靈活管控 安全無憂——邁普通信接入認(rèn)證計(jì)費(fèi)解決方案

前言

近年來，網(wǎng)絡(luò)病毒泛濫、安全事件頻頻發(fā)生可以說是一個(gè)總趨勢(shì)。從IDC網(wǎng)絡(luò)安全調(diào)查數(shù)據(jù)來看，網(wǎng)絡(luò)的安全威脅主要來自三個(gè)方面：第一、網(wǎng)絡(luò)的惡意破壞者，也就是我們所說的黑客，造成的正常網(wǎng)絡(luò)服務(wù)的不可用、系統(tǒng)數(shù)據(jù)的破壞；第二、無辜的內(nèi)部人員造成的網(wǎng)絡(luò)數(shù)據(jù)的破壞、網(wǎng)絡(luò)病毒的蔓延擴(kuò)散、木馬的傳播；第三、就是別有用心的間諜人員，通過竊取他人身份進(jìn)行越權(quán)數(shù)據(jù)訪問，以及偷取機(jī)密的或者他人的私密信息。其中，由于內(nèi)部人員而造成的網(wǎng)絡(luò)安全問題占到了70%。

縱觀校園網(wǎng)安全現(xiàn)狀，我們會(huì)發(fā)現(xiàn)同樣符合上面的規(guī)律，即安全主要來自這三方面。而其中，來自校園網(wǎng)內(nèi)部的安全事件占到了絕大多數(shù)。這與校園網(wǎng)的用戶是息息相關(guān)的。一方面，學(xué)生——這群精力充沛的年輕一族對(duì)新鮮事物有著強(qiáng)烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責(zé)任感。同時(shí)網(wǎng)絡(luò)也使得黑客工具等的獲取更加的輕松。另一方面，校園網(wǎng)內(nèi)卻又存在著很多這樣的用戶，他們使用網(wǎng)絡(luò)來獲取資料，在網(wǎng)絡(luò)上辦公、娛樂，但是安全意識(shí)卻明顯薄弱，他們不愿意或者疏于安裝防火墻、殺毒軟件。

高校園區(qū)網(wǎng)絡(luò)接入認(rèn)證計(jì)費(fèi)需求分析

■ 接入可控需求

首先，要能實(shí)現(xiàn)各種方式的靈活接入。隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)的接入將是IPv4+IPv6的綜合環(huán)境。這就要求IPv4和IPv6兩種環(huán)境下也都要能夠保證只有申請(qǐng)開通的合法用戶才可以使用網(wǎng)絡(luò)。其次，要能對(duì)各種接入都能進(jìn)行有效的控制。既能夠?qū)�接入用戶進(jìn)行帳號(hào)與IP、MAC、端口等多元素綁定，以唯一確定用戶身份，同時(shí)做到準(zhǔn)確定位；又能針對(duì)目前學(xué)生沉迷于網(wǎng)絡(luò)，以至于影響學(xué)業(yè)的實(shí)際情況，需要能夠?qū)τ脩舻慕尤肷暇W(wǎng)時(shí)間段做靈活的控制。

■ 網(wǎng)絡(luò)安全需求

近年來，網(wǎng)絡(luò)病毒泛濫、安全事件頻頻發(fā)生。那么，在校園網(wǎng)絡(luò)這樣一個(gè)特殊的用戶群環(huán)境中，如何保證網(wǎng)絡(luò)的安全運(yùn)行？ 這就提出了“被動(dòng)式安全”和“主動(dòng)式安全”的需求：

在發(fā)生安全事件的時(shí)候，我們要有應(yīng)對(duì)措施。第一，需要設(shè)備本身具備強(qiáng)大的安全防護(hù)能力（如：防DoS攻擊，防DHCP攻擊，防掃描等）；第二，某學(xué)生在網(wǎng)絡(luò)發(fā)布不良言論或者進(jìn)行網(wǎng)絡(luò)攻擊后，我們要能夠通過日志審查，精確定位到個(gè)人。 由于都是安全事件發(fā)生后采取的應(yīng)對(duì)措施，所以稱之為“被動(dòng)式安全”。

■ 網(wǎng)絡(luò)高性能需求

第一，近年校內(nèi)注冊(cè)上網(wǎng)用戶數(shù)呈爆炸式增長。這主要是由于的招生人數(shù)的增加，以及電腦的日益普及。因此，需要系統(tǒng)認(rèn)證計(jì)費(fèi)效率高，用戶的認(rèn)證和計(jì)費(fèi)不會(huì)對(duì)網(wǎng)絡(luò)性能造成瓶頸。與此同時(shí)，系統(tǒng)需要能支持幾萬及以上用戶同時(shí)在線并正常運(yùn)行，而用戶不會(huì)感覺網(wǎng)絡(luò)速度慢。

第二，校園網(wǎng)的一個(gè)特點(diǎn)就是：上網(wǎng)的時(shí)間相對(duì)比較集中（主要集中在晚間和節(jié)假日），所以在此時(shí)段網(wǎng)絡(luò)訪問流量會(huì)較大，在一些特殊時(shí)候可能會(huì)出現(xiàn)大量的網(wǎng)絡(luò)突發(fā)流量。這對(duì)系統(tǒng)保持高性能，提供可靠運(yùn)行提出了更高的要求。

■ 計(jì)費(fèi)需求

首先，很重要一點(diǎn)就是要有一套能夠符合學(xué)校運(yùn)營管理特點(diǎn)的計(jì)費(fèi)策略。提供針對(duì)不同用戶的不同計(jì)費(fèi)需求的靈活的計(jì)費(fèi)策略的支持，詳細(xì)包括：1）對(duì)于上網(wǎng)時(shí)間較長的可以采取包年、包月、包學(xué)期等方式；2）對(duì)于上網(wǎng)時(shí)間不是特別長的，可能需要計(jì)時(shí)長、或者計(jì)天的方式；3）有些師生認(rèn)為自己僅僅偶爾上網(wǎng)看看網(wǎng)頁，聊聊天，自己流量不大，很希望能夠按流量或者計(jì)天但是當(dāng)天不使用不扣費(fèi)的模式；同時(shí)學(xué)校收費(fèi)和學(xué)生繳費(fèi)是一對(duì)天然的矛盾，學(xué)生會(huì)通過私設(shè)代理等方式逃避收費(fèi)，這就要求能夠防止學(xué)生架設(shè)代理服務(wù)器、避免一個(gè)帳號(hào)多人，做到公平公正。

■ 用戶管理需求

對(duì)于用戶管理，最重要的是能夠?qū)崿F(xiàn)事前的身份認(rèn)證和準(zhǔn)確定位、事中的實(shí)時(shí)處理、事后的完整日志審計(jì)。事前的認(rèn)證和定位是指可嚴(yán)格實(shí)現(xiàn)用戶身份識(shí)別，根據(jù)用戶賬號(hào)、密碼、MAC地址、IP地址、交換機(jī)IP、交換機(jī)端口號(hào)、用戶所在VLAN的靈活組合，來識(shí)別用戶身份。將網(wǎng)絡(luò)中的虛擬用戶和生活中的真實(shí)用戶相對(duì)應(yīng)；事中的實(shí)時(shí)處理是指對(duì)于正在使用網(wǎng)絡(luò)的用戶，如果出現(xiàn)私自撥號(hào)上網(wǎng)、使用代理、更改IP地址等，認(rèn)證計(jì)費(fèi)系統(tǒng)會(huì)強(qiáng)制用戶下線。事后的日志審計(jì)是指記錄用戶上網(wǎng)的詳細(xì)信息（包括用戶名、IP、MAC等）及完整的用戶訪問外網(wǎng)的記錄（包括源IP、目的IP、源端口、目的端口、訪問時(shí)間），一旦出現(xiàn)安全事件，可以進(jìn)行快速完整的審計(jì)，迅速定位到個(gè)人。

邁普校園網(wǎng)接入認(rèn)證計(jì)費(fèi)解決方案

MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)系統(tǒng)是邁普公司自主開發(fā)的新一代接入認(rèn)證計(jì)費(fèi)網(wǎng)絡(luò)產(chǎn)品。MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)系統(tǒng)是一套可跨平臺(tái)管理的安全接入控制與認(rèn)證計(jì)費(fèi)綜合管理系統(tǒng)，系統(tǒng)采用標(biāo)準(zhǔn)Radius協(xié)議、擴(kuò)展Radius協(xié)議和邁普系列交換機(jī)所擴(kuò)展的增強(qiáng)型802.1x協(xié)議，可以實(shí)現(xiàn)對(duì)標(biāo)準(zhǔn)/增強(qiáng)型的802.1x、PPPoE、Web+DHCP等各種的認(rèn)證授權(quán)計(jì)費(fèi)功能，向用戶提供靈活、安全的用戶認(rèn)證、管理和計(jì)費(fèi)應(yīng)用。MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)系統(tǒng)能夠?yàn)樾�園、企業(yè)、寬帶小區(qū)提供可管理、可運(yùn)營的完整的解決方案。

MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)系統(tǒng)由多款產(chǎn)品組成：MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)軟件、MyPower NetSmart AG4000出口網(wǎng)關(guān)、MyPower NetSmart AG8000出口網(wǎng)關(guān)，可以滿足不同規(guī)模、不同要求的客戶需求。

■ 全面的標(biāo)準(zhǔn)/增強(qiáng)型的802.1x、PPPoE、Web+DHCP的認(rèn)證計(jì)費(fèi)功能

MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)系統(tǒng)支持802.1x、PPPoE、Web+DHCP的認(rèn)證。MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)系統(tǒng)在采用802.1x增強(qiáng)型協(xié)議進(jìn)行認(rèn)證時(shí)，系統(tǒng)不僅提供了用戶名、密碼、用戶IP、用戶MAC、交換機(jī)IP、交換機(jī)端口、所在VLAN等6元素綁定策略，還提供了對(duì)單一用戶的多條綁定策略的列表功能，支持特定用戶的移動(dòng)上網(wǎng)認(rèn)證的能力，可實(shí)現(xiàn)合法用戶是否允許使用代理、上下行帶寬、VLAN、用戶動(dòng)態(tài)IP地址等多種授權(quán)管理方式。MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)系統(tǒng)使用出口網(wǎng)關(guān)時(shí)，還支持標(biāo)準(zhǔn)的PPPOE和web認(rèn)證方式，可以滿足非802.1x用戶的使用。

■ 強(qiáng)大的接入處理能力，海量用戶處理性能

邁普MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)系統(tǒng)采用軟硬件分離的技術(shù)，將數(shù)據(jù)和管理分離，保證了數(shù)據(jù)轉(zhuǎn)發(fā)的高效性。MyPower NetSmart AG4000/AG8000出口網(wǎng)關(guān)采用專用的實(shí)時(shí)操作系統(tǒng)和加速處理器，在大量用戶接入時(shí)仍然可以保障其網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)的實(shí)時(shí)性，滿足所有端口最大速率轉(zhuǎn)發(fā)的要求。MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)軟件根據(jù)安裝的服務(wù)器平臺(tái)的性能可以提供不同的接入處理能力，利用多線程并發(fā)處理的方式，可處理認(rèn)證計(jì)費(fèi)報(bào)文的能力為大于2000個(gè)用戶/秒。

■ 靈活的計(jì)費(fèi)方式、計(jì)費(fèi)策略、用戶管理

針對(duì)計(jì)費(fèi)相關(guān)功能，邁普MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)系統(tǒng)對(duì)上一代計(jì)費(fèi)系統(tǒng)的使用模式進(jìn)行了總結(jié)，提供更加靈活的計(jì)費(fèi)方式、計(jì)費(fèi)策略和用戶管理，更加貼近客戶的使用模式。為實(shí)現(xiàn)對(duì)用戶管理上的方便，邁普提供了基于組的用戶管理和基于模板的多種開戶方式，這些用戶組可以按地址位置的不同進(jìn)行劃分，也可以按用戶的計(jì)費(fèi)類別等進(jìn)行劃分；同時(shí)還支持單用戶模板開戶、集體從文件中批量導(dǎo)入開戶、卡開戶等方式，可以節(jié)省大量開戶時(shí)的重復(fù)性工作，提高管理人員的工作效率。對(duì)于計(jì)費(fèi)方式和計(jì)費(fèi)策略，用戶可以通過web自服務(wù)的方式，對(duì)自己的計(jì)費(fèi)方式和計(jì)費(fèi)策略進(jìn)行管理，提高了系統(tǒng)的可用性。

■ 完善方便的設(shè)備安全管理措施，全面提高網(wǎng)絡(luò)安全性

作為涉及收費(fèi)的業(yè)務(wù)系統(tǒng)，邁普MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)系統(tǒng)將安全管理措施作為重要的功能，進(jìn)行了全面的設(shè)計(jì)。對(duì)于web認(rèn)證方式，在用戶瀏覽器認(rèn)證請(qǐng)求的傳送采用PPP的CHAP算法對(duì)用戶口令進(jìn)行MD5加密，可以有效防范惡意用戶的SYNFLOOD攻擊和大量模擬WEB請(qǐng)求猜測(cè)密碼的攻擊；基于WEB應(yīng)用層的KEEP-ALIVE機(jī)制使得系統(tǒng)和用戶之間保持定時(shí)的連接狀態(tài)監(jiān)測(cè)，可以準(zhǔn)確的記錄時(shí)長，同時(shí)也防止在沒有IP和MAC地址綁定的環(huán)境中或者普通跨三層應(yīng)用中的IP盜用，保障用戶方和運(yùn)營方雙方的利益。對(duì)于802.1X認(rèn)證方式，采取邁普公司專用的認(rèn)證客戶端時(shí)，進(jìn)一步提高了設(shè)備的數(shù)據(jù)安全性，可以有效防止用戶進(jìn)行反編譯等破解行為。

■ 多種穩(wěn)定技術(shù)，提供運(yùn)營商級(jí)別的可靠性

MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)系統(tǒng)采用專用的網(wǎng)絡(luò)操作系統(tǒng)和專用底層硬件產(chǎn)品，保證了設(shè)備的可靠性，提高了抗攻擊能力。同時(shí)系統(tǒng)在操作系統(tǒng)任務(wù)級(jí)別對(duì)認(rèn)證計(jì)費(fèi)服務(wù)進(jìn)程的狀態(tài)進(jìn)行監(jiān)控，當(dāng)服務(wù)進(jìn)程出現(xiàn)異常時(shí)，可以對(duì)異常服務(wù)進(jìn)程進(jìn)行修正，保證整個(gè)系統(tǒng)的高穩(wěn)定性。通過遠(yuǎn)程管理維護(hù)界面，可以對(duì)設(shè)備的工作狀態(tài)進(jìn)行監(jiān)控，當(dāng)出現(xiàn)網(wǎng)絡(luò)故障或者設(shè)備故障時(shí)，可以對(duì)用戶進(jìn)行告警。

■ 圖形化界面，支持遠(yuǎn)程管理；網(wǎng)絡(luò)拓?fù)滹@示功能，方便用戶的網(wǎng)絡(luò)維護(hù)

MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)系統(tǒng)采取全圖形化界面，可方便的進(jìn)行本地管理；同時(shí)系統(tǒng)還支持將系統(tǒng)管理工具安裝在多臺(tái)遠(yuǎn)程計(jì)算機(jī)上，實(shí)現(xiàn)通過網(wǎng)絡(luò)對(duì)服務(wù)器程序的遠(yuǎn)程多點(diǎn)并發(fā)管理能力，方便了管理人員的管理。MyPower NetSmart Pro接入認(rèn)證計(jì)費(fèi)系統(tǒng)同時(shí)可以提供網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D顯示，可以對(duì)系統(tǒng)在線用戶數(shù)量進(jìn)行統(tǒng)計(jì)，同時(shí)可以對(duì)網(wǎng)絡(luò)設(shè)備執(zhí)行Ping和Telnet操作，提供簡單的維護(hù)界面。

關(guān)鍵特性

■ 全面的標(biāo)準(zhǔn)/增強(qiáng)型的802.1x、PPPoE、Web+DHCP的認(rèn)證計(jì)費(fèi)功能

■ 強(qiáng)大的接入處理能力，海量的用戶處理性能

■ 靈活實(shí)用的計(jì)費(fèi)方式、計(jì)費(fèi)策略、用戶管理

■ 完善、方便的設(shè)備安全管理措施，全面提高網(wǎng)絡(luò)安全性

■ 多種穩(wěn)定技術(shù)，提供運(yùn)營商級(jí)別的可靠性

■ 圖形化界面，支持遠(yuǎn)程管理；網(wǎng)絡(luò)拓?fù)滹@示功能，方便用戶的網(wǎng)絡(luò)維護(hù)