|
在高校����,網絡應用普及,往往是最先嘗試最先進的網絡技術的。然而��,由于用戶群密集且活躍�,校園網又成為安全問題的“重災區(qū)”,管理也更為復雜�����、困難�����。
隨著國際��、國內網絡安全事件的不斷升級����,網絡安全和可信越來越被人們所關注。
眾所周知��,身份認證是建設安全可信網絡的前提條件�����。真實可信的網絡身份認證體系一方面能夠讓惡意者在做有害行為之前有所顧忌��,防微杜漸;另一方面也可以讓網絡管理者在安全事件發(fā)生后能準確及時地找到肇事者��,在一定程度上防止安全事件的再次發(fā)生�����。
同時���,身份認證能夠實現校園網有限資源的再分配���。系統(tǒng)獲取用戶的身份后,可以根據用戶身份的不同分配不同的資源使用權限�����,避免網絡資源的濫用和管理混亂��。
目前教育行業(yè)中使用最多的認證技術有802.1x技術�、Web認證技術和PPPOE技術等。PPPOE主要適用于運營商的接入控制和運營�����,加上自身技術的限制并不適合于高教校園網����。這里主要談談目前在高校廣受關注的802.1x技術和Web認證技術。
802.1x準入與Web準出利弊兩現
目前�,校園網身份認證有兩種方式,一種是基于出口網關的Web準出認證���,一種是在接入層進行的802.1x準入認證����。從保障校園網安全和管理的角度�����,校園網準入身份認證是非常必要的�����?梢哉f校園網身份準入認證是保障內網安全的需要�、是有效運營管理的需要��、是提高服務水平的需要���;從另外一個角度來說身份認證是網絡準入的基礎����、網絡準入是真實地址的基礎、真實地址是安全可信的基礎�����。
據統(tǒng)計�����,目前國內高校中超過700所高校采用了802.1x技術進行準入認證�。很大程度上是緣于這種技術可以很好地做到“入網即認證”,在用戶接入的入口�,進行精細的控制。包括各種元素的綁定����、防止破解、防止代理����、漫游控制等。做到徹底杜絕非法用戶進入�����。然而這種技術自身也存在一定的應用限制,例如:需要部署客戶端�、分布式部署的工作量大、設備的關聯(lián)性較強等����。
為了解決類似的問題�����,有些學校開始嘗試網關型的Web準出認證技術����。這種技術的優(yōu)勢主要體現在部署方便、使用簡單���。既不需要配置大量的交換機����,又不需要分發(fā)大量的客戶端��。
但是這種方式存在一個致命的問題����,就是無法做到“入網即認證”���,內網安全不可控。就如進大門的時候不查證件����,出大門的時候再查,從安全的角度來考慮���,這個“大門”就有點形同虛設了�����。
那么�,有沒有一種方式��,將這兩種技術的優(yōu)點結合起來���,規(guī)避主要的缺點��,形成一個差異化����、多樣化的防護體系呢?
我們可以再拿校園大門來比喻��,高�?梢越o行人開辟一個大門,機動車開辟一個大門���。同樣的道理����,數字化校園的準入防護��,也可以針對不同的用戶群體或者不同的接入地域����,采取不同的準入認證方式�,最終統(tǒng)一管理,統(tǒng)一控制�����。
對于宿舍網來說�����,由于需要管理的內容較多,建議采用802.1x的接入方式��,進行嚴格的控制和管理���;對于辦公網來說�����,其用戶主要是教職工��,那么我們就采用Web準入的方式進行認證和接入控制�。這樣一方面�,減少了802.1x的部署范圍,降低了維護的工作量��,同時將該嚴格控制的用戶很好地管理起來����;另一方面又可以將Web認證控制到網絡的邊緣,大大加強了Web認證的安全性��,同時又方便了教職工用戶的使用��。
那么�����,能否有一種方案既具有可控性和安全性同時又保留易用性和兼容性呢?銳捷網絡最新推出的基于接入交換機的Web準入身份認證解決方案���,可以成為一個參考方案����。
創(chuàng)新Web準入認證
銳捷網絡Web準入認證從用戶的使用習慣出發(fā)���,在保留了802.1x的可控性和安全性之外���,還結合了Web認證的易用性和兼容性���,將安全性和易用性進行有機結合���,不僅大大降低了用戶接受認證的阻力,也更好地滿足了網絡的身份準入安全和網絡易管理易部署的要求��。
Web準入身份認證可控性和安全性
實現“入網即認證”���,確保合法用戶才能進入內部網絡���,同時靈活動態(tài)自動綁定入網用戶的IP+MAC+端口綁定��,確保了用戶IP地址的真實性�,并能自動防范ARP欺騙���,有效解決ARP欺騙對網絡使用的影響�����。
接入認證交換機在保證接入用戶合法性的同時���,也注意加強自身的安全防護,支持防HTTP認證請求報文的DoS攻擊�����、支持CPP等��,確保接入認證交換機本身的安全����。
RG-ePortal服務器和RG-SAM服務器均實現了高性能高可用集群技術,在防攻擊的情況下���,確保了整個認證計費系統(tǒng)的高可靠性和高性能����。
Web準入身份認證的高性能和高可用性
準入認證在網絡邊緣即接入層交換機的每個端口處理,實現了最大程度的分布式�,確保了網絡身份認證的高性能和無單點故障。
統(tǒng)一的Web Portal服務器采用高性能高可用群集技術���,在負載均衡的同時����,又實現冗余備份���。
統(tǒng)一的RG-SAM認證計費管理服務器也采用高性能高可用集群技術���,確保認證計費管理服務器的負載均衡���、冗余備份���、全網漫游、數據容災����。
Web準入身份認證的易用性和兼容性
不需要安裝客戶端程序���,使用Web瀏覽器進行認證,不改變用戶上網習慣����。
兼容20種以上的主流瀏覽器和包括Windows、Linux�����、MAC OS�、SOLARIS等十幾種操作系統(tǒng)。
Web準入身份認證的智能性和融合性
接入交換機同時支持802.1x認證和Web認證���,同一臺接入交換機可部分端口開啟802.1x認證�����,另一部分端口開啟Web認證��,最重要的是同一臺接入交換機的同一端口還可同時開啟802.1x認證和Web認證���,真正做到了認證接入方式的靈活選擇�,極大方便了校園網環(huán)境中存在不同用戶群體的接入管理�����。
交換機可智能識別的同時�,可以由SAM服務器統(tǒng)一管理用戶使用802.1x認證和Web認證的權限;還可實現管理同一賬號在不同的區(qū)域使用不同的認證方式���,或在同一區(qū)域不同賬號使用不同認證方式����。
系統(tǒng)提供標準的第三方接口��,可以通過對接實現基于數字校園門戶的單點登陸���,效果是一次認證實現了網絡層面的認證和數字校園應用系統(tǒng)的同步認證����。
如果有需要服務器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強����!虛擬主機域名注冊頂級提供商!15年品質保障�!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
