网络通信 频道

Web准入认证—破除802.1x部署之争

  在高校,网络应用普及,往往是最先尝试非常先进的网络技术的。然而,由于用户群密集且活跃,校园网又成为安全问题的“重灾区”,管理也更为复杂、困难。

  随着国际、国内网络安全事件的不断升级,网络安全和可信越来越被人们所关注。

  众所周知,身份认证是建设安全可信网络的前提条件。真实可信的网络身份认证体系一方面能够让恶意者在做有害行为之前有所顾忌,防微杜渐;另一方面也可以让网络管理者在安全事件发生后能准确及时地找到肇事者,在一定程度上防止安全事件的再次发生。

  同时,身份认证能够实现校园网有限资源的再分配。系统获取用户的身份后,可以根据用户身份的不同分配不同的资源使用权限,避免网络资源的滥用和管理混乱。

  目前教育行业中使用最多的认证技术有802.1x技术、Web认证技术和PPPOE技术等。PPPOE主要适用于运营商的接入控制和运营,加上自身技术的限制并不适合于高教校园网。这里主要谈谈目前在高校广受关注的802.1x技术和Web认证技术。

  802.1x准入与Web准出利弊两现

  目前,校园网身份认证有两种方式,一种是基于出口网关的Web准出认证,一种是在接入层进行的802.1x准入认证。从保障校园网安全和管理的角度,校园网准入身份认证是非常必要的。可以说校园网身份准入认证是保障内网安全的需要、是有效运营管理的需要、是提高服务水平的需要;从另外一个角度来说身份认证是网络准入的基础、网络准入是真实地址的基础、真实地址是安全可信的基础。

  据统计,目前国内高校中超过700所高校采用了802.1x技术进行准入认证。很大程度上是缘于这种技术可以很好地做到“入网即认证”,在用户接入的入口,进行精细的控制。包括各种元素的绑定、防止破解、防止代理、漫游控制等。做到彻底杜绝非法用户进入。然而这种技术自身也存在一定的应用限制,例如:需要部署客户端、分布式部署的工作量大、设备的关联性较强等。

  图表 1 准入方案示意图

0
相关文章