Web准入认证:破除802.1x部署之争

互联网 | 编辑: 杨雪姣 2009-11-13 00:00:00转载-投稿 一键看全文

第一页

在高校,网络应用普及,往往是最先尝试最先进的网络技术的。然而,由于用户群密集且活跃,校园网又成为安全问题的“重灾区”,管理也更为复杂、困难。

众所周知,身份认证是建设安全可信网络的前提条件。真实可信的网络身份认证体系一方面能够让恶意者在做有害行为之前有所顾忌,防微杜渐;另一方面也可以让网络管理者在安全事件发生后能准确及时地找到肇事者,在一定程度上防止安全事件的再次发生。

同时,身份认证能够实现校园网有限资源的再分配。系统获取用户的身份后,可以根据用户身份的不同分配不同的资源使用权限,避免网络资源的滥用和管理混乱。

目前教育行业中使用最多的认证技术有802.1x技术、Web认证技术和PPPOE技术等。PPPOE主要适用于运营商的接入控制和运营,加上自身技术的限制并不适合于高教校园网。这里主要谈谈目前在高校广受关注的802.1x技术和Web认证技术。

802.1x准入与Web准出利弊两现

目前,校园网身份认证有两种方式,一种是基于出口网关的Web准出认证,一种是在接入层进行的802.1x准入认证。从保障校园网安全和管理的角度,校园网准入身份认证是非常必要的。可以说校园网身份准入认证是保障内网安全的需要、是有效运营管理的需要、是提高服务水平的需要;从另外一个角度来说身份认证是网络准入的基础、网络准入是真实地址的基础、真实地址是安全可信的基础。

据统计,目前国内高校中超过700所高校采用了802.1x技术进行准入认证。很大程度上是缘于这种技术可以很好地做到“入网即认证”,在用户接入的入口,进行精细的控制。包括各种元素的绑定、防止破解、防止代理、漫游控制等。做到彻底杜绝非法用户进入。然而这种技术自身也存在一定的应用限制,例如:需要部署客户端、分布式部署的工作量大、设备的关联性较强等。

图1 准入方案示意图

为了解决类似的问题,有些学校开始尝试网关型的Web准出认证技术。这种技术的优势主要体现在部署方便、使用简单。既不需要配置大量的交换机,又不需要分发大量的客户端。

但是这种方式存在一个致命的问题,就是无法做到“入网即认证”,内网安全不可控。就如进大门的时候不查证件,出大门的时候再查,从安全的角度来考虑,这个“大门”就有点形同虚设了。

那么,有没有一种方式,将这两种技术的优点结合起来,规避主要的缺点,形成一个差异化、多样化的防护体系呢?

我们可以再拿校园大门来比喻,高校可以给行人开辟一个大门,机动车开辟一个大门。同样的道理,数字化校园的准入防护,也可以针对不同的用户群体或者不同的接入地域,采取不同的准入认证方式,最终统一管理,统一控制。

对于宿舍网来说,由于需要管理的内容较多,建议采用802.1x的接入方式,进行严格的控制和管理;对于办公网来说,其用户主要是教职工,那么我们就采用Web准入的方式进行认证和接入控制。这样一方面,减少了802.1x的部署范围,降低了维护的工作量,同时将该严格控制的用户很好地管理起来;另一方面又可以将Web认证控制到网络的边缘,大大加强了Web认证的安全性,同时又方便了教职工用户的使用。

那么,能否有一种方案既具有可控性和安全性同时又保留易用性和兼容性呢?锐捷网络最新推出的基于接入交换机的Web准入身份认证解决方案,可以成为一个参考方案。

提示:试试键盘 “← →” 可以实现快速翻页 

总共 2 页12
一键看全文

本文导航

相关阅读

网友评论

每日精选

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑