Web准入认证—破除802.1x部署之争

在高校，网络应用普及，往往是最先尝试最先进的网络技术的。然而，由于用户群密集且活跃，校园网又成为安全问题的“重灾区”，管理也更为复杂、困难。
随着国际、国内网络安全事件的不断升级，网络安全和可信越来越被人们所关注。

众所周知，身份认证是建设安全可信网络的前提条件。真实可信的网络身份认证体系一方面能够让恶意者在做有害行为之前有所顾忌，防微杜渐；另一方面也可以让网络管理者在安全事件发生后能准确及时地找到肇事者，在一定程度上防止安全事件的再次发生。

同时，身份认证能够实现校园网有限资源的再分配。系统获取用户的身份后，可以根据用户身份的不同分配不同的资源使用权限，避免网络资源的滥用和管理混乱。

目前教育行业中使用最多的认证技术有802.1x技术、Web认证技术和PPPOE技术等。PPPOE主要适用于运营商的接入控制和运营，加上自身技术的限制并不适合于高教校园网。这里主要谈谈目前在高校广受关注的802.1x技术和Web认证技术。

802.1x准入与Web准出利弊两现

目前，校园网身份认证有两种方式，一种是基于出口网关的Web准出认证，一种是在接入层进行的802.1x准入认证。从保障校园网安全和管理的角度，校园网准入身份认证是非常必要的。可以说校园网身份准入认证是保障内网安全的需要、是有效运营管理的需要、是提高服务水平的需要；从另外一个角度来说身份认证是网络准入的基础、网络准入是真实地址的基础、真实地址是安全可信的基础。

据统计，目前国内高校中超过700所高校采用了802.1x技术进行准入认证。很大程度上是缘于这种技术可以很好地做到“入网即认证”，在用户接入的入口，进行精细的控制。包括各种元素的绑定、防止破解、防止代理、漫游控制等。做到彻底杜绝非法用户进入。然而这种技术自身也存在一定的应用限制，例如：需要部署客户端、分布式部署的工作量大、设备的关联性较强等。

图表 1 准入方案示意图

为了解决类似的问题，有些学校开始尝试网关型的Web准出认证技术。这种技术的优势主要体现在部署方便、使用简单。既不需要配置大量的交换机，又不需要分发大量的客户端。

但是这种方式存在一个致命的问题，就是无法做到“入网即认证”，内网安全不可控。就如进大门的时候不查证件，出大门的时候再查，从安全的角度来考虑，这个“大门”就有点形同虚设了。

那么，有没有一种方式，将这两种技术的优点结合起来，规避主要的缺点，形成一个差异化、多样化的防护体系呢？

我们可以再拿校园大门来比喻，高校可以给行人开辟一个大门，机动车开辟一个大门。同样的道理，数字化校园的准入防护，也可以针对不同的用户群体或者不同的接入地域，采取不同的准入认证方式，最终统一管理，统一控制。

对于宿舍网来说，由于需要管理的内容较多，建议采用802.1x的接入方式，进行严格的控制和管理；对于办公网来说，其用户主要是教职工，那么我们就采用Web准入的方式进行认证和接入控制。这样一方面，减少了802.1x的部署范围，降低了维护的工作量，同时将该严格控制的用户很好地管理起来；另一方面又可以将Web认证控制到网络的边缘，大大加强了Web认证的安全性，同时又方便了教职工用户的使用。

那么，能否有一种方案既具有可控性和安全性同时又保留易用性和兼容性呢？锐捷网络最新推出的基于接入交换机的Web准入身份认证解决方案，可以成为一个参考方案。

创新Web准入认证

锐捷网络Web准入认证从用户的使用习惯出发，在保留了802.1x的可控性和安全性之外，还结合了Web认证的易用性和兼容性，将安全性和易用性进行有机结合，不仅大大降低了用户接受认证的阻力，也更好地满足了网络的身份准入安全和网络易管理易部署的要求。

Web准入身份认证可控性和安全性

实现“入网即认证”，确保合法用户才能进入内部网络，同时灵活动态自动绑定入网用户的IP+MAC+端口绑定，确保了用户IP地址的真实性，并能自动防范ARP欺骗，有效解决ARP欺骗对网络使用的影响。

接入认证交换机在保证接入用户合法性的同时，也注意加强自身的安全防护，支持防HTTP认证请求报文的DoS攻击、支持CPP等，确保接入认证交换机本身的安全。
RG-ePortal服务器和RG-SAM服务器均实现了高性能高可用集群技术，在防攻击的情况下，确保了整个认证计费系统的高可靠性和高性能。

Web准入身份认证的高性能和高可用性

准入认证在网络边缘即接入层交换机的每个端口处理，实现了最大程度的分布式，确保了网络身份认证的高性能和无单点故障。

统一的Web Portal服务器采用高性能高可用群集技术，在负载均衡的同时，又实现冗余备份。

统一的RG-SAM认证计费管理服务器也采用高性能高可用集群技术，确保认证计费管理服务器的负载均衡、冗余备份、全网漫游、数据容灾。

Web准入身份认证的易用性和兼容性

不需要安装客户端程序，使用Web浏览器进行认证，不改变用户上网习惯。

兼容20种以上的主流浏览器和包括Windows、Linux、MAC OS、SOLARIS等十几种操作系统。

Web准入身份认证的智能性和融合性

接入交换机同时支持802.1x认证和Web认证，同一台接入交换机可部分端口开启802.1x认证，另一部分端口开启Web认证，最重要的是同一台接入交换机的同一端口还可同时开启802.1x认证和Web认证，真正做到了认证接入方式的灵活选择，极大方便了校园网环境中存在不同用户群体的接入管理。

交换机可智能识别的同时，可以由SAM服务器统一管理用户使用802.1x认证和Web认证的权限；还可实现管理同一账号在不同的区域使用不同的认证方式，或在同一区域不同账号使用不同认证方式。

系统提供标准的第三方接口，可以通过对接实现基于数字校园门户的单点登陆，效果是一次认证实现了网络层面的认证和数字校园应用系统的同步认证。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友