哪种网络访问控制方法最适合?
生活随笔
收集整理的這篇文章主要介紹了
哪种网络访问控制方法最适合?
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
目前進行網絡訪問控制的方法主要有:MAC地址過濾、VLAN隔離、IEEE802.1x身份驗證、基于IP地址的訪問控制列表和防火墻控制等等。下面分別予以簡單介紹。 1. MAC地址過濾法 ??? MAC地址是網絡設備在全球的唯一編號,它也就是我們通常所說的:物理地址、硬件地址、適配器地址或網卡地址。MAC地址可用于直接標識某個網絡設備,是目前網絡數據交換的基礎。現在大多數的二層交換機都可以支持基于物理端口配置MAC地址過濾表,用于限定只有與MAC地址過濾表中規定的一些網絡設備有關的數據包才能夠使用該端口進行傳遞。通過MAC地址過濾技術可以保證授權的MAC地址才能對網絡資源進行訪問。 如下圖所示,在服務器B所聯接的交換機網絡端口的MAC地址列表中上只配置了MAC a和MAC b兩個工作站的MAC地址,因此只有這兩臺工作站可以訪問服務器B,而MAC c就不能訪問了,但是在服務器A中卻沒有配置MAC地址表,交換機就默認可以與所有同一網段的工作站連接,這樣MAC a、MAC b、MAC c三個工作站都可以與服務器A連接了。 由于MAC地址過濾是基于網絡設備唯一ID的,因此通過MAC地址過濾,可以從根本上限制使用網絡資源的使用者。基于MAC地址的過濾對交換設備的要求不高,并且基本對網絡性能沒有影響,配置命令相對簡單,比較適合小型網絡,規模較大的網絡不是適用。因為使用MAC地址過濾技術要求網絡管理員必須明確網絡中每個網絡設備的MAC地址,并要根據控制要求對各端口的過濾表進行配置;且當某個網絡設備的網卡發生變化,或是物理位置變化時要對系統進行重新配置,所以采用MAC地址過濾方法,對于網管員來說,其負擔是相當重的,而且隨著網絡設備數量的不斷擴大,它的維護工作量也不斷加大。 另外,還存在一個安全隱患,那就是現在許多網卡都支持MAC地址重新配置,非法用戶可以通過將自己所用網絡設備的MAC地址改為合法用戶MAC地址的方法,使用MAC地址“欺騙”,成功通過交換機的檢查,進而非法訪問網絡資源。
2. VLAN隔離法 ??? VLAN(虛擬局域網)技術是為了避免當一個網絡系統中網絡設備數量增加到一定程度后,眾多的網絡廣播報文消耗大量的網絡帶寬,使得真正的數據傳遞受到很大的影響;確保部分安全性比較敏感的部門數據不被隨意訪問瀏覽而采用一種劃分相互隔離子網的方法。在此僅對VLAN技術實現訪問控制的一些基本方面作一簡單介紹。 通過VALN技術,可以把一個網絡系統中的眾多網絡設備分成若干個虛擬的“工作組”,組和組之間的網絡設備在二層上互相隔離,形成不同的廣播域,進而將廣播流量限制在不同的廣播域中。 由于VALN技術是基于二層和三層之間的隔離技術,被廣泛應用于網絡安全方面,可以通過將不同的網絡用戶與網絡資源進行分組,通過支持VLAN的交換機阻隔不同組內網絡設備間的數據交換來達到網絡安全的目的。該方式允許同一VLAN上的用戶互相通信,而處于不同VLAN的用戶之間在鏈路層上是斷開的,只能通過三層路由器才能訪問。 如下圖所示,右從左至右工作站的編號為1~6。在該圖中將編號為1、3、5的工作站劃分到一個VLAN中,將編號為2、4、6的工作站劃分到另一個VLAN中,這樣編號為1、3、5的工作站之間可以相互通信,編號為2、4、6的工作站之間也可以相互通信,但兩個組之間不可以直接通信,這樣可以確保本組資源只能由本組用戶訪問。
目前基于VLAN隔離方式的訪問控制方法,在一些中小型企業中也得到廣泛應用。如企業中的人事部和財務部等部門都是相對來說安全性要求更高一些的,通常不允許其它部門用戶隨意訪問、查閱相關資料,通過VLAN方式劃分后,兩個部門的網絡數據就不會被其他用戶訪問了,雖然他們與其它部門一樣同處一個網絡。還有一點要注意的是,雖然別的用戶不能隨意訪問VLAN組用戶,但VLAN組用戶卻可隨意訪問其它非VLAN組用戶,除非也做了訪問限制配置。 不同的交換機VLAN劃分的方法不盡相同,可以分別基于端口、MAC、IP地址進行,具體因篇幅關系,在此不作詳細介紹。 雖然我們說VLAN隔離方式具有比較明顯的優點,但同時也有一個非常明顯的缺點,那就是要求網絡管理員必須明確交換機每一物理端口上所聯接的設備的MAC地址或是IP地址,并要根據不同的工作組對交換機進行VLAN配置。當某一網絡終端的網卡、IP地址或是物理位置發生變化時,需要對整個網絡系統中的多個相關的網絡設備進行重新配置,這同樣對于網管來說負擔是相當重的,所以只適用于在小型網絡中使用。 在安全性方面也存在隱患,VLAN技術可以保證網絡設備間的隔離,但對于同一臺服務器,只能做到同時向多個VLAN組全面開放或是只向某個VLAN組全面開放,而不能針對個別用戶進行限制。而在通常情況下,一臺服務器會提供多種服務,擔當多種服務器角色,同時為多個VLAN組用戶提供不同的服務,這樣帶來了一定的安全隱患。例如一個數據庫服務器中可能存有財務數據,也可能同時擔當市場部電子商務中服務器角色,存有客戶的數據,這樣這臺服務器就得同時向財務人員與市場人員開放,單純采用VLAN技術就無法避免市場人員查看財務數據的情況發生。當然這種安全隱患可通過其它途經來解決。
3. ACL訪問控制列表法 ??? 訪問控制列表在路由器中被廣泛采用,它是一種基于包過濾的流向控制技術。標準訪問控制列表通過把源地址、目的地址以及端口號作為數據包檢查的基本元素,并可以規定符合檢查條件的數據包是允許通過,還是不允許通過。訪問控制列表通常應用在企業網絡的出口控制上,例如企業通過實施訪問控制列表,可以有效地部署企業網絡出網策略。如控制哪些員工可以訪問Internet;員工可以訪問哪些Internet站點;員工可以在什么時候訪問Internet;員工可以利用Internet收發電子郵件而不可以進行其它活動等。從而保證寶貴的網絡資源不至于被浪費,而且使員工在上班時精力集中。 隨著局域網內部網絡資源的增加,一些企業已經開始使用訪問控制列表來控制對局域網內部資源的訪問能力,進而來保障這些資源的安全性。如圖所示的就是一個應用ACL訪問控制列表的示意圖。如在路由器A中配置一個訪問控制列表,ACL訪問控制列表配置允許IP地址為192.168.2.10的工作站通過它訪問其它網絡IP地址為192.168.5.2的主機,而子網192.168.1.0不能與192.168.2.10及192.168.5.2通信。
訪問控制列表可以有效地在三層上控制網絡用戶對網絡資源的訪問,它既可以細致到兩臺網絡設備間的具體的網絡應用,也可以按網段進行大范圍的訪問控制管理,可以說是為網絡應用提供了一個有效的安全手段。 訪問控制列表如果廣泛用于局域網內部的訪問控制,可能最終會變為一種較為“粗獷”型的管理手段。因為采用這種技術,網絡管理員需要明確每一臺主機及工作站所在的IP子網,并確認它們之間的訪問關系,對于網絡終端數量有限的網絡而言,這不成問題,但對于具有大量網絡終端的網絡而言,為了完成某些訪問控制甚至不得不浪費很多的IP地址資源,同時巨大的網絡終端數量,同樣會使得管理的復雜性和難度十分巨大。 另外,維護訪問控制列表不僅耗時,而且較大程度上增加了路由器開銷。訪問控制列表的策略性非常強,并且與網絡的整體規劃有很大的關系,因此,它的使用對策略制定及網絡規劃的人員要求比較高,所以是否采用訪問控制列表以及在多大程度上利用它,只能是管理效益與網絡安全之間的一個權衡。
4. 防火墻控制法 ??? 防火墻技術首先將網絡劃分為內網與外網,它通過分析每一項內網與外網通信應用的協議構成,得出主機IP地址及IP上聯端口號,從而規劃出業務流,對相應的業務流進行控制。如下圖所示的是一個利用防火墻控制內、外網絡通信的基本網絡結構。
在圖中,通過對防火墻的配置可以對外界開放Web服務器的80端口,因為80號端口是Web應用的HTTP協議使用的端口,這樣就可使得任何用戶都可以訪問公司的網站。而在郵件服務器及DNS服務器上也開放相應的IP上聯端口(如POP的23號端口和SMTP的25號端口),在保證相應功能實現的同時,也確保這些主機不會受到惡意的***。而對于數據庫服務器來說,外界對它的訪問將受到嚴格的限制,多是以***或是加密傳輸的專線方式進行。 防火墻技術在最大限度上限制了源IP地址、目的IP地址、源上聯端口號、目的上聯端口號的訪問權限,從而限制了每一業務流的通斷。它要求網絡管理員明確每一業務的源及目標地址、以及該業務的協議甚至上聯端口。在一個龐大的網絡中構造一個有效的防火墻,也需要相當大的工作量與技術水平。同時,防火墻設備如果要達到很高的數據吞吐量,其設備造價將會非常高,通常在企業應用中都只能用于整個企業的出口安全,在企業網內部的安全保護方面使用較少。 支持***通信的防火墻支持如DES、3DES、RC4以及國內專用的數據加密標準和算法。加密除用于保護傳輸數據以外,還應用于其他領域,如身份認證、報文完整性認證,密鑰分配等。支持的用戶身份認證類型是指防火墻支持的身份認證協議,一般情況下具有一個或多個認證方案,如RADIUS、Kerberos、TACACS/TACACS+、 口令方式、數字證書等。防火墻能夠為本地或遠程用戶提供經過認證與授權的對網絡資源的訪問,防火墻管理員必須決定客戶以何種方式通過認證。 還可對通過防火墻的包過濾規則進行設置。包過濾防火墻的過濾規則集由若干條規則組成,它應涵蓋對所有出入防火墻的數據包的處理方法,對于沒有明確定義的數據包,應該有一個缺省處理方法;過濾規則應易于理解,易于編輯修改;同時應具備一致性檢測機制,防止沖突。 防火墻中的IP包過濾依據主要是IP包頭部信息,如源地址和目的地址。如IP頭中的協議字段封裝協議為ICMP、TCP或UDP,則再根據ICMP頭信息(類型和代碼值)、TCP頭信息(源端口和目的端口)或UDP頭信息(源端口和目的端口)執行過濾,其他的還有MAC地址過濾。應用層協議過濾要求主要包括FTP過濾、基于RPC的應用服務過濾、基于UDP的應用服務過濾要求以及動態包過濾技術等。???? 以上幾種訪問控制方式的比較如下表所示。 由上表中的比較可以看出,幾種訪問控制方式各有優缺點,由于它們采用的技術以及所要解決問題的方向相差較大,所以在現實的網絡安全管理中,通常都是幾種甚至是全部技術的組合,從而對網絡安全管理人員的要求非常高。但全面掌握這些網絡安全技術的管理人員相對較少,特別是一些中小企業中,這樣就使得眾多企業不能有效利用這些技術來充分保障企業網內部網絡資源的安全。
2. VLAN隔離法 ??? VLAN(虛擬局域網)技術是為了避免當一個網絡系統中網絡設備數量增加到一定程度后,眾多的網絡廣播報文消耗大量的網絡帶寬,使得真正的數據傳遞受到很大的影響;確保部分安全性比較敏感的部門數據不被隨意訪問瀏覽而采用一種劃分相互隔離子網的方法。在此僅對VLAN技術實現訪問控制的一些基本方面作一簡單介紹。 通過VALN技術,可以把一個網絡系統中的眾多網絡設備分成若干個虛擬的“工作組”,組和組之間的網絡設備在二層上互相隔離,形成不同的廣播域,進而將廣播流量限制在不同的廣播域中。 由于VALN技術是基于二層和三層之間的隔離技術,被廣泛應用于網絡安全方面,可以通過將不同的網絡用戶與網絡資源進行分組,通過支持VLAN的交換機阻隔不同組內網絡設備間的數據交換來達到網絡安全的目的。該方式允許同一VLAN上的用戶互相通信,而處于不同VLAN的用戶之間在鏈路層上是斷開的,只能通過三層路由器才能訪問。 如下圖所示,右從左至右工作站的編號為1~6。在該圖中將編號為1、3、5的工作站劃分到一個VLAN中,將編號為2、4、6的工作站劃分到另一個VLAN中,這樣編號為1、3、5的工作站之間可以相互通信,編號為2、4、6的工作站之間也可以相互通信,但兩個組之間不可以直接通信,這樣可以確保本組資源只能由本組用戶訪問。
目前基于VLAN隔離方式的訪問控制方法,在一些中小型企業中也得到廣泛應用。如企業中的人事部和財務部等部門都是相對來說安全性要求更高一些的,通常不允許其它部門用戶隨意訪問、查閱相關資料,通過VLAN方式劃分后,兩個部門的網絡數據就不會被其他用戶訪問了,雖然他們與其它部門一樣同處一個網絡。還有一點要注意的是,雖然別的用戶不能隨意訪問VLAN組用戶,但VLAN組用戶卻可隨意訪問其它非VLAN組用戶,除非也做了訪問限制配置。 不同的交換機VLAN劃分的方法不盡相同,可以分別基于端口、MAC、IP地址進行,具體因篇幅關系,在此不作詳細介紹。 雖然我們說VLAN隔離方式具有比較明顯的優點,但同時也有一個非常明顯的缺點,那就是要求網絡管理員必須明確交換機每一物理端口上所聯接的設備的MAC地址或是IP地址,并要根據不同的工作組對交換機進行VLAN配置。當某一網絡終端的網卡、IP地址或是物理位置發生變化時,需要對整個網絡系統中的多個相關的網絡設備進行重新配置,這同樣對于網管來說負擔是相當重的,所以只適用于在小型網絡中使用。 在安全性方面也存在隱患,VLAN技術可以保證網絡設備間的隔離,但對于同一臺服務器,只能做到同時向多個VLAN組全面開放或是只向某個VLAN組全面開放,而不能針對個別用戶進行限制。而在通常情況下,一臺服務器會提供多種服務,擔當多種服務器角色,同時為多個VLAN組用戶提供不同的服務,這樣帶來了一定的安全隱患。例如一個數據庫服務器中可能存有財務數據,也可能同時擔當市場部電子商務中服務器角色,存有客戶的數據,這樣這臺服務器就得同時向財務人員與市場人員開放,單純采用VLAN技術就無法避免市場人員查看財務數據的情況發生。當然這種安全隱患可通過其它途經來解決。
3. ACL訪問控制列表法 ??? 訪問控制列表在路由器中被廣泛采用,它是一種基于包過濾的流向控制技術。標準訪問控制列表通過把源地址、目的地址以及端口號作為數據包檢查的基本元素,并可以規定符合檢查條件的數據包是允許通過,還是不允許通過。訪問控制列表通常應用在企業網絡的出口控制上,例如企業通過實施訪問控制列表,可以有效地部署企業網絡出網策略。如控制哪些員工可以訪問Internet;員工可以訪問哪些Internet站點;員工可以在什么時候訪問Internet;員工可以利用Internet收發電子郵件而不可以進行其它活動等。從而保證寶貴的網絡資源不至于被浪費,而且使員工在上班時精力集中。 隨著局域網內部網絡資源的增加,一些企業已經開始使用訪問控制列表來控制對局域網內部資源的訪問能力,進而來保障這些資源的安全性。如圖所示的就是一個應用ACL訪問控制列表的示意圖。如在路由器A中配置一個訪問控制列表,ACL訪問控制列表配置允許IP地址為192.168.2.10的工作站通過它訪問其它網絡IP地址為192.168.5.2的主機,而子網192.168.1.0不能與192.168.2.10及192.168.5.2通信。
4. 防火墻控制法 ??? 防火墻技術首先將網絡劃分為內網與外網,它通過分析每一項內網與外網通信應用的協議構成,得出主機IP地址及IP上聯端口號,從而規劃出業務流,對相應的業務流進行控制。如下圖所示的是一個利用防火墻控制內、外網絡通信的基本網絡結構。
在圖中,通過對防火墻的配置可以對外界開放Web服務器的80端口,因為80號端口是Web應用的HTTP協議使用的端口,這樣就可使得任何用戶都可以訪問公司的網站。而在郵件服務器及DNS服務器上也開放相應的IP上聯端口(如POP的23號端口和SMTP的25號端口),在保證相應功能實現的同時,也確保這些主機不會受到惡意的***。而對于數據庫服務器來說,外界對它的訪問將受到嚴格的限制,多是以***或是加密傳輸的專線方式進行。 防火墻技術在最大限度上限制了源IP地址、目的IP地址、源上聯端口號、目的上聯端口號的訪問權限,從而限制了每一業務流的通斷。它要求網絡管理員明確每一業務的源及目標地址、以及該業務的協議甚至上聯端口。在一個龐大的網絡中構造一個有效的防火墻,也需要相當大的工作量與技術水平。同時,防火墻設備如果要達到很高的數據吞吐量,其設備造價將會非常高,通常在企業應用中都只能用于整個企業的出口安全,在企業網內部的安全保護方面使用較少。 支持***通信的防火墻支持如DES、3DES、RC4以及國內專用的數據加密標準和算法。加密除用于保護傳輸數據以外,還應用于其他領域,如身份認證、報文完整性認證,密鑰分配等。支持的用戶身份認證類型是指防火墻支持的身份認證協議,一般情況下具有一個或多個認證方案,如RADIUS、Kerberos、TACACS/TACACS+、 口令方式、數字證書等。防火墻能夠為本地或遠程用戶提供經過認證與授權的對網絡資源的訪問,防火墻管理員必須決定客戶以何種方式通過認證。 還可對通過防火墻的包過濾規則進行設置。包過濾防火墻的過濾規則集由若干條規則組成,它應涵蓋對所有出入防火墻的數據包的處理方法,對于沒有明確定義的數據包,應該有一個缺省處理方法;過濾規則應易于理解,易于編輯修改;同時應具備一致性檢測機制,防止沖突。 防火墻中的IP包過濾依據主要是IP包頭部信息,如源地址和目的地址。如IP頭中的協議字段封裝協議為ICMP、TCP或UDP,則再根據ICMP頭信息(類型和代碼值)、TCP頭信息(源端口和目的端口)或UDP頭信息(源端口和目的端口)執行過濾,其他的還有MAC地址過濾。應用層協議過濾要求主要包括FTP過濾、基于RPC的應用服務過濾、基于UDP的應用服務過濾要求以及動態包過濾技術等。???? 以上幾種訪問控制方式的比較如下表所示。 由上表中的比較可以看出,幾種訪問控制方式各有優缺點,由于它們采用的技術以及所要解決問題的方向相差較大,所以在現實的網絡安全管理中,通常都是幾種甚至是全部技術的組合,從而對網絡安全管理人員的要求非常高。但全面掌握這些網絡安全技術的管理人員相對較少,特別是一些中小企業中,這樣就使得眾多企業不能有效利用這些技術來充分保障企業網內部網絡資源的安全。
總結
以上是生活随笔為你收集整理的哪种网络访问控制方法最适合?的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: ASP.NET 2.0 解决了 Code
- 下一篇: Windows服务的程序方面的资料