- 網路安全教程
- 網路安全 - 首頁
- 網路安全 – 概述
- 網路安全 – 應用層
- 網路安全 – 傳輸層
- 網路安全 – 網路層
- 網路安全 – 資料鏈路層
- 網路安全 – 訪問控制
- 網路安全 – 防火牆
- 網路安全 – 至關重要
- 零信任安全
- 零信任安全 - 簡介
- 零信任安全模型
- 零信任架構
- 網路安全有用資源
- 網路安全 - 快速指南
- 網路安全 - 有用資源
- 網路安全 - 討論
網路安全 – 訪問控制
網路訪問控制是一種透過限制符合組織安全策略的終端裝置對網路資源的訪問來增強私有組織網路安全的方法。典型的網路訪問控制方案包括兩個主要元件:受限訪問和網路邊界保護。
對網路裝置的受限訪問是透過使用者身份驗證和授權控制實現的,它負責識別和驗證不同的使用者到網路系統。授權是授予或拒絕對受保護資源的特定訪問許可權的過程。
網路邊界保護控制進出網路的邏輯連線。例如,可以部署多個防火牆來防止對網路系統的未授權訪問。此外,還可以部署入侵檢測和預防技術來防禦來自網際網路的攻擊。
在本章中,我們將討論使用者身份驗證和網路訪問身份驗證的方法,以及各種型別的防火牆和入侵檢測系統。
保護對網路裝置的訪問
限制對網路上裝置的訪問是保護網路的非常重要的步驟。由於網路裝置包括通訊和計算裝置,因此破壞這些裝置可能會導致整個網路及其資源癱瘓。
矛盾的是,許多組織確保其伺服器和應用程式擁有出色的安全性,但卻忽略了對通訊網路裝置進行基本的安全性防護。
網路裝置安全的一個重要方面是訪問控制和授權。許多協議已被開發出來以滿足這兩個需求,並將網路安全性提升到更高的水平。
使用者身份驗證和授權
使用者身份驗證對於控制對網路系統(特別是網路基礎設施裝置)的訪問是必要的。身份驗證有兩個方面:一般訪問身份驗證和功能授權。
一般訪問身份驗證是控制特定使用者是否對試圖連線到的系統擁有“任何”型別的訪問許可權的方法。通常,這種訪問與使用者在該系統中擁有“帳戶”相關聯。授權處理單個使用者的“許可權”。例如,它決定經過身份驗證後用戶可以做什麼;使用者可能被授權配置裝置或僅檢視資料。
使用者身份驗證取決於包括他知道的東西(密碼)、他擁有的東西(加密令牌)或他是什麼(生物特徵)等因素。使用多個因素進行身份識別和身份驗證為多因素身份驗證提供了基礎。
基於密碼的身份驗證
至少,所有網路裝置都應該具有使用者名稱-密碼身份驗證。密碼應該是非平凡的(至少 10 個字元,混合字母、數字和符號)。
如果使用者遠端訪問,應使用一種方法來確保使用者名稱和密碼不會在網路上傳輸明文。此外,密碼也應該以合理的頻率更改。
集中式身份驗證方法
基於單個裝置的身份驗證系統提供基本的訪問控制措施。但是,當網路擁有大量裝置以及大量訪問這些裝置的使用者時,集中式身份驗證方法被認為更有效率。
傳統上,集中式身份驗證用於解決遠端網路訪問中遇到的問題。在遠端訪問系統 (RAS) 中,管理網路裝置上的使用者並不實際。將所有使用者資訊都放在所有裝置中,然後保持該資訊的最新狀態是一場管理噩夢。
諸如 RADIUS 和 Kerberos 之類的集中式身份驗證系統解決了這個問題。這些集中式方法允許在一個位置儲存和管理使用者資訊。這些系統通常可以與其他使用者帳戶管理方案(例如 Microsoft 的 Active Directory 或 LDAP 目錄)無縫整合。大多數 RADIUS 伺服器都可以使用正常的 RADIUS 協議與其他網路裝置通訊,然後安全地訪問儲存在目錄中的帳戶資訊。
例如,Microsoft 的 Internet 身份驗證伺服器 (IAS) 連線 RADIUS 和 Active Directory,為裝置使用者提供集中式身份驗證。它還確保使用者資訊與 Microsoft 域帳戶統一。上圖顯示了一個 Windows 域控制器,它同時作為 Active Directory 伺服器和 RADIUS 伺服器,供網路元素進行 Active Directory 域的身份驗證。
訪問控制列表
許多網路裝置都可以配置訪問列表。這些列表定義被授權訪問裝置的主機名或 IP 地址。例如,通常會限制除網路管理員之外的 IP 地址訪問網路裝置。
這將防止任何型別的未授權訪問。這些型別的訪問列表充當重要的最後一道防線,並且在某些裝置上可以非常強大,針對不同的訪問協議具有不同的規則。