基于Wi-Fi 校园网的安全防护

隔离无线网络和核心网络

在网络规划中布置Wi-Fi 设备时可以使用防火墙把有线校园网络和多个无线网络分开，或考虑在周边网络内布建无线存取网络，这样即使无线客户端被破解，入侵者还是无法攻击有线网络。如果学校没有专门防火墙也可以跟VLAN 结台起来，把无线网络单独划分一个或几个VLAN，这些VLAN 不能访问校园的任何有线网络。无线网络上的使用者需要访问有线网络的时候必须使用VPN 隧道技术。

网络检测

很多AP 可以通过SN-MP 报告统计信息，但是信息十分有限，不能反映用户的实际问题。无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况，还可以有效识别网络速率、帧的类型，帮助进行网络故障定位。

加强网络访问控制

通过强大的网络访问控制可以减少无线网络遭遇攻击的风险，一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏。当然如果将AP 安置在像防火墙这样的网络安全设备的外面，最好考虑通过VPN 技术连接到主干网络，更好的办法是使用基于IEEE802.1X的新的无线网络产品。IEEE802.1X 定义了用户级认证的新的帧类型，借助于校园网已经存在的用户数据库，将前端基于IEEE802.1X 无线网络的认证转换到后端基于有线网络的RASIUS 认证。

使用可靠的协议进行加密

如果无线网络用于传输比较敏感的数据，那么仅用WEP 加密方式是远远不够的，需要进一步采用像SSH、SSL、IPSec 等加密技术来加强数据的安全性。

做好无线设备的安全配置

无线路由器或中继器是无线网络中最重要的设备之一。一般来说，同品牌的无线设备访问地址都是相同的，如192.168.1.1 等;而其默用的用户名、密码也大多为admin;其SSID 标识也都一样。如果不修改这些默认的设置，那么入侵者则可以非常容易地通过扫描工具找到这些设备并进入管理界面，获得设备的控制权。因此，修改默认设置是项最基本的安全措施。无线安全设置主要包括：禁止 SSID 广播、过滤MAC、关闭DHCP，设置密钥、防Ping 等，这不仅对无线网络设备有用，对其他共享上网的ADSL、路由等同样有效。

网络技术不断在更新，新的安全漏洞也会不断出现，我们需要做的就是不断加强的安全意识，而不是一味地去防范新的破解技术。网络安全与加密、认证等机制有关，而且还需要入侵检测、防火墙等技术的配合来共同保障，因此基于Wi-Fi 校园网的安全需要从多层次来考虑，综合利用各种技术来实现。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友