德保罗大学(DePaul University)位于芝加哥,成立于1898 年,目前已发展成为美国最大的天主教大学,现有 23,000 多名学生。该校学生来自不同的地区,有不同的种族背景、宗教信仰和经济背景,但他们都有一个共同的愿望,就是能通过无线连接方式快捷、安全地访问学校资源。
德保罗大学网络工程师 Nicola Foggi 表示:“越来越多的学生都很希望能够用上简单易用的 Wi-Fi。目前,许多大学都提供了这一服务。”
鉴于该校庞大的学生数量及其广阔的校园面积,德保罗大学必须选用一种无线安全解决方案:既要方便学生的使用,又要促进 IT 对德保罗大学校园无线网的所有访问的集中化控制。
面临的挑战:如何快捷、安全地无线访问学校资源德保罗大学的信息服务协理副总裁 Joe Salwach 说:“过去,德保罗大学主要是通过为终端用户分发复杂的 WEP 键值来实现访问,但是这种方法存在很多问题,容易造成混乱、丢失键值以及大大增加呼叫 Help Desk 的次数。”作为无线网络的安全协议,WEP 解决方案由于其固有的验证漏洞,容易遭到恶意威胁。“我们之所以选择SonicWALL Aventail E-Class 解决方案,是因为它不仅提高了易用性,还增强了安全性,”Joe Salwach 解释说。
德保罗大学的 IT 管理人员需要一种解决方案来保障网络、数据和学校应用的安全。这种解决方案必须能以更经济的方式轻松融入该校现有的复杂网络环境,以便能够进行及时、快速的部署,从而满足繁忙的秋季学期的使用需求。这种解决方案还必须具备透明的跨平台支持功能,这样,德保罗大学的 IT 人员就无需对多种操作系统以及非可控的学生终端设备上的客户端软件提供支持。
除此之外,这种解决方案还必须为德保罗大学的学生、管理人员及全体员工提供简单、安全的应用访问能力。Foggi表示:“我们衡量解决方案的好坏最重要的一个标准就是它是否方便学生的使用。我们需要一种具有自我修复功能的解决方案,那样的话,我们才不会被大量的支持呼叫搞得焦头烂额。”
解决方案:具有无线网络访问控制能力的 Aventail SSL VPN德保罗大学放弃了IPSec解决方案,因为这种方案要求学校对非可控的学生设备上的客户端软件进行维护。对比多种解决方案后,该校采用了 SonicWALL Aventail 公司的获奖产品――E-Class SSL VPN 解决方案。
Foggi 表示:“我们研究了大量的无线安全解决方案,最后选择了 SonicWALL AventailE-Class SSL VPN,是因为它提供了非常好的的用户体验,并且能轻松融入学校现有的复杂网络。”而且,Foggi 还赞扬了 SonicWALL Aventail 公司对 SSL VPN 技术的执着,称赞 SonicWALL 解决方案满足了德保罗大学的独特要求。
Foggi 带领的团队部署了两台运行于 SonicWALL Aventail 的增强型 SSL VPN 平台的SonicWALL Aventail E-Class EX-2500 设备。这两台设备将用作德保罗大学的网络访问控制(NAC)网关,确保所有用户能够通过德保罗大学的校园无线网进行安全远程访问。
德保罗大学的无线网络大约部署了350个Wi-Fi接入点,其中包括180个安装在学生宿舍的无线集线器。为了确保安全,所有无线用户从校园 Wi-Fi 热点进行连接时,首先会被连接到隔离网络,不能访问任何内部或外部(公共互联网)资源。为了进一步减少 Help Desk 呼叫次数,SonicWALL Aventail E-Class SSL VPN 解决方案还能让用户在IT可控的或非可控的设备平台之间进行无缝连接,不论他们采用的是Windows、Macintosh、Linux设备还是 Windows Mobile 终端设备进行连接。
部署 SonicWALL Aventail E-Class SSL VPN 解决方案后,根据登录凭据以及连接桌面、笔记本电脑或无线移动设备的身份信息和完整性,德保罗大学的管理人员、员工以及超过 23,000 名学生可以安全地远程访问内部或外部应用和文件。
通过采用基于 SSL 的三层网络连接,SonicWALL Aventail Smart Tunneling(智能隧道)技术让学生和员工可以在任何终端环境下无缝访问学校资源。SonicWALL Aventail E-Class SSL VPN 解决方案在默认状态下提供的是闭合隧道,这就为德保罗大学提供了比其它解决方案更高的安全性。
满足未来需求:为过时的操作系统提供隔离区,以进行自我修复易于配置的 SonicWALL Aventail 端点控制功能让德保罗大学可以更细致地检测一系列终端设备的身份信息和完整性。为了扩展 SonicWALL Aventail E-Class SSL VPN设备的容量,德保罗大学采用了 EPC 和 SonicWALL Aventail 一体化策略区来创建隔离区。隔离区可阻止用户采用过时的操作系统设备进行访问,并为用户提供了自我修复方法。
在此环境下,用户一旦在校园Wi-Fi热点区域内开启浏览器,将被立即重定向到SonicWALL Aventail E-Class SSL VPN 登录页面,进行验证。随后,SonicWALL Aventail端点控制代理程序将对用户终端设备进行快速背景扫描,以检测其身份信息和完整性,包括采用的Windows补丁是否是最新的。如果设备符合扫描标准,授权用户将会被导航到 SonicWALL Aventail门户,经此门户,用户可以访问其职务和权限范围内的网络文件、应用和目录。如果设备不符合扫描标准,用户将被导航到隔离网站,该网站会为用户提供自我修复的具体步骤,帮助其更新软件。这样一来,不仅确保了高度的安全性和控制能力,还减少了 IT 人员的用户支持量。