返回
校园无线网络安全防范浅析

校园无线网络安全防范浅析

ID:33651229

大小:957.50 KB

页数:5页

时间:2019-02-28

校园无线网络安全防范浅析_第1页
校园无线网络安全防范浅析_第2页
校园无线网络安全防范浅析_第3页
校园无线网络安全防范浅析_第4页
校园无线网络安全防范浅析_第5页
资源描述:

《校园无线网络安全防范浅析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、校园无线网络安全防范浅析王艳歌(江苏教育学院运河分院,江苏邳州,221300)摘要:学校信息化建设水平的不断提高,无线网络已成校园网的重要组成部分。本文剖析了校园无线网络存在的问题,给出了无线网络安全防护对策、安全认证方式及基础技巧。关键字:无线网络安全认证校园网现代笔记本电脑和无线网卡产品价格的逐步降低,越来越多的人使用无线终端产品。教学、科研要求有线网络无法延伸到的场所,如大操场、体育馆、会议室、图书室等,也能够访问校园网,真正使网络渗透到校园每个角落,这些促使校园无线网络踏入校园网。但无线信道的开放性增加了非法用户和病

2、毒入侵的几率,凭借无线网络接入校园网,对我们的校园网构成威胁。分析校园无线网络存在问题,提出安全防护对策、安全认证方式和简单易行的安全技巧,建设安全的校园无线网络,从而开发应用各类数字化校园应用系统,逐步实现管理、科研、教学的全面数字化。1校园无线网络存在问题1)目前无线网络提供常用的三种安全机制:一是基于MAC地址的认证。实施MAC地址访问控制,制作MAC地址列表,但随着用户增加而效率降低。另一方面MAC地址很容易被窃取和伪造,因此安全性较低。二是共享密钥认证,该方法要求接入点和无线设备使用对等保密算法,即用户使用正确密钥

3、即可获得访问权。但在认证时,攻击者可利用加密前后的询问消息,通过数学运算即可获得共享密钥生成的伪随机密码流,从而伪造合法的响应消息通过了认证。2)部分AP安全设置级别过低,或保持出厂的默认设置,使AP在没有加密或弱加密条件下工作,使得非法用户有机可乘,私自接入到校园网络攻击校园网。3)无线网络客户端连接设置不正确。部分用户接入校园网线网络同时对外发布无线信号,如不对无线网覆盖范围和连接用户数做限制,则非法用户可以和校园无线客户端建立一个直连网络AdHoc,从而顺利接入校园对校园网产生威胁。2无线网络安全防护对策1)做好硬件设

4、备备份无线网络较有线网络有其特殊性,对于无线网络设备如无线控制器、无线AP等应做好预留备份,出现问题及时更换。对于重要节点如图书馆、网络中心等应提供有线网络备份,同时无线网络的配置也应有备份,以便恢复时快捷便利。2)建立无线网络监控和记录机制5由于无线网络接入用户具有很大的移动性和变化性,因此做好用户访问行为记录非常重要。在无线网络中加入无线网络控制器,对用户进行严格的权限分配,对无线接入点、交换机进行实时监控。包括对无线用户的统一认证、监控和流量管理,记录用户名、访问时间、IP地址、MAC地址等信息,记录日志定时上传至服务

5、器。通过对日志分析,可以避免一些安全隐患、排除故障和追究相关人员责任。在无线控制器上进行相应策略设置,对无线数据包进行实时检测,如发现有人入侵及时纪录并做出自动保护响应。3)无线网络单独规划子网为保证学校校本资源的安全,需将无线网络与有线网络分开,单独规划子网,将学校网络结构分为无线子网、有线子网、资源子网3部分,如图1所示。资源子网防火墙核心交换机无线控制器交换机交换机AP有线子网有线子网图1在核心交换机上设置访问控制列表,严格控制各子网间访问,防止无线网络用户对网络资源进行非授权访问。无线用户首先通过认证接入无线网络,继

6、而获得授权,根据授权限访问网内资源。访问控制可以基于以下属性:源IP地址、源MAC地址、目的IP地址、目的MAC地址、协议类型、用户ID、用户时长等[1]。4)无线网络病毒防护在无线网络上网须知中明确规定,无线用户必须安装最新的防病毒软件,对无防病毒软件的终端禁止入网。同时在无线控制器上设定策略,对无线终端用户进行准入检查,如未通过禁止访问网络。对校本资源或校园网站服务器的访问权限设定严格的控制策略。无线网络的管理者应培养前瞻性、主动性眼光,提前做好防护措施。53安全认证方式无线网络的建设目标是与有线网及校本资源的有效融合,

7、做到安全、便捷,在认证上尽量做到统一。现有的校园网无线终端包含不同类型,有计算机、智能手机、平板电脑,还有支持无线网的打印机和监控设备等。这些终端对认证方式的支持情况各不相同,必须考虑为所有终端提供适当的认证方式。根据校园网用户的安全需求,及校内无线终端类型的统计,我们提供以下几种认证方式:1)802.1x认证该认证是根据用户帐号和设备,对客户端进行鉴权,只适合于接入用户设备与接入端口间点到点的连接方式。校园网中其中的端口多指用户设备的MAC地址,需要MAC地址处于激活状态,否则无法进行认证。在802.1x认证体系中,必须具

8、备客户端、接入认证交换机和认证服务器三者,才能完成基于端口的访问认证和授权[2]。802.1x可以作为WPA的认证组件,支持AES/TKIP数据加密,为用户数据提供加密服务。其突出优点就是简单易行、安全可靠、认证效率高。同时避免了网络认证计费瓶颈的单点故障。且在二层网络上实现用户认证,降低

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。