信息的网络化使得工作人员在网络上查找、使用与维护各种信息,提高了日常办公效率。同时,也对信息安全带来了日益严重的挑战。由于业务的需求,一方面人们希望网络能够四通八达,自己的终端能够访问到自己所关心的所有资源;另一方面,人们要求网络能够对不同来源与角色的网络进行访问控制,以保护自己的资源不受非法访问与篡改。伴随着网络的深入发展,网络互通性和安全性这一对矛盾日益成为网络用户与网络技术人员关注的焦点。
为了同时保证网络的互通性和信息的安全性,网络技术在各个不同的层面上产生了许多的网络安全措施和技术。本文在简要分析这些技术的优劣势的基础上,提出了基于PACS的解决方案。
一 网络访问控制技术的现状
1)MAC地址过滤技术
MAC地址(物理地址)用于直接标识某个网络设备,是目前网络数据交换的基础。目前大多数的二层交换机都支持基于物理端口配置MAC地址过滤表,用于限定只有与MAC地址过滤表中规定的一些网络设备的数据包才能通过该端口进行传递。通过MAC地址过滤技术可以保证只有授权的MAC地址才能对网络资源进行访问。
由于MAC地址过滤是基于网络设备的ID的唯一性,从而可以从根本上限制网络资源的使用者。一方面,基于MAC地址过滤技术对交换设备的要求不高,并且对网络设备的性能没有多大的影响,配置相对简单,比较适合于小型网络;另一方面,使用MAC地址过滤技术要求管理员必须明确网络中每个网络设备的MAC地址,根据需求对各个端口的过滤表进行配置,并且当某个网络设备的网卡或物理位置发生变化时要对系统进行重新配置,所以采用MAC地址过滤技术,对于网络管理员来说,负担很重,而且随着网络设备的不断增多,维护工作量也不断加大。
使用MAC地址过滤技术存在一个安全隐患--MAC地址"欺骗",即现在许多网卡都支持MAC地址重新配置,非法用户可以通过将自己所用的网络设备的MAC地址篡改为合法用户的MAC地址,成功通过交换设备的检查,进而非法访问网络资源。
2)VLAN隔离技术
VLAN(虚拟局域网)隔离技术是一种一方面为了避免当一个网络系统的设备数量增加到一定规模后,大量的广播报文消耗大量的网络带宽,从而影响有效数据的传递;另一方面确保部分安全性比较敏感的部门不被随意访问浏览而采用的划分相互隔离子网的方法。目前,基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。
通过VLAN隔离技术,可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组,组和组之间的网络设备在二层上相互隔离,形成不同的广播域,将广播流量限制在不同的广播域。由于VLAN技术是基于二层和三层之间的隔离,可以将不同的网络用户与网络资源进行分组并通过支持VLAN技术的交换机隔离不同组内网络设备间的数据交换来达到网络安全的目的。该方式允许同一VLAN上的用户互相通信,而处于不同VLAN的用户之间在数据链路层上是断开的,只能通过三层路由器才能访问。
使用VLAN隔离技术也有一个明显的缺点,那就是要求网络管理员必须明确交换机的每一个物理端口上所连接的设备的MAC地址或者IP地址,根据需求划分不同的工作组并对交换机进行配置。当某一网络终端的网卡、IP地址或是物理位置发生变化时,需要对整个网络系统中多个相关的网络设备进行重新配置,这加重了网络管理员的维护工作量,所以也只适用于小型网络。
在安全性方面,VLAN隔离技术可以保证物理设备之间的隔离,但是对于同一台服务器,只能做到同时向多个VLAN组全面开放或者是只向某个VLAN组开放,而不能针对个别用户进行限制。在实际应用中,一台服务器担当多种服务器角色,同时为多个VLAN组用户提供不同的服务,这也带来一定的安全隐患。比如:一台市场部电子商务服务器,存储有客户数据,同时它也是一台财务部数据库服务器,存储有财务数据,这样该服务器就同时需要向市场人员和财务人员开放,单纯的采用VLAN技术就无法避免市场人员查看财务数据(当然,这种隐患可以通过其它辅助手段解决)。 3)访问控制列表ACL技术
ACL技术在路由器中被广泛采用,它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上,可以通过实施ACL,可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加,一些企业已经开始使用ACL来控制对局域网内部资源的访问能力,进而来保障这些资源的安全性。
ACL技术可以有效的在三层上控制网络用户对网络资源的访问,它可以具体到两台网络设备间的网络应用,也可以按照网段进行大范围的访问控制管理,为网络应用提供了一个有效的安全手段。
一方面,采用ACL技术,网络管理员需要明确每一台主机及工作站所在的IP子网并确认它们之间的访问关系,适用于网络终端数量有限的网络。对于大型网络,为了完成某些访问控制甚至不得不浪费很多的IP地址资源。同时,巨大的网络终端数量,同样会增加管理的复杂度和难度。另一方面,维护ACL不仅耗时,而且在较大程度上增加路由器开销。访问控制列表的策略性非常强,并且牵涉到网络的整体规划,它的使用对于策略制定及网络规划的人员的技术素质要求比较高。因此,是否采用ACL技术及在多大的程度上利用它,是管理效益与网络安全之间的一个权衡。
4)防火墙控制技术
防火墙技术首先将网络划分为内网和外网,它通过分析每一项内网与外网通信应用的协议构成,得出主机IP地址及IP上行端口号,从而规划出业务流并对其进行控制。
一方面,防火墙技术在最大程度上限制了源IP地址、目的IP地址、源上行端口号、目的上行端口号的访问权限,从而限制了每一业务流的通断。它要求网络管理员明确每一业务的源地址和目的地址以及该业务的协议甚至上行端口。同时,构造有效的防火墙系统,也需要管理人员具备相当的技术水平和承担相当大的工作量;另一方面,防火墙设备如果要达到很高的数据吞吐量,设备的造价也很高。在实际应用中,通常用于整个系统的出口安全,较少用于内部网络的安全保护。
通过对防火墙的包过滤规则进行设置,防火墙能够为本地或远程用户提供经过授权的对网络资源的访问。包过滤防火墙集由若干条规则组成,它覆盖了对所有出入防火墙的数据包的处理方法(对于没有明确定义的数据包,有一个默认的处理方法)。过滤规则易于理解、编辑修改,同时也具备一致性检测机制,防止冲突。
IP包过滤的依据主要是根据IP包头部信息源地址和目的地址进行的,比如:IP头中的协议字段封装协议为ICMP、TCP或UDP,则根据ICMP头信息(类型和代码值)、TCP头信息(源端口和目的端口)或UDP头信息(源端口和目的端口)执行过滤。应用层协议过滤主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤,以及动态包过虑技术等。二 PACS解决方案 通过前面的分析,MAC地址过滤等管理手段都需要固定被管对象的网络属性,如MAC地址、VLAN标记等,然而这些工作需要网络管理员从交换机、服务器、到PC等一系列网络设备进行登记和设置,网络失去了灵活性和移动性。
针对这种不足,迫切需要一种既能够充分利用IEEE 802局域网的技术简单、成本低廉又能够对网络用户或网络设备的访问合法性进行验证,能够区分它们对网络服务与网络资源的使用权限,并对它们的网络活动进行全程监控的方法。
PACS(Policy-based Access Control System)解决方案从基于用户的角度出发,形成面向用户的策略管理体系,可以独立地或者与现有的网络安全技术相配合形成一个有机的整体。它可对网络服务与网络资源进行有效的保护。PACS不再依赖网络或设备的物理特性,而是根据网络访问者的身份和密码对其权限进行控制,实现网络的动态控制,为网络系统的策略化管理提供了有效的技术保证。
1)PACS结构层次
基于策略的访问控制系统PACS有机地将网络用户认证技术、动态访问控制技术、动态的网络带宽分配技术结合起来,打破了原来局域网建设与维护工作中管理效率与网络安全之间的僵局。使得网络资源既得到了有效的安全保护,又得到了合理的高效利用。PACS摒弃了原有的访问控制技术对某个或者多个网络特性的静态依赖,动态地建立用户名和密码与用户终端的关联,进而对用户的网络行为进行控制。它打破原有的网络设备管理模式,采用策略预先设计、实时自动配置、动态访问控制的理念,来解决网络用户在网络中移动对安全管理造成的工作开销。
从层次结构上,PACS可以分为4层:网络用户层、接入层、核心层、资源提供层。自下而上构成一个"金字塔"结构。其中:网络用户层是网络中的众多的终端或工作站;接入层是指与网络用户层中的终端或工作站相连接,为这些终端或工作站进行网络互联的网络设备集合(如二级交换机、集线器等);核心层是指将接入层网络设备汇集起来,形成全网互联的网络设备的集合,如(服务器、路由器、防火墙等)。
2)PACS的功能构成
局域网的信息安全的重点就是要有效的保护资源提供层的安全,并要保证将这些有限的资源合理高效的提供给整个局域网的用户。一方面提供网络安全核心手段的层次离资源提供层越近,其保护能力就越强;另一方面,核心层的设备相对较少,在这些有限的设备上为网络资源提供安全保护措施的设备成本与管理代价也较少。所以,给予核心层的信息安全保护是性价比最高的解决方案。