随着智能手机等移动设备的发展和BYOD的盛行,越来越多的老师、学生将移动设备带入并接入教育城域网,这也给教育城域网管理人员带来了同一个用户上网使用的多个IP 的问题;同时受设备移动的影响,还面临IP 地址经常改变的问题。同时,教育城域网对互联网访问内容的控制特别是针对学生的上网访问行为,需要进行适度的管控,引导学生健康地上网。如何基于老师、学生进行实名制认证和根据用户身份分权限访问教育网内部资源,而非传统基于IP的访问控制和日志审计。
因此,需要在教育城域网中进行用户的实名制用户认证,并通过进行实名制用户的访问策略和权限的控制,和进行上网行为的实名制日志审计,构建一个安全的基于实名制用户的教育城域网。构建实名制用户的教育城域网,首先需要在用户接入教育城域网时进行用户认证,认证成功后根据该用户所属用户组进行资源的权限、流量的访问策略控制,并对该用户的上网行为进行日志审计,方便日后进行查找和溯源。
一、实名制用户接入
从教育城域网来看,无论是从内到外部的访问,还是来自外部的访问,都需要进行有效的控制。而控制的前提是授权,即在运行的范围内,通过许可的方式,监测并控制不同系统间的访问活动。当不同业务系统进行互访,访问者也需要提交身份信息,经身份认证后,方可按照许可的权限进行访问,从而杜绝了非授权的访问。一般的用户认证有以下几种方法:
1.通过802.1X实现基于用户的网络准入控制,采用基于二层的认证方式,对教育网用户的接入的合法性进行认证。802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问教育网。在获得交换机或教育网提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
2.通过PPPoE在分配IP地址的同时,可以对教育城域网用户进行接入控制、验证以及计费等。PPPoE是以太网上的点对点协议,是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议。由于协议中集成了PPP协议,所以实现了传统以太网不能提供的身份验证、加密以及压缩等功能,也可用于缆线调制解调器(cable modem)和数字用户线路(DSL)等以太网协议向用户提供接入服务的协议体系。
3.通过Web+Portal认证,在用户访问教育城域网受保护的网络资源时,首先通过DHCP协议获取到IP地址(也可以使用静态IP地址),但是获取到的IP地址并不能访问教育网,在认证通过前只能访问特定的IP地址,这个地址通常是Portal服务器的IP地址。用户在登录到Portal Server后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户还可以在网页上输入用户名和密码,它们会被WEB客户端应用程序传给Portal Server,再由Portal Server与NAS之间交互来实现用户的认证。这种认证方法不仅能够在教育网准入时提供用户认证,还可以在需要提升用户权限时进行第二级或多级的用户认证。
4.通过VPN技术远程接入网络时,如常用的SSL VPN、IPSec VPN等,这些VPN技术自身就带有用户认证功能,如在链路层通过PPP协议族提供的用户认证,在网络层依靠IPSec的AH机制来实现认证,认证后教育网用户通过VPN对数据传输进行加密。
同时,在教育城域网中建议采用Radius、LDAP、MS AD等专业认证服务器进行用户数据库的集中管理,通过集中的用户数据库管理,可以解决用户在不同的教育网业务系统中使用多套用户名及密码的问题,并为单点登录(SSO)提供支持。
二、实名制用户访问控制
在用户接入教育城域网之后,根据接入用户的身份及所属用户组,进行不同业务系统的权限访问控制、上网行为控制、流量管理控制,从而进行教育网实名制用户访问和控制。
1.对实名制用户进行业务访问控制,根据实际情况划分安全域及业务系统,将教育网分不同用户类型进行防护,并设置细粒度的安全策略如设置基于源、目的IP、实名制用户、用户组、应用访问类型等进行控制,防止非授权的访问。
2.对实名制用户进行上网行为控制,根据不同用户类型进行上网行为管控,如对学生上网进行URL分类和访问控制,引导学生健康上网。
3.对实名制用户进行流量管理,根据不同用户和应用进行多层次的流量管理,实现细粒度的流量管理,保障教学、办公等关键业务的带宽,限制P2P、网络下载等大量占用带宽的应用流量。
通过在教育城域网中进行实名制用户的访问控制,使教育网管理人员能够根据校领导、教师、职工、家属、学生的不同身份,来制定不同业务系统的安全策略,使得安全策略更具有针对性。
三、实名制用户日志审计
在教育城域网中,随着接入用户不断增加,日志的数量也不断增加,需要保证能对产生海量日志进行实名制审计,尤其针对校园网用户的上网会话信息、NAT信息、URL访问信息需要进行实名制日志审计,符合监管部门的要求并能及时进行查询。
在教育城域网中,即使通过用户认证接入,用户信息也是在认证服务器上集中管理,而日志审计设备上无法关联到用户信息,导致记录的日志只有相应的IP信息,却没有关联用户信息。因此,在日志审计和查找时候需要在不同的设备上查找,在认证服务器上查找IP和用户对应关系,在日志审计设备上查找该IP相关的日志信息,从而得到用户的相关日志。而这种关联的方法,往往耗费了大量的时间和精力。
如何应对这种需要手动关联和查找问题呢?在实名制用户的教育城域网建设中,可以规划将用户认证服务器和安全访问控制、日志审计等设备进行联动,让其他进行实名制用户控制、审计的设备从用户认证服务器上自动获取相应的IP和用户绑定信息,自动同步用户信息。这样,进行日志审计时就可以在日志中自动关联出用户信息,进行实名制用户的日志审计,无须管理人员进行多个设备间信息的查找和关联,提升了运维和管理的效率。
通过上述在教育城域网中进行实名制用户的接入、访问控制和日志审计的方案,构建了一个基于实名制用户进行安全管理的教育网。做到了以人为中心、网络设备作为工具,真正做到“以人为本”的安全管理,既保障了教育网用户健康上网,又符合了国家安全监管的要求。
