Web準(zhǔn)入認(rèn)證—破除802.1x部署之爭

在高校，網(wǎng)絡(luò)應(yīng)用普及，往往是最先嘗試最先進的網(wǎng)絡(luò)技術(shù)的。然而，由于用戶群密集且活躍，校園網(wǎng)又成為安全問題的“重災(zāi)區(qū)”，管理也更為復(fù)雜、困難。

隨著國際、國內(nèi)網(wǎng)絡(luò)安全事件的不斷升級，網(wǎng)絡(luò)安全和可信越來越被人們所關(guān)注。

眾所周知，身份認(rèn)證是建設(shè)安全可信網(wǎng)絡(luò)的前提條件。真實可信的網(wǎng)絡(luò)身份認(rèn)證體系一方面能夠讓惡意者在做有害行為之前有所顧忌，防微杜漸；另一方面也可以讓網(wǎng)絡(luò)管理者在安全事件發(fā)生后能準(zhǔn)確及時地找到肇事者，在一定程度上防止安全事件的再次發(fā)生。

同時，身份認(rèn)證能夠?qū)崿F(xiàn)校園網(wǎng)有限資源的再分配。系統(tǒng)獲取用戶的身份后，可以根據(jù)用戶身份的不同分配不同的資源使用權(quán)限，避免網(wǎng)絡(luò)資源的濫用和管理混亂。

目前教育行業(yè)中使用最多的認(rèn)證技術(shù)有802.1x技術(shù)、Web認(rèn)證技術(shù)和PPPOE技術(shù)等。PPPOE主要適用于運營商的接入控制和運營，加上自身技術(shù)的限制并不適合于高教校園網(wǎng)。這里主要談?wù)勀壳霸诟咝V受關(guān)注的802.1x技術(shù)和Web認(rèn)證技術(shù)。

802.1x準(zhǔn)入與Web準(zhǔn)出利弊兩現(xiàn)

目前，校園網(wǎng)身份認(rèn)證有兩種方式，一種是基于出口網(wǎng)關(guān)的Web準(zhǔn)出認(rèn)證，一種是在接入層進行的802.1x準(zhǔn)入認(rèn)證。從保障校園網(wǎng)安全和管理的角度，校園網(wǎng)準(zhǔn)入身份認(rèn)證是非常必要的�？梢哉f校園網(wǎng)身份準(zhǔn)入認(rèn)證是保障內(nèi)網(wǎng)安全的需要、是有效運營管理的需要、是提高服務(wù)水平的需要；從另外一個角度來說身份認(rèn)證是網(wǎng)絡(luò)準(zhǔn)入的基礎(chǔ)、網(wǎng)絡(luò)準(zhǔn)入是真實地址的基礎(chǔ)、真實地址是安全可信的基礎(chǔ)。

據(jù)統(tǒng)計，目前國內(nèi)高校中超過700所高校采用了802.1x技術(shù)進行準(zhǔn)入認(rèn)證。很大程度上是緣于這種技術(shù)可以很好地做到“入網(wǎng)即認(rèn)證”，在用戶接入的入口，進行精細的控制。包括各種元素的綁定、防止破解、防止代理、漫游控制等。做到徹底杜絕非法用戶進入。然而這種技術(shù)自身也存在一定的應(yīng)用限制，例如：需要部署客戶端、分布式部署的工作量大、設(shè)備的關(guān)聯(lián)性較強等。

為了解決類似的問題，有些學(xué)校開始嘗試網(wǎng)關(guān)型的Web準(zhǔn)出認(rèn)證技術(shù)。這種技術(shù)的優(yōu)勢主要體現(xiàn)在部署方便、使用簡單。既不需要配置大量的交換機，又不需要分發(fā)大量的客戶端。

但是這種方式存在一個致命的問題，就是無法做到“入網(wǎng)即認(rèn)證”，內(nèi)網(wǎng)安全不可控。就如進大門的時候不查證件，出大門的時候再查，從安全的角度來考慮，這個“大門”就有點形同虛設(shè)了。

那么，有沒有一種方式，將這兩種技術(shù)的優(yōu)點結(jié)合起來，規(guī)避主要的缺點，形成一個差異化、多樣化的防護體系呢？

我們可以再拿校園大門來比喻，高�？梢越o行人開辟一個大門，機動車開辟一個大門。同樣的道理，數(shù)字化校園的準(zhǔn)入防護，也可以針對不同的用戶群體或者不同的接入地域，采取不同的準(zhǔn)入認(rèn)證方式，最終統(tǒng)一管理，統(tǒng)一控制。

對于宿舍網(wǎng)來說，由于需要管理的內(nèi)容較多，建議采用802.1x的接入方式，進行嚴(yán)格的控制和管理；對于辦公網(wǎng)來說，其用戶主要是教職工，那么我們就采用Web準(zhǔn)入的方式進行認(rèn)證和接入控制。這樣一方面，減少了802.1x的部署范圍，降低了維護的工作量，同時將該嚴(yán)格控制的用戶很好地管理起來；另一方面又可以將Web認(rèn)證控制到網(wǎng)絡(luò)的邊緣，大大加強了Web認(rèn)證的安全性，同時又方便了教職工用戶的使用。

那么，能否有一種方案既具有可控性和安全性同時又保留易用性和兼容性呢？銳捷網(wǎng)絡(luò)最新推出的基于接入交換機的Web準(zhǔn)入身份認(rèn)證解決方案，可以成為一個參考方案。

創(chuàng)新Web準(zhǔn)入認(rèn)證

銳捷網(wǎng)絡(luò)Web準(zhǔn)入認(rèn)證從用戶的使用習(xí)慣出發(fā)，在保留了802.1x的可控性和安全性之外，還結(jié)合了Web認(rèn)證的易用性和兼容性，將安全性和易用性進行有機結(jié)合，不僅大大降低了用戶接受認(rèn)證的阻力，也更好地滿足了網(wǎng)絡(luò)的身份準(zhǔn)入安全和網(wǎng)絡(luò)易管理易部署的要求。

Web準(zhǔn)入身份認(rèn)證可控性和安全性

實現(xiàn)“入網(wǎng)即認(rèn)證”，確保合法用戶才能進入內(nèi)部網(wǎng)絡(luò)，同時靈活動態(tài)自動綁定入網(wǎng)用戶的IP+MAC+端口綁定，確保了用戶IP地址的真實性，并能自動防范ARP欺騙，有效解決ARP欺騙對網(wǎng)絡(luò)使用的影響。

接入認(rèn)證交換機在保證接入用戶合法性的同時，也注意加強自身的安全防護，支持防HTTP認(rèn)證請求報文的DoS攻擊、支持CPP等，確保接入認(rèn)證交換機本身的安全。

RG-ePortal服務(wù)器和RG-SAM服務(wù)器均實現(xiàn)了高性能高可用集群技術(shù)，在防攻擊的情況下，確保了整個認(rèn)證計費系統(tǒng)的高可靠性和高性能。

Web準(zhǔn)入身份認(rèn)證的高性能和高可用性

準(zhǔn)入認(rèn)證在網(wǎng)絡(luò)邊緣即接入層交換機的每個端口處理，實現(xiàn)了最大程度的分布式，確保了網(wǎng)絡(luò)身份認(rèn)證的高性能和無單點故障。

統(tǒng)一的Web Portal服務(wù)器采用高性能高可用群集技術(shù)，在負(fù)載均衡的同時，又實現(xiàn)冗余備份。

統(tǒng)一的RG-SAM認(rèn)證計費管理服務(wù)器也采用高性能高可用集群技術(shù)，確保認(rèn)證計費管理服務(wù)器的負(fù)載均衡、冗余備份、全網(wǎng)漫游、數(shù)據(jù)容災(zāi)。

Web準(zhǔn)入身份認(rèn)證的易用性和兼容性

不需要安裝客戶端程序，使用Web瀏覽器進行認(rèn)證，不改變用戶上網(wǎng)習(xí)慣。

兼容20種以上的主流瀏覽器和包括Windows、Linux、MAC OS、SOLARIS等十幾種操作系統(tǒng)。

Web準(zhǔn)入身份認(rèn)證的智能性和融合性

接入交換機同時支持802.1x認(rèn)證和Web認(rèn)證，同一臺接入交換機可部分端口開啟802.1x認(rèn)證，另一部分端口開啟Web認(rèn)證，最重要的是同一臺接入交換機的同一端口還可同時開啟802.1x認(rèn)證和Web認(rèn)證，真正做到了認(rèn)證接入方式的靈活選擇，極大方便了校園網(wǎng)環(huán)境中存在不同用戶群體的接入管理。

交換機可智能識別的同時，可以由SAM服務(wù)器統(tǒng)一管理用戶使用802.1x認(rèn)證和Web認(rèn)證的權(quán)限；還可實現(xiàn)管理同一賬號在不同的區(qū)域使用不同的認(rèn)證方式，或在同一區(qū)域不同賬號使用不同認(rèn)證方式。

系統(tǒng)提供標(biāo)準(zhǔn)的第三方接口，可以通過對接實現(xiàn)基于數(shù)字校園門戶的單點登陸，效果是一次認(rèn)證實現(xiàn)了網(wǎng)絡(luò)層面的認(rèn)證和數(shù)字校園應(yīng)用系統(tǒng)的同步認(rèn)證。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]