[周报全文]网络准入:校园网的“第一”行为规范

2009-11-25 |  作者:网界网 张彤 |  来源:独家 |  查看原文

摘要日前,中国教育网络技术论坛(COST)第六期沙龙在清华大学举行。来自集美大学、中国人民大学、北京大学、清华大学、业内厂商以及教育界信息化建设领域的专家出席了本次沙龙,并就校园网需要建立准入认证机制进行了探讨...

【CNW.com.cn 专稿】日前,中国教育网络技术论坛(COST)第六期沙龙在清华大学举行。来自集美大学、中国人民大学、北京大学、清华大学、业内厂商以及教育界信息化建设领域的专家出席了本次沙龙,并就校园网需要建立准入认证机制进行了探讨。

到底什么样的网络才是一个好的校园网?CERNET专家李星教授认为,判断一个好网络的标准有四点:第一是低成本,包括建设和运行、管理、维护,拓扑结构简单,能实现技术规范、标准,而且简单,具备良好的支持系统和工具;第二是高性能,充足的传输带宽和数据转发能力等强度、无瓶颈,充分的性能可发挥性;第三是安全可靠,具有容错性、自愈性、隔离性、自防护能力,抗冲击,有足够的性能储备;第四是可追查,网络故障和用户行为的可追查、可回溯、可定位,即可实现审计校园。

据统计,目前国内高校中有超过700所高校采用了802.1x技术进行准入认证。很大程度上是缘于这种技术可以很好地做到“入网即认证”,在用户接入的入口进行精细的控制。包括各种元素的绑定、防止破解、防止代理、漫游控制等。做到彻底杜绝非法用户进入。然而这种技术自身也存在一定的应用限制。例如:需要部署客户端、分布式部署的工作量大、设备的关联性较强等。

为了解决类似的问题,有些学校开始尝试网关型的Web准出认证技术。这种技术的优势主要体现在部署方便、使用简单。既不需要配置大量的交换机,又不需要分发大量的客户端。

但是这种方式存在一个致命的问题,就是无法做到“入网即认证”,内网安全不可控。就如进大门的时候不查证件,出大门的时候再查,从安全的角度来考虑,这个“大门”就有点形同虚设了。

那么,有没有一种方式将这两种技术的优点结合起来,规避主要的缺点(+关注网络世界),形成一个差异化、多样化的防护体系呢?再拿校园大门来比喻,高校可以给行人开辟一个大门,给机动车开辟一个大门。同样的道理,数字化校园的准入防护,也可以针对不同的用户群体或者不同的接入地域,采取不同的准入认证方式,最终统一管理,统一控制。

对于宿舍网来说,由于需要管理的内容较多,建议采用802.1x的接入方式,进行严格的控制和管理。对于办公网来说,其用户主要是教职工,那么就采用Web准入的方式进行认证和接入控制。这样一方面减少了802.1x的部署范围,降低了维护工作量,将该严格控制的用户很好地管理起来;另一方面又可以将Web认证控制到网络的边缘,大大加强了Web认证的安全性,同时又方便了教职工用户的使用。

那么,能否有一种方案既具有可控性和安全性,同时又保留易用性和兼容性呢?在现场的讨论中,专家以锐捷网络基于接入交换机的Web准入身份认证解决方案,作为实现“入网即认证”的参考进行了分析。用户可使接入交换机同时支持802.1x认证和Web认证。同一台接入交换机可部分端口开启802.1x认证,另一部分端口开启Web认证。最重要的是同一台接入交换机的同一端口还可同时开启802.1x认证和Web认证。这样就做到了认证接入方式的灵活选择,极大方便了校园网环境中存在不同用户群体的接入管理。另外,系统还必须提供标准的第三方接口,可以通过对接实现基于数字校园门户的单点登录。效果是一次认证,实现了网络层面的认证和数字校园应用系统的同步认证。(更多内容详见http://www.cnw.com.cn/P/1931)

相关文章