DCSM-A 解决方案-神州数码交换机Portal准入认证-20101008

神州数码校园网交换机神州数码校园网交换机 WEB 准入认证解决方案准入认证解决方案 神州数码网络神州数码网络 2010 8 7 1 概述概述 校园网作为为学校教学 科研 管理提供资源共享 信息交流 协同工作 信息服务 的信息网络 从基础网络建设和管理层面来看 有着鲜明独立的特点 师生用户数多 发展速度快 随着高校扩招和合并 老师和学生的数量越来越多 动辄就达到万人以上 并且 随着社会 经济 生活方式的变化 越来越多的师生不仅拥有个人电脑 更离不 开校园网络 功能区域多 功能及管理需求不一样 校园网从功能区域来分 一般会分为学生宿舍区域网络 办公区域网络 公共区 域网络 家属区网络等等 各功能区域服务对象 应用内容 管理需求均不一样 安全隐患多 当前网络上各种病毒泛滥 木马网站层出不穷 钓鱼手段越来越难以防范 加之 高校师生这一思维活跃 易接受新事物 喜欢尝试和挑战 追求成就 易冲动的 群体中的个别人会利用当前随处可见的各种网络 系统攻击工具 相当透明的各 种技术指导 对网络和系统造成相当的安全威胁 不易管理和维护 高校庞大的网络和人员基数 无处不在的安全隐患 师生 IT 水平的参差不齐等等 造成基础网络管理和维护工作的繁重 例如 IP 地址冲突 IP 地址盗用 私设 DHCP Server ARP 病毒等等成网络管理和维护人员最为烦恼的问题 针对上述各种特点及学校自身管理的需求 绝大部分高校都希望采取身份认证的方式 来管理校园网络 2 校园网接入控制的需求校园网接入控制的需求 安全校园网络的基础是网络准入控制 实施网络准入控制的方法就是交换机接入身份 认证管理 只有实施身份认证才能实现可管理的接入 可信任的接入 可信的 IP 地址管理 可信的行为审计 在校园网络中实施接入控制成为各大高校的共识 但实际并未得到全面 的部署和实施 当前校园网接入控制技术主要有 Dot1x 和 PPPoE 其中 PPPoE 由于不支持组播应用 低端产品性能限制高端产品价格昂贵 管控粒度粗 与 IP 宽带网络建设思路不一致等原因 在校园网中应用很少 交换机 Dot1x 接入认证由于其高安全性 高可控性在高校校园网得 到长足发展 但 Dot1x 认证方式也有如下限制或不足 需要分发部署客户端 Dot1x 认证方式基本都需要客户端认证 就多了一件客户端分发 部署的工作 虽 然从传统的 U 盘 光盘拷贝已发展至当前的自主下载 但对于接入网络来说毕竟 多了下载 安装的操作 对于非理工科学生来说还是不方便 易用性 Dot1x 认证客户端从下载 安装 配置到最终能够认证上网 要求用户具备基础的 计算机使用 配置 管理能力 多一个动作就会降低用户对网络易用性的感受 操作系统兼容性 虽然当前个人桌面操作系统仍然是 Windows 家族的天下 但高校教学要求 个人 兴趣爱好等原因也存在非 Windows 操作系统的现实情况 例如苹果 MAC Red Hat Ubantu Unix 等操作系统 手持设备 手机的等最新的网络终端需要接入校 园网络更加剧了这一问题的严重性 即便使用 Windows 微软近年来也加快了产品升级换代的步伐 对应客户端相对 都会滞后一段时期才能推出 导致不能及时响应出现的新操作系统 所有实施校园网接入控制一定要满足如下需求 不能让维护和管理成为部署安全接入 控制的拦路虎 1 安全 可控 校园网络维护和管理的复杂性因为校园网的特点 服务对象 开放性等因素非一 般企业园区网 接入运营网络所比拟 所以接入控制技术首先要保证安全 可控 接入网络的用户必须经过身份认证 而且根据需要可以扩充至对用户接入方式 接入地点 接入终端的检查和限制 2 易用 要保证接入控制能够有效实施 必须解决易用性问题 高可控性的 Dot1x 认证方 式没有得到全面普及的现象已经说明了这个问题的严重性和普遍性 只有最终用 户认为简单易用 这样的技术才能得到认可和推广 3 与现有网络兼容 接入控制技术应该与当前高校 TCP IP 网络的整体建设思路兼容 必须与当前用户 多种多样的终端操作系统兼容 必须与现有校园网的应用系统身份认证系统兼容 神州数码在与高校行业用户多年合作和交流的基础之上推出的交换机 WEB 准入认证技 术和解决方案保留了 Dot1x 认证的安全性 实现了易部署 易使用 易维护 完美兼容性 等需求 在实现高校安全接入的同时 满足易管理 易维护的需求 能够进一步提升学校 网络服务质量 提高师生满意度 降低维护成本 4 交换机交换机 WEB 准入认证技术和解决方案准入认证技术和解决方案 3 1 交换机交换机 WEB 接入认证技术机制接入认证技术机制 1 接入交换机将未认证用户的 HTTP 请求重定向至 Portal Server 2 用户得到认证界面 提交用户名和密码进行认证 3 Portal Server 获得用户提交的用户名和密码 连同用户的其它接入特征信息 包括接入 交换机 IP 接入交换机端口 接入交换机 Vlan 用户 IP 地址 用户 MAC 等送给 DCSM 服务器校验 4 DCSM 根据接入审查策略 计费策略等一系列判断后通知 Portal Server 校验结果 5 Portal Server 根据校验结果通知交换机方向或阻断 并通知用户校验结果 6 用户在认证成功后转到保活页面 并可以访问网络 3 2 交换机交换机 WEB 接入认证解决方案特点接入认证解决方案特点 3 2 1 可控 确保网络安全接入可控 确保网络安全接入 1 WEB 身份准入认证方案 同样基于 Dot1x 的安全设计思想 在最接近用户的层面即用 户连接网络的接入端口启用认证 确保只有合法用户才能访问网络 将非法用户屏蔽 在网络之外 2 WEB 身份准入认证方案 在用户身份绑定方面完全继承 Dot1x 的安全控制方法 可以 不仅仅实现用户名和密码的简单校验 也可以实现接入交换机 IP 接入交换机端口 接 入端口所在 Vlan 用户 IP 用户 MAC 实现六元组的绑定检查 确保合法用户在合法信息 点使用合法 IP 通过合法终端才能接入网络 实现高度的安全管理控制 3 WEB 身份认证方式 对于庞大的 Windows 用户 可以通过 ActiveX 控件方式进一步增 强终端安全检查 杜绝没有安装关键操作系统补丁 没有安装指定杀毒软件的终端接 入网络 强制用户提升安全意识 及时实施终端安全加固 3 2 2 可信 确保网络行为审计可信 确保网络行为审计 1 通过 WEB 认证 确保接入网络的用户身份可信 通过用户身份可信确保用户的 IP 可 信 通过 IP 可信确保用户行为不可抵赖性 让一切可追查到 IP 的审计均可以追查到 最终用户 对蓄意非法的网络攻击和破坏行为具有强大的威慑作用 2 配合神州数码上网行为审计系统 实现基于用户的行为审计和网络行为告警管控联动 对用户非法网络行为实施有效监控和管理 3 2 3 易用 促进身份准入认证的实施易用 促进身份准入认证的实施 1 传统 Dot1x 认证方式涉及到认证客户端的下发 部署 安装 配置 这不仅增加了维 护工作 也使得网络可用性大大降低 再者 客户端固有的操作系统兼容性等问题导 致校园网准入认证技术得不到有效实施 致使部分高校用户放弃了校园网安全接入控 制 2 WEB 身份准入认证技术 不使用客户端 通过操作系统自带的浏览器即可实现准入认 证 不仅方便最终用户使用 也解决了 Dot1x 客户端认证固有的各种问题 3 WEB 身份准入认证技术 降低准入控制的实施难度和推广难度 提升了准入控制技术 的可用性 将会进一步促进身份准入认证安全措施的实施 3 2 4 融合 实现统一的网络安全 应用 带宽管理融合 实现统一的网络安全 应用 带宽管理 1 接入交换机可以同时支持 WEB 准入认证与 Dot1x 准入认证 配合 DCSM 系统可以管控 不同用户在不同区域使用不同认证方式 即同一账号在不同区域可以使用不同的认证 方式 不同身份账号在同一区域使用不同的认证方式 从而实现灵活的管理和控制 2 接入交换机在实施 Dot1x 或 WEB 认证的同时可以防止并阻断 ARP 欺骗 恶意 ARP 扫 描 私设 DHCP Server 等非法网络行为 3 接入交换机在实施 Dot1x 或 WEB 认证的同时 允许用户不认证或无法认证情况下访问 指定的公共资源 例如 DCSM 自主助系统 WSUS 服务器 防病毒服务器等等 从而 让校园网的资源得到合理有效利用 4 内网安全接入 外网灵活计费 WEB 身份准入技术解决了校园网安全接入技术层面的 问题 但不应该让校内安全接入与访问校外的互联网计费运营混淆 否则就成了内网 认证即收费 既不利于校园网身份准入的实施也不利于校园网正常收费运营业务的开 展 配合交换机 WEB 身份准入认证 神州数码提供 WEB 二次转一次认证技术 一次 认证依次通过接入交换机和外网计费网关 实现内网安全接入 外网灵活计费的安全 接入运营管理 5 内网安全接入 外网基于用户的应用控制和速率控制 网络准入 网络运营需求解决 后 还需要考虑提升出口带宽资源的合理有效应用 实施灵活的应用控制 这与网络 准入关系密切 因为这三者均是基于用户身份而言 也只有基于用户身份而言才合理 流量和应用控制才能有效部署 配合神州数码流量整形与用户接入管理 DCFS 系列网 关的配合 实现基于用户的安全准入控制 速率和应用管理 网络运营管理 促进校 园网更安全 更可控 更高效 让校园网更好地为师生服务 6 DCSM 系统可以实现与 AD 域 LDAP 实施统一身份认证 只要使用一个用户名和密码 即可实现网络层面的准入认证和应用系统的准入认证 配合数字校园建设 实现统一 身份管理 神州数码交换机 WEB 身份准入认证方案保留 Dot1x 高安全性 高可控的同时