時(shí)間:2015-06-28 00:00:00 來(lái)源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)
無(wú)論是其他公司的AAA安全服務(wù),還是Cisco的安全訪問(wèn)控制期,都有本地數(shù)據(jù)庫(kù)與遠(yuǎn)程數(shù)據(jù)庫(kù)的區(qū)分。這個(gè)數(shù)據(jù)庫(kù)就是用來(lái)存儲(chǔ)AAA安全服務(wù)器的訪問(wèn)控制信息。根據(jù)這個(gè)存儲(chǔ)位置的不同,就可以分為本地安全數(shù)據(jù)庫(kù)與遠(yuǎn)程安全數(shù)據(jù)庫(kù)。作為一個(gè)網(wǎng)絡(luò)管理人員,需要知道這兩種方式的區(qū)別與特點(diǎn),并結(jié)合自己公司的實(shí)際情況,來(lái)選擇一種合適的處理方式。
一、本地?cái)?shù)據(jù)庫(kù)的特點(diǎn)
在應(yīng)用AAA安全服務(wù)器時(shí),如果把用戶名和口令信息存儲(chǔ)在網(wǎng)絡(luò)接入服務(wù)器本身,這就是本地安全數(shù)據(jù)庫(kù)模式,也被稱為本地鑒別。在本地鑒別模式下,網(wǎng)絡(luò)管理員需要把每個(gè)遠(yuǎn)程訪問(wèn)用戶的用戶名與口令文件都加載到網(wǎng)絡(luò)接入設(shè)備的本地安全數(shù)據(jù)庫(kù)中。如果網(wǎng)絡(luò)管理員采用了這個(gè)本地安全數(shù)據(jù)庫(kù)模式,則AAA安全服務(wù)主要有五個(gè)步驟。
一是當(dāng)用戶需要遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)資源時(shí),他們就會(huì)發(fā)起一個(gè)遠(yuǎn)程訪問(wèn)的請(qǐng)求。此時(shí),用戶所采用的客戶機(jī)會(huì)撥號(hào)到企業(yè)的網(wǎng)絡(luò)接入服務(wù)器,建立一個(gè)PPP會(huì)話(點(diǎn)到點(diǎn)會(huì)話)。
二是進(jìn)行身份認(rèn)證。建立起會(huì)話之后,在用戶的客戶機(jī)上,會(huì)提示遠(yuǎn)程用戶輸入用戶名與密碼。而網(wǎng)絡(luò)接入服務(wù)器接受到遠(yuǎn)程用戶傳遞過(guò)來(lái)的用戶名與口令之后,就會(huì)利用本地?cái)?shù)據(jù)庫(kù)中存儲(chǔ)的信息去驗(yàn)證這個(gè)用戶名與口令,是否匹配。若匹配的話,則進(jìn)行下一個(gè)步驟,否則的話,就會(huì)直接終止當(dāng)前會(huì)話或者提示用戶重新輸入密碼。這就完成了AAA服務(wù)的第一個(gè)步驟:鑒別。
三是進(jìn)行授權(quán)。當(dāng)用戶名與密碼驗(yàn)證服務(wù)之后,網(wǎng)絡(luò)接入服務(wù)器就會(huì)在本地?cái)?shù)據(jù)庫(kù)中,查找這個(gè)用戶所對(duì)應(yīng)的訪問(wèn)權(quán)限。找到相應(yīng)的鑒別參數(shù)之后,網(wǎng)絡(luò)接入服務(wù)器就會(huì)對(duì)這個(gè)用戶進(jìn)行授權(quán),讓其能夠訪問(wèn)網(wǎng)絡(luò)中的某些資源。這就是AAA服務(wù)的第二個(gè)步驟:授權(quán)。
四是對(duì)訪問(wèn)過(guò)程進(jìn)行監(jiān)視并且如實(shí)的做好記錄。網(wǎng)絡(luò)接入服務(wù)器會(huì)對(duì)用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源的行為進(jìn)行監(jiān)視,監(jiān)控用戶的通信流量與操作行為并且記錄到相關(guān)的日志中。這具體要不要監(jiān)控,如何監(jiān)控等等,都需要網(wǎng)絡(luò)管理員進(jìn)行事先的配置。當(dāng)對(duì)賬戶進(jìn)行授權(quán)時(shí),網(wǎng)絡(luò)接入服務(wù)器會(huì)從本地?cái)?shù)據(jù)庫(kù)中查找相關(guān)的安全策略并進(jìn)行配置。
以上就是本地安全數(shù)據(jù)庫(kù)模式基本步驟。從以上的分析中,可以得知這種模式下,具有如下幾個(gè)特點(diǎn)。
一是它只適合于小型網(wǎng)絡(luò)?;蛘哒f(shuō),只有當(dāng)少數(shù)用戶需要遠(yuǎn)程訪問(wèn)時(shí),才能夠采用本地?cái)?shù)據(jù)庫(kù)模式。如果遠(yuǎn)程訪問(wèn)主要用戶總公司與分公司之間的連接,那么采用本地鑒別策略并不是很合理。切記,只有在少量遠(yuǎn)程用戶的情況下,采用這種本地安全服務(wù)器模式才可以起到其應(yīng)有的作用。
二是所有AAA服務(wù)所需要用到的安全信息,如用戶名、密碼以及安全策略等等,都被保存在網(wǎng)絡(luò)接入服務(wù)器的本地安全數(shù)據(jù)庫(kù)中。網(wǎng)絡(luò)接入服務(wù)器根據(jù)本地安全數(shù)據(jù)庫(kù)中的信息,對(duì)遠(yuǎn)程用戶進(jìn)行鑒別與授權(quán)。同時(shí),也會(huì)根據(jù)本地?cái)?shù)據(jù)庫(kù)中的安全策略,監(jiān)控用戶的操作行為并編制記賬記錄。所以,通過(guò)使用本地安全數(shù)據(jù)庫(kù)來(lái)控制少量用戶進(jìn)行遠(yuǎn)程訪問(wèn)的安全策略,具有容易實(shí)現(xiàn)、安全和維護(hù)方便、成本低廉等特點(diǎn)。
二、遠(yuǎn)程數(shù)據(jù)庫(kù)策略模式
遠(yuǎn)程安全數(shù)據(jù)庫(kù)位于網(wǎng)絡(luò)中的一個(gè)特殊的安全服務(wù)器。在這個(gè)遠(yuǎn)程安全數(shù)據(jù)庫(kù)中,存儲(chǔ)了每個(gè)接入服務(wù)器的用戶名、口令、安全策略等等。也就是說(shuō),遠(yuǎn)程數(shù)據(jù)庫(kù)是跟接入服務(wù)器相獨(dú)立的。遠(yuǎn)程安全數(shù)據(jù)庫(kù)主要為網(wǎng)絡(luò)管理員提供了一個(gè)集中管理安全策略的平臺(tái)。如此的話,當(dāng)網(wǎng)絡(luò)管理員需要更改某個(gè)安全策略或者增加某個(gè)遠(yuǎn)程訪問(wèn)用戶時(shí),不需要更新每個(gè)接入服務(wù)器的配置,而只需要在遠(yuǎn)程安全數(shù)據(jù)庫(kù)中進(jìn)行相應(yīng)更改即可。
若采用遠(yuǎn)程數(shù)據(jù)庫(kù)模式,則其基本步驟如下。
一是遠(yuǎn)程用戶要發(fā)起一個(gè)遠(yuǎn)程連接的請(qǐng)求,然后客戶端就會(huì)跟網(wǎng)絡(luò)接入服務(wù)器之間建立起一個(gè)PPP通話。這個(gè)步驟跟本地鑒別模式下是相同的。
二是進(jìn)行身份驗(yàn)證。當(dāng)用戶在遠(yuǎn)程客戶端輸入用戶名與密碼后,網(wǎng)絡(luò)接入服務(wù)器就會(huì)接受到這些內(nèi)容。但是,網(wǎng)絡(luò)接入服務(wù)器自己并不驗(yàn)證這個(gè)用戶名與密碼的合法性,而是把它轉(zhuǎn)發(fā)給專門(mén)的安全服務(wù)器(遠(yuǎn)程安全數(shù)據(jù)庫(kù)),讓他來(lái)驗(yàn)證這個(gè)用戶的合法性。驗(yàn)證通過(guò)后,遠(yuǎn)程安全數(shù)據(jù)庫(kù)會(huì)把這個(gè)用戶相關(guān)的安全策略與訪問(wèn)權(quán)限轉(zhuǎn)發(fā)給網(wǎng)絡(luò)接入服務(wù)器。然后,網(wǎng)絡(luò)接入服務(wù)器就會(huì)根據(jù)這些參數(shù)來(lái)配置這個(gè)用戶的訪問(wèn)權(quán)限,并進(jìn)行一些訪問(wèn)監(jiān)督與控制。這里要注意,收集用戶的操作信息并編制相關(guān)的日志,這是網(wǎng)絡(luò)接入服務(wù)器所負(fù)責(zé)的。當(dāng)網(wǎng)絡(luò)接入服務(wù)器收集好這些信息后,會(huì)轉(zhuǎn)發(fā)給安全服務(wù)期上的遠(yuǎn)程數(shù)據(jù)庫(kù)中。所以,網(wǎng)絡(luò)管理員想要知道到底用戶訪問(wèn)了什么內(nèi)容,進(jìn)行了哪些修改,則可以通過(guò)遠(yuǎn)程安全數(shù)據(jù)庫(kù)進(jìn)行查詢,而不需要進(jìn)入每個(gè)網(wǎng)絡(luò)接入服務(wù)器。
可見(jiàn),遠(yuǎn)程數(shù)據(jù)庫(kù)策略模式根本地安全數(shù)據(jù)庫(kù)策略模式還是有比較大的不同。他們分別適用與不同的場(chǎng)景。若企業(yè)有如下幾種情形,則往往采用遠(yuǎn)程數(shù)據(jù)庫(kù)策略模式比較合適。
一是企業(yè)有多個(gè)網(wǎng)絡(luò)接入服務(wù)器。在一些比較復(fù)雜的應(yīng)用情景中,網(wǎng)絡(luò)管理員為了提高遠(yuǎn)程訪問(wèn)的安全,往往為設(shè)立多個(gè)網(wǎng)絡(luò)接入服務(wù)器。如對(duì)于網(wǎng)絡(luò)內(nèi)部的文件服務(wù)器、OA服務(wù)器、ERP服務(wù)器等等,會(huì)為其設(shè)置獨(dú)立的網(wǎng)路介入服務(wù)器。以往針對(duì)不同的應(yīng)用,其安全策略是不同的。如對(duì)于文件服務(wù)器、ERP服務(wù)器等存儲(chǔ)有企業(yè)關(guān)鍵信息的應(yīng)用,往往需要設(shè)置更高的安全策略,如信息訪問(wèn)、數(shù)據(jù)修改等等都需要進(jìn)行監(jiān)督等等。為此,為不同級(jí)別的應(yīng)用設(shè)置獨(dú)立的網(wǎng)絡(luò)服務(wù)器,可以提高這些服務(wù)的安全性,進(jìn)行區(qū)別對(duì)待。
二是企業(yè)網(wǎng)絡(luò)管理人員人手比較緊。此時(shí),網(wǎng)絡(luò)管理員往往需要有一個(gè)統(tǒng)一的管理平臺(tái),對(duì)各種接入服務(wù)器進(jìn)行集中管理與控制。而遠(yuǎn)程安全數(shù)據(jù)庫(kù)則就給我們網(wǎng)絡(luò)管理員提供了這么一個(gè)平臺(tái),可以一個(gè)平臺(tái)上對(duì)各個(gè)網(wǎng)絡(luò)接入服務(wù)器進(jìn)行統(tǒng)一管理,如配制用戶名與密碼等等。
三是可以提高訪問(wèn)策略的一致性。當(dāng)企業(yè)有多個(gè)遠(yuǎn)程訪問(wèn)接入口時(shí),如何保障各個(gè)接入口上訪問(wèn)策略的一致性,是非常重要的。如果此時(shí)企業(yè)采用本地安全數(shù)據(jù)庫(kù)的話,很容易造成從不同的入口進(jìn)入,會(huì)有不同的訪問(wèn)權(quán)限。因?yàn)楦鞣N安全策略分散在各自獨(dú)立的安全數(shù)據(jù)庫(kù)中,所以策略的一致性無(wú)法保證。而現(xiàn)在遠(yuǎn)程安全數(shù)據(jù)庫(kù)進(jìn)行統(tǒng)一管理,無(wú)疑解決了這個(gè)問(wèn)題。
四是會(huì)增加管理的難度與實(shí)施的成本。由于安全服務(wù)器與網(wǎng)絡(luò)接入服務(wù)器不在同一個(gè)服務(wù)器上,無(wú)疑會(huì)增加管理的難度。因?yàn)榫W(wǎng)絡(luò)管理員要同時(shí)管理網(wǎng)絡(luò)接入服務(wù)器與遠(yuǎn)程安全數(shù)據(jù)庫(kù)。當(dāng)出現(xiàn)用戶遠(yuǎn)程訪問(wèn)故障的時(shí)候,網(wǎng)絡(luò)管理員也需要分別去判斷到底是哪個(gè)出了問(wèn)題才導(dǎo)致訪問(wèn)的故障。如當(dāng)網(wǎng)絡(luò)管理員無(wú)法查詢到用戶的訪問(wèn)日志時(shí),就需要分析,是遠(yuǎn)程數(shù)據(jù)庫(kù)的安全策略問(wèn)題,還是網(wǎng)絡(luò)接入服務(wù)器的問(wèn)題;又或者是網(wǎng)絡(luò)接入服務(wù)器與遠(yuǎn)程安全數(shù)據(jù)庫(kù)之間的網(wǎng)絡(luò)連接問(wèn)題,數(shù)據(jù)傳輸是否存在延遲等等。這會(huì)增加網(wǎng)絡(luò)管理員網(wǎng)絡(luò)維護(hù)的工作量。另外,需要配置一臺(tái)獨(dú)立的安全服務(wù)器,也會(huì)增加一定的實(shí)施成本。
所以,AAA服務(wù)確實(shí)是一個(gè)保障遠(yuǎn)程訪問(wèn)安全的好工具。其本地安全數(shù)據(jù)庫(kù)模式與遠(yuǎn)程安全數(shù)據(jù)庫(kù)模式各有各的特點(diǎn),各有各的局限性。網(wǎng)絡(luò)管理員必須了解這方面的差異,并根據(jù)企業(yè)實(shí)際情況進(jìn)行對(duì)號(hào)入座,選擇一個(gè)適合自己的策略模式。才能夠讓AAA服務(wù)起到應(yīng)有的作用。
關(guān)鍵詞標(biāo)簽:AAA,數(shù)據(jù)庫(kù)
相關(guān)閱讀
熱門(mén)文章 火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議
人氣排行 火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設(shè)置