靈活管控 安全無憂——邁普通信接入認證計費解決方案

前言

近年來，網(wǎng)絡病毒泛濫、安全事件頻頻發(fā)生可以說是一個總趨勢。從IDC網(wǎng)絡安全調(diào)查數(shù)據(jù)來看，網(wǎng)絡的安全威脅主要來自三個方面：第一、網(wǎng)絡的惡意破壞者，也就是我們所說的黑客，造成的正常網(wǎng)絡服務的不可用、系統(tǒng)數(shù)據(jù)的破壞；第二、無辜的內(nèi)部人員造成的網(wǎng)絡數(shù)據(jù)的破壞、網(wǎng)絡病毒的蔓延擴散、木馬的傳播；第三、就是別有用心的間諜人員，通過竊取他人身份進行越權數(shù)據(jù)訪問，以及偷取機密的或者他人的私密信息。其中，由于內(nèi)部人員而造成的網(wǎng)絡安全問題占到了70%。

縱觀校園網(wǎng)安全現(xiàn)狀，我們會發(fā)現(xiàn)同樣符合上面的規(guī)律，即安全主要來自這三方面。而其中，來自校園網(wǎng)內(nèi)部的安全事件占到了絕大多數(shù)。這與校園網(wǎng)的用戶是息息相關的。一方面，學生——這群精力充沛的年輕一族對新鮮事物有著強烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責任感。同時網(wǎng)絡也使得黑客工具等的獲取更加的輕松。另一方面，校園網(wǎng)內(nèi)卻又存在著很多這樣的用戶，他們使用網(wǎng)絡來獲取資料，在網(wǎng)絡上辦公、娛樂，但是安全意識卻明顯薄弱，他們不愿意或者疏于安裝防火墻、殺毒軟件。

高校園區(qū)網(wǎng)絡接入認證計費需求分析

■ 接入可控需求

首先，要能實現(xiàn)各種方式的靈活接入。隨著技術的發(fā)展，網(wǎng)絡的接入將是IPv4+IPv6的綜合環(huán)境。這就要求IPv4和IPv6兩種環(huán)境下也都要能夠保證只有申請開通的合法用戶才可以使用網(wǎng)絡。其次，要能對各種接入都能進行有效的控制。既能夠?qū)�接入用戶進行帳號與IP、MAC、端口等多元素綁定，以唯一確定用戶身份，同時做到準確定位；又能針對目前學生沉迷于網(wǎng)絡，以至于影響學業(yè)的實際情況，需要能夠?qū)τ脩舻慕尤肷暇W(wǎng)時間段做靈活的控制。

■ 網(wǎng)絡安全需求

近年來，網(wǎng)絡病毒泛濫、安全事件頻頻發(fā)生。那么，在校園網(wǎng)絡這樣一個特殊的用戶群環(huán)境中，如何保證網(wǎng)絡的安全運行？ 這就提出了“被動式安全”和“主動式安全”的需求：

在發(fā)生安全事件的時候，我們要有應對措施。第一，需要設備本身具備強大的安全防護能力（如：防DoS攻擊，防DHCP攻擊，防掃描等）；第二，某學生在網(wǎng)絡發(fā)布不良言論或者進行網(wǎng)絡攻擊后，我們要能夠通過日志審查，精確定位到個人。 由于都是安全事件發(fā)生后采取的應對措施，所以稱之為“被動式安全”。

■ 網(wǎng)絡高性能需求

第一，近年校內(nèi)注冊上網(wǎng)用戶數(shù)呈爆炸式增長。這主要是由于的招生人數(shù)的增加，以及電腦的日益普及。因此，需要系統(tǒng)認證計費效率高，用戶的認證和計費不會對網(wǎng)絡性能造成瓶頸。與此同時，系統(tǒng)需要能支持幾萬及以上用戶同時在線并正常運行，而用戶不會感覺網(wǎng)絡速度慢。

第二，校園網(wǎng)的一個特點就是：上網(wǎng)的時間相對比較集中（主要集中在晚間和節(jié)假日），所以在此時段網(wǎng)絡訪問流量會較大，在一些特殊時候可能會出現(xiàn)大量的網(wǎng)絡突發(fā)流量。這對系統(tǒng)保持高性能，提供可靠運行提出了更高的要求。

■ 計費需求

首先，很重要一點就是要有一套能夠符合學校運營管理特點的計費策略。提供針對不同用戶的不同計費需求的靈活的計費策略的支持，詳細包括：1）對于上網(wǎng)時間較長的可以采取包年、包月、包學期等方式；2）對于上網(wǎng)時間不是特別長的，可能需要計時長、或者計天的方式；3）有些師生認為自己僅僅偶爾上網(wǎng)看看網(wǎng)頁，聊聊天，自己流量不大，很希望能夠按流量或者計天但是當天不使用不扣費的模式；同時學校收費和學生繳費是一對天然的矛盾，學生會通過私設代理等方式逃避收費，這就要求能夠防止學生架設代理服務器、避免一個帳號多人，做到公平公正。

■ 用戶管理需求

對于用戶管理，最重要的是能夠?qū)崿F(xiàn)事前的身份認證和準確定位、事中的實時處理、事后的完整日志審計。事前的認證和定位是指可嚴格實現(xiàn)用戶身份識別，根據(jù)用戶賬號、密碼、MAC地址、IP地址、交換機IP、交換機端口號、用戶所在VLAN的靈活組合，來識別用戶身份。將網(wǎng)絡中的虛擬用戶和生活中的真實用戶相對應；事中的實時處理是指對于正在使用網(wǎng)絡的用戶，如果出現(xiàn)私自撥號上網(wǎng)、使用代理、更改IP地址等，認證計費系統(tǒng)會強制用戶下線。事后的日志審計是指記錄用戶上網(wǎng)的詳細信息（包括用戶名、IP、MAC等）及完整的用戶訪問外網(wǎng)的記錄（包括源IP、目的IP、源端口、目的端口、訪問時間），一旦出現(xiàn)安全事件，可以進行快速完整的審計，迅速定位到個人。

邁普校園網(wǎng)接入認證計費解決方案

MyPower NetSmart Pro接入認證計費系統(tǒng)是邁普公司自主開發(fā)的新一代接入認證計費網(wǎng)絡產(chǎn)品。MyPower NetSmart Pro接入認證計費系統(tǒng)是一套可跨平臺管理的安全接入控制與認證計費綜合管理系統(tǒng)，系統(tǒng)采用標準Radius協(xié)議、擴展Radius協(xié)議和邁普系列交換機所擴展的增強型802.1x協(xié)議，可以實現(xiàn)對標準/增強型的802.1x、PPPoE、Web+DHCP等各種的認證授權計費功能，向用戶提供靈活、安全的用戶認證、管理和計費應用。MyPower NetSmart Pro接入認證計費系統(tǒng)能夠為校園、企業(yè)、寬帶小區(qū)提供可管理、可運營的完整的解決方案。

MyPower NetSmart Pro接入認證計費系統(tǒng)由多款產(chǎn)品組成：MyPower NetSmart Pro接入認證計費軟件、MyPower NetSmart AG4000出口網(wǎng)關、MyPower NetSmart AG8000出口網(wǎng)關，可以滿足不同規(guī)模、不同要求的客戶需求。

■ 全面的標準/增強型的802.1x、PPPoE、Web+DHCP的認證計費功能

MyPower NetSmart Pro接入認證計費系統(tǒng)支持802.1x、PPPoE、Web+DHCP的認證。MyPower NetSmart Pro接入認證計費系統(tǒng)在采用802.1x增強型協(xié)議進行認證時，系統(tǒng)不僅提供了用戶名、密碼、用戶IP、用戶MAC、交換機IP、交換機端口、所在VLAN等6元素綁定策略，還提供了對單一用戶的多條綁定策略的列表功能，支持特定用戶的移動上網(wǎng)認證的能力，可實現(xiàn)合法用戶是否允許使用代理、上下行帶寬、VLAN、用戶動態(tài)IP地址等多種授權管理方式。MyPower NetSmart Pro接入認證計費系統(tǒng)使用出口網(wǎng)關時，還支持標準的PPPOE和web認證方式，可以滿足非802.1x用戶的使用。

■ 強大的接入處理能力，海量用戶處理性能

邁普MyPower NetSmart Pro接入認證計費系統(tǒng)采用軟硬件分離的技術，將數(shù)據(jù)和管理分離，保證了數(shù)據(jù)轉(zhuǎn)發(fā)的高效性。MyPower NetSmart AG4000/AG8000出口網(wǎng)關采用專用的實時操作系統(tǒng)和加速處理器，在大量用戶接入時仍然可以保障其網(wǎng)絡數(shù)據(jù)包轉(zhuǎn)發(fā)的實時性，滿足所有端口最大速率轉(zhuǎn)發(fā)的要求。MyPower NetSmart Pro接入認證計費軟件根據(jù)安裝的服務器平臺的性能可以提供不同的接入處理能力，利用多線程并發(fā)處理的方式，可處理認證計費報文的能力為大于2000個用戶/秒。

■ 靈活的計費方式、計費策略、用戶管理

針對計費相關功能，邁普MyPower NetSmart Pro接入認證計費系統(tǒng)對上一代計費系統(tǒng)的使用模式進行了總結，提供更加靈活的計費方式、計費策略和用戶管理，更加貼近客戶的使用模式。為實現(xiàn)對用戶管理上的方便，邁普提供了基于組的用戶管理和基于模板的多種開戶方式，這些用戶組可以按地址位置的不同進行劃分，也可以按用戶的計費類別等進行劃分；同時還支持單用戶模板開戶、集體從文件中批量導入開戶、卡開戶等方式，可以節(jié)省大量開戶時的重復性工作，提高管理人員的工作效率。對于計費方式和計費策略，用戶可以通過web自服務的方式，對自己的計費方式和計費策略進行管理，提高了系統(tǒng)的可用性。

■ 完善方便的設備安全管理措施，全面提高網(wǎng)絡安全性

作為涉及收費的業(yè)務系統(tǒng)，邁普MyPower NetSmart Pro接入認證計費系統(tǒng)將安全管理措施作為重要的功能，進行了全面的設計。對于web認證方式，在用戶瀏覽器認證請求的傳送采用PPP的CHAP算法對用戶口令進行MD5加密，可以有效防范惡意用戶的SYNFLOOD攻擊和大量模擬WEB請求猜測密碼的攻擊；基于WEB應用層的KEEP-ALIVE機制使得系統(tǒng)和用戶之間保持定時的連接狀態(tài)監(jiān)測，可以準確的記錄時長，同時也防止在沒有IP和MAC地址綁定的環(huán)境中或者普通跨三層應用中的IP盜用，保障用戶方和運營方雙方的利益。對于802.1X認證方式，采取邁普公司專用的認證客戶端時，進一步提高了設備的數(shù)據(jù)安全性，可以有效防止用戶進行反編譯等破解行為。

■ 多種穩(wěn)定技術，提供運營商級別的可靠性

MyPower NetSmart Pro接入認證計費系統(tǒng)采用專用的網(wǎng)絡操作系統(tǒng)和專用底層硬件產(chǎn)品，保證了設備的可靠性，提高了抗攻擊能力。同時系統(tǒng)在操作系統(tǒng)任務級別對認證計費服務進程的狀態(tài)進行監(jiān)控，當服務進程出現(xiàn)異常時，可以對異常服務進程進行修正，保證整個系統(tǒng)的高穩(wěn)定性。通過遠程管理維護界面，可以對設備的工作狀態(tài)進行監(jiān)控，當出現(xiàn)網(wǎng)絡故障或者設備故障時，可以對用戶進行告警。

■ 圖形化界面，支持遠程管理；網(wǎng)絡拓撲顯示功能，方便用戶的網(wǎng)絡維護

MyPower NetSmart Pro接入認證計費系統(tǒng)采取全圖形化界面，可方便的進行本地管理；同時系統(tǒng)還支持將系統(tǒng)管理工具安裝在多臺遠程計算機上，實現(xiàn)通過網(wǎng)絡對服務器程序的遠程多點并發(fā)管理能力，方便了管理人員的管理。MyPower NetSmart Pro接入認證計費系統(tǒng)同時可以提供網(wǎng)絡結構拓撲圖顯示，可以對系統(tǒng)在線用戶數(shù)量進行統(tǒng)計，同時可以對網(wǎng)絡設備執(zhí)行Ping和Telnet操作，提供簡單的維護界面。

關鍵特性

■ 全面的標準/增強型的802.1x、PPPoE、Web+DHCP的認證計費功能

■ 強大的接入處理能力，海量的用戶處理性能

■ 靈活實用的計費方式、計費策略、用戶管理

■ 完善、方便的設備安全管理措施，全面提高網(wǎng)絡安全性

■ 多種穩(wěn)定技術，提供運營商級別的可靠性

■ 圖形化界面，支持遠程管理；網(wǎng)絡拓撲顯示功能，方便用戶的網(wǎng)絡維護