德保罗大学轻松实现无线安全

　　德保罗大学成立于 1898 年，目前已发展成为美国最大的天主教大学，现有23000多名学生。德保罗大学网络工程师 Nicola Foggi表示：“越来越多的学生都希望能够用上简单易用的 Wi-Fi。目前，许多大学都提供了这一服务。”

　　安全挑战

　　鉴于该校庞大的学生数量及其广阔的校园面积，德保罗大学必须选用一种无线安全解决方案：既要方便学生的使用，又要促进IT对德保罗大学校园无线网的所有访问的集中化控制。

　　德保罗大学的信息服务协理副总裁Joe Salwach说：“过去，德保罗大学主要是通过为终端用户分发复杂的WEP键值来实现访问，但是这种方法存在很多问题，容易造成混乱、丢失键值，以及大大增加呼叫帮助台的次数。”作为无线网络的安全协议，WEP解决方案由于其固有的验证漏洞，容易遭到恶意威胁。

　　德保罗大学的IT管理人员需要一种解决方案来保障网络、数据和学校应用的安全。这种解决方案必须能以更经济的方式轻松融入该校现有的复杂网络环境，以便能够进行及时、快速的部署，从而满足繁忙的秋季学期的使用需求。这种解决方案还必须具备透明的跨平台支持功能，这样，德保罗大学的IT人员就无需对多种操作系统以及非可控的学生终端设备上的客户端软件提供支持。

　　除此之外，这种解决方案还必须为德保罗大学的学生、管理人员及全体员工提供简单、安全的应用访问能力。Foggi表示：“我们衡量解决方案的好坏最重要的一个标准就是它是否方便学生的使用。我们需要一种具有自我修复功能的解决方案，那样的话，我们才不会被大量的支持呼叫搞得焦头烂额。”

　　SSL VPN控制无线网络访问

　　德保罗大学放弃了IPSec VPN解决方案，因为这种方案要求学校对非可控的学生设备上的客户端软件进行维护。对比多种解决方案后，该校采用了SonicWALL公司的获奖产品――E-Class SSL VPN解决方案。Foggi说：“E-Class SSL VPN提供了最佳的用户体验，并且能轻松融入学校现有的复杂网络。”

　　Foggi 带领的团队部署了两台E-Class EX-2500 设备。这两台设备作为德保罗大学的网络访问控制(NAC)网关，确保所有用户能够通过德保罗大学的校园无线网进行安全远程访问。

　　德保罗大学的无线网络大约部署了350个 Wi-Fi 接入点，其中包括 180 个安装在学生宿舍的无线集线器。为了确保安全，所有无线用户从校园 Wi-Fi 热点进行连接时，首先会被连接到隔离网络，不能访问任何内部或外部资源。为了进一步减少帮助台呼叫次数，E-Class SSL VPN 解决方案还能让用户在IT可控的或非可控的设备平台之间进行无缝连接，不论他们采用Windows、Macintosh、Linux设备还是 Windows Mobile终端设备进行连接。

　　易于配置的SonicWALL端点控制功能让德保罗大学可以更细致地检测一系列终端设备的身份信息和完整性。为了扩展E-Class SSL VPN设备的容量，德保罗大学采用了一体化策略区来创建隔离区。隔离区可阻止用户采用过时的操作系统设备进行访问，并为用户提供了自我修复方法。

　　在此环境下，用户一旦在校园Wi-Fi 热点区域内开启浏览器，将被立即重定向到E-Class SSL VPN 登录页面进行验证。随后，SonicWALL端点控制代理程序将对用户终端设备进行快速背景扫描，以检测其身份信息和完整性，包括采用的 Windows 补丁是否是最新的。如果设备符合扫描标准，授权用户将会被导航到 SonicWALL门户，经此门户，用户可以访问其职务和权限范围内的网络文件、应用和目录。

　　“我们保护钱。必须保护大量的信息对于我们来说是个新任务。我们在安全性上花费了数百万美元，但没有创造任何新的收入。我不能向任何人证明投资回报。这归结于我们能否确保企业取得风险与费用上的平衡。你不能花掉所有的钱。你必须找到你愿意忍受的风险水平。”Hodge总结到。