三大需求
华东师范大学(以下简称华东师大)的校园数字图书馆系统已初具规模,提供的内容包括:馆藏书籍、国内期刊的阅览版权和海外数字图书馆的浏览权。校园数字图书馆面对的用户群是本校师生和校外的移动授权用户。为了保证数据信息的知识产权,浏览者必须是已缴纳版权费的本校内网地址。但是,数字图书馆的应用必须拓展接入范围,方便广大师生浏览,而与国外图书馆的合作却是限制了外网接入,只能保证校内IP地址的应用。因此,要解决网络化应用,拓展数字图书馆的接入范围,就必须通过一种VPN的方式,将校外移动用户逻辑上接入校园网,通过分配校内虚拟地址访问校外图书馆。
华东师大的校务系统、办公自动化系统发展迅速,如果校务管理人员和教师在校园网之外访问这些系统,IT系统必须提供一个拥有数据加密、认证授权机制,同时又是安全方便、快捷的VPN通道。
为了广大师生方便上网,华东师大提供了WLAN接入。但WLAN的接入管理控制是一个比较复杂的课题,WLAN本身的加密和验证标准容易受到攻击,所以应当部署更牢固的加密和验证方法。在部署WLAN时要考虑的因素除了WLAN本身设备的认证、授权加密外,还要增加在用户认证授权、应用控制层面的安全访问控制等措施。
让WLAN更安全
综上所述,华东师大迫切需要一个能够对接入的客户进行认证管理、权限管理,同时还要对进出校园网的流量进行管理控制和计费的系统。华东师大网络中心副主任常潘说:“我们对不同的SSL VPN厂商进行了比较,Array的产品性价比比较高,而且针对我们的全部需求提供了统一的解决方案,因此我们选择了Array 的SSL VPN网关设备SPX5000。”
针对WLAN本身的一些安全缺陷,Array Networks提出了WLAN访问控制解决方案(WLAN-UAC)。这是一个组合了网络准入控制和资源访问控制的全面NAC解决方案。不论用户是企业员工还是访客,不论他们只是要接入网络还是需要访问特定资源,以Array SPX统一访问控制(Universal Access Controller,UAC)为基础的WLAN访问控制解决方案,都能够提供安全、灵活和可定制的WLAN安全访问控制能力。据常老师介绍,WLAN-UAC可以在接入点和网络之间采用强验证和强加密机制。通过在校内不同的地点部署SPX设备,并把其作为WLAN汇聚设备,接入WLAN的终端被导入到SSL VPN的门户上面进行认证、审计。华东师大采用的交换机具有流量导向功能,即将80端口的访问重定向到SSL VPN门户,这样即可强制接入WLAN的终端首先访问SSL VPN,进而建立L3VPN通道来接入校园网。Array WLAN-UAC 可以在客户机使用WLAN登陆门户站点时,通过一个自动下载的插件施加企业规定的客户机安全检测机制,并赋予公司特定的安全策略。如果检测到符合公司的安全机制,则赋予较高的访问权限,反之,则赋予较低的访问安全级别,甚至强制其使用“安全桌面”进行访问。
对于不符合企业安全策略的终端设备,Array UAC方案可以做安全隔离,即不允许访问任何资源或只能访问特定资源;或者进行纠正---仍然给与终端设备接入的机会,但是要通过NAC设备提供的补救手段,在经过调整后符合安全策略再赋予更高的访问权限。
常老师说:“SPX网关防护与WLAN原有的安全手段结合在一起,彻底克服了WLAN固有的安全缺陷。经过用户控制和计费管理,提高了对WLAN的有效管理。”
(图注)Array WLAN-UAC解决方案部署方式
