网络安全 频道

NAC 能否构建一个高效安全的企业网络

    【IT168 专稿】面临着病毒侵入、数据被盗以及网络瘫痪等现象,该如何构建当前企业网络安全,成为网络管理人员一大难题,正确地选择网络访问控制(NAC)技术来构建网络安全将成为必然趋势。一个好的NAC解决方案,就可以提供一个可信任网络架构,并具有免疫性,可以有效地控制及保护企业重要数据。

    确定访问安全性
    我们知道NAC的一个关键特征是访问的安全性,可以通过限制哪些企业拥有对系统的访问以及他们如何通过有线或无线的方式连接,来有效地防止安全性受到破坏。网络访问控制可以保证只有授权的企业才可以获得对网络的访问权,且保证企业只能访问被授权使用的资源。因此企业根据权利和需要对网络访问进行有效的控制也是非常必要的。要为你的网络选择正确的网络访问控制类型,需要以下两个前提条件:

    一、要清楚网络访问控制所提供的服务,怎样提供这些服务,以及如何把这些服务纳入网络。
    二、就是要有明确的、可执行的安全访问策略。网络访问控制不是创造策略,而是执行策略。
一个有效的网络访问控制策略应该将那些不法之徒阻挡在外,根据内部人员的身份、所连接的地点、所连接的时间等,确保其访问网络资源。同时,一个有效的网络访问控制应该使企业的网络保持灵活性。如图一

    企业在选择网络访问控制技术时应当具有长远的发展眼光,对未来的安全性和网络采购活动能够适应这些处在不断发展过程中的、更为宽泛的网络访问控制架构,谁也不希望部署一串安全孤岛?

    三种访问控制方法
    根据企业的业务因素,可以从以下三种访问控制方法中进行选择以满足网络需要:IEEE 802.1X、Web身份验证、MAC身份验证。选择其中一种方式后,首先要设计网络分段,这些分段应适合于企业网络的各种各样的应用环境,在网络中的一个有限区域内引入访问控制(例如,如从综合部开始),形成一张网络结构拓扑图。再根据网络中各种不同的分段,就可以通过将所有的分段集成到一个统一的总体中来实施优化。

    在网络访问授权之前的有限接入时,通常被称做“锁住状态”,并不是说所有的端口都被网络规则所阻止。网络访问控制系统也可以同那些开关一起动态去控制VLAN。默认条件下,所有受网络访问控制的网站端口都会自动锁住,存在着一定范围内的接入权限。只有当系统检测到网络内计算机符合网络访问控制要求的时候,才会传输指令给这些端口解除锁定。由于网络访问控制设备安装在一个开关点,向ARP传输信号要求通过网关,网络访问控制把MAC地址注入企业的ARP注册表作为网关,因此会强制客户把所有非本地通信传输给网络访问控制。一旦机器通过网络访问控制的参数,就会被允许通过正确的网关。如果知道网关的正确MAC地址,就可以通过人工创建通过网关的ARP迂回摆脱ARP中毒。

    用户权限与开源本性
    在一个简单的验证环境下,网络访问控制咨询RADIUS服务器决定企业是否有权进入公司内部网和无线网。如果用户名和密码正确,那么就可以完全通过,反之默认状态下仅仅开放普通端口(如http、https、ftp等等,根据内部网安全政策认可。)对于那些复杂的验证环境,如高级经理进入ERP系统,网站管理员进入服务器,保险调解员进入数据库,会有专门的用户认证政策。LDAP接口或者动态IP服务器终端用户可以授权用户进入应用系统。

    许多网络访问控制能够上溯到最初的开放源代码的控制。当网络访问控制技术在主流商业市场上开始成型的时候,根据自己所需可以选择理想的开放源代码,并据此执行网络访问控制系统。 一般说来,商业系统与开放源代码副本相比有更多的特点,包括与它们相匹配的支持系统。当然,这并不意味着提供开放源代码可以被忽视,许多开放源代码系统都有高级的检测方法、验证以及保障能力。执行开放源代码网络访问控制系统需要耐心,至少拥有Linux网络管理员的全部技能。这种操作通常建立在其他开放源代码包上,能够被安装在许多Linux机器上,并且文件数量比较少。也许用户在第一次尝试运行开放源代码失败,原因就在于错误地配置了附件包,而不是开放源代码网络访问控制软件本身。

    编者按:不论企业的网络是否需要网络访问控制技术,还是在特殊情况下,哪种类型的网络才是最适合企业网络,并能够构建出一个高效安全的网络,对企业的网络安全才是最主要的。

0
相关文章