知识：详述企业网安全访问控制技术

　　随着企业网络规模的不断扩大，企业存储系统上的敏感数据越来越多，如何保护企业系统不被非法访问？这一问题现在显得越来越重要，企业用户应采用安全访问控制技术，打造行之有效的网络安全体系。

　　构建安全体系

　　（1） 明确网络资源

　　事实上很多情况我们并不能确定谁在攻击系统，作为网络管理员在制订安全策略之初，应当充分了解企业的内部构架，企业要保护什么，需要什么样的访问，以及如何协调所有的网络资源和访问。

　　（2） 确定网络访问点

　　网络管理员应当了解潜在的入侵者会在哪里威胁或进入系统。通常通过网络连接、入侵主机系统成为攻击者的首选。

　　（3） 限制用户访问的范围

　　应当在网络中构筑多道安全屏障，使入侵者不能轻易侵入整个系统，尤其要注意网络中关键敏感地区的防范必须单独制订。

　　（4） 明确安全隐患

　　每个安全系统都有一定的隐患的，依次管理员在指定安全策略前需要对整个系统做一些可能存在的假设。一定要认真检查和确认安全假设，否则隐藏的问题就会成为系统潜在的安全漏洞。

　　（5） 不可忽略人的因素

　　在构建安全体系时，人的因素是非常重要的。即便网络管理员制定了非常完善的安全制度，如果操作人员不认真执行，也无疑会为不法入侵者大开方便之门。

　　（6） 实现深层次的安全

　　对系统的任何改动都可能会影响安全，因此系统管理员、程序员和用户需要充分考虑变动将会造成的附带影响。构建安全体系的目标之一是使系统具有良好的可伸缩性，而且不易影响系统的安全性。

　　一般来说，我们把网络的安全访问控制体系分为企业内部网络的控制体系和企业外部网络的控制体系这两大部分。从技术角度而言，主要采用虚网（VLAN）技术、路由器访问控制列表（ACL）、TACACS+或RADIUS认证服务和防火墙技术等。

　　企业内部网的安全

　　企业内部网面临的安全问题主要在于：

　　（1） 如何控制网络不同部门之间的互相访问；

　　（2） 如何对不断变更的用户进行有效的管理；

　　（3） 如何防止网络广播风暴影响系统关键业务的正常运转，甚至导致系统的崩溃；

　　（4） 如何加强远程拨号用户的安全认证管理。

　　1、虚网技术

　　针对上述的前三个问题，我们一般采用虚网（VLAN）技术。虚网是由一些端系统（主机、交换机或路由器）组成的一个虚拟的局域网。虚网超越了传统的局域网的物理位置局限，端系统可以分布于网络中不同的地理位置，但都属于同一逻辑广播域。虚网具有如下三个优点。

　　第一，网络管理员能够轻易控制不同虚网间的互相访问能力。我们可以将同一部门或属于同一访问功能组的用户划分在同一虚网中，虚网内的用户之间可以通过交换机或路由器相互连通。网络管理员甚至还可以通过虚网的安全访问列表来控制不同虚网之间的访问。目前，实现虚网的划分有多种方法，我们可以按照物理端口来划分，也可以按照不同的网络协议如IP、IPX等进行划分，也可以按照MAC地址来划分，甚至可以根据应用类型来划分。具体采用何种划分办法要看用户的具体需求和所选用的网络产品。

　　第二，是对广播信息的有效控制。这要求机构的域中包含的广播和多信宿组与用户位置无关。如果不考虑广播组整个大小的话，网络设计者、规划人员和管理员将可能不慎创建大型的平面网络拓扑，而在用户间却只有(甚至没有)广播防火墙。虚网是控制这些广播信息转发的有效技术。它们的布置结构最大限度地减少了对最终用户站、网络服务器和处理关键业务数据的骨干部分的性能影响。虚网的发展趋势是迈向更成熟的跨越网络园区的带宽和性能管理。

　　第三，便于管理的更改，而整个网络范围内与用户增加、移动和物理位置变更相关的对管理工作的要求，也大为减少。由于网络管理部门精力有限，技术水平也参差不齐，所以这是很关键的要求。这从很大程度上方便了网络系统的安全访问控制管理。

　　基于虚拟局域网本身的优点，我们能有效解决前述的网络安全问题。但虚网的划分是一项复杂细致的工作，我们应紧密依据用户应用的实际要求，结合实际工程经验，作出详细合理的规划。

　　2、路由器访问控制列表（ACL）

　　路由器访问控制列表提供了对路由器端口的一种基本安全访问技术，也可认为是一种内部防火墙技术。访问控制列表一般是基于网络协议的，也就是说网络管理员必须对路由器接口上运行的各种协议分别进行配置。路由器访问控制列表分为静态和动态两种。通常采用静态的控制列表，能支持多种路由协议，而动态的控制列表只能支持IP协议，但提供相对多的安全功能。一般路由器访问控制列表的控制功能在于对每个接口控制包的传输，典型的参数包括数据包的源地址、目的地址以及包的协议。对于具体的协议，都有相应的一系列参数可以定义。

　　3、加强内部拨号用户的安全认证管理

　　在网络规模较小，只有少数的访问服务器提供远程拨号访问时，一般采用访问服务器的本地安全数据库来提供安全认证。随着网络规模的增长以及对访问安全要求的提高，一般需要一台安全服务器为所有的拨号用户提供集中的安全数据库，用户无需在每台访问路由器上增加或更改拨号用户安全信息，从而有助于实现统一的访问控制策略。

　　一般常用的TACACS+或RADIUS协议，能够支持鉴别、授权和记帐功能。鉴别功能允许用户对不同的访问服务器接口使用不同的认证协议，TACACS+还支持智能卡。授权功能允许定义用户的各种安全参数，如用户级别和网络过滤等。通常我们通过访问控制列表来限制用户对网络资源的访问。记帐功能将忠实地记录并跟踪用户对网络的访问，这对安全管理无疑是非常重要的。为了实现TACACS+或RADIUS协议的安全服务，通常我们在一台专门的安全服务器上运行支持TACACS+或RADIUS协议的安全软件，如CiscoSecure。

　　企业外部网安全访问控制

　　Internet的发展给企业带来了革命性的改革和开放，企业正努力利用它来提高市场反应速度和办事效率，以便更具竞争力。企业通过Internet，可以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战和新危险：即实现客户、销售商、移动用户、异地员工和内部员工的安全访问，以及保护企业的机密信息不受黑客和工业间谍的入侵。目前一般采用防火墙技术来保证对主机和应用安全访问及多种客户机和服务器的安全性，保护关键部门不受到来自内部和外部的攻击，为通过Internet进行远程访问的雇员、客户、供应商提供安全通道。

　　一般防火墙具备以下特点：

　　（1） 广泛的服务支持。通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览、HTTP服务、FTP服务等；

　　（2） 通过对专用数据的加密支持，保证通过Internet进行的虚拟专用网商务活动不受破坏；

　　（3） 客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；

　　（4） 反欺骗。欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们。

　　防火墙有许许多多种形式，有以软件形式运行在普通计算机之上的，也有以固件形式设计在路由器之中的。总的来说业界的分类有三种：包过滤防火墙、应用级网关和状态监视器。

　　1、包过滤防火墙

　　在互联网这样的分组交换网络上，所有往来的信息都被分割成许许多多一定长度的信息包。包中包括发送者的IP地址和接收者的IP地址。当这些包被送上互联网时，路由器会读取接收者的IP地址并选择一条物理上的线路将其发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达后会在目的地被重新组装还原。包过滤式的防火墙会检查所有通过的信息包里的IP地址，并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP地址为危险的话，从这个地址来的所有信息都会被防火墙屏蔽掉。

　　包过滤路由器的最大的优点就是它对于用户来说是透明的，也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护，通常做为第一道防线。包过滤路由器的弊端也是很明显的，通常它没有用户的使用记录，这样我们就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，他们在这一方面已经积累了大量的经验。

　　2、应用级网关

　　应用级防火墙的另一个常见的名字称为代理服务器。包过滤防火墙可以按照IP地址来禁止未经授权者的访问。但是它不适合公司用来控制内部人员访问外界的网络。对于这样的企业来说，应用级防火墙是更好的选择。应用级防火墙应用于特定的互联网服务，如超文本传输（HTTP），远程文件传输（FTP）等等。

　　代理服务器通常运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接受到用户的请求后会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存，这个缓存存储有用户经常访问站点的内容。在下一个用户要访问同样的站点时，代理服务器就用不着重复地去抓取同样的内容，这样做既节约了时间也节约了网络资源。代理服务器会像一堵真的墙那样挡在内部用户和外界之间，从外面只能看到代理服务器而看不到任何的内部资源，诸如用户的IP地址等。

　　应用级网关比单一的包过滤网关更为可靠，它会详细地记录下所有的访问记录。但是应用级网关也存在一些不足之处：首先它会使访问速度变慢，因为它不允许用户直接访问网络;其次应用级网关需要针对每一个特定的互联网服务安装相应的代理服务器软件，用户不能使用未被服务器支持的服务，这意味着用户可能会花费几个月的时间等待新服务软件的安装，更不幸的是，并不是所有的互联网应用软件都可以使用代理服务器。

　　3、状态监视器

　　这种防火墙的安全特性是非常好的，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与其它安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并作记录，向系统管理器报告网络状态。

　　状态监视器的另一个优点是它会监测RPC和UDP之类的端口信息。包过滤和代理网关都不支持此类端口。这种防火墙无疑是非常坚固的，但它的配置非常复杂，而且会降低网络的速度。值得注意的是防火墙对普通的人来说是一层安全的防护，但是没有任何一种防火墙可以给你绝对的保护。这就是为什么许多公司建立多层防火墙的原因。当黑客闯过一层防火墙后他只能得到一部分内容，其他的数据仍然被安全地保护在内部防火墙之后。任何防火墙都是由人来管理的，人的因素从这个角度而言显得尤其重要。