802.1x 与 web 认证的优、缺点有哪些?
回答·7
最热
最新
- 锐捷网络 Web 准入认证从用户的使用习惯出发,在保留了 802.1x 的可控性和安全性之外,还结合了 Web 认证的易用性和兼容性,将安全性和易用性进行有机结合,能更好地满足了校园网身份准入安全和网络易管理易部署的要求。 在高校,网络应用普及,往往是最先尝试最先进的网络技术的。然而,由于用户群密集且活跃,校园网又成为安全问题的"重灾区",管理也更为复杂、困难。 随着国际、国内网络安全事件的不断升级,网络安全和可信越来越被人们所关注。 众所周知,身份认证是建设安全可信网络的前提条件。真实可信的网络身份认证体系一方面能够让恶意者在做有害行为之前有所顾忌,防微杜渐;另一方面也可以让网络管理者在安全事件发生后能准确及时地找到肇事者,在一定程度上防止安全事件的再次发生。 同时,身份认证能够实现校园网有限资源的再分配。系统获取用户的身份后,可以根据用户身份的不同分配不同的资源使用权限,避免网络资源的滥用和管理混乱。 目前教育行业中使用最多的认证技术有 802.1x 技术、Web 认证技术和 PPPOE 技术等。PPPOE 主要适用于运营商的接入控制和运营,加上自身技术的限制并不适合于高教校园网。这里主要谈谈目前在高校广受关注的 802.1x 技术和 Web 认证技术。 802.1x 准入与 Web 准出利弊两现 目前,校园网身份认证有两种方式,一种是基于出口网关的 Web 准出认证,一种是在接入层进行的 802.1x 准入认证。从保障校园网安全和管理的角度,校园网准入身份认证是非常必要的。可以说校园网身份准入认证是保障内网安全的需要、是有效运营管理的需要、是提高服务水平的需要;从另外一个角度来说身份认证是网络准入的基础、网络准入是真实地址的基础、真实地址是安全可信的基础。 据统计,目前国内高校中超过 700 所高校采用了 802.1x 技术进行准入认证。很大程度上是缘于这种技术可以很好地做到"入网即认证",在用户接入的入口,进行精细的控制。包括各种元素的绑定、防止破解、防止代理、漫游控制等。做到彻底杜绝非法用户进入。然而这种技术自身也存在一定的应用限制,例如:需要部署客户端、分布式部署的工作量大、设备的关联性较强等。 图表 1 准入方案示意图 为了解决类似的问题,有些学校开始尝试网关型的 Web 准出认证技术。这种技术的优势主要体现在部署方便、使用简单。既不需要配置大量的交换机,又不需要分发大量的客户端。 但是这种方式存在一个致命的问题,就是无法做到"入网即认证",内网安全不可控。就如进大门的时候不查证件,出大门的时候再查,从安全的角度来考虑,这个"大门"就有点形同虚设了。 那么,有没有一种方式,将这两种技术的优点结合起来,规避主要的缺点,形成一个差异化、多样化的防护体系呢? 我们可以再拿校园大门来比喻,高校可以给行人开辟一个大门,机动车开辟一个大门。同样的道理,数字化校园的准入防护,也可以针对不同的用户群体或者不同的接入地域,采取不同的准入认证方式,最终统一管理,统一控制。 对于宿舍网来说,由于需要管理的内容较多,建议采用 802.1x 的接入方式,进行严格的控制和管理;对于办公网来说,其用户主要是教职工,那么我们就采用 Web 准入的方式进行认证和接入控制。这样一方面,减少了 802.1x 的部署范围,降低了维护的工作量,同时将该严格控制的用户很好地管理起来;另一方面又可以将 Web 认证控制到网络的边缘,大大加强了 Web 认证的安全性,同时又方便了教职工用户的使用。 那么,能否有一种方案既具有可控性和安全性同时又保留易用性和兼容性呢?锐捷网络最新推出的基于接入交换机的 Web 准入身份认证解决方案,可以成为一个参考方案。 创新 Web 准入认证 锐捷网络 Web 准入认证从用户的使用习惯出发,在保留了 802.1x 的可控性和安全性之外,还结合了 Web 认证的易用性和兼容性,将安全性和易用性进行有机结合,不仅大大降低了用户接受认证的阻力,也更好地满足了网络的身份准入安全和网络易管理易部署的要求。 Web 准入身份认证可控性和安全性 实现"入网即认证",确保合法用户才能进入内部网络,同时灵活动态自动绑定入网用户的 IP+MAC+端口绑定,确保了用户 IP 地址的真实性,并能自动防范 ARP 欺骗,有效解决 ARP 欺骗对网络使用的影响。 接入认证交换机在保证接入用户合法性的同时,也注意加强自身的安全防护,支持防 HTTP 认证请求报文的 DoS 攻击、支持 CPP 等,确保接入认证交换机本身的安全。 RG-ePortal 服务器和 RG-SAM 服务器均实现了高性能高可用集群技术,在防攻击的情况下,确保了整个认证计费系统的高可靠性和高性能。 Web 准入身份认证的高性能和高可用性 准入认证在网络边缘即接入层交换机的每个端口处理,实现了最大程度的分布式,确保了网络身份认证的高性能和无单点故障。 统一的 Web Portal 服务器采用高性能高可用群集技术,在负载均衡的同时,又实现冗余备份。
- 完全不认为 802.1x 对于 web 认证有什么优势。 内网用,或许还存在操作简单啥的。 外网用……那就是超级 bug 啊。 作为公网访问的节点,你用 802.1x 认证……等于你面相全网络开放了某个端口,还不设置任何防御措施。 web 认证……过程麻烦一些,机制相对更健全一些,安全度当然更高。 如果有必要,或者以后有必要,虽然不是很建议大炮打蚊子,但对于 it 行业来讲,特别是安全方面……核武打蚊子也是没问题的,毕竟……安全嘛。
- 802.1x 要安装客户端 portal 认证靠页面弹窗,参考公共 wifi
- 802.1x 适合企业内部使用, Web 认证适合公共 wifi
- Dhcp snooping,mac 固化
- 802.1x 优点是标准协议新设备支持广泛,兼容性好。缺点是只能根据网卡地址做为认证方式。 web 的优点是可以支持账户,机器配置等等其他准入条件。缺点是是实施复杂