本站原创“华东师范大学是一个文科学校,很多老师喜欢在家中办公,学生也希望检测期在家中访问校园网学习资源.”华东师范大学网络中心副主任常潘经常接到这样的反馈.
校务管理人员和教师经常不在校园网内,远程安全访问已经成为急需解决的一大问题.
接入的控制
为了解决该问题,2008年华东师范大学选择了ArrayNetworksUAC(UniversalAccessControl,统一接入控制)解决方案.通过这一系统,大学师生从校外公网接入只需经过SSLVPN的认证和授权,就会在登录后被分配一个虚拟的网卡.由于其地址体系是校内的统一地址体系,用户无论使用任何运营商的宽带接入怎么写作,都可以通过SSLVPN隧道方式访问校内资源.
华东师范大学为了方便师生上网,还提供了WLAN接入.但802.11x自带的加密和验证标准很容易受到攻击,带来非授权访问、攻击等一系列问题.华东师范大学也意识到,在部署WLAN时不仅要考虑WLAN设备本身的认证、授权加密,还要增加在用户认证授权、应用控制层面的安全访问控制等措施.
ArrayNetworks的UAC方案也特别考虑到WLAN的安全访问问题,在WLAN的环境中,将ArraySPXUAC网关部署在AP(AccessPoint)与企业的路由器之间.同样,由于不需要安装客户端程序,远程和本地用户基本上不需要IT部门的支持就可以随时随地从任何安装了支持SSL协议浏览器的客户端访问企业网络.
据ArrayNetworks中国公司解决方案经理吴跃鹏介绍,除了WLAN的接入控制外,ArrayNetworks也正在研发基于蜂窝移动通信的接入控制,以实现与移动办公系统的契合.
ArraySPXUAC解决方案的另一优势是对WLAN设备兼容性很高,不论是哪个厂家的产品,不论WLAN采用何种具体的协议,都可以实现接入控制功能,早期购写WLAN产品的用户也依然可以使用,对今后802.11n等一系列新标准版本也完全能够兼容.
从NAC到UAC
吴跃鹏说,ArrayNetworks提供的并不是简单的NAC(网络接入控制),而是包括网络接入控制、用户接入控制、对应用的全程控制、客户端控制、审计计费及安全分析在内的UAC.
事实上,除了用户身份鉴权、接入设备鉴权、认证和授权提供访问控制外,ArraySPXUAC还能够实现客户端安全状态检测、接入设备鉴权、安全隔离和纠正、高强度不可逆的数据加密、基于网络和资源的细粒度访问控制以及计费系统/日志系统的集成等一系列功能.
通过把ArrayNetworks认证功能和城市热点的Radius计费系统相结合,华东师范大学实现了针对教职员工、全日制学生以及自考生、网络学院学生等不同用户的不同计费策略.同时,SSLVPN还可以和WLAN的接入认证和计费系统一起配合来控制WLAN接入用户的访问权限,允许或禁止访问某些网段、是否可以访问公网等接入控制.
再比如,在华东师范WLAN接入控制中,ArraySPXUAC网关就提供了一系列终端安全检测的方法和防护措施,结合企业的隔离和纠正策略,克服了WLAN固有的安全缺陷,对于访客也能够提供适当的WLAN接入权限,提高企业的业务效率.
作为高校信息化先行者的华东师范大学,率先感受到网络建设只是信息化的开始,控制、管理以及计费等一系列策略的实现才是信息化的中心内容.