DCSM-A 解决方案-高校校园网接入运营管理解决方案-20101008.pptVIP

高校校园网接入运营管理解决方案 神州数码网络有限公司 2010年10月8日 高校校园网目前现状 发展迅速、规模越来越大 应用系统、服务对象复杂 应用复杂、数据流量大 接入模式多样化 网络安全隐患多 出现问题无法及时查找原因和源头 网络维护任务繁重，网络运营难度大 多重身份认证系统 高校校园网需要解决的问题 适应快速发展需要，建立高效异构的校园网络 适应简化应用需要，建立易用易维的校园网络 适应流量增长需要，建立可管可控的校园网络 适应安全审计需要，建立实名制的校园网络 适应接入管理需要，建立可控可信的校园网络 适应计费运营需要，建立以网维网的校园网络 适应多重认证需要，建立统一认证的校园网络 神州数码校园网接入运营管理解决方案 DCSM打造最全面的接入管理解决方案 兼容包并的Dot1x准入解决方案 安全易用的Portal准入解决方案 易用易维的Portal准出解决方案 高效简单的客户端准出解决方案 高安全高可控合理运营的内网Dot1x准入外网准出解决方案 易用易维合理运营的内网portal准入外网准出解决方案 1、兼容包并的Dot1x准入解决方案 Internet Firewall DCRS DCSM-A Netlog 1.1、兼容包并的Dot1x准入解决方案--适用对象 关注内网安全接入的校园网 关注网络实名制的校园网 关注高可控的校园网 接入可控 在线可控 终端安全管理可控 防病毒联动需求 操作系统补丁自动升级管理需求 终端有损安全及运营的行为可控 防代理 防PC克隆 存在不同接入管理系统，无法满足移动、实现统一认证需求的校园网 因为异构网络放弃内网接入认证的校园网 1.2、兼容包并的Dot1x准入解决方案-特点 异构网络，兼容多厂商标准Dot1x设备-交换机和AP 摆脱Dot1x解决方案带来的厂商绑定问题 兼容Cisco、H3C、Huawei、RG、ZTE、无线Dot1x 一个客户端实现有线/无线的统一认证，增强组网灵活性 有线Dot1x认证 无线dot1x认证，解决Windows终端配置无线Dot1x的复杂性 无线EAP透传认证 标准Dot1x认证实现扩展Dot1x的功能 准入检测策略 七元组绑定 Username、Switch_IP、Switch_Port、Swtich_vlan、User_IP、User_MAC、Terminal_ID 客户端版本控制 防病毒联动 IP、MAC黑名单 合法接入区域检查 IP获取方式 操作系统补丁检查 在线管控策略 上线消息 操作系统补丁自动更新 在线消息 强制下线 防代理、防私设DHCP Server、防BT、防PC克隆 客户端自动升级 DCSM配合其它厂商交换机可以实现DCSM配合DCN交换机私有Dot1x所有的功能 2、安全易用的Portal准入解决方案 2.1、Portal准入解决方案--适用对象 关注内网安全接入同时关注易用、可维护的校园网 平衡可控和易用，部分控制功能需使用其它方式实现或者放弃 操作系统补丁升级管理 防修改MAC 防PC克隆 方案需要设备支持，需要设备软件升级或硬件升级 2.2、Portal准入解决方案优点 可控 遵循Dot1x的安全设计思想，在接入层启用认证 遵循Dot1x的安全控制方法，实现Username、Switch_IP、Switch_Port、Switch_vlan、User_IP、User_Mac的六元组绑定 Windows 用户通过ActiveX控件检查关键操作系统补丁、防病毒软件 可信 IP统一分配 用户+IP+MAC绑定，不可抵赖，构建实名制网络的基石 六元组绑定实现谁（Username）在什么地方(Switch\Port\Vlan)使用什么(User_IP\User_Mac)做了什么(Netlog)的审计 易用 兼容多操作系统 兼容多浏览器 不存在客户端固有的分发、部署、安装、配置等维护问题 减低了准入控制的实施难度和推广难度、提升了可用性 融合 同时支持Dot1x和Portal认证 实施认证的同时阻断ARP欺骗、阻断ARP扫描、阻断私设DHCP Server 实现认证之前有限资源访问，实现资源的高效利用 与DCFS实现Portal方式的二次转一次认证，内网安全接入、外网灵活计费的运营管理模式 基于用户的应用级审计 基于用户的网络行为管理联动 3、易用易维的Portal准出解决方案 ISP1 Firewall DCRS DCSM-A Netlog上网 行为管理 认证PC 认证PC 认证PC DCFS 内部网络 ISP2 DCFS日 志服务器 认证计费及上网 行为审计管理中心 3.1、Portal准出解决方案--适用对象 不实施内网安全接入认证控制 交换机不支持内网安全接入认证 交换机品牌多样性，维护困难 基于管理、维护考虑，暂不实施