网络安全 – 访问控制

网络访问控制是一种增强私有组织网络安全性的方法，它将网络资源的可用性限制在符合组织安全策略的端点设备上。典型的网络访问控制方案包括两个主要部分，例如限制访问和网络边界保护。

对网络设备的受限访问是通过用户身份验证和授权控制实现的，用户身份验证和授权控制负责识别和验证网络系统的不同用户。授权是授予或拒绝对受保护资源的特定访问权限的过程。

网络边界保护控制进出网络的逻辑连接。例如，可以部署多个防火墙以防止未经授权访问网络系统。还可以部署入侵检测和预防技术来防御来自互联网的攻击。<​​/p>

在本章中，我们将讨论网络访问的用户识别和身份验证方法，以及各种类型的防火墙和入侵检测系统。

保护对网络设备的访问

限制对网络上设备的访问是保护网络的一个非常重要的步骤。由于网络设备由通信和计算设备组成，因此破坏这些设备可能会导致整个网络及其资源瘫痪。

矛盾的是，许多组织确保其服务器和应用程序具有出色的安全性，但对通信网络设备的安全性却很差。

网络设备安全的一个重要方面是访问控制和授权。已经开发了许多协议来满足这两个要求并将网络安全性提升到更高水平。

用户身份验证和授权

用户身份验证对于控制对网络系统（特别是网络基础设施设备）的访问是必不可少的。身份验证有两个方面：一般访问身份验证和功能授权。

一般访问身份验证是控制特定用户是否对其尝试连接的系统具有"任何"类型的访问权限的方法。通常，这种访问与用户在该系统拥有"帐户"有关。授权处理单个用户的"权利"。例如，它决定用户在经过身份验证后可以做什么；用户可以被授权配置设备或仅查看数据。

用户身份验证取决于多种因素，包括他知道的东西（密码）、他拥有的东西（加密令牌）或他本身的东西（生物识别）。使用多个因素进行识别和身份验证为多因素身份验证提供了基础。

基于密码的身份验证

在最低级别，所有网络设备都应具有用户名-密码身份验证。密码应非简单（至少 10 个字符，混合字母、数字和符号）。

如果用户进行远程访问，应使用一种方法来确保用户名和密码不会在网络上以明文形式传递。此外，还应以合理的频率更改密码。

集中式身份验证方法

基于单个设备的身份验证系统提供了基本的访问控制措施。但是，当网络拥有大量设备并且大量用户访问这些设备时，集中式身份验证方法被认为更有效、更高效。

传统上，集中式身份验证用于解决远程网络访问面临的问题。在远程访问系统 (RAS) 中，对网络设备上的用户进行管理并不实际。将所有用户信息放在所有设备中，然后保持这些信息最新，这是一项管理上的噩梦。

集中式身份验证系统（如 RADIUS 和 Kerberos）解决了这个问题。这些集中式方法允许将用户信息存储和管理在一个地方。这些系统通常可以与其他用户帐户管理方案（如 Microsoft 的 Active Directory 或 LDAP 目录）无缝集成。大多数 RADIUS 服务器都可以通过正常的 RADIUS 协议与其他网络设备通信，然后安全地访问存储在目录中的帐户信息。

例如，Microsoft 的 Internet 身份验证服务器 (IAS) 连接 RADIUS 和 Active Directory，为设备用户提供集中式身份验证。它还确保用户帐户信息与 Microsoft 域帐户统一。上图显示了一个 Windows 域控制器，它既充当 Active Directory 服务器，又充当 RADIUS 服务器，以便网络元素能够通过 Active Directory 域进行身份验证。

访问控制列表

许多网络设备都可以配置访问列表。这些列表定义了有权访问设备的主机名或 IP 地址。例如，通常会限制除网络管理员以外的 IP 对网络设备的访问。

这样就可以防止任何未经授权的访问。这些类型的访问列表是重要的最后防线，在某些具有针对不同访问协议的不同规则的设备上可能非常强大。