移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展和智能移動(dòng)終端的快速普及，師生用戶對(duì)校園內(nèi)無(wú)線覆蓋的需求越來(lái)越強(qiáng)烈。校園無(wú)線網(wǎng)建設(shè)程度逐漸成為衡量高校信息化發(fā)展的一個(gè)重要指標(biāo)，高校紛紛建設(shè)大規(guī)模無(wú)線校園網(wǎng)。由于無(wú)線網(wǎng)信號(hào)是在開放空間傳輸，Wi-Fi 協(xié)議在安全性上又不同于有線網(wǎng)絡(luò)，容易遭受黑客的攻擊，通過(guò)無(wú)線傳輸?shù)男畔⑷菀资艿焦粽吒`取和篡改。在高校校園內(nèi)，學(xué)生在網(wǎng)絡(luò)上的活躍程度和好奇心都非常強(qiáng)，網(wǎng)絡(luò)攻擊行為時(shí)有發(fā)生。因此，高校無(wú)線校園網(wǎng)絡(luò)安全有其自身的特點(diǎn)，在建設(shè)和運(yùn)維無(wú)線校園網(wǎng)絡(luò)時(shí)需要充分考慮其安全性，以保障無(wú)線網(wǎng)絡(luò)可靠穩(wěn)定運(yùn)行。

　　無(wú)線網(wǎng)絡(luò)安全性及技術(shù)趨勢(shì)

　　無(wú)線網(wǎng)絡(luò)雖然具有便于安裝、靈活使用、易于擴(kuò)展等優(yōu)點(diǎn)，但是由于無(wú)線網(wǎng)絡(luò)信道開放、接入終端的移動(dòng)性等特點(diǎn)，以及無(wú)線終端計(jì)算能力和存儲(chǔ)能力的局限性，使得有線網(wǎng)絡(luò)環(huán)境下的許多安全方案和技術(shù)不能直接用于無(wú)線網(wǎng)絡(luò)。

　　WLAN 無(wú)線網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)制定者IEEE 802.11 工作組從一開始就考慮了無(wú)線網(wǎng)絡(luò)安全問(wèn)題。最初的IEEE 802.11-1999 協(xié)議定義的WEP 機(jī)制存在較多缺陷，協(xié)議中沒(méi)有對(duì)用戶進(jìn)行認(rèn)證，只對(duì)客戶端設(shè)備進(jìn)行認(rèn)證，未經(jīng)授權(quán)的用戶也可以訪問(wèn)網(wǎng)絡(luò)資源;協(xié)議中使用的WEP 加密(Wired Equivalent Privacy)方式是一種低效率的加密方式，容易在鏈路傳輸層被竊聽破解;協(xié)議使用的消息完整性驗(yàn)證方式ICV(Integrity Check Value)效率不高，無(wú)線傳輸數(shù)據(jù)幀的內(nèi)容容易被黑客修改。所以IEEE 802.11又成立了802.11i工作組，提出了AES-CCM 等安全機(jī)制。此外，我國(guó)國(guó)家標(biāo)準(zhǔn)化組織也制定了WAPI 標(biāo)準(zhǔn)。

　　目前，從校園無(wú)線網(wǎng)管理要求和各大無(wú)線廠商解決方案來(lái)看，有線無(wú)線網(wǎng)絡(luò)一體化管理逐漸成為趨勢(shì)，相應(yīng)的技術(shù)產(chǎn)品逐漸成熟，可以實(shí)現(xiàn)有線無(wú)線一體化的安全架構(gòu)。通過(guò)有線網(wǎng)硬件平臺(tái)上集成無(wú)線交換、防火墻、入侵檢測(cè)等功能模塊，可以實(shí)現(xiàn)的主要安全功能包括：動(dòng)態(tài)檢測(cè)和過(guò)濾數(shù)據(jù)包、防范多種DoS/DDoS 攻擊、防范ARP 欺騙攻擊、識(shí)別網(wǎng)絡(luò)應(yīng)用層流量并過(guò)濾、流量審計(jì)與分析等。有線無(wú)線網(wǎng)絡(luò)一體化管理還要實(shí)現(xiàn)有線無(wú)線接入認(rèn)證系統(tǒng)以及計(jì)費(fèi)系統(tǒng)的統(tǒng)一，既方便了用戶用網(wǎng)，同時(shí)又可以實(shí)現(xiàn)無(wú)線用戶特有的服務(wù)策略控制。

　　無(wú)線安全問(wèn)題及應(yīng)對(duì)策略

　　無(wú)線校園網(wǎng)絡(luò)面臨的主要安全問(wèn)題有：

　　1. 偵測(cè)攻擊：通過(guò)竊聽、偽造等方式針對(duì)系統(tǒng)或服務(wù)弱點(diǎn)進(jìn)行未經(jīng)授權(quán)的查詢和訪問(wèn)。

　　2. 非法AP 欺騙：通過(guò)使正常用戶接入未授權(quán)的AP，以獲取正常用戶的認(rèn)證和數(shù)據(jù)信息。

　　3.ARP 病毒：很多校園網(wǎng)內(nèi)ARP 病毒泛濫，無(wú)線校園網(wǎng)由于共享帶寬機(jī)制，更易受到ARP 病毒影響。

　　4.DoS 攻擊：通過(guò)發(fā)起大量服務(wù)請(qǐng)求來(lái)占用過(guò)多服務(wù)資源，從而使合法用戶無(wú)法得到正常服務(wù)。

　　針對(duì)無(wú)線校園網(wǎng)的特點(diǎn)及安全問(wèn)題，可在網(wǎng)絡(luò)不同層次采取多種安全策略，如圖1 所示，主要措施有：

圖1：無(wú)線校園網(wǎng)安全策略示意

　　1. 建立完善的無(wú)線用戶認(rèn)證和授權(quán)系統(tǒng)，支持802.1X 認(rèn)證、MAC 地址認(rèn)證、Portal 認(rèn)證、PPPoE 和WAPI 認(rèn)證等多種方式，用戶通過(guò)身份認(rèn)證后可動(dòng)態(tài)授權(quán)VLAN 和ACL，對(duì)用戶的策略可以事先設(shè)定好。無(wú)線用戶經(jīng)認(rèn)證系統(tǒng)認(rèn)證后，無(wú)線控制器應(yīng)對(duì)用戶進(jìn)行標(biāo)識(shí)并綁定，并分配帶寬等屬性。可以防止IP 地址欺騙、帶寬濫用、DHCP 服務(wù)器被攻擊等問(wèn)題。

　　2. 提供基于AP 位置的用戶接入控制，出于安全性或計(jì)費(fèi)等的考慮, 要求無(wú)線控制器支持基于AP 的用戶接入控制。當(dāng)無(wú)線用戶接入網(wǎng)絡(luò)時(shí)，可以通過(guò)認(rèn)證服務(wù)器向AC 下發(fā)允許用戶接入的AP 列表，在AC 上進(jìn)行接入控制，從而達(dá)到限制無(wú)線用戶只能接入到指定位置AP 的目的。

　　3. 采取無(wú)線用戶隔離措施，用戶隔離包括同AP 下用戶的隔離以及不同AP 下用戶的隔離。AP 內(nèi)部采用MAC 互訪控制原理隔離用戶，保證同AP 下用戶只能與上聯(lián)端口進(jìn)行通訊;AP 之間采用MAC 地址訪問(wèn)控制或組網(wǎng)匯聚設(shè)備二層技術(shù)(如VLAN、PVLAN、PVC)進(jìn)行隔離，保證不同A P 下用戶不能直接相通。所有用戶只有通過(guò)A C 認(rèn)證后才能進(jìn)行三層受控互通。

　　4. 通過(guò)數(shù)據(jù)加密防止用戶數(shù)據(jù)被非法竊取，用戶數(shù)據(jù)的加密包括無(wú)線鏈路層和網(wǎng)絡(luò)層的加密。

　　5. 部署無(wú)線入侵檢測(cè)/ 防御(WIDS/WIPS)，非法設(shè)備的告警和攻擊防護(hù)功能使得無(wú)線控制器可以自動(dòng)監(jiān)測(cè)WLAN 網(wǎng)絡(luò)中的非法設(shè)備( 如Rouge AP，或者AdHoc 無(wú)線終端)，并實(shí)時(shí)上報(bào)網(wǎng)管中心，同時(shí)對(duì)非法設(shè)備的攻擊可以進(jìn)行自動(dòng)防護(hù)，最大程度地保護(hù)無(wú)線網(wǎng)絡(luò)。

　　安全運(yùn)維管理

　　盡管無(wú)線網(wǎng)絡(luò)相關(guān)安全技術(shù)和設(shè)備已有較快發(fā)展，但由于系統(tǒng)開銷和性價(jià)比原因，在無(wú)線校園網(wǎng)絡(luò)建設(shè)時(shí)很難采用非常復(fù)雜的安全技術(shù)和過(guò)多的安全設(shè)備。因此，后期的安全運(yùn)維管理是保障無(wú)線校園網(wǎng)穩(wěn)定運(yùn)行的重要手段。

　　無(wú)線校園網(wǎng)安全運(yùn)維管理可分為流程定義、運(yùn)行監(jiān)控、事件分析、安全響應(yīng)四個(gè)環(huán)節(jié)。

　　1. 流程定義環(huán)節(jié)：根據(jù)學(xué)校安全應(yīng)急等級(jí)制度以及校園網(wǎng)安全管理制度，預(yù)定義無(wú)線校園網(wǎng)安全事件等級(jí)和安全響應(yīng)流程，明確各類安全事件的響應(yīng)步驟及相關(guān)責(zé)任崗位，定期進(jìn)行安全預(yù)演。

　　2. 運(yùn)行監(jiān)控環(huán)節(jié)：建立無(wú)線校園網(wǎng)運(yùn)行監(jiān)控系統(tǒng)，通過(guò)網(wǎng)絡(luò)運(yùn)行監(jiān)控中心對(duì)無(wú)線網(wǎng)絡(luò)控制器、交換機(jī)、AP 等設(shè)備的運(yùn)行狀態(tài)以及安全設(shè)備告警日志進(jìn)行實(shí)時(shí)采集和定期查看，生成安全報(bào)表。

　　3. 事件分析環(huán)節(jié)：管理員對(duì)監(jiān)控中心發(fā)現(xiàn)的異常告警進(jìn)行分析，對(duì)監(jiān)控系統(tǒng)收集的運(yùn)行數(shù)據(jù)進(jìn)行分類梳理，對(duì)海量日志信息進(jìn)行過(guò)濾和審計(jì)，評(píng)估安全風(fēng)險(xiǎn)。

　　4. 安全響應(yīng)環(huán)節(jié)：針對(duì)已發(fā)生的安全事件，根據(jù)預(yù)定義的流程及時(shí)響應(yīng)處理并保存日志備查，同時(shí)修復(fù)漏洞;對(duì)潛在的安全威脅，提出解決方案并組織實(shí)施。

　　安全設(shè)計(jì)和運(yùn)維案例

　　浙江大學(xué)于2013 年初建成覆蓋全校五校區(qū)的大規(guī)模高速無(wú)線校園網(wǎng)絡(luò)，采用有線無(wú)線一體化架構(gòu)，共部署雙頻802.11n 無(wú)線接入AP 近1 萬(wàn)個(gè)，實(shí)現(xiàn)全校教學(xué)區(qū)、學(xué)生宿舍區(qū)、室外公共區(qū)域無(wú)線網(wǎng)絡(luò)的全覆蓋，在教學(xué)、科研等重點(diǎn)區(qū)域?qū)崿F(xiàn)450M 無(wú)線網(wǎng)絡(luò)高速接入。

　　在無(wú)線校園網(wǎng)絡(luò)方案設(shè)計(jì)時(shí)，詳細(xì)考慮了無(wú)線網(wǎng)絡(luò)安全需求和運(yùn)維管理需求。拓?fù)涫疽鈭D如圖2 所示，相關(guān)組網(wǎng)設(shè)計(jì)思路如下：

　　1. 核心層：五個(gè)校區(qū)的教學(xué)區(qū)、宿舍區(qū)無(wú)線網(wǎng)絡(luò)核心通過(guò)萬(wàn)兆互聯(lián)，校園有線無(wú)線共用核心層設(shè)備，采用各校區(qū)核心交換機(jī)插卡的形式部署無(wú)線控制系統(tǒng)。同時(shí)，為保證分區(qū)的安全控制與防御，在核心層可部署防火墻、入侵檢測(cè)等安全設(shè)備，與網(wǎng)絡(luò)融合，靈活安全控制策略。

　　2. 匯聚層：從匯聚層開始，無(wú)線網(wǎng)采用專用光纖、匯聚交換機(jī)獨(dú)立組網(wǎng)，各匯聚單元通過(guò)冗余萬(wàn)兆上聯(lián)核心交換機(jī)，同時(shí)雙千兆接入到各樓宇。

　　3. 接入層：采用瘦AP(Fit AP)+ 集中式無(wú)線控制器的方式，通過(guò)無(wú)線控制器(AC)來(lái)集中管理所有AP，AP 通過(guò)PoE接入交換機(jī)上行至無(wú)線網(wǎng)絡(luò)的匯聚及核心。接入層交換機(jī)直接和無(wú)線AP 連接，可能遭受來(lái)自AP 用戶的ARP 風(fēng)暴、MAC掃描、ICMP 風(fēng)暴、帶寬攻擊等攻擊方式，需要具備較高的防攻擊能力。

　　4. 用戶認(rèn)證：基于原校園有線網(wǎng)絡(luò)認(rèn)證數(shù)據(jù)庫(kù)，實(shí)現(xiàn)有線無(wú)線網(wǎng)絡(luò)統(tǒng)一認(rèn)證，無(wú)線認(rèn)證方式支持Web Portal、802.1X 等安全認(rèn)證方式。針對(duì)不同的用戶套餐使用不同的用戶策略。

　　5. 網(wǎng)絡(luò)管理：部署無(wú)線網(wǎng)絡(luò)管理系統(tǒng)，通過(guò)管理無(wú)線控制器，進(jìn)而管理整個(gè)無(wú)線網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)有線無(wú)線一體化的網(wǎng)絡(luò)管理和運(yùn)行監(jiān)控。

　　浙江大學(xué)通過(guò)建立無(wú)線網(wǎng)絡(luò)運(yùn)維體系，保障無(wú)線校園網(wǎng)安全可靠運(yùn)行。設(shè)立網(wǎng)絡(luò)運(yùn)維監(jiān)控中心，通過(guò)無(wú)線網(wǎng)管系統(tǒng)對(duì)無(wú)線校園網(wǎng)運(yùn)行情況進(jìn)行7x24 小時(shí)監(jiān)控;建立無(wú)線網(wǎng)運(yùn)維隊(duì)伍，對(duì)無(wú)線網(wǎng)運(yùn)行情況和安全問(wèn)題進(jìn)行整理，每周例會(huì)定期分析;建立相應(yīng)的運(yùn)維制度，進(jìn)行規(guī)范化運(yùn)維。

　　無(wú)線校園網(wǎng)的安全運(yùn)行是一個(gè)系統(tǒng)工程，并不是簡(jiǎn)單以技術(shù)和設(shè)備手段來(lái)解決，需要在方案設(shè)計(jì)、網(wǎng)絡(luò)建設(shè)、運(yùn)維管理各階段予以重視，統(tǒng)籌考慮。網(wǎng)絡(luò)管理部門應(yīng)建立相應(yīng)的安全運(yùn)行管理制度，明確相關(guān)崗位職責(zé)和流程，以保障無(wú)線校園網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。隨著網(wǎng)絡(luò)技術(shù)和安全技術(shù)的發(fā)展，各種無(wú)線網(wǎng)安全問(wèn)題還是會(huì)不斷出現(xiàn)，需要網(wǎng)絡(luò)管理部門長(zhǎng)期在無(wú)線網(wǎng)絡(luò)技術(shù)、產(chǎn)品、應(yīng)用方式、運(yùn)維管理等方面深入探索研究。

浙江大學(xué)某校區(qū)無(wú)線校園網(wǎng)拓?fù)涫疽?/p>