計(jì)算機(jī)軟考網(wǎng)絡(luò)工程:基于PACS的網(wǎng)絡(luò)層訪問控制方案

字號:

信息的網(wǎng)絡(luò)化使得工作人員在網(wǎng)絡(luò)上查找、使用與維護(hù)各種信息,提高了日常辦公效率。同時,也對信息安全帶來了日益嚴(yán)重的挑戰(zhàn)。由于業(yè)務(wù)的需求,一方面人們希望網(wǎng)絡(luò)能夠四通八達(dá),自己的終端能夠訪問到自己所關(guān)心的所有資源;另一方面,人們要求網(wǎng)絡(luò)能夠?qū)Σ煌瑏碓磁c角色的網(wǎng)絡(luò)進(jìn)行訪問控制,以保護(hù)自己的資源不受非法訪問與篡改。伴隨著網(wǎng)絡(luò)的深入發(fā)展,網(wǎng)絡(luò)互通性和安全性這一對矛盾日益成為網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)技術(shù)人員關(guān)注的焦點(diǎn)。
    為了同時保證網(wǎng)絡(luò)的互通性和信息的安全性,網(wǎng)絡(luò)技術(shù)在各個不同的層面上產(chǎn)生了許多的網(wǎng)絡(luò)安全措施和技術(shù)。本文在簡要分析這些技術(shù)的優(yōu)劣勢的基礎(chǔ)上,提出了基于PACS的解決方案。
    一 網(wǎng)絡(luò)訪問控制技術(shù)的現(xiàn)狀
    1)MAC地址過濾技術(shù)
    MAC地址(物理地址)用于直接標(biāo)識某個網(wǎng)絡(luò)設(shè)備,是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)。目前大多數(shù)的二層交換機(jī)都支持基于物理端口配置MAC地址過濾表,用于限定只有與MAC地址過濾表中規(guī)定的一些網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包才能通過該端口進(jìn)行傳遞。通過MAC地址過濾技術(shù)可以保證只有授權(quán)的MAC地址才能對網(wǎng)絡(luò)資源進(jìn)行訪問。
    由于MAC地址過濾是基于網(wǎng)絡(luò)設(shè)備的ID的性,從而可以從根本上限制網(wǎng)絡(luò)資源的使用者。一方面,基于MAC地址過濾技術(shù)對交換設(shè)備的要求不高,并且對網(wǎng)絡(luò)設(shè)備的性能沒有多大的影響,配置相對簡單,比較適合于小型網(wǎng)絡(luò);另一方面,使用MAC地址過濾技術(shù)要求管理員必須明確網(wǎng)絡(luò)中每個網(wǎng)絡(luò)設(shè)備的MAC地址,根據(jù)需求對各個端口的過濾表進(jìn)行配置,并且當(dāng)某個網(wǎng)絡(luò)設(shè)備的網(wǎng)卡或物理位置發(fā)生變化時要對系統(tǒng)進(jìn)行重新配置,所以采用MAC地址過濾技術(shù),對于網(wǎng)絡(luò)管理員來說,負(fù)擔(dān)很重,而且隨著網(wǎng)絡(luò)設(shè)備的不斷增多,維護(hù)工作量也不斷加大。
    使用MAC地址過濾技術(shù)存在一個安全隱患--MAC地址"欺騙",即現(xiàn)在許多網(wǎng)卡都支持MAC地址重新配置,非法用戶可以通過將自己所用的網(wǎng)絡(luò)設(shè)備的MAC地址篡改為合法用戶的MAC地址,成功通過交換設(shè)備的檢查,進(jìn)而非法訪問網(wǎng)絡(luò)資源。
    2)VLAN隔離技術(shù)
    VLAN(虛擬局域網(wǎng))隔離技術(shù)是一種一方面為了避免當(dāng)一個網(wǎng)絡(luò)系統(tǒng)的設(shè)備數(shù)量增加到一定規(guī)模后,大量的廣播報(bào)文消耗大量的網(wǎng)絡(luò)帶寬,從而影響有效數(shù)據(jù)的傳遞;另一方面確保部分安全性比較敏感的部門不被隨意訪問瀏覽而采用的劃分相互隔離子網(wǎng)的方法。目前,基于VLAN隔離技術(shù)的訪問控制方法在一些中小型企業(yè)和校園網(wǎng)中得到廣泛的應(yīng)用。
    通過VLAN隔離技術(shù),可以把一個網(wǎng)絡(luò)系統(tǒng)中眾多的網(wǎng)絡(luò)設(shè)備分成若干個虛擬的工作組,組和組之間的網(wǎng)絡(luò)設(shè)備在二層上相互隔離,形成不同的廣播域,將廣播流量限制在不同的廣播域。由于VLAN技術(shù)是基于二層和三層之間的隔離,可以將不同的網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)資源進(jìn)行分組并通過支持VLAN技術(shù)的交換機(jī)隔離不同組內(nèi)網(wǎng)絡(luò)設(shè)備間的數(shù)據(jù)交換來達(dá)到網(wǎng)絡(luò)安全的目的。該方式允許同一VLAN系撓沒Щハ嗤ㄐ牛τ誆煌琕LAN的用戶之間在數(shù)據(jù)鏈路層上是斷開的,只能通過三層路由器才能訪問。
    使用VLAN隔離技術(shù)也有一個明顯的缺點(diǎn),那就是要求網(wǎng)絡(luò)管理員必須明確交換機(jī)的每一個物理端口上所連接的設(shè)備的MAC地址或者IP地址,根據(jù)需求劃分不同的工作組并對交換機(jī)進(jìn)行配置。當(dāng)某一網(wǎng)絡(luò)終端的網(wǎng)卡、IP地址或是物理位置發(fā)生變化時,需要對整個網(wǎng)絡(luò)系統(tǒng)中多個相關(guān)的網(wǎng)絡(luò)設(shè)備進(jìn)行重新配置,這加重了網(wǎng)絡(luò)管理員的維護(hù)工作量,所以也只適用于小型網(wǎng)絡(luò)。
    在安全性方面,VLAN隔離技術(shù)可以保證物理設(shè)備之間的隔離,但是對于同一臺服務(wù)器,只能做到同時向多個VLAN組全面開放或者是只向某個VLAN組開放,而不能針對個別用戶進(jìn)行限制。在實(shí)際應(yīng)用中,一臺服務(wù)器擔(dān)當(dāng)多種服務(wù)器角色,同時為多個VLAN組用戶提供不同的服務(wù),這也帶來一定的安全隱患。比如:一臺市場部電子商務(wù)服務(wù)器,存儲有客戶數(shù)據(jù),同時它也是一臺財(cái)務(wù)部數(shù)據(jù)庫服務(wù)器,存儲有財(cái)務(wù)數(shù)據(jù),這樣該服務(wù)器就同時需要向市場人員和財(cái)務(wù)人員開放,單純的采用VLAN技術(shù)就無法避免市場人員查看財(cái)務(wù)數(shù)據(jù)(當(dāng)然,這種隱患可以通過其它輔助手段解決)。