网络安全9-访问控制技术
- 格式:ppt
- 大小:1.27 MB
- 文档页数:85


随着企业越来越关注互操作性和信息共享,物联网设备,虚拟服务器/云服务,lte路由器,工业智能网关,防火墙和自带设备(BYOD)正在定期涌入其网络。这给网络监护人验证和授权网络中的端点带来了麻烦的任务。在目前的情况下,用户可以通过各种技术和设备从世界上几乎任何地方访问商业网络,网络管理员已经感到需要从可以处理简单入门和访客等任务的传统解决方案(如防病毒,间谍软件和防火墙)过渡管理网络访问控制(NAC)等先进技术,以获得强大而动态的基于角色的功能。
什么是网络访问控制?
网络访问控制,通常称为NAC,是用于基于对网络及其策略的遵从性来控制和管理网络访问的工具。这些策略是基于诸如用户身份,设备位置,设备健康等各种参数来设计的。
随着物联网设备的大趋势和BYOD重塑网络周边并增加系统的脆弱性,NAC通过了解设备连接到网络的人员,时间,地点和方式,在识别和保护端点方面发挥着至关重要的作用。从技术上讲,NAC基本上对任何尝试使用预定义协议触发的策略连接到网络的访问控制设备进行连接前和连接后风险评估。
NAC的演变
早些时候,NAC基于通过简单的扫描和阻止机制对端点进行身份验证和授权的原则。随着技术的进步,提供商正在提供网络访问控制解决方案,以满足管理和限制访客访问企业网络的迅速需求。增加复杂性的因素包括智能手机和移动设备的日益普及; 不受管制的BYOD 政策; 和物联网的出现,缺乏物联网和BYOD的设备配置标准化; 设备类型,品牌,操作系统和安全健康状况的无数排列的可能性; 在大多数设备中缺乏企业级安全性,这加剧了复杂性。因此,组织一直在选择先进的NAC解决方案,以便在不需要人工干预的情况下实时实现分类和隔离功能。此外,跳跃性质,安全攻击的强度以及对可扩展性的不断增长的需求增加了对最佳套件解决方案的需求,以降低攻击风险并在未来实现虚拟和物理扩展。
随着端点的大量增加,NAC提供商正在开发先进的解决方案。安全自动化和编排解决方案(SA&O),能够实现自动化安全协调的无代理解决方案,以及其他为用户和设备提供精细策略,促进可扩展性,实现安全编排和自动化,以及ip modem在中央服务器上提供安全数据整理轻松跟踪。
第二章 防火墙安全技术实验
使用防火墙实现安全的访问控制
【实验名称】 使用防火墙实现安全的访问控制
【实验目的】 利用防火墙的安全策略实现严格的访问控制
【背景描述】
某企业网络的出口使用了一台防火墙作为接入Internet的设备,现在需要使用防火墙的安全策略实现严格的访问控制,以允许必要的流量通过防火墙,并且阻止到Internet的未授
权的访问。
企业内部网络使用的地址段为100.1.1.0/24。公司经理的主机IP地址为100.1.1.100/24,设计部的主机IP地址为100.1.1.101/24~100.1.1.103/24,其它员工使用
100.1.1.2/24~100.1.1.99/24范围内的地址。并且公司在公网上有一台IP地址为200.1.1.1
的外部FTP服务器。
现在需要在防火墙上进行访问控制,使经理的主机可以访问Internet中的Web服务器和公司的外部FTP服务器,并能够使用邮件客户端(SMTP/POP3)收发邮件;设计部的
主机可以访问Internet中的Web服务器和公司的外部FTP服务器;其它员工的主机只能访
问公司的外部FTP服务器。
【需求分析】
企业网络需要对内部网络到达Internet的流量进行限制,防火墙的安全策略(包过滤规
则)可以满足这个需求,实现内部网络到Internet的严格的访问控制需求。
57网络安全实验教程
【实验拓扑】
【实验设备】
防火墙连接到Internet的链路
防火墙 1台
PC 3台 FTP服务器 1台
【预备知识】 网络基础知识
防火墙工作原理
【实验原理】 实现访问控制是防火墙的基本功能,防火墙的安全策略(包过滤规则)可以根据数据包
的源IP地址、目的IP地址、服务(端口号)等对通过防火墙的报文进行检测。
【实验步骤】
第一步:配置防火墙接口的IP地址
进入防火墙的配置页面:网络配置—>接口IP,单击按钮为接口添加IP地址。
关于计算机网络安全防范的几种关键技术探究文晓浩(北京理工大学珠海学院,广东珠海519088)摘要:计算机网络已经成为当前应用的热点,计算机网络中的安全问题也日益严重和凸显。本文就计算机网络中存在的安全威胁进行了分析,进而对网络安全防护中的几种关键技术进行了讨论和研究。关键词:计算机;网络安全;威胁;网络技术中图分类号:TP393.08文献标识码:A文章编号:1673-1131(2013)01-0287-02随着信息技术的进步,基于计算机的网络应用已经深入到人们生活的各个层面。在计算机网络为我们带来了便捷高效的用户体验的同时,网络中存在的安全隐患也深刻地影响着我们正常的工作和生活。如何采取防范措施,避免或者消除计算机网络中存在的安全隐患是当前计算机网络技术发展过程中需要持续关注的一类问题。本文就几种计算机网络安全防范技术进行了分析和研究。1计算机网络中用户所面临的安全威胁(1)网络自身安全因素。由于当前的网络状态为计算机网络过于庞大,用户数量众多,用户计算机情况良莠不齐,网络技术发展速度迅猛等,以至于网络本身存在诸多漏洞或者BUG,这些情况都容易引发网络安全方面的问题。计算机网络的存在需要物理设备支持,但是当前的物理设备安全在整个网络建设中属于弱点工程,多数网络设备的物理防范措施不足,容易受到自然灾害或者人为破坏等的影响。计算机网络也是一个系统,在其系统中不可避免地存在一些安全漏洞,网络的安全性和可靠性无法得到全面保证,如果网络用户也没有采取相应的安全措施进行自我防护的话,一旦网络中出现病毒或者攻击等,这些用户除了会受到影响,还很有可能传染给其他用户。(2)网络攻击对网络安全的影响。鉴于网络系统或者用户端系统不可避免的存在漏洞,如果这些漏洞被某些人恶意使用并对计算机网络进行攻击,会导致网络信息的完整性受损,甚至于某些机密信息的泄露。这种攻击方式主要分为两种:第一种为恶意干扰攻击,黑客通过对网络传输中的信息进行干扰或者破坏以实现阻碍用户正常获取网络信息或者阻碍网络系统正常工作的目的;第二种为非授权性访问,黑客通过恶意入侵获取用户端计算机信息或者服务器端系统权限等,以非法获得用户的信息或数据等。2几种关键计算机网络安全防范技术分析由于计算机网络安全工作涉及技术、管理方式、使用方法和物理设备等多种层面,因此对计算机网络安全的维护是一项非常复杂的工程,需要综合多种方式才能建立起一套完整的防范体系。(1)防火墙技术。防火墙技术是一种传统的安全技术,其主要应用与在两个或者多个网络间存在访问时,对访问权限和信息传输进行控制和过滤。通常防火墙分为过滤性、监测型和代理型三类,这些防火墙模式单独或者联合使用可以维护用户端在网络访问中的正常运行效率,但是也为用户网络安全带来了局限性。最为明显的实例就是防火墙无法对来自局域网内部的网络攻击进行防御。因此在应用防火墙技术的时候要不断针对问题对防火墙进行改进和完善。(2)访问控制技术。访问控制技术就是对网络中的主体访问客体的访问权限进行控制。其中主体是指网络中的访问者或者对操作对象进行操作的实体;客体是指受访问的实体,客体可以是信息、文件、记录或者其他可以被访问或者获取的数据等;而访问权限是指主体是否具有对客体进行访问的权限。通过访问控制技术,可以设置特定的主体可以获取网络数据,并对其进行操作,也可以拒绝某些恶意主体对客体的破坏,保证网络资源不被破坏或者非法获取。(3)防病毒技术。当前的网络病毒特征是,具有破坏性的病毒对网络计算机的杀伤力大,不具有破坏性的病毒隐蔽性更强,潜伏期更长,更容易绕开一些系统措施盗取用户的个人数据和信息等;其可自我复制性和短时爆发性相对于计算机网络而言更是潜在的巨大威胁。因此网络中的设备必须采用一定的防病毒技术。通常防病毒技术分为防御技术、检测技术和清除技术三部分。面对采用CS工作模式的多数网络来说,建立起一套完整的病毒防御体系是安全进行网络访问的可靠保证。(4)信息加密技术。利用信息加密技术可以对网络传输中的进行加密,减小信息泄露或者信息窃取所带来的损失。安全可靠的信息加密技术可以有效保证信息数据的安全。根据加密技术分类,常用的加密方式有链路加密、端端加密、节点加密等。根据作用分类,常用的加密方式分为信息完整性鉴别或者密钥控制等。信息加密技术更加侧重于在信息出现泄漏时的信息安全保护。(5)容灾技术。容灾技术主要用于应对自然灾害带来的数据损失。通过采取一定的容灾技术可以在数据存储或者传输设备因灾害遭到破坏时,数据仍旧具有安全性和完整性。3网络安全技术发展趋势(1)ids入侵检测技术。为弥补防火墙技术的不足,当前的网络安全技术中引入了ids入侵检测技术。该技术通过对一些关键点的信息进行收集和分析来确定操作是否属于非法操作,或者是否违反安全策略。这种技术相对而言更为积极,因此也可以称为主动防御技术。其将网络设备出现问题后再进行处理的工作方式转变为在网络设备受到攻击或者危害之前就对威胁进行拦截的工作方式。该技术具有非常大的发展空间。(2)云安全技术。随着云计算技术成为今后计算机网络应用的主要趋势,基于云的网络安全技术也得到了广泛重视。云安全技术就是利用网络中的计算机集群等的超级运算和分析能力对用户的网络安全进行维护和处理,将网络安全由客户端迁移到云端,确保终端和传输中的信息安全。4结语本文对威胁计算机网络的常见因素进行了分析,进而对当前以及今后的网络安全防护技术进行了讨论。通过上述分析可知,若想确保计算机网络的安全,维护网络的健康运行,就必须推进网络安全技术的全面发展,有效预防影响网络安全的问题出现。(下转291
电子科技2007年第1期(总第208期)
访问控制列表在网络安全中的应用 王华丽,王泉 (西安电子科技大学计算机学院,陕西西安710071) 摘要访问控制列表ACL(access control list)是一种对经过路由嚣的数据流进行分类和过滤的技术,在网 络安全中发挥着重要的作用。文中介绍了访问控制列表的基本原理、作用和特征,并举例说明了如何在网络安 全中应用访问控制列表。 关键词访问控制列表;网络安全;路由器 中圈分类号TP393.08 The Application of Access Control List to Network Security Wang Huali,Wang Quan (School of Computer Science,Xidian Univ.,Xi all 710071,China) Abstract Access control list(ACL)is a technique for classification and filtration of packets through the router and plays an important role in network security.The basic concept。functions and characteristic of access control list are introduced and some instances are given to study how to apply access control list to network security. Keywords acl;network security;router 1 引 言 随着Intemet/Intranet的飞速发展,全球信息 化已成为一种趋势。网络规模的扩大和网络应用 的上升,使得网络安全控制显得越来越重要。网 络层设备(三层以上交换机、路由器等)在其中起 着重要作用,除实现传统功能路由外,还用来设 置访问控制策略,控制列表(Access control list)也 是其中一项重要功能。访问控制技术通过控制与 检查进出关键网络设备的访问,保护关键数据。它 是一种主机防护技术,发挥着越来越重要的作用。 2访问控制列表ACL 访问控制列表ACL(access control list)是一种 对经过路由器的数据流进行判断、分类和过滤的 技术。它是一系列包含源地址、目的地址、端口 收稿日期:2006-06-09 作者简介:王华丽(1981一),女,硕士研究生。研究方向: 网络安全.数据包分类技术。 号等信息的语句的集合,每条语句称之为一个规 则(rule),它规定对到达数据包的处理动作,允许 或者拒绝。通过匹配数据包中的信息与访问控制 列表的规则可以过滤数据包,实现对路由器和网 络的安全控制。其工作流程如图l所示: Packet