提高校园无线局域网安全的有效措施

      　高校学生处在一个非常容易接受新鲜事物的年龄段，为了吸引更多的学生报考自己的学校，高校都建立起了校园内的有线局域网，然而科技的发展代表着传统的落后，有线局域网已经不能满足高校学生对于网络的需求。这时无线局域网走进人们的视野，随着该技术的成熟和普及，由于它灵活的特点，所以无线局域网受到人们广泛的欢迎。 
　　1无线局域网的内涵以及工作原理 
　　无线局域网Wireless Local Area Network（WLAN），是一种以无线通道传输的计算机局域网络。无线局域网的组成有无线网卡无线访问点等。在无线局域网WLAN发明之前，人们要想通过网络进行联络和通信，必须先用物理线缆一铜绞线组建一个电子运行的通路，为了提高效率和速度，后来又发明了光纤。当网络发展到一定规模后，人们又发现，这种有线网络无论组建、拆装还是在原有基础上进行重新布局和改建，都非常困难，且成本和代价也非常高，于是WLAN的组网方式应运而生。 
　　随着时代的快速发展，网络已经成为人们离不开的必需品，电脑以及智能手机的普及成为生活中的必要设备。移动的终端设备需要更为灵活的网络，所以在一般家庭和公司内都会安装一台小型的路由器，方便学习工作，以及人们的娱乐。 
　　2校园无线局域网存在的安全问题 
　　校园无线局域网的安全性不高，存在许多安全隐患，会对教师和学生的上网安全产生威胁，有可能造成损失。现对部分隐患做出总结。 
　　2.1网络窃听 
　　一般网络传输时都会采取开放式传输，这就有被人窃听的可能。因为没有加密工序，所以窃听不需要很高的技术含量，窃听者甚至根本不需要用专业的窃听装备就可以轻松得到想得到信息，这不禁成了无线校园网的虽大隐患。 
　　2.2WEP破解 
　　有线等效保密协议Wired Equivalent Privacy（WEP）是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络。而部分用户会在网上下载非法程序用来捕捉数据包，等到收集到一定量时就可以恢复WEP密钥。 
　　2.3拒绝服务攻击 
　　在用户使用无线局域网时，有可能受到一些人的拒绝攻击服务。攻击者通过高频率的无线电收发器发送和校园局域网等频率的信号来干扰用户的正常使用。 
　　3校园局域网的技术安全策略 
　　虚拟专用网络virtual private network（VPN），随着网络的快速发展以及人们对网络传输的巨大需求量，VPN得到了快速的发展和广阔的应用。校园局域网也开始使用VPN，VPN的技术对于校园网的接人有着重要意义。 
　　3.1MAC地址绑定 
　　MAC地址意译为媒体访问控制，或称为物理地址、硬件地址，在生产厂商生产设备时就写在设备内部，每个可以上网的设备都有自己的MAC地址。MAC地址是保证局域网安全的常用手段，该方法也可以用于提高无线网络安全方面。启用路由器的MAC地址綁定功能，路由器在设置时就可以将允许接人该路由器的终端设备MAC地址写入，这样就可以拒绝除路由器内部已经写人的MAC地址外的终端设备接人。这是一种安全性以及可靠性非常高的方法，但是该方法不灵活，可以接人的设备不能实时更新。设置路由器时，需要将以后有可能接人的终端设备的MAC地址全部写人。如果以后想要连接新的终端设备，必须要现在路由器中加上需要连接的终端设备的MAC地址，完成后才可连接。这种方法有效阻止了非法设备连接，但是也给新设备的接人带来困难，所以是否采用该方法需要根据实际情况决定，需要衡量安全性和便利性之间的轻重。因而该方法适用于连接设备终端比较固定，要求安全性比较高的无线网络使用。 
　　3.2更改无线路由器管理端的默认设置 
　　使用路由器时，大多数使用者都会更改网络名称以及设置无线网络密码来保证自己网络的安全，但是路由器管理端的设置大部分普通人都不懂，所以经常会被忽视，出现严重的安全隐患。路由器没有专有的网络接口和线缆，只能用虚拟地址在浏览器上进行管理，但是尽管路由器型号和品牌有所不同，但是管理的地址和用户名都非常相近。路由器没有及时修改默认装置的话，很容易被人猜出，不法分子利用管理端的人口进入无线局域网，这时整个无线局域网都会暴露，危害极其严重。所以第一次使用时，就需要对路由器进行管理设置，更改用户名和密码等相关保证安全的信息，也可以更改管理地址，进一步保证安全。 
　　3.3修改并隐藏SSID 
　　服务集标识符是通过对多个无线接人点AP（AccessPoint）设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接人，并对资源访问的权限进行区别限制。SSID的命名一般是由不超过32个字符组成，可以是数字和字母的组合，字母区分大小写。路由器出厂时就会有一个SSID名称，一般是以产品型号命名。 
　　用户需要修改SSID的主要理由有以下几点：（1）将SSID改为自己熟悉的话语或者文字，便于记忆和查找；（2）在同一个无线网覆盖区域，SSID名称不能重复，否则会影响用户的正常使用；（3）如果不修改SSID名称，网络名非常容易被不法分子猜出应人侵，所以必须要放弃原SSID，改为自主命名。无线路由器正常工作状态下是默认SSID允许广播，也就是说SSID会通过广播来扩散信息，使得在无线网覆盖下的设备可以搜到该无线路由器，这个性质可以很好地帮助用户找到可以使用的网络，但是也为不法分子提供了方便。所以，将SSID隐藏起来是提高无线网络安全性的有效措施。这样一来无线路由器会停止发送广播，正常终端就不会再显示出无线路由器的SSID，该网络就像不存在一样，其实是隐身了而已，不知道该网络存在的人不会发现它的存在，而想要连接该网络的用户可以手动输入搜索网络名称，找到后再接入网络，这样是防止非法入侵的有效手段。同时这不会带人们繁琐的接入步骤，因为大部分的终端设备都会有记住网络名称和密码的功能，只需要手动连接一次，下一次终端设备就可以自动寻找并连接网络。这个方法不仅没有影响人们的正常使用，还大大提高了网络的安全性。

      3.4使用正确的安全验证方式 
　　无线网要求用户在使用时进行身份验证，在使用路由器时也需要选择安全性类型，同时该选择也适用于终端设备连接。现在最常见的安全类型有不加密码的开放式等七种类型，这其中开放式一般不会被使用。WPA，是采用TKIP临时密钥完整性协议的一种类型；WEP，有线等效保密协议；WPA2是采用AES高级加密标准的类型，这三种类型的安全性一直在提高，目前为止，安全性能最高的费WPA2莫属。虽然WEP的安全性在不断提高，但是现阶段它的算法还是太容易被破解，所以一般不推荐使用。但是比较旧的无线网卡并不支持WPA和WPA2，只能够使用WEP，所以用户需要在硬件不允许的情况下才可使用WEP，只要设备支持，用户应该使用WPA2。WEA2又分为个人级和企业级，这两者的区别在于是否有专门的身份验证服务器，企业级有专门的身份验证服务器，验证工作在服务器上完成，而个人级并没有专门的身份验证服务器，验证在无线路由器上完成。如果有设置专门的身份验证服务器就是WPA2企业级，如果没有设置专门的身份验证服务器，就是属于WPA2个人级。 
　　3.5用户访问控制 
　　在路由器内部设有两种用户访问控制，分别是开放式验证以及共享密钥验证。共享密钥验证，顾名思义，就是双方需要拥有共同的密钥，双方都采用WEP机制，这种方法极大地提高了信息传输的安全性；而开放式验证安全性就没有共享密钥验证安全性高，因为开放式验证并不需要验證，只要客户端具有正确的SSID就可以连接到路由器上。但是WEP还是具有一定的缺点，所以人们就约定了802.1x协议，这种协议可以更高程度的保护无线局域网的安全。 
　　4校园无线局域网的管理安全策略 
　　想要保障无线局域网的安全，不仅需要专业技术最为保障，还需要具有合理的管理。学校要建立起相关的管理制度，建立全面、科学、合理的无线局域网管理制度；培养教师和学生的安全用网意识；建立反应机制，当网络出现问题时，可以及时作出反应，不让危害扩散，不影响教师和学生的正常用网，保证网络通畅，不会因此影响正常的教学工作进行，尽可能降低信息数据的丢失；完善管理制度，建立起相应的网络备份，将有用的数据全部拷贝，单独存放，规范无线局域网的管理模式。 
　　5结束语 
　　随着时代的快速发展，高校建设自己的无线局域网已经成为常态，但是由于网络技术尚不成熟，无线局域网在应用方面存在许多弱点，同时环境的不同也会导致无线局域网存在安全隐患，处理这些问题和隐患目前比较困难。从客观来说，没有哪片的网络是绝对安全的，再安全的网络也会有漏洞，想要打开漏洞的人也可以想办法打开，所以高校保证无线局域网安全时只需要紧跟网络技术的发展，不断调整和完善防范措施，建立有效的保护制度，校园的无线局域网的安全就可以得到保证。