扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:石翊 2007年10月30日
关键字:
在本页阅读全文(共2页)
三种访问控制方法
根据企业的业务因素,可以从以下三种访问控制方法中进行选择以满足网络需要:IEEE 802.1X、Web身份验证、MAC身份验证。选择其中一种方式后,首先要设计网络分段,这些分段应适合于企业网络的各种各样的应用环境,在网络中的一个有限区域内引入访问控制(例如,如从综合部开始),形成一张网络结构拓扑图。再根据网络中各种不同的分段,就可以通过将所有的分段集成到一个统一的总体中来实施优化。
在网络访问授权之前的有限接入时,通常被称做“锁住状态”,并不是说所有的端口都被网络规则所阻止。网络访问控制系统也可以同那些开关一起动态去控制VLAN。默认条件下,所有受网络访问控制的网站端口都会自动锁住,存在着一定范围内的接入权限。只有当系统检测到网络内计算机符合网络访问控制要求的时候,才会传输指令给这些端口解除锁定。由于网络访问控制设备安装在一个开关点,向ARP传输信号要求通过网关,网络访问控制把MAC地址注入企业的ARP注册表作为网关,因此会强制客户把所有非本地通信传输给网络访问控制。一旦机器通过网络访问控制的参数,就会被允许通过正确的网关。如果知道网关的正确MAC地址,就可以通过人工创建通过网关的ARP迂回摆脱ARP中毒。
用户权限与开源本性
在一个简单的验证环境下,网络访问控制咨询RADIUS服务器决定企业是否有权进入公司内部网和无线网。如果用户名和密码正确,那么就可以完全通过,反之默认状态下仅仅开放普通端口(如http、https、ftp等等,根据内部网安全政策认可。)对于那些复杂的验证环境,如高级经理进入ERP系统,网站管理员进入服务器,保险调解员进入数据库,会有专门的用户认证政策。LDAP接口或者动态IP服务器终端用户可以授权用户进入应用系统。
许多网络访问控制能够上溯到最初的开放源代码的控制。当网络访问控制技术在主流商业市场上开始成型的时候,根据自己所需可以选择理想的开放源代码,并据此执行网络访问控制系统。 一般说来,商业系统与开放源代码副本相比有更多的特点,包括与它们相匹配的支持系统。当然,这并不意味着提供开放源代码可以被忽视,许多开放源代码系统都有高级的检测方法、验证以及保障能力。执行开放源代码网络访问控制系统需要耐心,至少拥有Linux网络管理员的全部技能。这种操作通常建立在其他开放源代码包上,能够被安装在许多Linux机器上,并且文件数量比较少。也许用户在第一次尝试运行开放源代码失败,原因就在于错误地配置了附件包,而不是开放源代码网络访问控制软件本身。
编者按:不论企业的网络是否需要网络访问控制技术,还是在特殊情况下,哪种类型的网络才是最适合企业网络,并能够构建出一个高效安全的网络,对企业的网络安全才是最主要的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。