返回
校园无线网络安全建设实践

校园无线网络安全建设实践

ID:21498072

大小:25.00 KB

页数:5页

时间:2018-10-22

校园无线网络安全建设实践_第1页
校园无线网络安全建设实践_第2页
校园无线网络安全建设实践_第3页
校园无线网络安全建设实践_第4页
校园无线网络安全建设实践_第5页
资源描述:

《校园无线网络安全建设实践》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、校园无线网络安全建设实践  当前,无线网络技术正在被广泛的应用到校园信息化建设之中,具有高灵活性、可移动性、开放性等特点。但是,由于无线网络本身所具有的这些特点,造成用户量大、密度不均、应用多样和环境复杂等问题,无线网络的安全性也备受关注。本文着重分析无线网络的安全隐患以及隐患的来源,对校园无线网络安全建设实践进行了分析与探究。  【关键词】无线网络安全防范  高效无线网络校园是现在很多高校建设的目标,因此,高校在为用户提供基本的互联网上网服务外,还需要为用户提供安全可靠的网络服务,用户可以在校内或者校外访问相应的资源。网络安全设计实现对内外接入时避

2、免面临网络安全的问题,保证网络资源及网络设备的安全是校园无线网络建设所面临的一个严峻问题。  1无线网络安全面临的主要问题  1.1访问权限的控制  学校一般拥有大量的外网地址,但是对外提供服务的只是其中的一部分或者少数几个地址,因此需要在出口设备上严格限制外网对内的访问权限,只有允许的地址或者允许地址的特定端口才是可以被访问的,其它地址一律禁止外网发起的主动访问。  1.2攻击主机的主动识别和防护  动态监测外网主机对资源平台的访问,当外部主机发起非法攻击或者大量合法请求时,网关设备会主动将非法主机进行隔离,从而保证资源平台的安全性;  2无线网络

3、安全主要的设计内容  基于“接入安全”的理念,将学院园区无线网络认证过程设置到离学生客户端最近的网络边界处,通过启用Web认证模式,无线控制器和学校目前采用的AAA认证系统的协同工作,当学生在接入无线网络的时候,网络无线控制器和ZZ-OS认证网关进行对接,通过portal的方式将认证页面推送到客户端,然后将学生认证所需要的用户名和密码上传到无线控制器,无线控制器通过与ZZ-OS认证系统的对接,获取学生相关的认证信息,如果认证通过,则无线控制器将通知无线AP接入点,允许该学生访问相关的资源,学生使用浏览器即可完成认证过程,不仅保证了接入学生的学生合法性

4、,而且学生能快捷便利的使用无线网络,极大的提高了学生的体验感。  2.1学生数据加密安全  无线AP通过WEP、TKIP和AES加密技术,为接入学生提供完整的数据安全保障机制,确保无线网络的数据传输安全。  2.2虚拟无线分组技术  通过虚拟无线接入点(VirtualAP)技术,整机可最大提供16个ESSID,支持16个802.1QVLAN,网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离,并可针对每个SSID配置单独的认证方式、加密机制等。  2.3标准CAPWAP加密隧道确保传输安全  无线AP接入点与网络无线控制器以国际标准的C

5、APWAP加密隧道模式通信,确保了数据传输过程中的内容安全。  3安全准入设计  无线网络为开放式的网络环境,基于端口的有线网络管理方式已经无法满足无线用户接入管理的需求。为了解决接入用户管理的问题一般高校都会部署AAA服务器,通过AAA服务器实现无线用户身份认证。  通过引入AAA服务器虽然解决了“谁”可以连接无线网络的问题,但是如何进行用户身份的认证呢?无线网络部署的初期一般采用SU的方式。SU方式需要无线用户在无线终端设备上安装特定的客户端,通过该客户端完成用户身份的校验。但是随着智能终端的出现,接入无线网络的终端不仅仅是笔记本电脑,平板电脑、

6、手机等智能终端也需要接入无线网络,而SU模式并不适合安装在智能终端上。为了解决智能终端接入无线网络的问题很多设备厂商推出了Web认证,智能终端不再需要安装客户端,只需要通过浏览器就可完成身份认证。针对智能终端Web似乎是一种比较完美的身份认证方式。随着互联网应用的迅速崛起,用户希望在物理位置移动的同时可以使用微信、微博等互联网应用。如果依然采用Web方式进行身份认证,用户将会感觉很麻烦,影响用户对无线网络的体验,为了解决认证方式繁琐的问题,无感知认证应用而生,无感知身份认证只需要用户首次进行终端相关用户信息配设置后续终端接入无需用户干预自动完成。  

7、4安全审计设计  无线网络为了给用户提供良好的上网体验,一般终端接入网络时采用动态地址分配方式,同时公有地址不足是所有国内高校面临的一个问题,为了解决地址不足的问题一般校内采用私有地址,出口网络设备进行NAT转化。在私有地址环境中采用动态地址分配方式,管理员将会面临一个问题:当发生安全事件时,网监部门只能为管理提供一个具体的外网地址和访问的时间点,仅有的信息中要准确定位问题的具体负责人。  传统的日志??计平台只记录了出口设备的NAT日志,可以通过公网地址和具体的时间找到对应的私网地址,但是由于地址采用动态分配的方式,能难确定该时间段对应的地址是哪个

8、用户在使用或者说需要查询多个系统才能确认最终的用户,如果多个系统中有一个系统时钟不一致,可能造成最终信息的错

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。