移動互聯(lián)網(wǎng)的快速發(fā)展和智能移動終端的快速普及，師生用戶對校園內(nèi)無線覆蓋的需求越來越強烈。校園無線網(wǎng)建設程度逐漸成為衡量高校信息化發(fā)展的一個重要指標，高校紛紛建設大規(guī)模無線校園網(wǎng)。由于無線網(wǎng)信號是在開放空間傳輸，Wi-Fi 協(xié)議在安全性上又不同于有線網(wǎng)絡，容易遭受黑客的攻擊，通過無線傳輸?shù)男畔⑷菀资艿焦粽吒`取和篡改。在高校校園內(nèi)，學生在網(wǎng)絡上的活躍程度和好奇心都非常強，網(wǎng)絡攻擊行為時有發(fā)生。因此，高校無線校園網(wǎng)絡安全有其自身的特點，在建設和運維無線校園網(wǎng)絡時需要充分考慮其安全性，以保障無線網(wǎng)絡可靠穩(wěn)定運行。

　　無線網(wǎng)絡安全性及技術趨勢

　　無線網(wǎng)絡雖然具有便于安裝、靈活使用、易于擴展等優(yōu)點，但是由于無線網(wǎng)絡信道開放、接入終端的移動性等特點，以及無線終端計算能力和存儲能力的局限性，使得有線網(wǎng)絡環(huán)境下的許多安全方案和技術不能直接用于無線網(wǎng)絡。

　　WLAN 無線網(wǎng)絡技術標準制定者IEEE 802.11 工作組從一開始就考慮了無線網(wǎng)絡安全問題。最初的IEEE 802.11-1999 協(xié)議定義的WEP 機制存在較多缺陷，協(xié)議中沒有對用戶進行認證，只對客戶端設備進行認證，未經(jīng)授權(quán)的用戶也可以訪問網(wǎng)絡資源;協(xié)議中使用的WEP 加密(Wired Equivalent Privacy)方式是一種低效率的加密方式，容易在鏈路傳輸層被竊聽破解;協(xié)議使用的消息完整性驗證方式ICV(Integrity Check Value)效率不高，無線傳輸數(shù)據(jù)幀的內(nèi)容容易被黑客修改。所以IEEE 802.11又成立了802.11i工作組，提出了AES-CCM 等安全機制。此外，我國國家標準化組織也制定了WAPI 標準。

　　目前，從校園無線網(wǎng)管理要求和各大無線廠商解決方案來看，有線無線網(wǎng)絡一體化管理逐漸成為趨勢，相應的技術產(chǎn)品逐漸成熟，可以實現(xiàn)有線無線一體化的安全架構(gòu)。通過有線網(wǎng)硬件平臺上集成無線交換、防火墻、入侵檢測等功能模塊，可以實現(xiàn)的主要安全功能包括：動態(tài)檢測和過濾數(shù)據(jù)包、防范多種DoS/DDoS 攻擊、防范ARP 欺騙攻擊、識別網(wǎng)絡應用層流量并過濾、流量審計與分析等。有線無線網(wǎng)絡一體化管理還要實現(xiàn)有線無線接入認證系統(tǒng)以及計費系統(tǒng)的統(tǒng)一，既方便了用戶用網(wǎng)，同時又可以實現(xiàn)無線用戶特有的服務策略控制。

　　無線安全問題及應對策略

　　無線校園網(wǎng)絡面臨的主要安全問題有：

　　1. 偵測攻擊：通過竊聽、偽造等方式針對系統(tǒng)或服務弱點進行未經(jīng)授權(quán)的查詢和訪問。

　　2. 非法AP 欺騙：通過使正常用戶接入未授權(quán)的AP，以獲取正常用戶的認證和數(shù)據(jù)信息。

　　3.ARP 病毒：很多校園網(wǎng)內(nèi)ARP 病毒泛濫，無線校園網(wǎng)由于共享帶寬機制，更易受到ARP 病毒影響。

　　4.DoS 攻擊：通過發(fā)起大量服務請求來占用過多服務資源，從而使合法用戶無法得到正常服務。

　　針對無線校園網(wǎng)的特點及安全問題，可在網(wǎng)絡不同層次采取多種安全策略，如圖1 所示，主要措施有：

圖1：無線校園網(wǎng)安全策略示意

　　1. 建立完善的無線用戶認證和授權(quán)系統(tǒng)，支持802.1X 認證、MAC 地址認證、Portal 認證、PPPoE 和WAPI 認證等多種方式，用戶通過身份認證后可動態(tài)授權(quán)VLAN 和ACL，對用戶的策略可以事先設定好。無線用戶經(jīng)認證系統(tǒng)認證后，無線控制器應對用戶進行標識并綁定，并分配帶寬等屬性。可以防止IP 地址欺騙、帶寬濫用、DHCP 服務器被攻擊等問題。

　　2. 提供基于AP 位置的用戶接入控制，出于安全性或計費等的考慮, 要求無線控制器支持基于AP 的用戶接入控制。當無線用戶接入網(wǎng)絡時，可以通過認證服務器向AC 下發(fā)允許用戶接入的AP 列表，在AC 上進行接入控制，從而達到限制無線用戶只能接入到指定位置AP 的目的。

　　3. 采取無線用戶隔離措施，用戶隔離包括同AP 下用戶的隔離以及不同AP 下用戶的隔離。AP 內(nèi)部采用MAC 互訪控制原理隔離用戶，保證同AP 下用戶只能與上聯(lián)端口進行通訊;AP 之間采用MAC 地址訪問控制或組網(wǎng)匯聚設備二層技術(如VLAN、PVLAN、PVC)進行隔離，保證不同A P 下用戶不能直接相通。所有用戶只有通過A C 認證后才能進行三層受控互通。

　　4. 通過數(shù)據(jù)加密防止用戶數(shù)據(jù)被非法竊取，用戶數(shù)據(jù)的加密包括無線鏈路層和網(wǎng)絡層的加密。

　　5. 部署無線入侵檢測/ 防御(WIDS/WIPS)，非法設備的告警和攻擊防護功能使得無線控制器可以自動監(jiān)測WLAN 網(wǎng)絡中的非法設備( 如Rouge AP，或者AdHoc 無線終端)，并實時上報網(wǎng)管中心，同時對非法設備的攻擊可以進行自動防護，最大程度地保護無線網(wǎng)絡。

　　安全運維管理

　　盡管無線網(wǎng)絡相關安全技術和設備已有較快發(fā)展，但由于系統(tǒng)開銷和性價比原因，在無線校園網(wǎng)絡建設時很難采用非常復雜的安全技術和過多的安全設備。因此，后期的安全運維管理是保障無線校園網(wǎng)穩(wěn)定運行的重要手段。

　　無線校園網(wǎng)安全運維管理可分為流程定義、運行監(jiān)控、事件分析、安全響應四個環(huán)節(jié)。

　　1. 流程定義環(huán)節(jié)：根據(jù)學校安全應急等級制度以及校園網(wǎng)安全管理制度，預定義無線校園網(wǎng)安全事件等級和安全響應流程，明確各類安全事件的響應步驟及相關責任崗位，定期進行安全預演。

　　2. 運行監(jiān)控環(huán)節(jié)：建立無線校園網(wǎng)運行監(jiān)控系統(tǒng)，通過網(wǎng)絡運行監(jiān)控中心對無線網(wǎng)絡控制器、交換機、AP 等設備的運行狀態(tài)以及安全設備告警日志進行實時采集和定期查看，生成安全報表。

　　3. 事件分析環(huán)節(jié)：管理員對監(jiān)控中心發(fā)現(xiàn)的異常告警進行分析，對監(jiān)控系統(tǒng)收集的運行數(shù)據(jù)進行分類梳理，對海量日志信息進行過濾和審計，評估安全風險。

　　4. 安全響應環(huán)節(jié)：針對已發(fā)生的安全事件，根據(jù)預定義的流程及時響應處理并保存日志備查，同時修復漏洞;對潛在的安全威脅，提出解決方案并組織實施。

　　安全設計和運維案例

　　浙江大學于2013 年初建成覆蓋全校五校區(qū)的大規(guī)模高速無線校園網(wǎng)絡，采用有線無線一體化架構(gòu)，共部署雙頻802.11n 無線接入AP 近1 萬個，實現(xiàn)全校教學區(qū)、學生宿舍區(qū)、室外公共區(qū)域無線網(wǎng)絡的全覆蓋，在教學、科研等重點區(qū)域?qū)崿F(xiàn)450M 無線網(wǎng)絡高速接入。

　　在無線校園網(wǎng)絡方案設計時，詳細考慮了無線網(wǎng)絡安全需求和運維管理需求。拓撲示意圖如圖2 所示，相關組網(wǎng)設計思路如下：

　　1. 核心層：五個校區(qū)的教學區(qū)、宿舍區(qū)無線網(wǎng)絡核心通過萬兆互聯(lián)，校園有線無線共用核心層設備，采用各校區(qū)核心交換機插卡的形式部署無線控制系統(tǒng)。同時，為保證分區(qū)的安全控制與防御，在核心層可部署防火墻、入侵檢測等安全設備，與網(wǎng)絡融合，靈活安全控制策略。

　　2. 匯聚層：從匯聚層開始，無線網(wǎng)采用專用光纖、匯聚交換機獨立組網(wǎng)，各匯聚單元通過冗余萬兆上聯(lián)核心交換機，同時雙千兆接入到各樓宇。

　　3. 接入層：采用瘦AP(Fit AP)+ 集中式無線控制器的方式，通過無線控制器(AC)來集中管理所有AP，AP 通過PoE接入交換機上行至無線網(wǎng)絡的匯聚及核心。接入層交換機直接和無線AP 連接，可能遭受來自AP 用戶的ARP 風暴、MAC掃描、ICMP 風暴、帶寬攻擊等攻擊方式，需要具備較高的防攻擊能力。

　　4. 用戶認證：基于原校園有線網(wǎng)絡認證數(shù)據(jù)庫，實現(xiàn)有線無線網(wǎng)絡統(tǒng)一認證，無線認證方式支持Web Portal、802.1X 等安全認證方式。針對不同的用戶套餐使用不同的用戶策略。

　　5. 網(wǎng)絡管理：部署無線網(wǎng)絡管理系統(tǒng)，通過管理無線控制器，進而管理整個無線網(wǎng)絡設備，實現(xiàn)有線無線一體化的網(wǎng)絡管理和運行監(jiān)控。

　　浙江大學通過建立無線網(wǎng)絡運維體系，保障無線校園網(wǎng)安全可靠運行。設立網(wǎng)絡運維監(jiān)控中心，通過無線網(wǎng)管系統(tǒng)對無線校園網(wǎng)運行情況進行7x24 小時監(jiān)控;建立無線網(wǎng)運維隊伍，對無線網(wǎng)運行情況和安全問題進行整理，每周例會定期分析;建立相應的運維制度，進行規(guī)范化運維。

　　無線校園網(wǎng)的安全運行是一個系統(tǒng)工程，并不是簡單以技術和設備手段來解決，需要在方案設計、網(wǎng)絡建設、運維管理各階段予以重視，統(tǒng)籌考慮。網(wǎng)絡管理部門應建立相應的安全運行管理制度，明確相關崗位職責和流程，以保障無線校園網(wǎng)絡的安全穩(wěn)定運行。隨著網(wǎng)絡技術和安全技術的發(fā)展，各種無線網(wǎng)安全問題還是會不斷出現(xiàn)，需要網(wǎng)絡管理部門長期在無線網(wǎng)絡技術、產(chǎn)品、應用方式、運維管理等方面深入探索研究。

浙江大學某校區(qū)無線校園網(wǎng)拓撲示意