| 出版日期:2003-12-22 总期号:1277 本年期号:96 |
|
 |
简化局域网安全管理
瑞斯康达公司技术支持部 为了方便有效地保护各种网络资源,需要将用户认证技术与访问控制技术进行有机的结合, 为局域网提供一套多层面的安全保护体系。 为了同时保证网络的互通性与信息的安全性,在各个不同的层面上产生了许多的网络安全措施与技术。在局域网中,迫切需要一种技术与手段,既能够充分利用IEEE 802 LAN的技术简单、成本低廉的特点,同时又能够对网络用户或设备访问网络的合法性进行验证,并能够区分他们对网络服务与网络资源的使用权限,对他们的网络活动进行全程的控制。 访问控制 为了保障局域网的信息安全,先后产生了一系列的访问控制技术,其中主要有MAC地址过滤、VLAN隔离、访问控制列表、防火墙等。在局域网中通过单个技术或多个技术的组合,在一定程度上保障了局域网的信息安全。这几种技术的特点有较大的差异,见表1。 由表1的比较可以看出,几种访问控制方式各有优缺点。由于它们采用的技术以及所要解决的问题相差很大,所以在网络安全管理中,通常都是几种甚至是全部技术的组合,因此对网络安全管理人员的要求非常高。但这种网络安全管理人员相对较少,使得众多企业不能有效利用这些技术,也不能充分保障企业网内部网络资源的安全。如何很好地解决管理效率与网络安全、技术复杂度与网络安全这两个矛盾,已成为众多业界人士讨论的焦点。 认证授权 用户认证与授权,也是网络安全中的一个重要问题。只有网络用户的身份得到了有效和安全的验证,才能合理地对他的网络行为进行控制,从而保证整个网络系统的安全。目前业界常用的认证技术主要有三种,分别是:PPPoE认证、Web认证、802.1x认证。这三种认证技术都已在不同程度上应用于电信运营网络,在支持电信运营网络的健康运转及安全保护等方面起到了非常大的作用。但认证方式只能是保障网络安全的一种基础手段,还需要与其他网络技术有机结合,才有可能有效保证整个网络的安全与可靠。 各种认证技术从目前的使用情况来看,通常只是与物理端口的通断简单关联,使得认证过程成了网络使用权的鉴别过程。认证体系与访问控制体系相分离,使得所有的访问控制都需预先设置好,同一用户在网络中的移动变得非常困难。 结合降低复杂度 有效地保护各种网络资源,需要将用户认证技术与访问控制技术进行有机的结合,为局域网提供一套多层面的安全保护体系。这种结合将解决企业局域网建设与维护工作中管理效率与网络安全之间的矛盾,使得网络资源既得到了有效的安全保护,同时也得到了合理的高效利用。 下面以北京瑞斯康达公司的基于策略的访问控制系统PACS(Policy-based Access Control System)为例,介绍这种综合防护体系。 PACS由一套策略管理平台PM(Policy Manager)与一组(至少一台)访问控制交换机ACS(Access Control Switch)组成。PM处于网络中心,一般与网管平台处于同一物理位置;而ACS则处于网络的骨干与网络边缘的连接部,或直接起到网络骨干的作用。所有网络用户对网络资源访问的信息流都会通过ACS,并受到ACS的有效控制。 由图1可以看出,当多个网络用户使用同一台接入层设备进行连接时,可以在接入层设备上采用VLAN技术进行隔离。同属于一台接入层设备并在一个VLAN中的网络用户之间,正常的网络流量是无需PACS控制的;只有当网络用户需要访问网络资源或者需要通过核心层的ACS与其他网络用户(同一个接入层设备下属于不同VLAN的用户或者两台不同的接入层设备下的用户)进行交互时,才需要进行认证等一系列访问控制工作。这样既有效保障了网络规划与管理的方便性,同时又可以安全控制网络用户对资源的访问。 另外,由于采用了PACS,服务器资源向多类用户同时共享已没有安全问题。通过策略的制订,PACS能够了解服务器资源所能提供的服务、某个服务的网络特性以及可以向哪类网络用户提供服务等信息,可以快速针对每一个用户采用预先设计好的管理策略进行安全访问控制,从而解决资源复用的安全问题。同时,PACS提供基于用户的带宽控制策略,能够合理地控制每个用户的访问带宽,使得有限的资源可以被高效利用。 
表1 几种访问控制技术的比较 
图1利用PACS构建网络资源安全平台拓扑图 |
||||||||||||||||||||||||||
