在高校，網(wǎng)絡(luò)應(yīng)用普及，往往是最先嘗試最先進(jìn)的網(wǎng)絡(luò)技術(shù)的。然而，由于用戶群密集且活躍，校園網(wǎng)又成為安全問(wèn)題的“重災(zāi)區(qū)”，管理也更為復(fù)雜、困難。

隨著國(guó)際、國(guó)內(nèi)網(wǎng)絡(luò)安全事件的不斷升級(jí)，網(wǎng)絡(luò)安全和可信越來(lái)越被人們所關(guān)注。

眾所周知，身份認(rèn)證是建設(shè)安全可信網(wǎng)絡(luò)的前提條件。真實(shí)可信的網(wǎng)絡(luò)身份認(rèn)證體系一方面能夠讓惡意者在做有害行為之前有所顧忌，防微杜漸；另一方面也可以讓網(wǎng)絡(luò)管理者在安全事件發(fā)生后能準(zhǔn)確及時(shí)地找到肇事者，在一定程度上防止安全事件的再次發(fā)生。

同時(shí)，身份認(rèn)證能夠?qū)崿F(xiàn)校園網(wǎng)有限資源的再分配。系統(tǒng)獲取用戶的身份后，可以根據(jù)用戶身份的不同分配不同的資源使用權(quán)限，避免網(wǎng)絡(luò)資源的濫用和管理混亂。

目前教育行業(yè)中使用最多的認(rèn)證技術(shù)有802.1x技術(shù)、Web認(rèn)證技術(shù)和PPPOE技術(shù)等。PPPOE主要適用于運(yùn)營(yíng)商的接入控制和運(yùn)營(yíng)，加上自身技術(shù)的限制并不適合于高教校園網(wǎng)。這里主要談?wù)勀壳霸诟咝V受關(guān)注的802.1x技術(shù)和Web認(rèn)證技術(shù)。

802.1x準(zhǔn)入與Web準(zhǔn)出利弊兩現(xiàn)

目前，校園網(wǎng)身份認(rèn)證有兩種方式，一種是基于出口網(wǎng)關(guān)的Web準(zhǔn)出認(rèn)證，一種是在接入層進(jìn)行的802.1x準(zhǔn)入認(rèn)證。從保障校園網(wǎng)安全和管理的角度，校園網(wǎng)準(zhǔn)入身份認(rèn)證是非常必要的。可以說(shuō)校園網(wǎng)身份準(zhǔn)入認(rèn)證是保障內(nèi)網(wǎng)安全的需要、是有效運(yùn)營(yíng)管理的需要、是提高服務(wù)水平的需要；從另外一個(gè)角度來(lái)說(shuō)身份認(rèn)證是網(wǎng)絡(luò)準(zhǔn)入的基礎(chǔ)、網(wǎng)絡(luò)準(zhǔn)入是真實(shí)地址的基礎(chǔ)、真實(shí)地址是安全可信的基礎(chǔ)。

據(jù)統(tǒng)計(jì)，目前國(guó)內(nèi)高校中超過(guò)700所高校采用了802.1x技術(shù)進(jìn)行準(zhǔn)入認(rèn)證。很大程度上是緣于這種技術(shù)可以很好地做到“入網(wǎng)即認(rèn)證”，在用戶接入的入口，進(jìn)行精細(xì)的控制。包括各種元素的綁定、防止破解、防止代理、漫游控制等。做到徹底杜絕非法用戶進(jìn)入。然而這種技術(shù)自身也存在一定的應(yīng)用限制，例如：需要部署客戶端、分布式部署的工作量大、設(shè)備的關(guān)聯(lián)性較強(qiáng)等。

為了解決類似的問(wèn)題，有些學(xué)校開(kāi)始嘗試網(wǎng)關(guān)型的Web準(zhǔn)出認(rèn)證技術(shù)。這種技術(shù)的優(yōu)勢(shì)主要體現(xiàn)在部署方便、使用簡(jiǎn)單。既不需要配置大量的交換機(jī)，又不需要分發(fā)大量的客戶端。

但是這種方式存在一個(gè)致命的問(wèn)題，就是無(wú)法做到“入網(wǎng)即認(rèn)證”，內(nèi)網(wǎng)安全不可控。就如進(jìn)大門的時(shí)候不查證件，出大門的時(shí)候再查，從安全的角度來(lái)考慮，這個(gè)“大門”就有點(diǎn)形同虛設(shè)了。

那么，有沒(méi)有一種方式，將這兩種技術(shù)的優(yōu)點(diǎn)結(jié)合起來(lái)，規(guī)避主要的缺點(diǎn)，形成一個(gè)差異化、多樣化的防護(hù)體系呢？

我們可以再拿校園大門來(lái)比喻，高校可以給行人開(kāi)辟一個(gè)大門，機(jī)動(dòng)車開(kāi)辟一個(gè)大門。同樣的道理，數(shù)字化校園的準(zhǔn)入防護(hù)，也可以針對(duì)不同的用戶群體或者不同的接入地域，采取不同的準(zhǔn)入認(rèn)證方式，最終統(tǒng)一管理，統(tǒng)一控制。

對(duì)于宿舍網(wǎng)來(lái)說(shuō)，由于需要管理的內(nèi)容較多，建議采用802.1x的接入方式，進(jìn)行嚴(yán)格的控制和管理；對(duì)于辦公網(wǎng)來(lái)說(shuō)，其用戶主要是教職工，那么我們就采用Web準(zhǔn)入的方式進(jìn)行認(rèn)證和接入控制。這樣一方面，減少了802.1x的部署范圍，降低了維護(hù)的工作量，同時(shí)將該嚴(yán)格控制的用戶很好地管理起來(lái)；另一方面又可以將Web認(rèn)證控制到網(wǎng)絡(luò)的邊緣，大大加強(qiáng)了Web認(rèn)證的安全性，同時(shí)又方便了教職工用戶的使用。

那么，能否有一種方案既具有可控性和安全性同時(shí)又保留易用性和兼容性呢？銳捷網(wǎng)絡(luò)最新推出的基于接入交換機(jī)的Web準(zhǔn)入身份認(rèn)證解決方案，可以成為一個(gè)參考方案。

創(chuàng)新Web準(zhǔn)入認(rèn)證

銳捷網(wǎng)絡(luò)Web準(zhǔn)入認(rèn)證從用戶的使用習(xí)慣出發(fā)，在保留了802.1x的可控性和安全性之外，還結(jié)合了Web認(rèn)證的易用性和兼容性，將安全性和易用性進(jìn)行有機(jī)結(jié)合，不僅大大降低了用戶接受認(rèn)證的阻力，也更好地滿足了網(wǎng)絡(luò)的身份準(zhǔn)入安全和網(wǎng)絡(luò)易管理易部署的要求。

Web準(zhǔn)入身份認(rèn)證可控性和安全性

實(shí)現(xiàn)“入網(wǎng)即認(rèn)證”，確保合法用戶才能進(jìn)入內(nèi)部網(wǎng)絡(luò)，同時(shí)靈活動(dòng)態(tài)自動(dòng)綁定入網(wǎng)用戶的IP+MAC+端口綁定，確保了用戶IP地址的真實(shí)性，并能自動(dòng)防范ARP欺騙，有效解決ARP欺騙對(duì)網(wǎng)絡(luò)使用的影響。

接入認(rèn)證交換機(jī)在保證接入用戶合法性的同時(shí)，也注意加強(qiáng)自身的安全防護(hù)，支持防HTTP認(rèn)證請(qǐng)求報(bào)文的DoS攻擊、支持CPP等，確保接入認(rèn)證交換機(jī)本身的安全。

RG-ePortal服務(wù)器和RG-SAM服務(wù)器均實(shí)現(xiàn)了高性能高可用集群技術(shù)，在防攻擊的情況下，確保了整個(gè)認(rèn)證計(jì)費(fèi)系統(tǒng)的高可靠性和高性能。

Web準(zhǔn)入身份認(rèn)證的高性能和高可用性

準(zhǔn)入認(rèn)證在網(wǎng)絡(luò)邊緣即接入層交換機(jī)的每個(gè)端口處理，實(shí)現(xiàn)了最大程度的分布式，確保了網(wǎng)絡(luò)身份認(rèn)證的高性能和無(wú)單點(diǎn)故障。

統(tǒng)一的Web Portal服務(wù)器采用高性能高可用群集技術(shù)，在負(fù)載均衡的同時(shí)，又實(shí)現(xiàn)冗余備份。

統(tǒng)一的RG-SAM認(rèn)證計(jì)費(fèi)管理服務(wù)器也采用高性能高可用集群技術(shù)，確保認(rèn)證計(jì)費(fèi)管理服務(wù)器的負(fù)載均衡、冗余備份、全網(wǎng)漫游、數(shù)據(jù)容災(zāi)。

Web準(zhǔn)入身份認(rèn)證的易用性和兼容性

不需要安裝客戶端程序，使用Web瀏覽器進(jìn)行認(rèn)證，不改變用戶上網(wǎng)習(xí)慣。

兼容20種以上的主流瀏覽器和包括Windows、Linux、MAC OS、SOLARIS等十幾種操作系統(tǒng)。

Web準(zhǔn)入身份認(rèn)證的智能性和融合性

接入交換機(jī)同時(shí)支持802.1x認(rèn)證和Web認(rèn)證，同一臺(tái)接入交換機(jī)可部分端口開(kāi)啟802.1x認(rèn)證，另一部分端口開(kāi)啟Web認(rèn)證，最重要的是同一臺(tái)接入交換機(jī)的同一端口還可同時(shí)開(kāi)啟802.1x認(rèn)證和Web認(rèn)證，真正做到了認(rèn)證接入方式的靈活選擇，極大方便了校園網(wǎng)環(huán)境中存在不同用戶群體的接入管理。

交換機(jī)可智能識(shí)別的同時(shí)，可以由SAM服務(wù)器統(tǒng)一管理用戶使用802.1x認(rèn)證和Web認(rèn)證的權(quán)限；還可實(shí)現(xiàn)管理同一賬號(hào)在不同的區(qū)域使用不同的認(rèn)證方式，或在同一區(qū)域不同賬號(hào)使用不同認(rèn)證方式。

系統(tǒng)提供標(biāo)準(zhǔn)的第三方接口，可以通過(guò)對(duì)接實(shí)現(xiàn)基于數(shù)字校園門戶的單點(diǎn)登陸，效果是一次認(rèn)證實(shí)現(xiàn)了網(wǎng)絡(luò)層面的認(rèn)證和數(shù)字校園應(yīng)用系統(tǒng)的同步認(rèn)證。

【編輯推薦】

1. 范淵：Web應(yīng)用與數(shù)據(jù)庫(kù)安全剖析
2. 惡意軟件猖獗 Web開(kāi)發(fā)者難辭其咎
3. 企業(yè)級(jí)Web安全滲透測(cè)試之SSL篇