共享网络就意味着风险:病毒侵入、数据被盗和网络瘫痪等,利用网络访问控制技术可以有效防范,确保网络安全。如今数据被盗肆虐,蠕虫和病毒横行,为了适应网络安全,选 择网络访问控制(NAC)技术构建网络成为必然。然而,网络访问控制并不简单,它含义深奥并包含一整套的方法。
对网络访问控制的政策执行与公司的业务流程密切相关。比如说一些餐馆的无线网络就是最简单的网络访问控制体系,顾客在接入网络之前就必须接受相关的协议。这只是网络访问控制最简单的例子,这些餐馆提供最简单的增值服务——上网。然而对其他环境如医院,这样的协议就过于简单了。
要为你的网络选择正确的网络访问控制类型,要知道两个前提条件。第一,要清楚网络访问控制所提供的服务,怎样提供这些服务,以及如何把这些服务纳入网络。第二点就是要有明确的、可执行的安全访问策略。网络访问控制不是创造策略,而是执行策略。没有这两点,公司网络安全问题仍旧会被认为仅仅是IT部门的职责(而这永远不是一件好事)。
对接入是开还是关?
在网络访问授权之前的有限接入,通常被称做“锁住状态”。它并不是说所有的关口都被阻止了,例如它允许你下载新的杀毒软件以升级。所以,在计划引进网络访问控制设置前,要理解并匹配准入的锁机方法。
早期的共享网络采用人为的方法,通过接入的路线和关口来限制共享,其中包括起始和终端IP地址、TCP协议、用户数据端口、IP端口以及MAC地址等。从网络建设的角度说,这需要一整套执行方法,网络访问控制方法将会自动完成一系列准入程序。另一种方法则是以分配实际LAN/VLAN来分离整个网络中被锁定的电脑,相对简单的就是用DHCP(即动态主机配置协议)来分配。这种方法不仅可以限制性设置机器到3 VLAN中,还能设置其他客户的信息如DNS。例如,所有网页都可以通过网络服务器的一个“接受”按钮全部放行。
在一些更为高级的开关设置中,网络访问控制系统可以同那些开关一起动态控制VLAN。默认条件下,所有受网络访问控制的网站端口都自动锁住,存在有限的接入权限。只有当系统检测到机器符合网络访问控制要求的时候,才会传输指令给这些端口解除锁定。网络访问控制设备安装在一个开关点(类似SPAN端口),向ARP传输信号要求通过网关。网络访问控制把MAC地址注入用户的ARP注册表作为网关,因此会强制客户把所有非本地通信传输给网络访问控制。一旦机器通过网络访问控制的参数,就会被允许通过正确的网关。
每种方法的保护都不一样。在DHCP方法中,明智的用户都会被分配一个有效的静态IP地址,也顺带通过VLAN验证。如果知道网关的正确MAC地址,就可以通过人工创建通过网关的ARP迂回摆脱ARP中毒。不过,大部分网络访问控制系统都有针对这些行为的专门措施。
接入网络的间隔距离也应该重点考虑。与端口控制的网络访问控制方法不同,在线网络访问控制对公司广域网线路和网络严格控制,但是相同方向通关则不受限制。简单说,如果A和B都在网络访问控制网关的同侧,它们就可以互相进入。
评估终端的安全
验证用户ID是网络访问控制系统中很严格的步骤。最简单的例子,就像在咖啡馆无线上网,只当用户遵守相关协时,才能被授权上网。
在一个简单的验证环境下,网络访问控制质询RADIUS服务器决定用户是否有权进入公司内部网和无线网。如果用户密码正确,那么就可以完全通关,反之默认状态下仅仅开放普通端口(如http、https等等,根据内部网安全政策认可。)对那些复杂的验证环境,如高级经理进入ERP系统,网站管理员进入服务器,保险调解员进入数据库,会有专门的用户认证政策。LDAP接口或者动态IP服务器终端用户可以授权用户进入应用系统。