|
中华网络安全联盟 作者:佚名 来源:互联网 时间:2007-10-27 17:17:25
一个有效的NAC(网络访问控制)方案,应该可以提供一个可信任网络架构,这个架构对威胁具有免疫性,以及恰当使用的可控制性并能够为所有用户保护数据和完整性。
NAC的一个关键特性是访问的安全性,可以通过限制哪些用户拥有对系统的访问以及他们如何通过有线或无线的方法连接,来前摄性地防止安全性受到破坏。网络访问控制帮助你保证只有授权的用户可以获得对网络的访问权。而且,它保证用户只能访问被授权使用的资源。既然安全性是网络管理人员们关心的一个主要问题之一,因此企业根据权利和需要对网络访问进行有效的控制是非常必须的。
图1
例如,对一所医院的医生和护士来说访问病人的记录是合适的。而这种访问对于在自助餐厅的厨师来说却是不合适的。对于在你的网络上没有业务的人员来说,给他们任何的访问都是不合适的。
一个有效的网络访问控制策略应该将那些不法之徒阻挡在外,并只能根据内部人员的身份、所连接的地点、所连接的时间等,确保其访问网络资源。同时,一个有效的网络访问控制应该使企业的网络保持灵活性。
下面我们看一些实现有效的网络访问控制的具体措施:
选择一个网络访问控制方法和一种客户端技术
一般说来,你可以根据你的业务因素,从以下三种访问控制方法中进行选择以满足你的网络需要:
●IEEE 802.1X
●Web身份验证
●MAC身份验证
选择一个网络架构设备
网络架构设备,如交换机、接入点和WAN路由器可以提供对RADIUS验证的支持,并且支持上述全部的验证形式。这些设备可以直接控制客户端与网络的连接。考虑到不同边缘设备的不同性能,任何增强安全策略的特定设备的能力都依赖于所用的访问控制方法以及客户端是否在寻求一个有线或无线的连接。
选择RADIUS服务器
远程身份验证拨入用户服务(RADIUS)是一个工业标准协议,可以提供身份验证、授权和账户服务;它用在提供用户网络访问的设备与对进入的用户进行身份验证的设备之间。RADIUS定义了三种公共的部件:
●访问客户
●网络接入(访问)服务器
●RADIUS服务器
即使你有多种多样的应用环境,你也只能在网络中使用一种类型的RADIUS服务器(例如,你可以使用微软的IAS服务器或者FreeRADIUS)。在这方面,你应该根据网络中的所用的应用环境选择自己的RADIUS服务器。这也是对一个中央用户数据库进行投资(LDAP或者活动目录)的时机。
选择EAP方法(如果使用802.1x的话)
只有在你使用802.1x访问控制方法时,可扩展身份验证协议(EAP)的方法才具有重要意义。你需要考虑两个因素:客户对网络的验证和网络对客户的验证。
布置并安排网络分段
你要设计网络分段,这些分段应适合于你网络的各种各样的应用环境。我们强烈建议你在网络中的一个有限区域内引入访问控制(例如,如从会议室开始)。你会获得经验并由此全面铺开。
集成所有的网络段
一旦你部署了网络中各种不同的分段,你就可以通过将所有的分段集成到一个统一的总体中来实施优化。
考虑采用身份驱动管理
身份驱动管理(IDM)提供了基于用户身份而不是网络设备的网络访问控制,它允许你在网络的中心设置一个网络访问策略的实施,并将它动态地运用于网络的边缘。
通过上述的措施你应该已经部署了一个比较健全的NAC方案。
|
