前言
近年來,網絡病毒泛濫、安全事件頻頻發生可以說是一個總趨勢。從IDC網絡安全調查數據來看,網絡的安全威脅主要來自三個方面:第一、網絡的惡意破壞者,也就是我們所說的黑客,造成的正常網絡服務的不可用、系統數據的破壞;第二、無辜的內部人員造成的網絡數據的破壞、網絡病毒的蔓延擴散、木馬的傳播;第三、就是別有用心的間諜人員,通過竊取他人身份進行越權數據訪問,以及偷取機密的或者他人的私密信息。其中,由于內部人員而造成的網絡安全問題占到了70%。
縱觀校園網安全現狀,我們會發現同樣符合上面的規律,即安全主要來自這三方面。而其中,來自校園網內部的安全事件占到了絕大多數。這與校園網的用戶是息息相關的。一方面,學生——這群精力充沛的年輕一族對新鮮事物有著強烈的好奇心,他們有著探索的高智商和沖勁,卻缺乏全面思考的責任感。同時網絡也使得黑客工具等的獲取更加的輕松。另一方面,校園網內卻又存在著很多這樣的用戶,他們使用網絡來獲取資料,在網絡上辦公、娛樂,但是安全意識卻明顯薄弱,他們不愿意或者疏于安裝防火墻、殺毒軟件。
高校園區網絡接入認證計費需求分析
■ 接入可控需求
首先,要能實現各種方式的靈活接入。隨著技術的發展,網絡的接入將是IPv4+IPv6的綜合環境。這就要求IPv4和IPv6兩種環境下也都要能夠保證只有申請開通的合法用戶才可以使用網絡。其次,要能對各種接入都能進行有效的控制。既能夠對接入用戶進行帳號與IP、MAC、端口等多元素綁定,以唯一確定用戶身份,同時做到準確定位;又能針對目前學生沉迷于網絡,以至于影響學業的實際情況,需要能夠對用戶的接入上網時間段做靈活的控制。
■ 網絡安全需求
近年來,網絡病毒泛濫、安全事件頻頻發生。那么,在校園網絡這樣一個特殊的用戶群環境中,如何保證網絡的安全運行? 這就提出了“被動式安全”和“主動式安全”的需求:
在發生安全事件的時候,我們要有應對措施。第一,需要設備本身具備強大的安全防護能力(如:防DoS攻擊,防DHCP攻擊,防掃描等);第二,某學生在網絡發布不良言論或者進行網絡攻擊后,我們要能夠通過日志審查,精確定位到個人。 由于都是安全事件發生后采取的應對措施,所以稱之為“被動式安全”。
■ 網絡高性能需求
第一,近年校內注冊上網用戶數呈爆炸式增長。這主要是由于的招生人數的增加,以及電腦的日益普及。因此,需要系統認證計費效率高,用戶的認證和計費不會對網絡性能造成瓶頸。與此同時,系統需要能支持幾萬及以上用戶同時在線并正常運行,而用戶不會感覺網絡速度慢。
第二,校園網的一個特點就是:上網的時間相對比較集中(主要集中在晚間和節假日),所以在此時段網絡訪問流量會較大,在一些特殊時候可能會出現大量的網絡突發流量。這對系統保持高性能,提供可靠運行提出了更高的要求。
■ 計費需求
首先,很重要一點就是要有一套能夠符合學校運營管理特點的計費策略。提供針對不同用戶的不同計費需求的靈活的計費策略的支持,詳細包括:1)對于上網時間較長的可以采取包年、包月、包學期等方式;2)對于上網時間不是特別長的,可能需要計時長、或者計天的方式;3)有些師生認為自己僅僅偶爾上網看看網頁,聊聊天,自己流量不大,很希望能夠按流量或者計天但是當天不使用不扣費的模式;同時學校收費和學生繳費是一對天然的矛盾,學生會通過私設代理等方式逃避收費,這就要求能夠防止學生架設代理服務器、避免一個帳號多人,做到公平公正。
■ 用戶管理需求
對于用戶管理,最重要的是能夠實現事前的身份認證和準確定位、事中的實時處理、事后的完整日志審計。事前的認證和定位是指可嚴格實現用戶身份識別,根據用戶賬號、密碼、MAC地址、IP地址、交換機IP、交換機端口號、用戶所在VLAN的靈活組合,來識別用戶身份。將網絡中的虛擬用戶和生活中的真實用戶相對應;事中的實時處理是指對于正在使用網絡的用戶,如果出現私自撥號上網、使用代理、更改IP地址等,認證計費系統會強制用戶下線。事后的日志審計是指記錄用戶上網的詳細信息(包括用戶名、IP、MAC等)及完整的用戶訪問外網的記錄(包括源IP、目的IP、源端口、目的端口、訪問時間),一旦出現安全事件,可以進行快速完整的審計,迅速定位到個人。
邁普校園網接入認證計費解決方案
MyPower NetSmart Pro接入認證計費系統是邁普公司自主開發的新一代接入認證計費網絡產品。MyPower NetSmart Pro接入認證計費系統是一套可跨平臺管理的安全接入控制與認證計費綜合管理系統,系統采用標準Radius協議、擴展Radius協議和邁普系列交換機所擴展的增強型802.1x協議,可以實現對標準/增強型的802.1x、PPPoE、Web+DHCP等各種的認證授權計費功能,向用戶提供靈活、安全的用戶認證、管理和計費應用。MyPower NetSmart Pro接入認證計費系統能夠為校園、企業、寬帶小區提供可管理、可運營的完整的解決方案。
MyPower NetSmart Pro接入認證計費系統由多款產品組成:MyPower NetSmart Pro接入認證計費軟件、MyPower NetSmart AG4000出口網關、MyPower NetSmart AG8000出口網關,可以滿足不同規模、不同要求的客戶需求。
■ 全面的標準/增強型的802.1x、PPPoE、Web+DHCP的認證計費功能
MyPower NetSmart Pro接入認證計費系統支持802.1x、PPPoE、Web+DHCP的認證。MyPower NetSmart Pro接入認證計費系統在采用802.1x增強型協議進行認證時,系統不僅提供了用戶名、密碼、用戶IP、用戶MAC、交換機IP、交換機端口、所在VLAN等6元素綁定策略,還提供了對單一用戶的多條綁定策略的列表功能,支持特定用戶的移動上網認證的能力,可實現合法用戶是否允許使用代理、上下行帶寬、VLAN、用戶動態IP地址等多種授權管理方式。MyPower NetSmart Pro接入認證計費系統使用出口網關時,還支持標準的PPPOE和web認證方式,可以滿足非802.1x用戶的使用。
■ 強大的接入處理能力,海量用戶處理性能
邁普MyPower NetSmart Pro接入認證計費系統采用軟硬件分離的技術,將數據和管理分離,保證了數據轉發的高效性。MyPower NetSmart AG4000/AG8000出口網關采用專用的實時操作系統和加速處理器,在大量用戶接入時仍然可以保障其網絡數據包轉發的實時性,滿足所有端口最大速率轉發的要求。MyPower NetSmart Pro接入認證計費軟件根據安裝的服務器平臺的性能可以提供不同的接入處理能力,利用多線程并發處理的方式,可處理認證計費報文的能力為大于2000個用戶/秒。
■ 靈活的計費方式、計費策略、用戶管理
針對計費相關功能,邁普MyPower NetSmart Pro接入認證計費系統對上一代計費系統的使用模式進行了總結,提供更加靈活的計費方式、計費策略和用戶管理,更加貼近客戶的使用模式。為實現對用戶管理上的方便,邁普提供了基于組的用戶管理和基于模板的多種開戶方式,這些用戶組可以按地址位置的不同進行劃分,也可以按用戶的計費類別等進行劃分;同時還支持單用戶模板開戶、集體從文件中批量導入開戶、卡開戶等方式,可以節省大量開戶時的重復性工作,提高管理人員的工作效率。對于計費方式和計費策略,用戶可以通過web自服務的方式,對自己的計費方式和計費策略進行管理,提高了系統的可用性。
■ 完善方便的設備安全管理措施,全面提高網絡安全性
作為涉及收費的業務系統,邁普MyPower NetSmart Pro接入認證計費系統將安全管理措施作為重要的功能,進行了全面的設計。對于web認證方式,在用戶瀏覽器認證請求的傳送采用PPP的CHAP算法對用戶口令進行MD5加密,可以有效防范惡意用戶的SYNFLOOD攻擊和大量模擬WEB請求猜測密碼的攻擊;基于WEB應用層的KEEP-ALIVE機制使得系統和用戶之間保持定時的連接狀態監測,可以準確的記錄時長,同時也防止在沒有IP和MAC地址綁定的環境中或者普通跨三層應用中的IP盜用,保障用戶方和運營方雙方的利益。對于802.1X認證方式,采取邁普公司專用的認證客戶端時,進一步提高了設備的數據安全性,可以有效防止用戶進行反編譯等破解行為。
■ 多種穩定技術,提供運營商級別的可靠性
MyPower NetSmart Pro接入認證計費系統采用專用的網絡操作系統和專用底層硬件產品,保證了設備的可靠性,提高了抗攻擊能力。同時系統在操作系統任務級別對認證計費服務進程的狀態進行監控,當服務進程出現異常時,可以對異常服務進程進行修正,保證整個系統的高穩定性。通過遠程管理維護界面,可以對設備的工作狀態進行監控,當出現網絡故障或者設備故障時,可以對用戶進行告警。
■ 圖形化界面,支持遠程管理;網絡拓撲顯示功能,方便用戶的網絡維護
MyPower NetSmart Pro接入認證計費系統采取全圖形化界面,可方便的進行本地管理;同時系統還支持將系統管理工具安裝在多臺遠程計算機上,實現通過網絡對服務器程序的遠程多點并發管理能力,方便了管理人員的管理。MyPower NetSmart Pro接入認證計費系統同時可以提供網絡結構拓撲圖顯示,可以對系統在線用戶數量進行統計,同時可以對網絡設備執行Ping和Telnet操作,提供簡單的維護界面。
關鍵特性
■ 全面的標準/增強型的802.1x、PPPoE、Web+DHCP的認證計費功能
■ 強大的接入處理能力,海量的用戶處理性能
■ 靈活實用的計費方式、計費策略、用戶管理
■ 完善、方便的設備安全管理措施,全面提高網絡安全性
■ 多種穩定技術,提供運營商級別的可靠性
■ 圖形化界面,支持遠程管理;網絡拓撲顯示功能,方便用戶的網絡維護 
