网络访问控制是一种通过限制符合组织安全策略的端点设备的网络资源可用性来增强私有组织网络安全性的方法.典型的网络访问控制方案包括两个主要组件,如受限访问和网络边界保护.
通过用户身份验证和授权控制来实现对网络设备的限制访问,该控制负责识别并向网络系统验证不同的用户.授权是授予或拒绝受保护资源的特定访问权限的过程.
网络边界保护控制进出网络的逻辑连接.例如,可以部署多个防火墙以防止对网络系统的未授权访问.此外,还可以部署入侵检测和防御技术来防御来自Internet的攻击.
在本章中,我们将讨论用户识别和网络访问身份验证的方法,然后是各种类型的防火墙和入侵检测系统.
限制对网络设备的访问是保护网络的一个非常重要的步骤.由于网络设备包括通信以及计算设备,因此妥协这些设备可能会降低整个网络及其资源.
矛盾的是,许多组织确保其服务器和应用程序具有出色的安全性,但是与基本安全性通信网络设备.
网络设备安全的一个重要方面是访问控制和授权.已经开发了许多协议来满足这两个要求并将网络安全性提高到更高的水平.
用户身份验证是必要的访问网络系统,特别是网络基础设施设备.身份验证有两个方面:一般访问身份验证和功能授权.
一般访问身份验证是控制特定用户是否对他正在尝试的系统具有"任何"访问权限的方法连接至.通常,这种访问与具有该系统的"帐户"的用户相关联.授权涉及个人用户"权利".例如,它决定用户在进行身份验证后可以执行的操作;用户可能被授权配置设备或仅查看数据.
用户身份验证取决于包括他知道的内容(密码),他拥有的内容(加密令牌)或他是什么(生物识别).使用多个因素进行识别和身份验证为Multifactor身份验证提供了基础.
在最低级别,所有网络设备应具有用户名 - 密码身份验证.密码应该是非平凡的(至少10个字符,混合字母,数字和符号).
如果用户远程访问,应使用一种方法来确保用户名和密码不通过网络明确传递.此外,还应以合理的频率更改密码.
基于单个设备的验证系统提供基本的访问控制措施.但是,当网络中存在大量具有大量用户访问这些设备的设备时,集中式身份验证方法被认为更有效和高效.
传统上,集中式身份验证用于解决面临的问题在远程网络访问.在远程访问系统(RAS)中,网络设备上的用户管理是不实际的.将所有用户信息放在所有设备中,然后使这些信息保持最新是行政的噩梦.
集中式身份验证系统(如RADIUS和Kerberos)解决了这个问题.这些集中式方法允许在一个地方存储和管理用户信息.这些系统通常可以与其他用户帐户管理方案(如Microsoft的Active Directory或LDAP目录)无缝集成.大多数RADIUS服务器可以使用普通RADIUS协议与其他网络设备通信,然后安全地访问存储在目录中的帐户信息.
例如,Microsoft的Internet身份验证服务器(IAS)桥接RADIUS和Active Directory,为设备用户提供集中身份验证.它还确保用户帐户信息与Microsoft域帐户统一.上图显示了作为Active Directory服务器和RADIUS服务器运行的Windows域控制器,以便网络元素在Active Directory域中进行身份验证.
许多网络设备都可以配置访问列表.这些列表定义了授权访问设备的主机名或IP地址.例如,通常限制从网络管理员以外的IP访问网络设备.
这样可以防止任何可能未经授权的访问.这些类型的访问列表是一种重要的最后防御,并且在某些具有不同访问协议规则的设备上可以非常强大.
