当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 实现高效安全的网络访问控制的解决方案

安全基础
实现高效安全的网络访问控制的解决方案
学会利用加密方法保障电子邮件系统安全
新手入门:常见的病毒前缀的解释
通讯录导进Gmail的经验操作技巧
保障局域网访问internet的速度与安全的技巧
局域网的网上邻居中隐藏共享文件夹
常用的防范sniffer的方法
排除无线网络安全隐患的八大主流技术
outlook或foxmail邮件转入evolution的方法
在浏览器中直接查看照片的EXIF信息
U盘病毒彻底防御办法
多余的本地连接删除的方法
v6677.cn强制设为首页后怎么办?
电脑感染木马桌面多IE图标无法删除
正版用户如何删除产品密钥
如何全面防范邮件病毒的侵蚀
局域网内部禁止修改IP地址
网络钓鱼诈骗也可以专挑有钱人?
视频文件会存在病毒怎么杀毒?
看似不起眼的小动作破坏你计算机安全策略

安全基础 中的 实现高效安全的网络访问控制的解决方案


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 73 ::
收藏到网摘: n/a

一个有效的NAC(网络访问控制)方案,应该可以提供一个可信任网络架构,这个架构对威胁具有免疫性,以及恰当使用的可控制性并能够为所有用户保护数据和完整性。   NAC的一个关键特性是访问的安全性,可以通过限制哪些用户拥有对系统的访问以及他们如何通过有线或无线的方法连接,来前摄性地防止安全性受到破坏。网络访问控制帮助你保证只有授权的用户可以获得对网络的访问权。而且,它保证用户只能访问被授权使用的资源。既然安全性是网络管理人员们关心的一个主要问题之一,因此企业根据权利和需要对网络访问进行有效的控制是非常必须的。
  例如,对一所医院的医生和护士来说访问病人的记录是合适的。而这种访问对于在自助餐厅的厨师来说却是不合适的。对于在你的网络上没有业务的人员来说,给他们任何的访问都是不合适的。
  一个有效的网络访问控制策略应该将那些不法之徒阻挡在外,并只能根据内部人员的身份、所连接的地点、所连接的时间等,确保其访问网络资源。同时,一个有效的网络访问控制应该使企业的网络保持灵活性。
  下面我们看一些实现有效的网络访问控制的具体措施:
  选择一个网络访问控制方法和一种客户端技术
  一般说来,你可以根据你的业务因素,从以下三种访问控制方法中进行选择以满足你的网络需要:
  ●IEEE 802.1X
  ●Web身份验证
  ●MAC身份验证
  选择一个网络架构设备
  网络架构设备,如交换机、接入点和WAN路由器可以提供对RADIUS验证的支持,并且支持上述全部的验证形式。这些设备可以直接控制客户端与网络的连接。考虑到不同边缘设备的不同性能,任何增强安全策略的特定设备的能力都依赖于所用的访问控制方法以及客户端是否在寻求一个有线或无线的连接。
  选择RADIUS服务器
  远程身份验证拨入用户服务(RADIUS)是一个工业标准协议,可以提供身份验证、授权和账户服务;它用在提供用户网络访问的设备与对进入的用户进行身份验证的设备之间。RADIUS定义了三种公共的部件:
  ●访问客户
  ●网络接入(访问)服务器
  ●RADIUS服务器
  即使你有多种多样的应用环境,你也只能在网络中使用一种类型的RADIUS服务器(例如,你可以使用微软的IAS服务器或者FreeRADIUS)。在这方面,你应该根据网络中的所用的应用环境选择自己的RADIUS服务器。这也是对一个中央用户数据库进行投资(LDAP或者活动目录)的时机。
  选择EAP方法(如果使用802.1x的话)
  只有在你使用802.1x访问控制方法时,可扩展身份验证协议(EAP)的方法才具有重要意义。你需要考虑两个因素:客户对网络的验证和网络对客户的验证。
  布置并安排网络分段
  你要设计网络分段,这些分段应适合于你网络的各种各样的应用环境。我们强烈建议你在网络中的一个有限区域内引入访问控制(例如,如从会议室开始)。你会获得经验并由此全面铺开。
  集成所有的网络段
  一旦你部署了网络中各种不同的分段,你就可以通过将所有的分段集成到一个统一的总体中来实施优化。
  考虑采用身份驱动管理
  身份驱动管理(IDM)提供了基于用户身份而不是网络设备的网络访问控制,它允许你在网络的中心设置一个网络访问策略的实施,并将它动态地运用于网络的边缘。
  通过上述的措施你应该已经部署了一个比较健全的NAC方案。