Network Security – Access Control

网络接入控制是加强私营组织网络安全的一种方法,其方法是限制网络资源的供应,以终止符合本组织安全政策的装置。 典型的网络出入控制计划由两个主要组成部分组成,如限制出入和网络边界保护。

通过用户认证和授权控制,对网络系统的不同用户进行识别和认证,实现了对网络装置的限制。 授权是颁发或拒绝获得受保护资源的具体许可。

网上边界保护 控制网络与网络之间和网络外的逻辑连接。 例如,可以部署多个防火墙,防止未经授权进入网络系统。 也可以部署入侵探测和预防技术,以防互联网上的攻击。

在本章中,我们将讨论各种类型防火墙和入侵探测系统的网络接入用户识别和认证方法。

Securing Access to Network Devices

限制使用网络上的装置是保障网络安全的关键步骤。 由于网络装置包括通信和计算设备,因此,这些装置有可能减少整个网络及其资源。

自相矛盾的是,许多组织确保其服务器和应用程序的高度安全,但将网络设备与基本安全连接起来。

网络装置安全的一个重要方面是出入控制和授权。 制定了许多议定书,以满足这两项要求,并将网络安全提高到更高的水平。

User Authentication and Authorization

用户认证对于控制网络系统的利用,特别是网络基础设施装置的使用是必要的。 认证有两个方面:一般准入认证和功能授权。

一般准入认证是控制某一用户是否拥有“任何”进入他试图连接的系统的权利的方法。 通常,这种准入与用户有“账户”与该系统的联系。 授权涉及个人用户“权利”。 例如,它决定用户一旦认证后可做些什么;用户可被授权没收该装置或只查看数据。

用户认证取决于他知道的内容(密码)、他掌握的东西(密码)或他掌握的东西(生物鉴别)。 使用不止一个因素进行身份查验和认证,为多要素认证提供了依据。

Password Based Authentication

在最低一级,所有网络装置都应有用户名密码认证。 密码应当是非属地(至少10个性、字母、数字和符号)。

在用户远程访问的情况下,应当使用一种方法确保用户名称和密码不会在网络上通过。 此外,口号也应作一些合理的改动。

Centrapzed Authentication Methods

个人设备认证制度提供了基本出入控制措施。 然而,当网络拥有大量用户使用这些装置的仪器时,集中认证方法被认为更为有效。

传统上,集中认证用于解决远程网络接入所面临的问题。 在远程访问系统(RAS)中,网络装置上的用户管理并不实际。 将所有用户信息贴在所有装置中,然后不断更新信息,是一种行政梦.。

集中认证制度,如RADIUS和Kerberos,解决这一问题。 这些集中的方法使得用户信息能够储存和管理在一个地方。 这些系统通常可以与诸如微软的主动名录或LDAP名录等其他用户账户管理计划紧密结合。 大部分RADIUS服务器可以与正常的RADIUS协议中的其他网络装置进行通信,然后安全地获得存放在名录上的账户信息。

例如,微软的互联网Austhentication服务器(IAS)将RADIUS和主动名录连接起来,为装置用户提供中央认证。 该系统还确保用户账户信息与微软域账户统一。 以上图表显示,一台视窗域控制器既是主动名录服务器,又是RADIUS的服务器,用于将网络要素认证为活跃的名录域。

Access Control Lists

许多网络装置可以与访问清单混在一起。 这些清单界定了获准使用该装置的东道名称或IP地址。 例如,除了网络管理人外,通常限制从执行伙伴获得网络设备。

这样就可以防止任何可能未经许可的进入。 这些类型的准入清单是重要的最后防御,对不同的准入议定书有不同的规则的某些装置来说,这些清单是相当强大的。