网络通信 频道

网络准入:校园网的“第一”行为规范

  中国教育网络技术论坛(COST)第六期沙龙在清华大学举行。来自集美大学、中国人民大学、北京大学、清华大学、锐捷网络以及教育界信息化建设领域的专家出席了本次沙龙,并就校园网需要建立准入认证机制进行了探讨。

  到底什么样的网络才是一个好的校园网?CERNET专家李星教授认为,判断一个好网络的标准有四点:第一是低成本,包括建设和运行、管理、维护,拓扑结构简单,能实现技术规范、标准、简单,具备良好的支持系统和工具;第二是高性能,充足的传输带宽和数据转发能力等强度、无瓶颈,充分的性能可发挥性;第三是安全可靠,具有鲁棒性、容错性、自愈性、隔离性、自防护能力,抗冲击,有足够的性能储备;第四是可追查,网络故障和用户行为的可追查、可回溯、可定位,即可实现审计校园。

  目前,校园网身份认证有两种方式,一种是基于出口网关的Web准出认证,一种是在接入层进行的802.1x准入认证。从保障校园网安全和管理的角度,校园网准入身份认证是非常必要的。可以说校园网身份准入认证是保障内网安全的需要、是有效运营管理的需要、是提高服务水平的需要;从另外一个角度来说身份认证是网络准入的基础、网络准入是真实地址的基础、真实地址是安全可信的基础。

  据统计,目前国内高校中超过700所高校采用了802.1x技术进行准入认证。很大程度上是缘于这种技术可以很好地做到“入网即认证”,在用户接入的入口,进行精细的控制。包括各种元素的绑定、防止破解、防止代理、漫游控制等。做到彻底杜绝非法用户进入。然而这种技术自身也存在一定的应用限制,例如:需要部署客户端、分布式部署的工作量大、设备的关联性较强等。

  为了解决类似的问题,有些学校开始尝试网关型的Web准出认证技术。这种技术的优势主要体现在部署方便、使用简单。既不需要配置大量的交换机,又不需要分发大量的客户端。但是这种方式存在一个致命的问题,就是无法做到“入网即认证”,内网安全不可控。就如进大门的时候不查证件,出大门的时候再查,从安全的角度来考虑,这个“大门”就有点形同虚设了。那么,有没有一种方式,将这两种技术的优点结合起来,规避主要的缺点,形成一个差异化、多样化的防护体系呢?

  我们可以再拿校园大门来比喻,高校可以给行人开辟一个大门,机动车开辟一个大门。同样的道理,数字化校园的准入防护,也可以针对不同的用户群体或者不同的接入地域,采取不同的准入认证方式,最终统一管理,统一控制。

  对于宿舍网来说,由于需要管理的内容较多,建议采用802.1x的接入方式,进行严格的控制和管理;对于办公网来说,其用户主要是教职工,那么我们就采用Web准入的方式进行认证和接入控制。这样一方面,减少了802.1x的部署范围,降低了维护的工作量,同时将该严格控制的用户很好地管理起来;另一方面又可以将Web认证控制到网络的边缘,大大加强了Web认证的安全性,同时又方便了教职工用户的使用。

  那么,能否有一种方案既具有可控性和安全性同时又保留易用性和兼容性呢?锐捷网络最新推出的基于接入交换机的Web准入身份认证解决方案,可以成为一个参考方案。

  锐捷网络Web准入认证从用户的使用习惯出发,在保留了802.1x的可控性和安全性之外,还结合了Web认证的易用性和兼容性,将安全性和易用性进行有机结合,不仅大大降低了用户接受认证的阻力,也更好地满足了网络的身份准入安全和网络易管理易部署的要求。

  实现“入网即认证”,接入交换机同时支持802.1x认证和Web认证,同一台接入交换机可部分端口开启802.1x认证,另一部分端口开启Web认证,最重要的是同一台接入交换机的同一端口还可同时开启802.1x认证和Web认证,真正做到了认证接入方式的灵活选择,极大方便了校园网环境中存在不同用户群体的接入管理。

  交换机可智能识别的同时,可以由SAM服务器统一管理用户使用802.1x认证和Web认证的权限;还可实现管理同一账号在不同的区域使用不同的认证方式,或在同一区域不同账号使用不同认证方式。

  系统提供标准的第三方接口,可以通过对接实现基于数字校园门户的单点登陆,效果是一次认证实现了网络层面的认证和数字校园应用系统的同步认证。

0
相关文章