锐捷:您的校园网络准入了吗?

互联网 | 编辑: 杨雪姣 2009-09-15 00:00:00转载-投稿

•关键词

–身份认证

–网络准入

–真实地址

–安全可信

•主要观点和结论

–身份认证是网络准入的基础、网络准入是真实地址的基础、真实地址是安全可信的基础;

–身份认证目前主要包含802.1x认证、Web Portal认证(以下简称Web认证),通常来讲802.1x认证安全性和可控性更高,Web认证易用性和兼容更好;

–锐捷网络最新推出了在接入交换机上实现Web认证的身份准入解决方案,同时保留了802.1x的安全性和Web认证的易用性,是安全性、易用性和兼容性的完美结合;

–对于高校校园网来说,身份认证、网络准入是保障内网安全的需要、是有效运营管理的需要、是提高服务水平的需要;

–根据高校校园网学生用户和老师用户的不同特点以及运营管理的不同要求,高校宿舍网适合采用802.1x身份准入认证,高校办公网适合采用Web身份准入认证;

互联网迫切需要治理

作为人类历史上最重要的技术进步之一,互联网已经并且还将继续深刻改变世界。已经走过40年,未来互联网该怎样发展?这是IT领域的专家一直在思考和研究的。但不论怎样,互联网在高速发展的同时,互联网迫切需要做好治理。

互联网的开放性、自身的脆弱性、攻击的普遍性、管理的困难性等综合因素也许在将来的某一天给整个社会带来灾难性的影响,中国互联网协会常务副理事长高新民指出:目前制约互联网发展的最大问题就是网络的安全和网络的信任问题。安全和信任不仅仅是社会公共利益的需要,而且也是互联网产业本身发展的必要前提。如果互联网的安全问题得不到根本解决,互联网的信任环境日益恶化,目前互联网的格局将维持不下去,因此必须有治理。——高新民(中国互联网协会常务副理事长)

校园网需要身份认证


随着国际、国内的网络安全事件不断升级,网络安全和网络的可信越来越多的被人们所关注,作为校园网的管理者如何建设一个真实可信的安全网络呢?

身份认证是建设安全可信网络的前提条件,身份认证包括访问网络的身份认证和访问应用系统的身份认证,网络层面的身份认证是基础,身份认证可以保证只有合法的用户才可以访问网络。真实可信的网络身份认证体系一方面能够让恶意者在做有害行为之前有所顾忌,另一方面也可以让网络管理者在安全事件发生后准确及时的找到肇事者,可以在一定程度上防止安全事件的发生。

身份认证能够实现校园网有限资源的再分配,系统获取用户的身份后,可以根据用户的身份不同分配不同资源使用权限,避免网络资源的滥用和管理混乱。

校园网实名制的手段主流的大致有以下几种:

使用IP地址做用户名。通过登记IP地址的方式实现IP地址和人的对应,根据IP地址的不同来做权限控制和日志审计。但IP地址的手工绑定无法实现漫游,如果同时手工绑定MAC地址又限制了一个用户只能使用唯一PC上网,这不符合高校校园网师生用户的用网特点。同时在这种情况之下,IP盗用的现象又非常严重。另外,半自动登记IP地址和人的对应关系的做法效率和准确率较低。

通过用户名代替IP地址来标识用户身份。类似登录电子邮件的时候使用的用户名和密码的方式来识别对应的人的关系。系统通过用户输入的用户名和密码的对应关系来校验其身份的合法性,可选静态的固定绑定用户的账号、IP、MAC和端口,也可实现在认证通过之后动态的自动绑定用户的账号+IP+MAC+端口,这样就解决了漫游、手工配置、盗用等相关问题,缺点就是需要相应的设备支持。

身份认证目前主要包含802.1x认证、Web Portal认证(以下简称Web认证)、PPPoE认证,通常来讲802.1x认证安全性和可控性更高,Web认证易用性和兼容更好;PPPoE认证是由窄带网络发展过来的,由于同样需要客户端,但是不支持组播、性能限制,所以在校园网中应用很少。

校园网需要准入身份认证

校园网身份认证有两种方式,一种是基于出口网关的准出认证,一种是在接入层进行的准入认证。

校园网准出身份认证:

通过在校园网出口处部署认证网关,在内网不认证可直接访问,当用户访问外网资源时通过Web浏览器或认证客户端进行基于账号的身份认证,认证通过后允许访问外网。

该种方式的优点是仅在出口设置认证网关、容易部署,对校园内部网络的设备无特殊要求,当采用Web浏览器认证时易用性好、兼容性好。

缺点是整个内网不可控,用户随意接入校园内网络带来极大的安全隐患,同时发生安全事件时又无法定位和审计,同时由于高校出口带宽动辄几个千兆线路,网关设备存在比较严重的性能瓶颈和单点故障。

校园网准入身份认证:

通过在校园网接入交换机上启用802.1x(IEEE802.1x基于端口的访问控制协议),用户进入网络就需要通过身份认证。

该种方式的优点是入网即认证实现校园内网的可控可管,确保只有授权的合法用户才可以访问校园内网,当出现异常行为时可快速定位并及时的剔除用户下线,在出现安全事件后可快速的审计到“肇事者”。该种方式可扩展实现“让合法的用户在合法的终端上网”以及“让合法的终端发出合法的报文”,实现真实身份、安全主机、真实地址。另外由于是最大程度的分布式认证,保证了系统的高性能。认证报文和业务报文的分离又一定程度上避免了单点故障。

该种方式的缺点是需要接入层交换机支持,同时对于802.1x来说因为需要安装客户端带来客户端的分发、安装和使用的麻烦,同时存在客户端对操作系统的支持性和兼容性。

从以上可以看出,从保障校园网安全和管理的角度,校园网准入身份认证是非常必要的,可以说校园网身份准入认证是保障内网安全的需要、是有效运营管理的需要、是提高服务水平的需要;从另外一个角度来说身份认证是网络准入的基础、网络准入是真实地址的基础、真实地址是安全可信的基础;问题的提出:校园网Web准出身份认证具有易用性和兼容性的优点,缺点是可控性和安全性;校园网802.1x准入身份认证具有可控性和安全性的优点,缺点是易用性和兼容性。那能否有一种方案既具有可控性和安全性同时又保留易用性和兼容性呢?答案就是锐捷网络最新推出的基于接入交换机的Web准入身份认证解决方案。

Web准入身份认证

WEB准入身份认证是在802.1X认证的基础之上发展起来的,除了保留了802.1X认证的可控性和安全性之外,还结合了WEB认证的易用性和兼容性,使安全性和易用性达到了有机的融合。

WEB准入身份认证可控性和安全性

实现“入网即认证”,确保合法用户才能进入内部网络,确保用户身份的真实可信。实现动态自动的IP+MAC+端口绑定,确保合法的用户发出合法的报文,确保IP地址的真实可行。

实现动态自动的IP+MAC+端口绑定的同时,启用ARP欺骗检测,全面杜绝ARP病毒欺骗问题。

接入认证交换机支持防HTTP认证请求报文的DoS攻击,确保接入认证交换机本身的安全。

Web Portal服务器和RG-SAM服务器均实现了高性能高可用群集技术,在防攻击的情况下,确保了整个认证计费系统的高可靠性。

WEB准入身份认证的高性能和高可用性

认证报文在每个接入层交换机的每个端口处理,实现了最大程度的分布式,确保了高性能和无单点故障;

统一的Web Portal服务器采用高性能高可用群集技术,在负载均衡的同时,又实现冗余备份;

统一的RG-SAM认证计费管理服务器也采用高性能高可用群集技术,确保认证计费管理服务器的负载均衡、冗余备份、全网漫游、数据容灾。

WEB准入身份认证的易用性和兼容性

不需要安装客户端程序,使用Web浏览器进行认证,不改变用户上网习惯。兼容20种以上的主流浏览器和包括Windows、LINUX、MAC OS、SOLARIS等十几种操作系统!

WEB准入身份认证的智能性和融合性

接入交换机同时支持802.1x认证和Web认证,同一台接入交换机可部分端口开启802.1x认证另一部分端口开启Web认证,最重要的是同一台接入交换机的同一端口可同时开启802.1x认证和Web认证,交换机可智能识别的同时,可以由SAM服务器统一管理用户使用802.1x认证和Web认证的权限;还可实现管理同一账号在不同的区域使用不同的认证方式,或在同一区域不同账号使用不同认证方式。

系统提供标准的第三方接口,可以通过对接实现基于数字校园门户的单点登陆,效果是一次认证实现了网络层面的认证和数字校园应用系统的同步认证。

锐捷网络的Web准入身份认证解决方案,是可控性、安全性、高性能、高可用、易用性、兼容性、融合智能的完美结合;根据高校校园网学生用户和老师用户的不同特点以及运营管理的不同要求,锐捷网络推荐在高校宿舍网采用802.1x身份准入认证,推荐在高校办公网采用Web身份准入认证;同时可使用同一套身份认证计费管理系统进行全网的统一管理。

相关阅读

网友评论

每日精选

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑