|
在高校����,網(wǎng)絡(luò)應(yīng)用普及��,往往是最先嘗試最先進(jìn)的網(wǎng)絡(luò)技術(shù)的�。然而,由于用戶群密集且活躍��,校園網(wǎng)又成為安全問(wèn)題的“重災(zāi)區(qū)”�,管理也更為復(fù)雜、困難����。
隨著國(guó)際、國(guó)內(nèi)網(wǎng)絡(luò)安全事件的不斷升級(jí)����,網(wǎng)絡(luò)安全和可信越來(lái)越被人們所關(guān)注。
眾所周知����,身份認(rèn)證是建設(shè)安全可信網(wǎng)絡(luò)的前提條件。真實(shí)可信的網(wǎng)絡(luò)身份認(rèn)證體系一方面能夠讓惡意者在做有害行為之前有所顧忌,防微杜漸�;另一方面也可以讓網(wǎng)絡(luò)管理者在安全事件發(fā)生后能準(zhǔn)確及時(shí)地找到肇事者�,在一定程度上防止安全事件的再次發(fā)生。
同時(shí)�,身份認(rèn)證能夠?qū)崿F(xiàn)校園網(wǎng)有限資源的再分配。系統(tǒng)獲取用戶的身份后�,可以根據(jù)用戶身份的不同分配不同的資源使用權(quán)限,避免網(wǎng)絡(luò)資源的濫用和管理混亂����。
目前教育行業(yè)中使用最多的認(rèn)證技術(shù)有802.1x技術(shù)、Web認(rèn)證技術(shù)和PPPOE技術(shù)等����。PPPOE主要適用于運(yùn)營(yíng)商的接入控制和運(yùn)營(yíng),加上自身技術(shù)的限制并不適合于高教校園網(wǎng)����。這里主要談?wù)勀壳霸诟咝V受關(guān)注的802.1x技術(shù)和Web認(rèn)證技術(shù)。
802.1x準(zhǔn)入與Web準(zhǔn)出利弊兩現(xiàn)
目前���,校園網(wǎng)身份認(rèn)證有兩種方式����,一種是基于出口網(wǎng)關(guān)的Web準(zhǔn)出認(rèn)證,一種是在接入層進(jìn)行的802.1x準(zhǔn)入認(rèn)證�。從保障校園網(wǎng)安全和管理的角度,校園網(wǎng)準(zhǔn)入身份認(rèn)證是非常必要的��������?梢哉f(shuō)校園網(wǎng)身份準(zhǔn)入認(rèn)證是保障內(nèi)網(wǎng)安全的需要�、是有效運(yùn)營(yíng)管理的需要�、是提高服務(wù)水平的需要;從另外一個(gè)角度來(lái)說(shuō)身份認(rèn)證是網(wǎng)絡(luò)準(zhǔn)入的基礎(chǔ)�、網(wǎng)絡(luò)準(zhǔn)入是真實(shí)地址的基礎(chǔ)、真實(shí)地址是安全可信的基礎(chǔ)���。
據(jù)統(tǒng)計(jì)���,目前國(guó)內(nèi)高校中超過(guò)700所高校采用了802.1x技術(shù)進(jìn)行準(zhǔn)入認(rèn)證。很大程度上是緣于這種技術(shù)可以很好地做到“入網(wǎng)即認(rèn)證”�����,在用戶接入的入口�,進(jìn)行精細(xì)的控制���。包括各種元素的綁定、防止破解���、防止代理���、漫游控制等���。做到徹底杜絕非法用戶進(jìn)入��。然而這種技術(shù)自身也存在一定的應(yīng)用限制���,例如:需要部署客戶端、分布式部署的工作量大����、設(shè)備的關(guān)聯(lián)性較強(qiáng)等。
為了解決類(lèi)似的問(wèn)題�,有些學(xué)校開(kāi)始嘗試網(wǎng)關(guān)型的Web準(zhǔn)出認(rèn)證技術(shù)。這種技術(shù)的優(yōu)勢(shì)主要體現(xiàn)在部署方便����、使用簡(jiǎn)單�����。既不需要配置大量的交換機(jī)�,又不需要分發(fā)大量的客戶端��。
但是這種方式存在一個(gè)致命的問(wèn)題��,就是無(wú)法做到“入網(wǎng)即認(rèn)證”����,內(nèi)網(wǎng)安全不可控。就如進(jìn)大門(mén)的時(shí)候不查證件�,出大門(mén)的時(shí)候再查,從安全的角度來(lái)考慮��,這個(gè)“大門(mén)”就有點(diǎn)形同虛設(shè)了���。
那么����,有沒(méi)有一種方式�����,將這兩種技術(shù)的優(yōu)點(diǎn)結(jié)合起來(lái),規(guī)避主要的缺點(diǎn)��,形成一個(gè)差異化�����、多樣化的防護(hù)體系呢�����?
我們可以再拿校園大門(mén)來(lái)比喻��,高��?梢越o行人開(kāi)辟一個(gè)大門(mén)��,機(jī)動(dòng)車(chē)開(kāi)辟一個(gè)大門(mén)�。同樣的道理�,數(shù)字化校園的準(zhǔn)入防護(hù),也可以針對(duì)不同的用戶群體或者不同的接入地域�,采取不同的準(zhǔn)入認(rèn)證方式,最終統(tǒng)一管理���,統(tǒng)一控制��。
對(duì)于宿舍網(wǎng)來(lái)說(shuō)��,由于需要管理的內(nèi)容較多����,建議采用802.1x的接入方式,進(jìn)行嚴(yán)格的控制和管理����;對(duì)于辦公網(wǎng)來(lái)說(shuō),其用戶主要是教職工��,那么我們就采用Web準(zhǔn)入的方式進(jìn)行認(rèn)證和接入控制��。這樣一方面�,減少了802.1x的部署范圍,降低了維護(hù)的工作量���,同時(shí)將該嚴(yán)格控制的用戶很好地管理起來(lái)�����;另一方面又可以將Web認(rèn)證控制到網(wǎng)絡(luò)的邊緣���,大大加強(qiáng)了Web認(rèn)證的安全性���,同時(shí)又方便了教職工用戶的使用。
那么���,能否有一種方案既具有可控性和安全性同時(shí)又保留易用性和兼容性呢�?銳捷網(wǎng)絡(luò)最新推出的基于接入交換機(jī)的Web準(zhǔn)入身份認(rèn)證解決方案��,可以成為一個(gè)參考方案��。
創(chuàng)新Web準(zhǔn)入認(rèn)證
銳捷網(wǎng)絡(luò)Web準(zhǔn)入認(rèn)證從用戶的使用習(xí)慣出發(fā)��,在保留了802.1x的可控性和安全性之外�,還結(jié)合了Web認(rèn)證的易用性和兼容性,將安全性和易用性進(jìn)行有機(jī)結(jié)合��,不僅大大降低了用戶接受認(rèn)證的阻力�,也更好地滿足了網(wǎng)絡(luò)的身份準(zhǔn)入安全和網(wǎng)絡(luò)易管理易部署的要求�。
Web準(zhǔn)入身份認(rèn)證可控性和安全性
實(shí)現(xiàn)“入網(wǎng)即認(rèn)證”,確保合法用戶才能進(jìn)入內(nèi)部網(wǎng)絡(luò)�,同時(shí)靈活動(dòng)態(tài)自動(dòng)綁定入網(wǎng)用戶的IP+MAC+端口綁定,確保了用戶IP地址的真實(shí)性�,并能自動(dòng)防范ARP欺騙,有效解決ARP欺騙對(duì)網(wǎng)絡(luò)使用的影響����。
接入認(rèn)證交換機(jī)在保證接入用戶合法性的同時(shí)���,也注意加強(qiáng)自身的安全防護(hù),支持防HTTP認(rèn)證請(qǐng)求報(bào)文的DoS攻擊�����、支持CPP等����,確保接入認(rèn)證交換機(jī)本身的安全。
RG-ePortal服務(wù)器和RG-SAM服務(wù)器均實(shí)現(xiàn)了高性能高可用集群技術(shù)����,在防攻擊的情況下,確保了整個(gè)認(rèn)證計(jì)費(fèi)系統(tǒng)的高可靠性和高性能�����。
Web準(zhǔn)入身份認(rèn)證的高性能和高可用性
準(zhǔn)入認(rèn)證在網(wǎng)絡(luò)邊緣即接入層交換機(jī)的每個(gè)端口處理�,實(shí)現(xiàn)了最大程度的分布式,確保了網(wǎng)絡(luò)身份認(rèn)證的高性能和無(wú)單點(diǎn)故障���。
統(tǒng)一的Web Portal服務(wù)器采用高性能高可用群集技術(shù)�����,在負(fù)載均衡的同時(shí)�����,又實(shí)現(xiàn)冗余備份����。
統(tǒng)一的RG-SAM認(rèn)證計(jì)費(fèi)管理服務(wù)器也采用高性能高可用集群技術(shù),確保認(rèn)證計(jì)費(fèi)管理服務(wù)器的負(fù)載均衡�、冗余備份、全網(wǎng)漫游�����、數(shù)據(jù)容災(zāi)���。
Web準(zhǔn)入身份認(rèn)證的易用性和兼容性
不需要安裝客戶端程序,使用Web瀏覽器進(jìn)行認(rèn)證���,不改變用戶上網(wǎng)習(xí)慣����。
兼容20種以上的主流瀏覽器和包括Windows、Linux����、MAC OS、SOLARIS等十幾種操作系統(tǒng)����。
Web準(zhǔn)入身份認(rèn)證的智能性和融合性
接入交換機(jī)同時(shí)支持802.1x認(rèn)證和Web認(rèn)證,同一臺(tái)接入交換機(jī)可部分端口開(kāi)啟802.1x認(rèn)證���,另一部分端口開(kāi)啟Web認(rèn)證��,最重要的是同一臺(tái)接入交換機(jī)的同一端口還可同時(shí)開(kāi)啟802.1x認(rèn)證和Web認(rèn)證����,真正做到了認(rèn)證接入方式的靈活選擇����,極大方便了校園網(wǎng)環(huán)境中存在不同用戶群體的接入管理。
交換機(jī)可智能識(shí)別的同時(shí)��,可以由SAM服務(wù)器統(tǒng)一管理用戶使用802.1x認(rèn)證和Web認(rèn)證的權(quán)限��;還可實(shí)現(xiàn)管理同一賬號(hào)在不同的區(qū)域使用不同的認(rèn)證方式,或在同一區(qū)域不同賬號(hào)使用不同認(rèn)證方式����。
系統(tǒng)提供標(biāo)準(zhǔn)的第三方接口,可以通過(guò)對(duì)接實(shí)現(xiàn)基于數(shù)字校園門(mén)戶的單點(diǎn)登陸���,效果是一次認(rèn)證實(shí)現(xiàn)了網(wǎng)絡(luò)層面的認(rèn)證和數(shù)字校園應(yīng)用系統(tǒng)的同步認(rèn)證�����。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
