高校無線校園網(wǎng)安全設(shè)計研究

1、    高校無線校園網(wǎng)安全設(shè)計研究    楊名【摘 要】本文論述高校無線校園網(wǎng)安全設(shè)計，從高校無線校園網(wǎng)面臨的安全問題來分析高校無線校園網(wǎng)安全建立的必要性，提出網(wǎng)絡(luò)安全架構(gòu)設(shè)計需要遵循標(biāo)準(zhǔn)成熟性、完善性、網(wǎng)絡(luò)可擴(kuò)展性、部署靈活性四項原則，應(yīng)對結(jié)構(gòu)安全做全面性考慮、對安全接入功能做設(shè)計、做認(rèn)證安全設(shè)計準(zhǔn)入準(zhǔn)出安全設(shè)計，并在具體實踐中進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、安全接入設(shè)計、統(tǒng)一認(rèn)證和準(zhǔn)入準(zhǔn)出設(shè)計、出口安全設(shè)計，以促進(jìn)高校無線校園網(wǎng)絡(luò)安全建設(shè)?！娟P(guān)鍵詞】高校  無線網(wǎng)絡(luò)  安全架構(gòu)  設(shè)計g  a0450-9889（2019）0

2、8c-0187-02在信息化社會，無線網(wǎng)絡(luò)的應(yīng)用使較多領(lǐng)域的具體工作發(fā)生了顯著的變化，就調(diào)查統(tǒng)計分析來看，無線網(wǎng)絡(luò)的應(yīng)用便捷了資料信息的傳輸，對管理起到了非常積極的作用，同時，無線網(wǎng)絡(luò)的普及也為高校的網(wǎng)絡(luò)教育提供了條件。就目前的高校無線校園網(wǎng)應(yīng)用來看，無線網(wǎng)絡(luò)提高了管理的效率，幫助實現(xiàn)了高校管理的信息化發(fā)展，同時，無線校園網(wǎng)也為教育教學(xué)的模式變化以及靈活性提升創(chuàng)造了良好的條件。但是在具體的實踐應(yīng)用中發(fā)現(xiàn)，當(dāng)前的網(wǎng)絡(luò)環(huán)境對高校無線校園網(wǎng)的應(yīng)用及發(fā)展還存在不利影響，高校無線校園網(wǎng)普遍存在安全隱患，因此要在復(fù)雜的環(huán)境中保證無線校園網(wǎng)絡(luò)的有效利用，必須強(qiáng)化安全架構(gòu)的設(shè)計。一、高校無線校園網(wǎng)安全建立的必

3、要性就目前的高校建設(shè)來看，為了建設(shè)信息化高校，同時也為了提高高校的教學(xué)效率和管理實效，無線校園網(wǎng)在高校中已經(jīng)非常普遍。對高校的無線校園網(wǎng)具體分析發(fā)現(xiàn)其面臨兩方面的安全問題。一方面是無線校園網(wǎng)存在非法入侵的情況。高校網(wǎng)絡(luò)作為信息化管理的重要工具，有較多機(jī)密性的資料和數(shù)據(jù)，非法入侵會導(dǎo)致信息資料的泄露。另一方面是高校無線校園網(wǎng)還普遍存在著網(wǎng)絡(luò)惡意攻擊的情形。一些非法用戶會利用網(wǎng)路渠道發(fā)送木馬、病毒等對高校無線校園網(wǎng)進(jìn)行攻擊，嚴(yán)重時會造成網(wǎng)絡(luò)癱瘓，給學(xué)校的信息化建設(shè)及應(yīng)用帶來嚴(yán)重影響。以上兩方面嚴(yán)重影響了高校無線網(wǎng)絡(luò)的應(yīng)用安全，必須對網(wǎng)絡(luò)做安全強(qiáng)化。二、設(shè)計原則高校無線校園網(wǎng)的安全架構(gòu)需要基于高校網(wǎng)

4、絡(luò)利用的基本現(xiàn)狀來開展，所以其具體的網(wǎng)絡(luò)安全架構(gòu)設(shè)計需要遵循以下四項原則：（一）標(biāo)準(zhǔn)成熟性原則無線校園網(wǎng)在高校管理實踐中要發(fā)揮突出的價值，需要具有成熟性和可操作性，如此，其運(yùn)行才會更加的穩(wěn)定。在高校無線校園網(wǎng)構(gòu)建的時候要基于技術(shù)成熟和可操作做標(biāo)準(zhǔn)的制定，并依據(jù)標(biāo)準(zhǔn)做設(shè)計，校園網(wǎng)的整體效果發(fā)揮才會得到保障。簡言之，網(wǎng)絡(luò)安全要保證，網(wǎng)絡(luò)的標(biāo)準(zhǔn)性是必須要強(qiáng)調(diào)的，操作的成熟性也是需要重視的，因此遵循標(biāo)準(zhǔn)成熟性原則有突出的意義。（二）完善性原則所謂的完善性原則具體指的是在高校無線校園網(wǎng)絡(luò)安全架構(gòu)設(shè)計中必須要對安全措施做完善性考慮。在高校無線網(wǎng)絡(luò)的具體利用中，除了學(xué)生會利用網(wǎng)絡(luò)，網(wǎng)絡(luò)黑客也會攻擊網(wǎng)絡(luò)，所以

5、高校網(wǎng)絡(luò)的管理人員必須要將網(wǎng)絡(luò)安全放在重要的位置，并采取任何可以實現(xiàn)網(wǎng)絡(luò)安全的措施來保證無線網(wǎng)絡(luò)的運(yùn)行安全，總之，無線網(wǎng)絡(luò)的安全需要從傳輸安全保護(hù)、運(yùn)行環(huán)境安全防護(hù)、用戶認(rèn)證以及訪問控制等各個方面進(jìn)行強(qiáng)化，實現(xiàn)無線網(wǎng)絡(luò)安全完善的目標(biāo)。（三）網(wǎng)絡(luò)可擴(kuò)展性原則之所以要強(qiáng)調(diào)可擴(kuò)展性主要是因為當(dāng)前的網(wǎng)絡(luò)技術(shù)還處在飛速發(fā)展的階段，在之后的網(wǎng)絡(luò)建設(shè)中會利用到相比于當(dāng)前更先進(jìn)的技術(shù)以及設(shè)備，所以現(xiàn)階段的網(wǎng)絡(luò)結(jié)構(gòu)需要為未來的網(wǎng)絡(luò)應(yīng)用提供利用空間?；诖?，在現(xiàn)階段的網(wǎng)絡(luò)安全架構(gòu)中需要對未來安全做考慮，所以安全架構(gòu)要具有可擴(kuò)展性。（四）部署靈活性的原則部署靈活性主要是考慮到目前高校網(wǎng)絡(luò)建設(shè)的不統(tǒng)一。就具體的分析來

6、看，現(xiàn)階段的高校無線網(wǎng)絡(luò)部署采用的形式與技術(shù)并不唯一，所以利用統(tǒng)一的標(biāo)準(zhǔn)會使具體的安全部署無法實施，所以在實踐中做靈活性部署強(qiáng)調(diào)，這樣可以使高校網(wǎng)絡(luò)的具體利用更具實踐性價值。三、安全架構(gòu)的設(shè)計思想高校無線校園網(wǎng)的安全架構(gòu)需要以保證高校網(wǎng)絡(luò)應(yīng)用的安全為目的，所以具體的設(shè)計思想和方法都要為最終的目的服務(wù)。總結(jié)目前的高校無線校園網(wǎng)絡(luò)應(yīng)用并對當(dāng)前社會無線網(wǎng)絡(luò)應(yīng)用的安全設(shè)計做分析與探討，高校無線網(wǎng)絡(luò)安全設(shè)計需要從以下四個方面展開。一是高校網(wǎng)絡(luò)的結(jié)構(gòu)安全要得到保障，因此在具體的設(shè)計中需要對結(jié)構(gòu)安全做全面性考慮。二是需要對安全接入功能做設(shè)計。從現(xiàn)實分析來看，很多網(wǎng)絡(luò)的安全性較差，是因為在接入方面沒做安全考慮

7、，所以會有大量的病毒、木馬對網(wǎng)絡(luò)進(jìn)行攻擊。三是做認(rèn)證安全設(shè)計準(zhǔn)入準(zhǔn)出安全設(shè)計。該方面的設(shè)計會對非法登錄形成打擊，而且做好準(zhǔn)入準(zhǔn)出的安全設(shè)計，用戶的安全體驗效果會更加完善。四是出口的安全設(shè)計。出口的安全設(shè)計對網(wǎng)絡(luò)形成了保護(hù)，這會讓高校的網(wǎng)絡(luò)應(yīng)用更具安全效果。四、高校網(wǎng)絡(luò)安全架構(gòu)實踐筆者所在高校為實現(xiàn)無線校園網(wǎng)的安全保障，積極尋求網(wǎng)絡(luò)安全的架構(gòu)方法，參考上述的網(wǎng)絡(luò)安全設(shè)計原則和思路進(jìn)行校園網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計，以下是具體的設(shè)計分析：（一）網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計高校基于自身的實踐在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計中采用了ap+ac的集中式架構(gòu)方案，該方案有兩大核心。一是基于核心交換機(jī)進(jìn)行規(guī)模化的設(shè)備設(shè)計和部署，而利用的設(shè)備主要為智能a

8、c設(shè)備。二是對校園無線網(wǎng)絡(luò)進(jìn)行集中的整合和管理，主要集中的對象為ap。在方案的實施中該校網(wǎng)絡(luò)安全設(shè)計人員意識到ap+ac的集中式架構(gòu)的特點(diǎn)是集中，在ap出現(xiàn)問題后整個網(wǎng)絡(luò)會受到影響，因此具體的方案執(zhí)行中采用了雙ac冗余設(shè)計。所謂的雙ac冗余設(shè)計具體指的是在設(shè)計中利用兩臺智能ac設(shè)備，其中一臺為主控，另一臺為副控，兩臺ac設(shè)備分別和核心交換機(jī)做互聯(lián)并構(gòu)建capwap隧道。此設(shè)計在實際運(yùn)行的時候，如果網(wǎng)絡(luò)中存在主控制器故障的情況，副控制器會對主控制器進(jìn)行替代實現(xiàn)系統(tǒng)的繼續(xù)運(yùn)用，而所有ap的主capwap隧道也會切換到副控制器上，保證業(yè)務(wù)的正常。在主控制器恢復(fù)后，ac會實現(xiàn)備份，鏈路也隨之和主控制器

9、進(jìn)行連接，從而保證其運(yùn)行。學(xué)校設(shè)計人員基于方案做設(shè)計后，對具體的網(wǎng)絡(luò)運(yùn)行做了分析，發(fā)現(xiàn)雙ac冗余在網(wǎng)絡(luò)穩(wěn)定性和持續(xù)性方面有非常突出的效果。（二）安全接入設(shè)計接入是否具有安全性是高校無線校園網(wǎng)絡(luò)安全設(shè)計需要重點(diǎn)考慮的內(nèi)容，因此高校在具體的網(wǎng)絡(luò)安全設(shè)計中對安全接入設(shè)計做了重點(diǎn)的考慮，最終決定做兩方面的設(shè)計：一是進(jìn)行wids功能設(shè)計。高校網(wǎng)絡(luò)管理人員對校園用戶做具體的資料總結(jié)發(fā)現(xiàn)非法登錄和廣泛性的攻擊在校園網(wǎng)絡(luò)中表現(xiàn)十分的普遍，這影響了校園網(wǎng)的安全。基于網(wǎng)絡(luò)管理部門提供的實時參考，設(shè)計人員在設(shè)計的時候于ac設(shè)備中做了wids模塊的部署。wids模塊實現(xiàn)了ap以及客戶端的認(rèn)證檢測，從而屏蔽了導(dǎo)致非法登

10、錄訪問網(wǎng)絡(luò)的條件。二是高校網(wǎng)絡(luò)設(shè)計人員先對加密算法的有效性做了研究并對訪問用戶進(jìn)行了控制。校園網(wǎng)中的機(jī)密數(shù)據(jù)和教學(xué)資源比較多，安全設(shè)計考慮資源獲取和存儲十分必要。設(shè)計人員通過設(shè)計實現(xiàn)ap/ac中的多種加密技術(shù)和認(rèn)證技術(shù)支持，以此實現(xiàn)對訪問用戶的有效限定。（三）統(tǒng)一認(rèn)證和準(zhǔn)入準(zhǔn)出設(shè)計在網(wǎng)絡(luò)安全設(shè)計中，對統(tǒng)一認(rèn)證和準(zhǔn)入準(zhǔn)出也進(jìn)行了全面性設(shè)計。從設(shè)計結(jié)果來看，其設(shè)計主要涵蓋兩部分：一是做統(tǒng)一的認(rèn)證機(jī)制設(shè)計。設(shè)計人員認(rèn)為學(xué)校的認(rèn)證可以利用身份認(rèn)證方案，當(dāng)然也可以使用一套能夠?qū)崿F(xiàn)綜合認(rèn)證的計費(fèi)系統(tǒng)并對接收到的數(shù)據(jù)做備份的方案。無論是哪種方案，在具體的認(rèn)證中，均需要ap、ac和portal認(rèn)證服務(wù)器做配合

11、，同時還需要與radius認(rèn)證服務(wù)器做聯(lián)合。二是對準(zhǔn)入和準(zhǔn)出做一體化設(shè)計。設(shè)計人員的具體設(shè)計其能夠滿足不同認(rèn)證用戶的需要，在實踐中既有對802.1x用戶的認(rèn)證，也有對web portal用戶的認(rèn)證。對于802.1ix用戶的認(rèn)證，接入網(wǎng)絡(luò)后用戶網(wǎng)的內(nèi)外網(wǎng)會自行切換，當(dāng)身份得到認(rèn)證后認(rèn)證系統(tǒng)所連接的計費(fèi)系統(tǒng)便會啟動，并基于不同的授權(quán)做計費(fèi)處理。此設(shè)計實現(xiàn)了準(zhǔn)入和準(zhǔn)出的雙重功能合一，具有明顯的便利性。對于web portal認(rèn)證用戶，可以先在計費(fèi)網(wǎng)關(guān)中心遞交用戶的認(rèn)證信息，在計費(fèi)過后，計費(fèi)中心會自動將信息轉(zhuǎn)移至認(rèn)證中心做信息的檢查和認(rèn)證，這種認(rèn)證是從內(nèi)網(wǎng)向外網(wǎng)進(jìn)行的，具體過程就兩步。在此種認(rèn)證方式的

12、利用中，為了保證用戶的身份具有合法性，需要實現(xiàn)內(nèi)網(wǎng)安全、定位以及審計等功能的利用。（四）出口的安全設(shè)計高校的無線校園網(wǎng)絡(luò)安全設(shè)計中對出口安全也進(jìn)行了考慮。出口的獨(dú)立性會讓校園網(wǎng)絡(luò)的使用更具安全效果，獨(dú)立的安全出口需要滿足兩方面的要求：一是需要對多種路由協(xié)議做支持，二是需要設(shè)計具有統(tǒng)一性的網(wǎng)關(guān)設(shè)備，該設(shè)備能夠?qū)υ械陌踩O(shè)備進(jìn)行替代。綜上所述，高校無線校園網(wǎng)的應(yīng)用安全關(guān)系著校園管理以及師生的合法權(quán)益，所以為了保證校園網(wǎng)絡(luò)的安全有效利用，必須要對網(wǎng)絡(luò)安全做全面性考慮。文章對高校網(wǎng)絡(luò)安全架構(gòu)設(shè)計的原則以及具體內(nèi)容等進(jìn)行分析，為高校的網(wǎng)絡(luò)安全架構(gòu)提供了參考，具有一定的參考價值?！緟⒖嘉墨I(xiàn)】1黃嵩.基于sdn架構(gòu)的無線局域網(wǎng)安全研究j.電腦知識與技術(shù)，2017（13）2李學(xué)龍，郝文英.基于it治理的高校校園安全網(wǎng)絡(luò)框架設(shè)計研究與實現(xiàn)j.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（2）3王斐.電力公司安全辦公無線局域網(wǎng)的設(shè)計與實現(xiàn)d.南昌：江西財經(jīng)大學(xué)，20174蕭益民.高職院校無線