华东师范大学:安全接入 统一控制

那罡

“华东师范大学是一个文科学校,很多老师喜欢在家中办公,学生也希望假期在家中访问校园网学习资源。”华东师范大学网络中心副主任常潘经常接到这样的反馈。

校务管理人员和教师经常不在校园网内,远程安全访问已经成为急需解决的一大问题。

接入的控制

为了解决该问题,2008年华东师范大学选择了Array Networks UAC(Universal Access Control,统一接入控制)解决方案。通过这一系统,大学师生从校外公网接入只需经过SSL VPN的认证和授权,就会在登录后被分配一个虚拟的网卡。由于其地址体系是校内的统一地址体系,用户无论使用任何运营商的宽带接入服务,都可以通过SSL VPN隧道方式访问校内资源。

华东师范大学为了方便师生上网,还提供了WLAN接入。但802.11x自带的加密和验证标准很容易受到攻击,带来非授权访问、黑客攻击等一系列问题。华东师范大学也意识到,在部署WLAN时不仅要考虑WLAN设备本身的认证、授权加密,还要增加在用户认证授权、应用控制层面的安全访问控制等措施。

Array Networks的UAC方案也特别考虑到WLAN的安全访问问题,在WLAN的环境中,将Array SPX UAC网关部署在AP(Access Point)与企业的路由器之间。同样,由于不需要安装客户端程序,远程和本地用户基本上不需要IT部门的支持就可以随时随地从任何安装了支持SSL协议浏览器的客户端访问企业网络。

据Array Networks中国公司解决方案经理吴跃鹏介绍,除了WLAN的接入控制外,Array Networks也正在研发基于蜂窝移动通信的接入控制,以实现与移动办公系统的契合。

Array SPX UAC解决方案的另一优势是对WLAN设备兼容性很高,不论是哪个厂家的产品,不论WLAN采用何种具体的协议,都可以实现接入控制功能,早期购买WLAN产品的用户也依然可以使用,对今后802.11n等一系列新标准版本也完全能够兼容。

从NAC到UAC

吴跃鹏说,Array Networks提供的并不是简单的NAC(网络接入控制),而是包括网络接入控制、用户接入控制、对应用的全程控制、客户端控制、审计计费及安全分析在内的UAC。

事实上,除了用户身份鉴权、接入设备鉴权、认证和授权提供访问控制外,Array SPX UAC还能够实现客户端安全状态检测、接入设备鉴权、安全隔离和纠正、高强度不可逆的数据加密、基于网络和资源的细粒度访问控制以及计费系统/日志系统的集成等一系列功能。

通过把Array Networks认证功能和城市热点的Radius计费系统相结合,华东师范大学实现了针对教职员工、全日制学生以及自考生、网络学院学生等不同用户的不同计费策略。同时,SSL VPN还可以和WLAN的接入认证和计费系统一起配合来控制WLAN接入用户的访问权限,允许或禁止访问某些网段、是否可以访问公网等接入控制。

再比如,在华东师范WLAN接入控制中,Array SPX UAC网关就提供了一系列终端安全检测的方法和防护措施,结合企业的隔离和纠正策略,克服了WLAN固有的安全缺陷,对于访客也能够提供适当的WLAN接入权限,提高企业的业务效率。

作为高校信息化先行者的华东师范大学,率先感受到网络建设只是信息化的开始,控制、管理以及计费等一系列策略的实现才是信息化的中心内容。