日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

在高校，網(wǎng)絡(luò)應(yīng)用普及，往往是最先嘗試最先進的網(wǎng)絡(luò)技術(shù)的。然而，由于用戶群密集且活躍，校園網(wǎng)又成為安全問題的“重災(zāi)區(qū)”，管理也更為復(fù)雜、困難。

隨著國際、國內(nèi)網(wǎng)絡(luò)安全事件的不斷升級，網(wǎng)絡(luò)安全和可信越來越被人們所關(guān)注。

眾所周知，身份認證是建設(shè)安全可信網(wǎng)絡(luò)的前提條件。真實可信的網(wǎng)絡(luò)身份認證體系一方面能夠讓惡意者在做有害行為之前有所顧忌，防微杜漸；另一方面也可以讓網(wǎng)絡(luò)管理者在安全事件發(fā)生后能準確及時地找到肇事者，在一定程度上防止安全事件的再次發(fā)生。

同時，身份認證能夠?qū)崿F(xiàn)校園網(wǎng)有限資源的再分配。系統(tǒng)獲取用戶的身份后，可以根據(jù)用戶身份的不同分配不同的資源使用權(quán)限，避免網(wǎng)絡(luò)資源的濫用和管理混亂。

目前教育行業(yè)中使用最多的認證技術(shù)有802.1x技術(shù)、Web認證技術(shù)和PPPOE技術(shù)等。PPPOE主要適用于運營商的接入控制和運營，加上自身技術(shù)的限制并不適合于高教校園網(wǎng)。這里主要談?wù)勀壳霸诟咝V受關(guān)注的802.1x技術(shù)和Web認證技術(shù)。

802.1x準入與Web準出利弊兩現(xiàn)

目前，校園網(wǎng)身份認證有兩種方式，一種是基于出口網(wǎng)關(guān)的Web準出認證，一種是在接入層進行的802.1x準入認證。從保障校園網(wǎng)安全和管理的角度，校園網(wǎng)準入身份認證是非常必要的?？梢哉f校園網(wǎng)身份準入認證是保障內(nèi)網(wǎng)安全的需要、是有效運營管理的需要、是提高服務(wù)水平的需要；從另外一個角度來說身份認證是網(wǎng)絡(luò)準入的基礎(chǔ)、網(wǎng)絡(luò)準入是真實地址的基礎(chǔ)、真實地址是安全可信的基礎(chǔ)。

據(jù)統(tǒng)計，目前國內(nèi)高校中超過700所高校采用了802.1x技術(shù)進行準入認證。很大程度上是緣于這種技術(shù)可以很好地做到“入網(wǎng)即認證”，在用戶接入的入口，進行精細的控制。包括各種元素的綁定、防止破解、防止代理、漫游控制等。做到徹底杜絕非法用戶進入。然而這種技術(shù)自身也存在一定的應(yīng)用限制，例如：需要部署客戶端、分布式部署的工作量大、設(shè)備的關(guān)聯(lián)性較強等。

為了解決類似的問題，有些學(xué)校開始嘗試網(wǎng)關(guān)型的Web準出認證技術(shù)。這種技術(shù)的優(yōu)勢主要體現(xiàn)在部署方便、使用簡單。既不需要配置大量的交換機，又不需要分發(fā)大量的客戶端。

但是這種方式存在一個致命的問題，就是無法做到“入網(wǎng)即認證”，內(nèi)網(wǎng)安全不可控。就如進大門的時候不查證件，出大門的時候再查，從安全的角度來考慮，這個“大門”就有點形同虛設(shè)了。

那么，有沒有一種方式，將這兩種技術(shù)的優(yōu)點結(jié)合起來，規(guī)避主要的缺點，形成一個差異化、多樣化的防護體系呢？

我們可以再拿校園大門來比喻，高?？梢越o行人開辟一個大門，機動車開辟一個大門。同樣的道理，數(shù)字化校園的準入防護，也可以針對不同的用戶群體或者不同的接入地域，采取不同的準入認證方式，最終統(tǒng)一管理，統(tǒng)一控制。

對于宿舍網(wǎng)來說，由于需要管理的內(nèi)容較多，建議采用802.1x的接入方式，進行嚴格的控制和管理；對于辦公網(wǎng)來說，其用戶主要是教職工，那么我們就采用Web準入的方式進行認證和接入控制。這樣一方面，減少了802.1x的部署范圍，降低了維護的工作量，同時將該嚴格控制的用戶很好地管理起來；另一方面又可以將Web認證控制到網(wǎng)絡(luò)的邊緣，大大加強了Web認證的安全性，同時又方便了教職工用戶的使用。

那么，能否有一種方案既具有可控性和安全性同時又保留易用性和兼容性呢？銳捷網(wǎng)絡(luò)最新推出的基于接入交換機的Web準入身份認證解決方案，可以成為一個參考方案。

創(chuàng)新Web準入認證

銳捷網(wǎng)絡(luò)Web準入認證從用戶的使用習(xí)慣出發(fā)，在保留了802.1x的可控性和安全性之外，還結(jié)合了Web認證的易用性和兼容性，將安全性和易用性進行有機結(jié)合，不僅大大降低了用戶接受認證的阻力，也更好地滿足了網(wǎng)絡(luò)的身份準入安全和網(wǎng)絡(luò)易管理易部署的要求。

Web準入身份認證可控性和安全性

實現(xiàn)“入網(wǎng)即認證”，確保合法用戶才能進入內(nèi)部網(wǎng)絡(luò)，同時靈活動態(tài)自動綁定入網(wǎng)用戶的IP+MAC+端口綁定，確保了用戶IP地址的真實性，并能自動防范ARP欺騙，有效解決ARP欺騙對網(wǎng)絡(luò)使用的影響。

接入認證交換機在保證接入用戶合法性的同時，也注意加強自身的安全防護，支持防HTTP認證請求報文的DoS攻擊、支持CPP等，確保接入認證交換機本身的安全。

RG-ePortal服務(wù)器和RG-SAM服務(wù)器均實現(xiàn)了高性能高可用集群技術(shù)，在防攻擊的情況下，確保了整個認證計費系統(tǒng)的高可靠性和高性能。

Web準入身份認證的高性能和高可用性

準入認證在網(wǎng)絡(luò)邊緣即接入層交換機的每個端口處理，實現(xiàn)了最大程度的分布式，確保了網(wǎng)絡(luò)身份認證的高性能和無單點故障。

統(tǒng)一的Web Portal服務(wù)器采用高性能高可用群集技術(shù)，在負載均衡的同時，又實現(xiàn)冗余備份。

統(tǒng)一的RG-SAM認證計費管理服務(wù)器也采用高性能高可用集群技術(shù)，確保認證計費管理服務(wù)器的負載均衡、冗余備份、全網(wǎng)漫游、數(shù)據(jù)容災(zāi)。

Web準入身份認證的易用性和兼容性

不需要安裝客戶端程序，使用Web瀏覽器進行認證，不改變用戶上網(wǎng)習(xí)慣。

兼容20種以上的主流瀏覽器和包括Windows、Linux、MAC OS、SOLARIS等十幾種操作系統(tǒng)。

Web準入身份認證的智能性和融合性

接入交換機同時支持802.1x認證和Web認證，同一臺接入交換機可部分端口開啟802.1x認證，另一部分端口開啟Web認證，最重要的是同一臺接入交換機的同一端口還可同時開啟802.1x認證和Web認證，真正做到了認證接入方式的靈活選擇，極大方便了校園網(wǎng)環(huán)境中存在不同用戶群體的接入管理。

交換機可智能識別的同時，可以由SAM服務(wù)器統(tǒng)一管理用戶使用802.1x認證和Web認證的權(quán)限；還可實現(xiàn)管理同一賬號在不同的區(qū)域使用不同的認證方式，或在同一區(qū)域不同賬號使用不同認證方式。

系統(tǒng)提供標準的第三方接口，可以通過對接實現(xiàn)基于數(shù)字校園門戶的單點登陸，效果是一次認證實現(xiàn)了網(wǎng)絡(luò)層面的認證和數(shù)字校園應(yīng)用系統(tǒng)的同步認證。

【編輯推薦】

1. 范淵：Web應(yīng)用與數(shù)據(jù)庫安全剖析
2. 惡意軟件猖獗 Web開發(fā)者難辭其咎
3. 企業(yè)級Web安全滲透測試之SSL篇

分享名稱：Web準入認證—破除802.1x部署之爭
文章鏈接：http://m.5511xx.com/article/dhgdggp.html