企业无线局域网接入访问的安全控制

打开文本图片集

摘要：在无线局域网的使用中，终端接入访问控制是网络安全管理极为重要的环节，通过多种控制方式的结合使用，可以有效消除无线局域网的安全隐患，保障网络安全运行。文章结合华为公司设备介绍了无线局域网几种常用的接入访问控制方式。

关键词：无线局域网；接入访问；无线控制器；安全

无线局域网（Wireless Local Area Networks，WLAN）技术是计算机网络与无线通信技术相结合的产物，其以无线电波作为传输介质，通信范围不受环境条件限制，网络传输范围得到拓宽。通过无线局域网，终端用户可以摆脱有线网络的束缚，方便地接入网络，并在无线覆盖区域内自由移动[1]。与有线传输介质的传统局域网相比，无线局域网减少了繁杂的网络布线，因此大大降低网络部署成本。无线局域网具有易于规划、安装便捷、使用灵活等优点，已成为一种经济、高效的网络接入方式，随着企业信息化应用的不断深入，它将具有广泛的应用前景。

1 无线局域网接入访问问题

无线局域网由于采用无线电波作为载体，因此任何访问终端只要在无线电波信号覆盖范围内，都可成功搜索到无线信号，如果没有完善的接入访问控制机制，无线网络资源就存在被非法访问的危险。非法用户可入侵无线局域网，占用网络流量，降低网络带宽的利用率，甚至窃取数据并对网络进行攻击，导致网络瘫痪等严重后果。如果一个企业的无线局域网未做任何接入访问控制，为开放式接入方式，就会导致任何访问终端都可以直接接入并访问网络资源，会对网络造成严重的安全隐患。所以对企业无线局域网而言，必须要有一套保证其安全运行的管理维护措施，针对不同访问终端进行严格的接入访问控制，是其中一个极为重要的管理环节。

目前华为公司的网络通信设备在国内大中型企业中已被广泛使用，本文结合华为公司设备对无线局域网的接入访问安全控制问题进行讨论。

2 无线局域网接入访问安全控制

为了保障无线局域网接入访问的安全控制，通常可采用以下几种方式对无线终端的接入访问进行相关设置。

2.1 设置终端MAC地址黑白名单

通过在无线控制器上配置终端多址接入信道（Multiple Access Channel，MAC）地址黑白名单，添加具有允许或禁止访问无线局域网的终端MAC地址，当无线终端访问无线局域网时，无线控制器会根据名单上的MAC地址进行查找匹配，只有符合条件的终端才可以访问无线网络，否则禁止访问。以华为无线控制器为例，配置白名单列表后，只有匹配白名单列表的终端可以接入无线局域网，其他终端则无法接入；配置黑名单列表后，匹配黑名单列表的终端无法接入无线局域网络，其他终端则可以接入。由于企业内部员工的电脑终端MAC地址是可掌控的，建议采用白名单设置更为安全。

设置白名单命令如下所示，命令中所列MAC地址为可以合法接入无线局域网的终端MAC地址。

sta-whitelist-profile name 白名单模板名称

sta-mac MAC地址1

sta-mac MAC地址2

sta-mac MAC地址3

……

此类方法可实现对无线终端的接入控制，设置简便，是一种最基本的安全访问控制方式。不过终端MAC地址一般需要网络管理员手动进行管理操作，存在工作量大、网络扩展能力受限的问题。同时，这种方法也不是绝对可靠的，它不能阻止所有的恶意攻击行为，因为非法访问者可以通过相关软件修改终端MAC地址达到非法访问无线局域网的目的。

2.2 设置无线SSID访问权限

在企业的日常工作中，经常有临时人员来访，如果授予临时人员具有和企业正式员工相同的内网访问权限，临时人员一旦访问内网，可能会造成内部重要信息泄露等问题，会影响到企业网络的安全，也不便于无线局域网的维护管理，因此，可针对正式员工和临时人员分别设置不同的无线服务集标识（Service Set Identifier，SSID）。SSID为无线局域网服务集标识，可将一个无线局域网分为多个子网，从而为每个子网设置不同的访问权限。例如，为企业员工建立一个SSID，名字为HOST，授予HOST访问内网和外网的权限，企业员工电脑无线终端通过接入HOST网段访问网络；为临时人员建立一个SSID，名字为GUEST，仅授予GUEST访问外网权限，临时人员电脑终端通过接入GUEST网段访问网络，这样即可达到无线访问控制管理目的。

在华为无线控制器中，授予GUEST网段访问权限可通过设置访问控制列表（Access Control Lists，ACL）来实现，由此限制临时人员对内网资源的访问，设置命令如下所示。

acl name访问控制列表名称

rule 5 deny ip source GUEST网段地址 GUEST网段反向子网掩码destination内网网段地址内网网段反向子网掩码

除了在无线控制器做ACL设置外，网络管理员也可以在局域网网络出口的路由器或防火墻上，使用访问控制技术（如ACL访问控制列表、防火墙访问策略等）对无线SSID网段进行访问权限设置，同样实现对无线终端的访问权限控制。此类方法可结合文中所述的其他接入访问控制方法一起配合使用效果更好。

2.3 设置加密安全策略

在无线控制器上设置加密安全策略，当无线终端访问无线局域网时，需要输入预共享秘钥进行验证，通过验证后方可访问，从而保护无线局域网的通信安全。加密安全策略主要包括WEP，WPA/WPA2-PSK，WPA/WPA2-802.1X等多种方式，如表1所示。网络管理员可根据企业需要，对企业无线局域网安全要求程度，选择一种加密安全策略。

WPA/WPA2-PSK采用预共享密钥和高级加密标准（Advanced Encryption Standard，AES）加密认证方式，安全性能高，为一种不错的加密安全策略。在华为无线控制器上，如果采用WPA/WPA2-PSK方式加密，设置要点依次如下。

（1）创建安全模板，配置WPA2-PSK-AES的安全策略。

security-profile name 安全模板名称

security wpa2psk pass-phrase 预共享秘钥名称 aes

（2）新建无线业务参数VAP模板，引用已创建的安全模板。

vap-profile name VAP模板名称security-profile安全模板名称

（3）将VAP模板通过配置命令下发到无线AP。

由于加密安全策略在无线终端访问接入时要进行密钥认证，不失为加强无线局域网安全的一种重要方法，可同文中所述的其他接入访问控制方法一起配合使用。

2.4 设置NAC认证方式

网络准入控制（Network Admission Control，NAC）认证方式能够实现对接入终端严格管控，降低局域网安全风险，因此，该认证方式也可在无线局域网上采用。通过部署单独的认证服务器，对无线终端的接入进行认证，保证合法终端入网。当终端接入无线网络时，无线控制器和认证服务器结合使用进行终端身份认证，根据认证结果来控制终端的网络访问权限。

在华为设备中，认证方式包括802.1X认证、MAC地址认证、Portal认证和微信认证等，如果采用Portal认证方式，需要在认证服务器上部署认证门户网站，当终端连接无线局域网时，无线控制器强制终端先登录到认证服务器的认证门户网站，要求访问者输入用户名和密码进行认证，无线控制器根据收到的认证结果进行识别，只有认证成功的终端才允许访问无线局域网，否则拒绝终端访问。

NAC认证方式侧重于终端接入时的身份识别认证，能禁止非法终端接入，可和文中前述的几种接入方法结合使用。2.5设置无线SSID广播隐藏无线局域网在通常情况下会广播SSID，因此接入终端能直接搜索到可用的无线网络，将所有无线网络SSID全部显示出来，容易给非法访问者提供尝试非法访问的机会。如果将无线SSID的广播状态设置为隐藏，这样接入终端就无法通过搜索找到已有的无线SSID，减少了对企业无线局域网非法访问机会。在华为无线控制器中，可通过下列命令对无线SSID设置为隐藏模式。

ssid-profile name 无线SSID名称

ssid-hide enable

此方法可减少非法无线终端的接入机会，设置简便，不过由于隐藏了无线SSID广播，对于合法终端而言，访问无线网络时则需要网络管理员在终端手动添加访问连接，管理起来较为不便。

3 结语

企業无线局域网安全的重要性不容低估，通过加强对终端接入访问的控制，可防止非法终端对无线局域网的访问，进一步消除网络安全隐患，保护合法终端的利益。控制无线局域网的接入访问有多种方法，单一的方法有其局限性，可在企业现有的网络环境中，根据实际需要采用多种方法相结合进行设置，才能有效保障无线局域网络的安全运行。

[参考文献]

[1]王顺满，陶然，陈朔鹰.无线局域网络技术与安全[M].北京：机械工业出版社，2005.