安全远程访问德保罗大学案例分析

 安全远程访问德保罗大学案例分析机构德保罗大学1E.JacksonBlvd.Chicago,IL60604要求为学生提供快捷、安全、集中可控的无线访问学校资源的能力。SonicWALL解决方案SonicWALLAventailE-ClassEX-2500SSLVPN可以用作控制无线访问的中央网关。好处■提供更轻松的终端用户体验。■网络访问无需WEP键值或其它用户安装要求。■在每台终端设备上单独安装软件时，对IT资源没有其它要求。■支持更多的学生自我修复以及更少的支持呼叫。■为无线传输提供增强型加密。■强制实施增强型集中化终端用户安全策略。■将来可为过时的操作系统修复提供隔离区。德保罗大学（DePaulUniversity）位于芝加哥，成立于1898年，目前已发展成为美国最大的天主教大学，现有23,000多名学生。该校学生来自不同的地区，有不同的种族背景、宗教信仰和经济背景，但他们都有一个共同的愿望，就是能通过无线连接方式快捷、安全地访问学校资源。德保罗大学网络工程师NicolaFoggi表示：“越来越多的学生都很希望能够用上简单易用的Wi-Fi。目前，许多大学都提供了这一服务。”鉴于该校庞大的学生数量及其广阔的校园面积，德保罗大学必须选用一种无线安全解决方案：既要方便学生的使用，又要促进IT对德保罗大学校园无线网的所有访问的集中化控制。面临的挑战：如何快捷、安全地无线访问学校资源德保罗大学的信息服务协理副总裁JoeSalwach说：“过去，德保罗大学主要是通过为终端用户分发复杂的WEP键值来实现访问，但是这种方法存在很多问题，容易造成混乱、丢失键值以及大大增加呼叫HelpDesk的次数。”作为无线网络的安全协议，WEP解决方案由于其固有的验证漏洞，容易遭到恶意威胁。“我们之所以选择SonicWALLAventailE-Class解决方案，是因为它不仅提高了易用性，还增强了安全性，”JoeSalwach解释说。德保罗大学的IT管理人员需要一种解决方案来保障网络、数据和学校应用的安全。这种解决方案必须能以更经济的方式轻松融入该校现有的复杂网络环境，以便能够进行及时、快速的部署，从而满足繁忙的秋季学期的使用需求。这种解决方案还必须具备透明的跨平台支持功能，这样，德保罗大学的IT人员就无需对多种操作系统以及非可控的学生终端设备上的客户端软件提供支持。除此之外，这种解决方案还必须为德保罗大学的学生、管理人员及全体员工提供简单、安全的应用访问能力。Foggi表示：“我们衡量解决方案的好坏最重要的一个标准就是它是否方便学生的使用。我们需要一种具有自我修复功能的解决方案，那样的话，我们才不会被大量的支持呼叫搞得焦头烂额。”解决方案：具有无线网络访问控制能力的AventailSSLVPN德保罗大学放弃了IPSec解决方案，因为这种方案要求学校对非可控的学生设备上的客户端软件进行维护。对比多种解决方案后，该校采用了SonicWALLAventail公司的获奖产品――E-ClassSSLVPN解决方案。Foggi表示：“我们研究了大量的无线安全解决方案，最后选择了SonicWALLAventailE-ClassSSLVPN，是因为它提供了最佳的用户体验，并且能轻松融入学校现有的复杂网络。”而且，Foggi还赞扬了SonicWALLAventail公司对SSLVPN技术的执着，称赞SonicWALL解决方案满足了德保罗大学的独特要求。德保罗大学（DePaulUniversity）“我们研究了大量的无线安全解决方案，最后选择了SonicWALLAventailE-ClassSSLVPN，是因为它提供了最佳的用户体验，并且能轻松融入学校现有的复杂网络。”——德保罗大学网络工程师NicolaFoggiSonicWALLAventail好处■检测：SonicWALLAventailEndPointControl（端点控制）功能可检测终端设备的身份信息和安全状态■保护：SonicWALLAventailUnifiedPolicy（一体化策略）让用户只能访问授权的应用■连接：SonicWALLAventailSmartAccess（智能访问）和SmartTunneling（智能隧道）技术确保了对所有网络资源快捷、安全的访问Foggi带领的团队部署了两台运行于SonicWALLAventail的增强型SSLVPN平台的SonicWALLAventailE-ClassEX-2500设备。这两台设备将用作德保罗大学的网络访问控制（NAC）网关，确保所有用户能够通过德保罗大学的校园无线网进行安全远程访问。德保罗大学的无线网络大约部署了350个WiFi接入点，其中包括180个安装在学生宿舍的无线集线器。为了确保安全，所有无线用户从校园WiFi热点进行连接时，首先会被连接到隔离网络，不能访问任何内部或外部（公共互联网）资源。为了进一步减少HelpDesk呼叫次数，SonicWALLAventailE-ClassSSLVPN解决方案还能让用户在IT可控的或非可控的设备平台之间进行无缝连接，不论他们采用的是Windows、Macintosh、Linux设备还是WindowsMobile终端设备进行连接。好处部署SonicWALLAventailE-ClassSSLVPN解决方案后，根据登录凭据以及连接桌面、笔记本电脑或无线移动设备的身份信息和完整性，德保罗大学的管理人员、员工以及超过23,000名学生可以安全地远程访问内部或外部应用和文件。通过采用基于SSL的三层网络连接，SonicWALLAventailSmartTunneling™（智能隧道）技术让学生和员工可以在任何终端环境下无缝访问学校资源。SonicWALLAventailE-ClassSSLVPN解决方案在默认状态下提供的是闭合隧道，这就为德保罗大学提供了比其它解决方案更高的安全性。满足未来需求：为过时的操作系统提供隔离区，以进行自我修复易于配置的SonicWALLAventail端点控制功能让德保罗大学可以更细致地检测一系列终端设备的身份信息和完整性。为了扩展SonicWALLAventailE-ClassSSLVPN设备的容量，德保罗大学采用了EPC和SonicWALLAventail一体化策略区来创建隔离区。隔离区可阻止用户采用过时的操作系统设备进行访问，并为用户提供了自我修复方法。在此环境下，用户一旦在校园WiFi热点区域内开启浏览器，将被立即重定向到SonicWALLAventailE-ClassSSLVPN登录页面，进行验证。随后，SonicWALLAventail端点控制代理程序将对用户终端设备进行快速背景扫描，以检测其身份信息和完整性，包括采用的Windows补丁是否是最新的。如果设备符合扫描标准，授权用户将会被导航到SonicWALLAventail门户，经此门户，用户可以访问其职务和权限范围内的网络文件、应用和目录。如果设备不符合扫描标准，用户将被导航到隔离网站，该网站会为用户提供自我修复的具体步骤，帮助其更新软件。这样一来，不仅确保了高度的安全性和控制能力，还减少了IT人员的用户支持量。SonicWALL中国联系方式销售热线：021-65100909转42888电子邮件：china_services@sonicwall.com ©2007SonicWALL,Inc.是SonicWALL公司的注册商标。本文提到的其它产品名称可能是各自公司的商标和/或注册商标。文中内容和规格如有变更，恕不另行通知。08/07SW186