C114通信网  |  通信人家园

专题
2009/7/17 15:27

灵活管控 安全无忧——迈普通信接入认证计费解决方案

C114中国通信网  

前言

近年来,网络病毒泛滥、安全事件频频发生可以说是一个总趋势。从IDC网络安全调查数据来看,网络的安全威胁主要来自三个方面:第一、网络的恶意破坏者,也就是我们所说的黑客,造成的正常网络服务的不可用、系统数据的破坏;第二、无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播;第三、就是别有用心的间谍人员,通过窃取他人身份进行越权数据访问,以及偷取机密的或者他人的私密信息。其中,由于内部人员而造成的网络安全问题占到了70%。

纵观校园网安全现状,我们会发现同样符合上面的规律,即安全主要来自这三方面。而其中,来自校园网内部的安全事件占到了绝大多数。这与校园网的用户是息息相关的。一方面,学生——这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索的高智商和冲劲,却缺乏全面思考的责任感。同时网络也使得黑客工具等的获取更加的轻松。另一方面,校园网内却又存在着很多这样的用户,他们使用网络来获取资料,在网络上办公、娱乐,但是安全意识却明显薄弱,他们不愿意或者疏于安装防火墙、杀毒软件。

高校园区网络接入认证计费需求分析

■ 接入可控需求

首先,要能实现各种方式的灵活接入。随着技术的发展,网络的接入将是IPv4+IPv6的综合环境。这就要求IPv4和IPv6两种环境下也都要能够保证只有申请开通的合法用户才可以使用网络。其次,要能对各种接入都能进行有效的控制。既能够对接入用户进行帐号与IP、MAC、端口等多元素绑定,以唯一确定用户身份,同时做到准确定位;又能针对目前学生沉迷于网络,以至于影响学业的实际情况,需要能够对用户的接入上网时间段做灵活的控制。

■ 网络安全需求

近年来,网络病毒泛滥、安全事件频频发生。那么,在校园网络这样一个特殊的用户群环境中,如何保证网络的安全运行? 这就提出了“被动式安全”和“主动式安全”的需求:

在发生安全事件的时候,我们要有应对措施。第一,需要设备本身具备强大的安全防护能力(如:防DoS攻击,防DHCP攻击,防扫描等);第二,某学生在网络发布不良言论或者进行网络攻击后,我们要能够通过日志审查,精确定位到个人。 由于都是安全事件发生后采取的应对措施,所以称之为“被动式安全”。

■ 网络高性能需求

第一,近年校内注册上网用户数呈爆炸式增长。这主要是由于的招生人数的增加,以及电脑的日益普及。因此,需要系统认证计费效率高,用户的认证和计费不会对网络性能造成瓶颈。与此同时,系统需要能支持几万及以上用户同时在线并正常运行,而用户不会感觉网络速度慢。

第二,校园网的一个特点就是:上网的时间相对比较集中(主要集中在晚间和节假日),所以在此时段网络访问流量会较大,在一些特殊时候可能会出现大量的网络突发流量。这对系统保持高性能,提供可靠运行提出了更高的要求。

■ 计费需求

首先,很重要一点就是要有一套能够符合学校运营管理特点的计费策略。提供针对不同用户的不同计费需求的灵活的计费策略的支持,详细包括:1)对于上网时间较长的可以采取包年、包月、包学期等方式;2)对于上网时间不是特别长的,可能需要计时长、或者计天的方式;3)有些师生认为自己仅仅偶尔上网看看网页,聊聊天,自己流量不大,很希望能够按流量或者计天但是当天不使用不扣费的模式;同时学校收费和学生缴费是一对天然的矛盾,学生会通过私设代理等方式逃避收费,这就要求能够防止学生架设代理服务器、避免一个帐号多人,做到公平公正。

■ 用户管理需求

对于用户管理,最重要的是能够实现事前的身份认证和准确定位、事中的实时处理、事后的完整日志审计。事前的认证和定位是指可严格实现用户身份识别,根据用户账号、密码、MAC地址、IP地址、交换机IP、交换机端口号、用户所在VLAN的灵活组合,来识别用户身份。将网络中的虚拟用户和生活中的真实用户相对应;事中的实时处理是指对于正在使用网络的用户,如果出现私自拨号上网、使用代理、更改IP地址等,认证计费系统会强制用户下线。事后的日志审计是指记录用户上网的详细信息(包括用户名、IP、MAC等)及完整的用户访问外网的记录(包括源IP、目的IP、源端口、目的端口、访问时间),一旦出现安全事件,可以进行快速完整的审计,迅速定位到个人。

迈普校园网接入认证计费解决方案

MyPower NetSmart Pro接入认证计费系统是迈普公司自主开发的新一代接入认证计费网络产品。MyPower NetSmart Pro接入认证计费系统是一套可跨平台管理的安全接入控制与认证计费综合管理系统,系统采用标准Radius协议、扩展Radius协议和迈普系列交换机所扩展的增强型802.1x协议,可以实现对标准/增强型的802.1x、PPPoE、Web+DHCP等各种的认证授权计费功能,向用户提供灵活、安全的用户认证、管理和计费应用。MyPower NetSmart Pro接入认证计费系统能够为校园、企业、宽带小区提供可管理、可运营的完整的解决方案。

MyPower NetSmart Pro接入认证计费系统由多款产品组成:MyPower NetSmart Pro接入认证计费软件、MyPower NetSmart AG4000出口网关、MyPower NetSmart AG8000出口网关,可以满足不同规模、不同要求的客户需求。

■ 全面的标准/增强型的802.1x、PPPoE、Web+DHCP的认证计费功能

MyPower NetSmart Pro接入认证计费系统支持802.1x、PPPoE、Web+DHCP的认证。MyPower NetSmart Pro接入认证计费系统在采用802.1x增强型协议进行认证时,系统不仅提供了用户名、密码、用户IP、用户MAC、交换机IP、交换机端口、所在VLAN等6元素绑定策略,还提供了对单一用户的多条绑定策略的列表功能,支持特定用户的移动上网认证的能力,可实现合法用户是否允许使用代理、上下行带宽、VLAN、用户动态IP地址等多种授权管理方式。MyPower NetSmart Pro接入认证计费系统使用出口网关时,还支持标准的PPPOE和web认证方式,可以满足非802.1x用户的使用。

■ 强大的接入处理能力,海量用户处理性能

迈普MyPower NetSmart Pro接入认证计费系统采用软硬件分离的技术,将数据和管理分离,保证了数据转发的高效性。MyPower NetSmart AG4000/AG8000出口网关采用专用的实时操作系统和加速处理器,在大量用户接入时仍然可以保障其网络数据包转发的实时性,满足所有端口最大速率转发的要求。MyPower NetSmart Pro接入认证计费软件根据安装的服务器平台的性能可以提供不同的接入处理能力,利用多线程并发处理的方式,可处理认证计费报文的能力为大于2000个用户/秒。

■ 灵活的计费方式、计费策略、用户管理

针对计费相关功能,迈普MyPower NetSmart Pro接入认证计费系统对上一代计费系统的使用模式进行了总结,提供更加灵活的计费方式、计费策略和用户管理,更加贴近客户的使用模式。为实现对用户管理上的方便,迈普提供了基于组的用户管理和基于模板的多种开户方式,这些用户组可以按地址位置的不同进行划分,也可以按用户的计费类别等进行划分;同时还支持单用户模板开户、集体从文件中批量导入开户、卡开户等方式,可以节省大量开户时的重复性工作,提高管理人员的工作效率。对于计费方式和计费策略,用户可以通过web自服务的方式,对自己的计费方式和计费策略进行管理,提高了系统的可用性。

■ 完善方便的设备安全管理措施,全面提高网络安全性

作为涉及收费的业务系统,迈普MyPower NetSmart Pro接入认证计费系统将安全管理措施作为重要的功能,进行了全面的设计。对于web认证方式,在用户浏览器认证请求的传送采用PPP的CHAP算法对用户口令进行MD5加密,可以有效防范恶意用户的SYNFLOOD攻击和大量模拟WEB请求猜测密码的攻击;基于WEB应用层的KEEP-ALIVE机制使得系统和用户之间保持定时的连接状态监测,可以准确的记录时长,同时也防止在没有IP和MAC地址绑定的环境中或者普通跨三层应用中的IP盗用,保障用户方和运营方双方的利益。对于802.1X认证方式,采取迈普公司专用的认证客户端时,进一步提高了设备的数据安全性,可以有效防止用户进行反编译等破解行为。

■ 多种稳定技术,提供运营商级别的可靠性

MyPower NetSmart Pro接入认证计费系统采用专用的网络操作系统和专用底层硬件产品,保证了设备的可靠性,提高了抗攻击能力。同时系统在操作系统任务级别对认证计费服务进程的状态进行监控,当服务进程出现异常时,可以对异常服务进程进行修正,保证整个系统的高稳定性。通过远程管理维护界面,可以对设备的工作状态进行监控,当出现网络故障或者设备故障时,可以对用户进行告警。

■ 图形化界面,支持远程管理;网络拓扑显示功能,方便用户的网络维护

MyPower NetSmart Pro接入认证计费系统采取全图形化界面,可方便的进行本地管理;同时系统还支持将系统管理工具安装在多台远程计算机上,实现通过网络对服务器程序的远程多点并发管理能力,方便了管理人员的管理。MyPower NetSmart Pro接入认证计费系统同时可以提供网络结构拓扑图显示,可以对系统在线用户数量进行统计,同时可以对网络设备执行Ping和Telnet操作,提供简单的维护界面。

关键特性

■ 全面的标准/增强型的802.1x、PPPoE、Web+DHCP的认证计费功能

■ 强大的接入处理能力,海量的用户处理性能

■ 灵活实用的计费方式、计费策略、用户管理

■ 完善、方便的设备安全管理措施,全面提高网络安全性

■ 多种稳定技术,提供运营商级别的可靠性

■ 图形化界面,支持远程管理;网络拓扑显示功能,方便用户的网络维护

给作者点赞
0 VS 0
写得不太好

免责声明:本文仅代表作者个人观点,与C114通信网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

热门文章
    最新视频
    为您推荐

      C114简介 | 联系我们 | 网站地图 | 手机版

      Copyright©1999-2022 c114 All Rights Reserved | 沪ICP备12002291号

      C114 通信网 版权所有 举报电话:021-54451141