Protected Accessl加密协议。将安全设置改为“个人WPA2协议”并且勾选“TKIP+AES”运算法则。最后在“共享密钥”中输入密码，保存修改。

(3)采用身份验证和授权

Windows Server 2003内的IAS，可用来架设Radius服务器。客户端在使用网络之前必须先输入用户名、密码等认证信息，并只有在认证通过时才开放该客户端的网络使用权限。

(4)修改默认系统SSID

改变默认的SSID，可以使你区别于其它未受保护的网络，还可以使你的用户不会因此错连接到其它的网络中，从而就不会将你的数据暴露于黑客的嗅探器下。

(5)禁止SSID网络广播

SSID参数在设备缺省设定中是被AP无线接入点广播出去的，禁止这个广播后，我们必须把SSID名称告诉各位用户，在无线接收设备上设置好才能连接上无线AP。

(6)使用MAC地址过滤与固定IP

这个方法要求登记学校里所有使用无线上网设备的MAC地址，来更新无线AP中的MAC地址列表。这样就只有经过登记的合法设备可以访问你的网络了。如果能关闭DHCP服务，为学校里的每台电脑分配固定的静态IP地址，然后再把这个IP地址与无线终端的MAC地址进行绑定，这样就可以得到双重保险。

参考文献：

[1]李园，王燕鸿，无线网络安全性威胁及应对措施[J].现代电子技术，2007，(5)：91-94

[2]王秋华，章坚武，浅析无线网络实施的安全措施[J].中国科技信息，2005，(17)：18

[3]冷月，无线网络保卫战[J].计算机应用文摘，2006，(26)：79-81

[4]湛成伟，网络安全技术发展趋势浅析[J].重庆工学院学报，2006，20(8)：119-121

(编辑：郭桂真)