融合安全 易用领先——校园网准入准出一体化解决方案（副本）.pdf

合安全 易用领先——校园网准入准出一体化解决方案 1. 前言 随着校园信息化的日渐深入 ，校园网规模及应用的快速发展 ，校园网的安全、运营、管 理等话题又被网络管理者重新重视起来。最初的网络认证是为了保证用户公平的使用网络和 出口线路资费的收支平衡 ，很多高校都在出口架设认证网关设备做准出认证 ，实现通过认证 的用户可以访问外部网络，未认证用户只能访问内网的管理模式。但随着网络安全问题的扩 大 ，网络病毒及攻击的日益猖獗 ，由于准出认证不能很好的对内网做有效的管理和控制 ，所 以不少管理者开始使用内网准入认证。一方面实现了入网即认证 ，在网络边缘即可实现安全 准入 ；另一方面通过用户的 IP+MAC+PORT 等网络元素的绑定实现了真实可信的安全网 络，从接入端口阻止了所有不真实、不符合规则的非法报文。 从大规模应用的案例来看 ，准出认证更多的是为了计费和管理方便 ，而准入认证则更多 的是为了实现内网安全可控和计费，其实校园网的管理应该两方面都要兼顾 ，既要保证计费 的灵活和方便又要保证网络的安全可控 ，这就对网络解决方案供应商提出了更高的要求。锐 捷网络作为国际知名的网络解决方案供应商一直扎根于教育市场 ，对这个问题也有深刻的理 解。 2. 校园网准入准出一体化解决方案 准入认证 准入认证是为了验证身份 ，包括接入网络中的用户 识（User ID ）、主机 识（MAC ）、 网络标识（IP ），确保网络用户身份的合法、真实 ；同时，可以有效地防止账号盗用、防IP 篡改、防 MAC 篡改 ，实现内网的安全、可控、易定位和强审计。从根本上杜绝包括 ARP 欺骗攻击在内的所有源地址欺骗类攻击与病毒的发生。 802.1X 准入认证 通过接入交换机实现入网即认证，可以通过在接入交换机开启 User+IP+Mac+ Port 的网络元素绑定功能 ，拒绝转发任何一个不真实的伪造报文 ，将真实 1 / 5 校园网准入准出一体化解决方案 可信实现在网络的最边缘 ，同时可以结合安装在用户终端上的特定客户端程序实现非法代理 服务器检测、发送在线短消息、杀毒软件联动、系统漏洞扫描等高级安全功能。 WEB 准入认证 在实现入网即认证的同时，也可以绑定用户的网络元素 ，实现真实可 信的网络，同时不需要在用户终端安装特定的客户端程序 ，只需要使用用户终端上的浏览器 既可以实现认证过程。同时通过浏览器也可实现下发送消息、公告等功能。 准出认证 准出认证是为了区分权限 ，需要针对某个网络用户是否可访问校 、可使用多少流量、 可占用多少出口带宽等进行定义。同时，基于校园网准出认证 ，可以满足基于时长、流量、 带宽三者独立 任意组合的计费策略 ，适应普遍存在的校内免费、校 收费的计费需求。 2 / 5 校园网准入准出一体化解决方案 基于带宽的出口授权方式在运营商网络内得到了普遍的应用 ，可以针对不同的用户分配 不同的带宽保障 ，这种保障不同于传统流控设备那种基于IP 地址识别和控制的方法 ，而是 可以基于用户的，无论用户移动或漫游到什么地方 ，使用哪个IP 地址都可以获得与这个用 户相对应的带宽保障。 准入准出一体化 两次认证一体化 在做准入认证的同时根据用户的需要和权限开放相应的出口权限。将 准入和准出两次单独的认证合为一次完成 ，用户可以在未认证之前自由的选择本次认证访问 的范围 ，也可以在上网过程中根据需要自由的切换。 认证方式一体化 准入和准出两种认证方式都可使用客户端 浏览器方式认证 ，在准入 认证中可以使用 SU 客户端做 802.1X 认证，也可以使用浏览器做WEB 认证。在做准入准 出认证中也同时可以支持SU 客户端 浏览器方式认证。 用户管理一体化 准入和准出认证使用同一个认证管理平台 ，用户使用同一套账号和密 码进行认证。RG-SAM 可以灵活的对用户做个性化的设置和管理，在满足管理员精细管理 需求的同时，也保证了网络用户完美的客户体验。 其他特性： 无线认证融合 对于无线网络而言准入和准出认证也是必要的，由于无线网络本身具有 移动性和漫游等特点 ，导致对于网络的准入审计和准出控制都提出了很大的挑战。结合当前