湛江信息港

当前位置: 首页 >汽车

Web准入认证破除8021x部署之争

来源: 作者: 2019-04-25 18:08:39

锐捷络Web准入认证从用户的使用习惯动身,在保留了802.1x的可控性和安全性以外,还结合了Web认证的易用性和兼容性,将安全性和易用性进行有机结合,能更好地满足了校园身份准入安全和络易管理易部署的要求。

在高校,络运用普及,往往是早尝试的络技术的。但是,由于用户群密集且活跃,校园又成为安全问题的“重灾区”,管理也更为复杂、困难。

随着国际、国内络安全事件的不断升级,络安全和可信越来越被人们所关注。

众所周知,身份认证是建设安全可信络的前提条件。真实可信的络身份认证体系一方面能够让恶意者在做有害行动之前有所顾忌,防微杜渐;另一方面也可以让络管理者在安全事件产生后能准确及时地找到肇事者,在一定程度上避免安全事件的再次产生。

同时,身份认证能够实现校园有限资源的再分配。系统获得用户的身份后,可以根据用户身份的不同分配不同的资源使用权限,避免络资源的滥用和管理混乱。

目前教育行业中使用多的认证技术有802.1x技术、Web认证技术和PPPOE技术等。PPPOE主要适用于运营商的接入控制和运营,加上本身技术的限制其实不适合于高教校园。这里主要谈谈目前在高校广受关注的802.1x技术和Web认证技术。

802.1x准入与Web准出利弊两现

目前,校园身份认证有两种方式,一种是基于出口关的Web准出认证,一种是在接入层进行的802.1x准入认证。从保障校园安全和管理的角度,校园准入身份认证是非常必要的。可以说校园身份准入认证是保障内安全的需要、是有效运营管理的需要、是提高服务水平的需要;从另外一个角度来讲身份认证是络准入的基础、络准入是真实地址的基础、真实地址是安全可信的基础。

据统计,目前国内高校中超过700所高校采取了802.1x技术进行准入认证。很大程度上是缘于这类技术可以很好地做到“入即认证”,在用户接入的入口,进行精细的控制。包括各种元素的绑定、避免破解、防止代理、漫游控制等。做到完全杜绝非法用户进入。但是这类技术本身也存在一定的应用限制,例如:需要部署客户端、分布式部署的工作量大、设备的关联性较强等。

为了解决类似的问题,有些学校开始尝试关型的Web准出认证技术。这类技术的优势主要体现在部署方便、使用简单。既不需要配置大量的交换机,又不需要分发大量的客户端。

但是这类方式存在一个致命的问题,就是没法做到“入即认证”,内安全不可控。就如进大门的时候不查证件,出大门的时候再查,从安全的角度来斟酌,这个“大门”就有点形同虚设了。

那么,有没有一种方式,将这两种技术的优点结合起来,规避主要的缺点,形成一个差异化、多样化的防护体系呢?

我们可以再拿校园大门来比喻,高校可以给行人开辟一个大门,机动车开辟一个大门。一样的道理,数字化校园的准入防护,也可以针对不同的用户群体或者不同的接入地域,采取不同的准入认证方式,终究统一管理,统一控制。

对宿舍来讲,由于需要管理的内容较多,建议采取802.1x的接入方式,进行严格的控制和管理;对办公来讲,其用户主要是教职工,那末我们就采取Web准入的方式进行认证和接入控制。这样一方面,减少了802.1x的部署范围,下落了保护的工作量,同时将该严格控制的用户很好地管理起来;另一方面又可以将Web认证控制到络的边沿,大大加强了Web认证的安全性,同时又方便了教职工用户的使用。

那末,能否有一种方案既具有可控性和安全性同时又保存易用性和兼容性呢?锐捷络推出的基于接入交换机的Web准入身份认证解决方案,可以成为一个参考方案。

创新Web准入认证

锐捷络Web准入认证从用户的使用习惯出发,在保存了802.1x的可控性和安全性以外,还结合了Web认证的易用性和兼容性,将安全性和易用性进行有机结合,不但大大下落了用户接受认证的阻力,也更好地满足了络的身份准入安全和络易管理易部署的要求。

Web准入身份认证可控性和安全性

实现“入即认证”,确保合法用户才能进入内部络,同时灵活动态自动绑定入用户的IP+MAC+端口绑定,确保了用户IP地址的真实性,并能自动防范ARP欺骗,有效解决ARP欺骗对络使用的影响。

接入认证交换机在保证接入用户合法性的同时,也注意加强自身的安全防护,支持防HTTP认证请求报文的DoS攻击、支持CPP等,确保接入认证交换机本身的安全。

RG-ePortal服务器和RG-SAM服务器均实现了高性能高可用集群技术,在防攻击的情况下,确保了全部认证计费系统的高可靠性和高性能。

Web准入身份认证的高性能和高可用性

准入认证在络边沿即接入层交换机的每个端口处理,实现了的分布式,确保了络身份认证的高性能和无单点故障。

统一的WebPortal服务器采取高性能高可用群集技术,在负载均衡的同时,又实现冗余备份。

统一的RG-SAM认证计费管理服务器也采取高性能高可用集群技术,确保认证计费管理服务器的负载均衡、冗余备份、全漫游、数据容灾。

Web准入身份认证的易用性和兼容性

不需要安装客户端程序,使用Web浏览器进行认证,不改变用户上习惯。

兼容20种以上的主流浏览器和包括Windows、Linux、MACOS、SOLARIS等十几种操作系统。

Web准入身份认证的智能性和融会性

接入交换机同时支持802.1x认证和Web认证,同一台接入交换机可部分端口开启802.1x认证,另外一部分端口开启Web认证,重要的是同一台接入交换机的同一端口还可同时开启802.1x认证和Web认证,真正做到了认证接入方式的灵活选择,极大方便了校园环境中存在不同用户群体的接入管理。

交换机可智能识别的同时,可以由SAM服务器统一管理用户使用802.1x认证和Web认证的权限;还可实现管理同一账号在不同的区域使用不同的认证方式,或在同一区域不同账号使用不同认证方式。

系统提供标准的第三方接口,可以通过对接实现基于数字校园门户的单点登陆,效果是一次认证实现了络层面的认证和数字校园运用系统的同步认证。

悦而维生素D3滴剂
慢性宫颈炎如何用什么药比较好?
宝宝发烧三天了不退烧怎么办

相关推荐