802.1X验证的最佳实践

众所周知，大多数值得一做的事情做起来似乎都不容易。IEEE 802.1X验证显然值得我们一试，但是许多公司似乎都在等待网络和计算机供应商将它变得更加简单，因此索性将其丢在了脑后。虽然网络供应商已经开始将802.1X列入了他们的产品目录，但是延误它推广进程的问仍旧存在：如何让你的用户和员工在受到最少干扰的情况下为每台计算机添加最新、最强大的安全控制措施？ 尽管802.1X在过去的几年里一直以来都是最受关注的验证方法，然而用户访问网络和相关政策的变化才让它现在最终被大家所认可。企业现在所期望的是能够为客户、承包方、员工的个人电脑和智能手机提供持网络登录支持。所有人都希望得到一个包括加密认证和访问权限区分功能在内，并能够拒绝未知和不受信任用户访问的登陆解决方案。 所有这些好处显而易见，网络和安全团队一直在努力推行802.1X，因为它意味着在网络上手动触摸每一台设备成为了可能。网络基础架构组件和用户设备之间所面临的相互操作的挑战、可扩展性问题和管理复杂性也阻碍了802.1X的部署。 事情正在发生变化，所有企业都在努力解决他们所面临的困难。举个例子说明，为了更好地为3000多名用户提供服务，服务美国夏威夷杨百翰大学的IT团队已经开始了一个安全的802.1X Cisco和Xirrus无限网络的部署。除了锁定大学内完全开放的无线网络，他们所面临的问题是要找到一个最佳的解决方案来让他们的部署变得快捷，尽量减少对用户的服务中断，并支持各种各样的用户设备和来自不同厂商的网络设备。经过对三家厂商产品的仔细评估，杨百翰大学选择了Avenda的eTIPS基于身份的AAA和NAC平台以及Avenda的QuickX端点配置向导。 杨百翰大学基础架构主管Mark Aughenbaugh说，“关于强制使用802.1X 的政策，Avenda早就在这方面很有经验了。他们拥有非常成熟的产品。” 此外，杨百翰大学还选择使用Avenda的Quick1X端点配置产品来帮助合理化他们的进程。Aughenbaugh说有了Quick1X，他们能够在每个人的设备上简单的安装和配置802.1X。最后通过一个基于网络的门户，让用户使用一个预先定义的配置来运行导向，从而简化程序，并可以删除配置每台电脑的帮助台。 “Avenda的解决方案使我们能够轻松的解决之前的无线问题，它运行得非常好，我们开始着眼于何时为我们的有线和VPN网络部署802.1X安全措施。，”Aughenbaugh说，“我们的主要安全目标已经实现，事实上我们现在拥有之前所没有的网络访问可见度。我们可以观察每个用户的连接和使用详情，这有助于我们调整无线网络，同时改善用户体验。” 杨百翰大学的团队使用了下列最佳做法来保证他们的802.1X部署一切顺利。他们认为这些做法同样适用于任何企业和组织： 1. 部署一个能够支持所有现有基础架构的解决方案，并在多厂商环境下工作。这一点在杨百翰大学的案例中显得尤为重要，因为他们的网络由240个来自Cisco和Xirrus的访问端点组成，动态目录和其他组件在其中发挥了积极的作用。 2. 找到一个包括RADIUS和使用你现有的RADIUS架构顺利工作的方法。 3. 在用户配置的支持方面，找到一个支持多种操作系统的，比如Windows 7，Windows Vista，Mac OS X,Mac iOS和Linux。 4. 确保用户配置工具可以创建多个预配置软件包，这样你就可以为不同的对象比如学生、员工、访客等设置不同的配置选项。 5. 确保用户能够得到一个易于使用的工具或者向导，只需要轻轻点几下鼠标就可以完成配置过程。 6. 在配置或者政策变化需要的时候，确保IT部门可以轻松地配置和分配最新的软件包。 原作：Linda Musthaler