打造高效安全的网络访问控制的解决方案

打造高效安全的网络访问控制的解决方案

打造高效安全的网络访问控制的解决方案 篇1

NAC的一个关键特性是访问的安全性，可以通过限制哪些用户拥有对系统的访问以及他们如何通过有线或无线的方法连接，来前摄性地防止安全性受到破坏。网络访问控制帮助你保证只有授权的用户可以获得对网络的访问权。而且，它保证用户只能访问被授权使用的资源。既然安全性是网络管理人员们关心的一个主要问题之一，因此企业根据权利和需要对网络访问进行有效的控制是非常必须的。

例如，对一所医院的医生和护士来说访问病人的记录是合适的。而这种访问对于在自助餐厅的厨师来说却是不合适的，

对于在你的网络上没有业务的人员来说，给他们任何的访问都是不合适的。

一个有效的网络访问控制策略应该将那些不法之徒阻挡在外，并只能根据内部人员的身份、所连接的地点、所连接的时间等，确保其访问网络资源。同时，一个有效的网络访问控制应该使企业的网络保持灵活性。

下面我们看一些实现有效的网络访问控制的具体措施：

选择一个网络访问控制方法和一种客户端技术

一般说来，你可以根据你的业务因素，从以下三种访问控制方法中进行选择以满足你的网络需要：

◆IEEE802.1X

◆Web身份验证

◆MAC身份验证

选择一个网络架构设备

打造高效安全的网络访问控制的解决方案 篇2

在网络盛行的今天,网络攻击原理日趋复杂,攻击却变得越来越简单易操作,攻击的方式也越来越多,如病毒(网络蠕虫)、针对网络服务器漏洞的攻击、拒绝服务攻击、与协议弱点相关的攻击、与不完全的密码相关的攻击等;还存在着一些额外的不安全因素,如外部组织、外部个体和内部个体的攻击等。使得网络管理员经常面临进退维谷的窘境:他们必须设法拒绝那些不希望的网络连接,同时又要允许那些正常的访问连接。虽然,可以通过其他的一些方式,如密码、权限、虚拟局域网等功能实现这些目的,但它们缺乏基本的通信流量过滤的灵活性和特定的控制手段,而这却正是许多网络管理员所需要的。例如,网络管理员或许想允许局域网内的用户访问Internet,同时他又不愿意局域网以外的用户通过Internet使用Telnet登录到本局域网。路由器提供了基本的通信流量过滤能力,例如通过访问控制列表就可以实现以上目的。

2 访问控制列表(ACL)

2.1 概述

ACL是应用在路由器(三层交换机或防火墙)接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以接收、那些数据包需要拒绝。至于数据包是被接受还是被拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。ACL的定义是基于所有协议的,如果想控制某种协议的通信数据流,那么必须要对该接口处的这种协议定义单独的ACL。

2.2 ACL的用途

(1)限制网络流量,提高网络性能。

(2)提供对通信流量的控制手段。

(3)提供网络访问的基本安全手段。如图1所示,ACL可以允许PC机A访问财务服务器或会计服务器,而阻止PC机B对财务网的访问。

(4)在路由器接口处,决定哪种类型的通信流量

被转发哪种类型的通信流量被阻塞。例如,可以允许E-Mail通信流量被路由,同时却拒绝所有的Telnet通信流量。

2.3 规则的应用

2.3.1 按正确顺序创建ACL

ACL其实就是各种允许或者拒绝的条件判断语句的集合,其特点是根据从上到下的语序进行判断,当第一个条件满足时,就不会再对其他条件进行比较,因此在ACL中各条件语句的放置顺序非常重要,不注意这一点往往会使得ACL形同虚设。

2.3.2 数字表示标识

ACL分为两类:标准ACL和扩展ACL。在路由器上配置ACL的时候,必须为每一协议的ACL分配一个唯一的表号,以便标识每个ACL。标准ACL的表号从1-99,扩展ACL的表号从100-199。

2.3.3 ACL配置步骤

(1)根据要求先用文本编辑器写出需要配置的ACL,检查各语句的顺序。

(2)在路由器模拟器上测试编写的ACL。因为直接在路由器上改动会暂时影响到网络的正常运行。

(3)经测试没有问题的时候再把ACL移植到路由器上。

(4)把相应的ACL关联到路由器的特定端口。

3 配置实例

3.1 标准ACL配置

例:如图2所示,要求允许源网络地址为172.20.0.0的通信流量可以通过,而拒绝其他所有的通信流量。配置方法如下:

其实在每个ACL的最后都隐含了一句:access-list表号deny 0.0.0.0 255.255.255.255(拒绝所有)。上面的ACL中由于首先找到了允许网络172.20.0.0的通信流量通过的匹配条件,以后就不会再检查有关网络172.20.0.0的其他匹配条件了。

3.2 扩展ACL配置

利用标准ACL可以对网络流量进行一定的控制,以达到对网络性能、安全的提高。但它是基于某一特定网络或协议的所有通信量而言的,而要达到更广阔的控制范围,如只想允许外来的Web和Mail通信流量通过,同时又要拒绝外来的Ftp和Telnet等通信流量时,就只能借助于扩展访问控制列表了。这种扩展后的特性给了网络管理员更大的灵活性,可以灵活多变地设计ACL的测试条件。

例1:如图2,设计一ACL,要求允许从192.168.3.0通过s0发往别处的mail流量,拒绝FTP流量从s0出去。配置如下:

例2:如图2,禁止192.168.3.0的计算机访问192.168.5.0的计算机,包括那台服务器,不过惟独可以访问192.168.5.15上的WWW服务,而其他服务不能访问。配置如下:

3.3 形同虚设的ACL实例

例:如图2,设计一个ACL,以便阻塞来自一特定主机192.168.3.15的通信流量,而其他的通信流量则从f1接口转发出去。如下配置:

这个例子中的ACL实际是达不到题设要求的,因为第一句已经允许了所有的通信流量,那么阻塞特定主机的第二句就不会再执行了。也就是说在编写访问控制列表一定要遵照ACL的应用规则,注意ACL中的语序。

4 结语

有关ACL的内容还有很多,诸如使用命名ACL、使用带协议的ACL和使用带防火墙功能的ACL等。合理地使用好不同的ACL可以帮助网络管理员打造安全、坚固的网络系统,如扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制。不过它也存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL将消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合并是最有效的方法。

参考文献

[1]Cisco Systems公司.思科网络技术学院教程(第三、四学期)(第二版)[M].北京:人民邮电出版社,2002.132-155.

[2]蒋理.计算机网络实验操作教程[M].西安:西安电子科技大学出版社,2004.317-319.

[3]江苏省校园网网络管理人员培训中心、南京工业大学信息中心.江苏省校园网网络管理人员培训教材[M].2002.360-371.

访问控制技术在网络安全中的应用 篇3

关键词:互联网 网络安全 访问控制

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

一、入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制着哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。

二、权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(irm)可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。

三、目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。

四、属性安全控制

当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。

五、服务器安全控制

网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

六、网络检测和锁定控制

网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。

七、网络端口和节点的安全控制

端口是虚拟的“门户”,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。

八、防火墙控制