校园网安全设计与分析

/校内网平安隐患分析校内内网平安分析BUG影响目前运用的软件尤其是操作系统或多或少都存在平安漏洞,对网络平安构成了威逼。现在网络服务器安装的操作系统有UNIX、WindowsNTP2000、Linux等,这些系统平安风险级别不同,UNIX因其技术较困难通常会导致一些高级黑客对其进行攻击;而WindowsNTP2000操作系统由于得到了广泛的普及,加上其自身平安漏洞较多,因此,导致它成为较担忧全的操作系统。在去年一段时期、冲击波病毒比较盛行,冲击波”这个利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的Windows用户,使他们的计算机无法工作并反复重启,该病毒还引发了DoS(Denialofservice)攻击,使多个国家的互联网也受到相当影响。2、设备物理平安设备物理平安主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等,它们分布在整个校内内,管理起来特殊困难。个别人可能出于各种目的,有意或无意地损坏设备,这样会造成校内网络全部或部分瘫痪。3、设备配置平安设备配置平安是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等),防止黑客取得硬件设备的限制权。许多网管往往由于没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简洁易猜,导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的限制权,然后肆意更改这些设备的配置,严峻时甚至会导致整个校内网络瘫痪。4、管理漏洞一个健全的平安体系,事实上应当体现的是“三分技术、七分管理”,网络的整体平安不是仅仅依靠运用各种技术先进的平安设备就可以实现的,更重要的是体现在对人、对设备的平安管理以及一套行之有效的平安管理制度,尤其重要的是加强对内部人员的管理和约束,由于内部人员对网络的结构、模式都比较了解,若不加强管理,一但有人出于某种目的破坏网络,后果将不行思议。IP地址盗用、滥用是校内网必需加强管理的方面,特殊是学生区、机房等。IP配置不当也会造成部分区域网络不通。如在学生学习机房,有学生不甚将自己的计算机的IP地址设成本网段的网关地址,这会导致整个学朝气房无法正常访问外网。5、无线局域网的平安威逼利用WLAN进行通信必需具有较高的通信保密实力。对于现有的WLAN产品，它的平安隐患主要有以下几点：未经授权运用网络服务由于无线局域网的开放式访问方式，非法用户可以未经授权而擅自运用网络资源，不仅会占用宝贵的无线信道资源，增加带宽费用，还会降低合法用户的服务质量。地址欺瞒和会话拦截目前有许多种无线局域网的平安技术，包括物理地址(MAC)过滤、服务集标识符(SSID)匹配、有线对等保密(WEP)、端口访问限制技术(IEEE802.1x)、WPA?(Wi-FiProtectedAccess)、IEEE802.11i等。面对如此多的平安技术，应当选择哪些技术来解决无线局域网的平安问题，才能满足用户对平安性的要求。在无线环境中，非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要简洁得多，这些合法的MAC地址可以被用来进行恶意攻击。另外，由于IEEE802.11没有对AP身份进行认证，攻击者很简洁装扮成合法AP进入网络，并进一步获得合法用户的鉴别身份信息，通过会话拦截实现网络入侵。这些合法的MAC地址可以被用来进行恶意攻击。另外，由于IEEE802.11没有对AP身份进行认证，攻击者很简洁装扮成合法AP进入网络，并进一步获得合法用户的鉴别身份信息，通过会话拦截实现网络入侵。一旦攻击者侵入无线网络，它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后，这样WLAN的平安隐患就会成为整个平安系统的漏洞，只要攻破无线网络，整个网络就将暴露在非法用户面前。校内外网平安分析1、黑客攻击有的校内网同时和CERNET、Internet相连,有的通过CERNET和Internet相连,在享受Internet便利快捷的同时,也面临着遭遇攻击的风险。黑客攻击活动日益猖獗,成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺瞒攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来自校内网外部,还有相当一部分来自校内网内部,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的平安威逼会更大一些。2、不良信息传播在校内网接入Internet后,师生都可以通过校内网络进入Internet。目前Internet上各种信息良莠不齐,其中有些不良信息违反人类的道德标准和有关法律法规,对人生观、世界观正在形成中的学生危害特殊大。特殊是中小学生,由于年龄小,辨别是非和抵抗干扰实力较差,假如不实行切实可行平安措施,势必会导致这些信息在校内内传播,侵蚀学生的心灵。3、病毒危害学校接入广域网后,给大家带来便利的同时,也为病毒进入学校之门供应了便利,下载的程序、电子邮件都可能带有病毒。随着校内内计算机应用的大范围普及,接入校内网的节点数日益增多,这些节点大都没有实行平安防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严峻后果。校内网平安措施（一）防火墙 网络信息系统的平安应当是一个动态的发展过程，应当是一种检测──监控──平安响应的循环过程。动态发展是网络系统平安的规律。网络平安监控和入侵检测产品正是实现这一目标的必不行少的环节。 网络监控系统是实时网络自动违规、入侵识别和响应系统。它位于有敏感数据须要爱惜的网络上，通过实时截获网络数据流，找寻网络违规模式和未授权的网络访问尝试。当发觉网络违规模式和未授权的网络访问时，网络监控系统能够依据系统平安策略做出反应，包括实时报警、事务登录或执行用户自定义的平安策略等。1系统组成网络卫士监控器：一台，硬件监控系统软件：一套PC机（1台，用于运行监控系统软件）2主要功能实时网络数据流跟踪、采集和还原网络监控系统运行于有敏感数据须要爱惜的网络之上，实时监视网络上的数据流，分析网络通讯会话轨迹。如：E－MAIL：监视特定用户或特定地址发出、收到的邮件；记录邮件的源及目的IP地址、邮件的发信人和收信人、邮件的收发时间等。HTTP：监视和记录用户对基于Web方式供应的网络服务的访问操作过程（如用户名、口令等）。FTP：监视和记录访问FTP服务器的过程（IP地址、文件名、口令等）。TELNET：监视和记录对某特定地址主机进行远程登录操作的过程。RshRlogin实时记录并回放进出网络各种操作的全过程网络平安违规活动捕获 网络监控系统能够依据用户自定义的网络平安策略对网络活动进行检查，捕获网络平安违规活动。网络平安事务的响应网络监控系统能够记录网络平安事务的详细信息，并提示系统平安管理员实行相应的平安措施，如阻断连接等等。供应智能化网络平安审计方案网络监控系统能够对大量的网络数据进行分析处理和过滤，生成按用户策略筛选的网络日志，大大削减了须要人工处理的日志数据，使系统更有效。支持用户自定义网络平安策略和网络平安事务3主要技术特点接受透亮工作方式，它静静地监视本网段数据流，对网络通讯不附加任何延时，不影响网络传输的效率。可接受集中管理的分布式工作方式，能够远程监控。可以对每个监控器进行远程配置，可以监测多个网络出口或应用于广域网络监测。网络监控系统能进行运行状态实时监测，远程启停管理。（二）防病毒为了有效的防止病毒对系统的侵入，必需在系统中安装防病毒软件，并指定严格的管理制度，爱惜系统的平安性。1应用状况一台专用服务器（NTSERVER）、一台代理邮件服务器（NTSERVER&PROXYSERVER,ExchangeServer），一台WWWSERVER，一台数据库SERVER，100-200台客户机。2系统要求能防止通过PROXYSERVER从Internet下载文件或收发的E-mail内隐藏的病毒，并对本地的局域网防护的作用。3解决方案接受以下的防病毒产品所需软件的名称安装场所数量爱惜对象ServerProtectforNTServerNTServer每台NTServer一套NTSERVER本身InterScanWebProtectProxyServer按客户机数量HTTPFTP、用阅读器下开载的程序ScanMailforExchangeServerExchangeServer按客户机数量有E-Mail的用户OfficeScancorp各部门的NT域服务器按客户机数量自动分发、更新、实时监察客户机以下是选用以上Trend公司产品的说明：在NT主域限制器和备份域上均接受ServerProtecforWindowsNT（简体中文5.5版）爱惜NT服务器免受病毒的侵害。另鉴于客户有100-200台客户机，客户端的病毒软件的安装和病毒码更新等工作，造成MIS人员管理上的超负荷，因此举荐接受OfficeScanCorporatcEdition企业授权版OfficeScanCorporateIdition能让MIS人员通过管理程序进行中心控管，软件的分派（自动安装，自动更新病毒码、软件的自动升级）。另外在外接Internet和邮件服务器上，接受InterScanWebProtect和ScanMailForExchange此两种软件是目前唯一能从国际互联网络拦截病毒的软件。设计的理念是，在电脑病毒入侵企业内部网络的入口处-Internet服务器或网关（Gateway）上安装此软件，它可以随时监控网关中的ETP、电子邮件传输和Web网页所下载的病毒和恶性程序，并有文件到达网络系统之前进行扫描侦测出来。（三）无线网络平安措施针对校内应用的平安解决方案从校内用户角度而言，随着无线网络应用的推动，管理员须要更加留意无线网络平安的问题，针对不同的用户需求，H3C提出一系列不同级别的无线平安技术策略，从传统的WEP加密到IEEE802.11i，从MAC地址过滤到IEEE802.1x平安认证技术，可分别满足办公室局部用户、园区网络、办公网络等不同级别的平安需求。对于办公室局部无线用户而言，无线覆盖范围较小，接入用户数量也比较少，没有专业的管理人员，对网络平安性的要求相对较低。通常状况下不会配备专用的认证服务器，这种状况下，可干脆接受AP进行认证，WPA-PSK+AP隐藏可以保证基本的平安级别。

在学校内区无线网络环境中，考虑到网络覆盖范围以及终端用户数量，AP和无线网卡的数量必将大大增加，同时由于运用的用户较多，平安隐患也相应增加，此时简洁的WPA-PSK已经不能满足此类用户的需求。如表中所示的中级平安方案运用支持IEEE802.1x认证技术的AP作为无线网络的平安核心，运用H3C虚拟专用组(VertualPrivateGroup)管理器功能并通过后台的Radius服务器进行用户身份验证，有效地阻挡未经授权的用户接入，并可对用户权限进行区分。假如应用无线网络构建校内的办公网络，此时无线网络上承载的是工作业务信息，其平安保密性要求较高，因此用户认证问题就显得更加重要。假如不能精确牢靠地进行用户认证，就有可能造成帐号盗用、非法入侵的问题，对于无线业务网络来说是不行以接受的。下表中的专业级解决方案可以较好地满足用户需求，通过H3C虚拟专用组(VPG)管理器功能、IEEE802.11i加密、Radius的用户认证确保高平安性。平安级别典型场合运用技术初级平安办公室局部无线用户WPA-PSK＋AP隐藏中级平安学校内区无线网IEEE802.1x认证＋TKIP加密+VPG管理专业级平安无线校内办公网VPG管理＋IEEE802.11i＋Radius认证为了进一步加强无线网络的平安性和保证不同厂家之间无线平安技术的兼容，IEEE802.11工作组开发了作为新的平安标准的IEEE802.11i，并且致力于从长远角度考虑解决IEEE802.11无线局域网的平安问题。IEEE802.11i标准中主要包含加密技术：TKIP(TemporalKeyIntegrityProtocol)和AES(AdvancedEncryptionStandard)，以及认证协议：IEEE802.1x。IEEE802.11i标准已在2004年6月24美国新泽西的IEEE标准会议上正式获得批准。802.11i和WPA相比增加了一些特性：AES:更好的加密算法，但是无法和原有的802.11架构兼容，须要硬件升级。CCMPandWARP:以AES为基础。IBSS:802.11i解决IBSS(IndependentBasicServiceSet),而WPA主要处理ESS(ExtendedServiceSet)Preauthentication：用于用户在不同的BSS(BasicServiceSet)间漫游时，削减重新连接的时间延迟。3、H3C无线校内网的平安策略针对目前无线校内网应用中的种种平安隐患，H3C的无线局域网产品体系能够供应强有力的平安特性，除了传统无线局域网中的平安策略之外，还能够供应更加精细的管理措施：牢靠的加密和认证、设备管理能够支持目前802.11小组所提出的全部加密方式，包括高级WPA256位加密(AES)，40/64位、128位和152位WEP共享密钥加密，WPATKIP，特有的128位动态平安链路加密，动态会话密钥管理。802.1x认证运用802.1xRADIUS认证和MAC地址联合认证，确保只有合法用户和客户端设备才可访问网络；WPATKIP认证接受EAP-MD5，EAP-TLS和PEAP协议，扩展的证书认证功能更加保证用户身份的严格鉴定。支持通过本地限制台或通过SSL或HTTPS集中管理Web阅读器；通过本地限制台或通过SSHv2或Telnet远程管理的叮嘱行界面；并可通过无线局域网管理系统进行集中管理。用户和组平安配置和传统的无线局域网平安措施一样，H3C无线网络可以依靠物理地址(MAC)过滤、服务集标识符(SSID)匹配、访问限制列表(ACL)来供应对无线客户端的初始过滤，只允许指定的无线终端可以连接AP。同时，传统无线网络也存在它的不足之处。首先，它的平安策略依靠于连接到某个网络位置的设备上的特定端口，对物理端口和设备的依靠是网络工程的基础。例如，子网、ACL以及服务等级(CoS)在路由器和交换机的端口上定义，须要通过台式机的MAC地址来管理用户的连接。H3C接受基于身份的组网功能，可供应增加的用户和组的平安策略，针对特殊要求创建虚拟专用组(VertualPrivateGroup)，VLAN不再须要通过物理连接或端口来实施，而是依据用户和组名来区分权限。并且，H3C无线网络可以对无线局域网进行前所未有的限制和视察，监视工具甚至可以跟踪深化到个人的信息(无论他的位置在哪里)，网络标识基于用户而不是基于物理端口或位置。其次，H3C无线网络简化了SSID支持，不再须要多个SSID来支持漫游和授权策略；单个SSID足以支持漫游、跨子网漫游或包括VLAN或子网成员资格的授权策略。大量的可配置监视工具用于收集用户数据(例如位置、访问限制和平安设置)和识别用户身份。此外，运用H3C虚拟专用组(VertualPrivateGroup)管理器功能，可以为用户和组支配特定的平安和访问策略，从而获得最大的灵敏性，同时增加网络平安性并显著缩短管理时间。用户不仅可更改单个用户设置，还可以只通过简洁的几次击键操作即可从中心管理限制台便利地配置相像的用户组、AP组，而不必逐个配置AP。非法接入检测和隔离H3C无线网络可自动执行的AP射频扫描功能通过标识可去除非法AP，使管理员能更好地查看网络状况，提高对网络的能见度。非法AP通过引入更多的流量来降低网络性能，通过尝试获得数据或用户名来危及网络平安或者欺瞒网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP，但是网络规模越大就越简洁受到攻击。为了消退这种威逼，可以指定某些AP充当射频“卫士”，其方法是扫描无线局域网来查找非法AP位置，记录这些位置信息并实行措施以及为这些位置重新支配信道以使网络处于连接状态并正常运行。AP射频扫描程序还会检测并调整引起射频干扰的其他来源，例如微波炉和无绳电话。并且，射频监测协作基于用户身份的组网，不但可运用户在漫游时具有诸如虚拟专用组成员资格、访问限制列表(ACL)、认证、漫游策略和历史、位置跟踪、带宽运用以及其他授权等内容，还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在运用哪些服务以及他们曾经运用过哪些服务。监视和告警H3C无线网络体系供应了实时操作信息，可以快速检测到问题，提高网络的平安性并优化网络，甚至还可以定位用户。网络管理应用程序针对当今的动态业务而设计，它供应了配置更改的自动告警功能。向导界面供应了即时提示，从而使得管理员能够快速针对冲突做出更改。通过运用软件的移动配置文件功能，管理者可以在用户或用户组漫游整个无线局域网时限制其访问资源的位置。此外，位置策略能够依据用户的位置来阻挡或允许对特殊应用程序的访问。总体规划设计网络平安系统规划是一个系统建立和优化的过程，建设网络的根本目的是在Internet上进行资源共享和通信。要充分发挥投资网络的效益，需求设计成为网络规划建设中的重要内容，网络平台中主要有针对学校建筑群而设计出的拓扑图，有互联网设备（主交换机、路由器、二级交换机、服务器等）。校内内部网络接受共享或者交换式以太网，选择中国科研教化网接入Internet，校际之间通过国际互联网的方式相互连接。同时实行相应的措施，确保通讯数据的平安、保密。某高校校内网络拓扑图某高校校内网络分为四个区：教学区、办公区、图书馆、家属楼、学生宿舍、服务器组。教学区主要有各个教学楼、计算机机房、试验室、语音室等；办公区主要有各行政办公楼、电子备课室；图书馆主要有电子阅览室、图书管理中心等。依据学校建筑物的分布，目前校内网络拓扑结构成星形，即可中心交换机为核心，向其他大楼辐射，建筑物之间运用多模光线连接。同时，建筑物内部也接受星形布局，每幢建筑只须要有一个设备间，统一放置设备。首先在外网和内网之间安装好路由器，通过中心交换机把整个校内网分为四大部分；服务器群、办公区、教学区、住宅区、图书馆。其中，在服务器群、中心交换机和路由器之间架设防火墙和入侵监测系统。另外为了防止这个校区内病毒的传播、感染和破坏，我们在校内网内可能感染和传播病毒的地方实行相应的防毒措施，部署防毒组件，规划如下：在学校服务上安装服务器端杀毒软件；在行政、教学单位的各个分支分别安装客户端杀毒软件；学校的网络中心负责整个校内网的升级工作，分发杀毒软件的升级文件（包括病毒定义码、扫描引擎、程序文件等）到校内全部用机，并对杀毒软件网络版进行更新。ISA软件防火墙的配置校内网内的软件防火墙接受ISAServe，之所以接受防火墙，是因为ISAServer是一种新型的应用层防火墙，避开服务的弱点及漏洞的攻击，同时支持VPN功能及充当Web代理服务器，并能供应详细的日志报告。安装示意图如下所示ISAServe出于防火墙的平安考虑，许多服务和端口已经停止，我们须要自己手动的打开相应的功能。基本配置通过ISAServe中的ISAManagement项中的Services标签，启动集成模式中的三个服务，就可以运用ISA的全部默认功能。同时须打开IPRouting功能、访问权限功能、访问策略功能、统一管理等。限制学校用机的上网首先要定义组，通过在ISAServer软件防火墙的ClientAddressSets标签中新建一个组名的标识，依据机房用机的IP地址范围进行添加，在ProtocolRules中选中协议规则后切换到Appliesto标签，选中ClientAddressSetsspecifiedbelow，加入设定的组即可。这样就可以先知学校其他用机随意上网。检测外部攻击及入侵可以通过配置ISAServer来监测常见的校内网络攻击。在ISAServe中启用入侵检测后，ISAServer一检测到攻击，就会向Windows2000事务日志中发消息。要启用ISAServer的入侵检测功能，应在ISAServer管理窗口中选择服务器名称中的IPPacketFiltersProperties选项，勾选EnableIntrusiondetection，即打开ISAServer的入侵检查功能。（4）校内网信息过滤配置校内网中拟接受“过滤王”来实现有效的过滤反动、色情、邪教等有害校内氛围的信息，硬件配置包括一个读卡器、一张软件光盘和若干上网卡。“过滤王”主要负责监控、过滤、记录相应的日志（加密）并适时向网络中心上传数据。在软件管理终端，管理员选择“类别”和“记录日期”，点击“查看按钮”，就可以查看网络日志和操作日志，此外，安装“过滤王”软件终端程序包括核心和限制台两部分，核心程序安装在中心交换机以及学校机房的代理服务器上，在监控的网卡列表中选测内网网卡，进行通信的网卡也指定为内网网卡即可。将限制台程序安装在服务器机房上的应用服务器上，操作系统安装为Win2000。安装完成后，限制台程序所在的服务器IP地址就是安装核心程序的中心交换机IP。网络流量的监控STARVIEW在网络初步异样的状况下，能进一步查看网络中的详细流量，从而为网络故障的定位供应丰富数据支持。（6）、无线局域网平安技术通常网络的平安性主要体现在访问限制和数据加密两个方面。访问限制保证敏感数据只能由授权用户进行访问，而数据加密则保证发送的数据只能被所期望的用户所接收和理解。下面对在无线局域网中常用的平安技术进行简介。物理地址(MAC)过滤每个无线客户端网卡都由唯一的48位物理地址(MAC)标识，可在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这种方法的效率会随着终端数目的增加而降低，而且非法用户通过网络侦听就可获得合法的MAC地址表，而MAC地址并不难修改，因而非法用户完全可以盗用合法用户的MAC地址来非法接入。MAC地址的过滤服务集标识符(SSID)匹配无线客户端必需设置和无线访问点AP相同的SSID，才能访问AP；假如出示的SSID和AP的SSID不同，那么AP将拒绝它通过本服务集上网。利用SSID设置，可以很好地进行用户群体分组，避开随意漫游带来的平安和访问性能的问题。可以通过设置隐藏接入点(AP)及SSID的权限限制来达到保密的目的，因此可以认为SSID是一个简洁的口令，通过供应口令认证机制，实现确定的平安。图2服务集标识匹配在IEEE802.11中，定义了WEP来对无线传送的数据进行加密，WEP的核心是接受的RC4算法。在标准中，加密密钥长度有64位和128位两种。其中有24Bit的IV是由系统产生的，须要在AP和Station上配置的密钥就只有40位或104位。WEP加密原理图如下：图3WEP加密原理图1、AP先产生一个IV，将其同密钥串接(IV在前)作为WEPSeed，接受RC4算法生成和待加密数据等长(长度为MPDU长度加上ICV的长度)的密钥序列；2、计算待加密的MPDU数据校验值ICV，将其串接在MPDU之后；3、将上述两步的结果按位异或生成加密数据；4、加密数据前面有四个字节，存放IV和KeyID，IV占前三个字节，KeyID在第四字节的高两位，其余的位置0；假如运用Key-mappingKey，则KeyID为0，假如运用DefaultKey，则KeyID为密钥索引(0-3其中之一)。端口访问限制技术(IEEE802.1x)和可扩展认证协议(EAP)IEEE802.1x并不是专为WLAN设计的。它是一种基于端口的访问限制技术。该技术也是用于无线局域网的一种增加网络平安解决方案。当无线工作站STA和无线访问点AP关联后，是否可以运用AP的服务要取决于802.1x的认证结果。假如认证通过，则AP为STA打开这个逻辑端口，否则不允许用户连接网络。图4802.1x端口限制在具有802.1x认证功能的无线网络系统中，当一个WLAN用户须要对网络资源进行访问之前必需先要完成以下的认证过程。1.当用户有网络连接需求时打开802.1x客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给AP，起先启动一次认证过程。2.AP收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。3.客户端程序响应AP发出的请求，将用户名信息通过数据帧送给AP。AP将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。4.认证服务器收到AP转发上来的用户名信息后，将该信息和数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给AP，由AP传给客户端程序。5.客户端程序收到由AP传来的加密字后，用该加密字对口令部分进行加密处理(此种加密算法通常是不行逆的)，并通过AP传给认证服务器。6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，假如相同，则认为该用户为合法用户，反馈认证通过的消息，并向AP发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持AP端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。WPA(Wi-FiProtectedAccess)WPA=802.1x+EAP+TKIP+MIC在IEEE802