安全网络实现流程

 

安全网络实现流程
 
 
    整个实现过程如图所示:
675853ɳ
 4593a.comŽɳ

 

第一步:安全策略制订与分?/strong>
        安全策略是一套面向全网的统一的安全规则。制定一套完整严密的安全策略是满足业务需求的前提。安全策略包括链路层、网络层、应用层的访问控制列表、流量优先级、QoS/CoS和速度限制?/div>
        安全策略中的关键名词包括?/div>
        角色(Role?/div>
        将现实环境中的用户根据他的业务要求和权限划分成不同的角色,一个角色可以包括一类用户,一个用户可以具备多种角色。每个用户有自己的用户名和口令?/div>
        服务(Service?/div>
        不同的角色可以使用不同的网络应用,例如Web浏览,收发电子邮件,访问数据库,IP电话,MP3下载,简单地说,每种应用可以称为一个服务(Service?一项服务组可以包含几种服务。一个角色可以拥有多项服务,一项服务可以被多个角色拥有?span>  
Žɳַ
        规则(Rule?/div>
        在实际工作中,每一项服务都是由具体的规则组成,一条规则可以是一条抽象的命令,也可以是一组抽象的命令,这些规则对应交换机上的具体执行命令。例如,设置一项服务叫做高优先级邮件处理,在这项服务中包含了多条规则,如class of service(流分类? 过滤,速率限制,访问控制。高级用户包含了这项服务,普通用户则可能使用的是低优先级邮件服务?/div>
        1)安全策略的制订
        首先将用户根据不同权限划分为不同角色。划分角色的原则是:
        ?span>   
不同部门角色不同?/div>
        ?span>    同一部门不同人员角色不同。如管理人员、办公人员划为不同角色?/div>
        将角色同组织中的功能类型进行匹配最易于实现,也是我们所推荐的。因为这样将不用改变组织的结构。企业可以节省已经在建模工作上投入的时间和努力。Enterasys建议对角色的命名最好同组织中现有结构相同。在很多情况下,这也是NT域或者Netware目录服务器(NDS)为团体用户提供的命名规则?/div>
        在进行角色配置时,网络管理人员可以䱳该角色配置一些默认的参数。对角色的默认设置可以包括对经过符合该角色的用户的所有流量的QoS、CoS(包?02.1p、TOS以及Diffserv)或VLAN设置。这些基本设置提供了一种简单的方法,只需很少的配置就可以为不同用户组提供不同的行为特性?/div>
        服务的建立实际上可以通过创建分类规则的组合来配置,这些规则可以满足用户所希望的网络行为。例如,通过简单地创建一条分类规则,将一?02.1p、ToS或者DiffServ值添加到所有的SMTP流量上,就可以实现给所有电子邮件流量分配一个优先级的服务。服务还可以包括一些复杂的分类规则,例如优先级、过滤、速率限制以及VLAN分配等的组合。分类规则和服务的复杂性只能根据给定环境的需求或者系统实施者的设想来确定?/div>
        制订好安全策略,要在Netsight Policy Manager策略服务器中将安全策略加载到Matrix接入交换机中。注意:策略的分发是集中分发的,一旦分发成功,策略会存储在交换机上,此时策略服务器的任务已经完成,除非重新或修改策略,就不再需要同NetSight策略管理器进行更多的通信。用户通过 Radius认证服务器的认证后,Matrix接入交换机会打开接入端口并根据用户的角色分配相应安全策略?/div>
        3)安全策略的存放
        制订好的安全策略可以生成一个文本文件(*.pmd)来存储,一旦需要重新安装Policy Manager时,只要打开*.pmd就可以工作,无需再重新制订安全策略了?/div>
第二步:用户接入认证      
        当用户需访问网络时,首先通过Web?02.1x认证方式得到RADIUS认证服器认可后授权打开端口,并获得通过NetSight策略管理服务器设置的角色,然后用户才可访问网络资源?/div>
        要使策略规则设置同策略应用对象很好地匹配起来,安全验证非常重要?在部署支持安全验证的Enterasys安全网络的时候,交换机存在三种基本的端口状态:安全验证关闭/端口打开;安全验证开?端口关闭;以及默认状态:安全验证开?端口打开?/div>
        Enterasys可以为用户安全验证提供四种主要的机制, 认证方式包括WEB认证?02.1x认证方式?02.1x+MAC和MAC认证方式。凯创的Matrix交换机在网络中可以同时支持所有方式。在没有通过认证之前,用户在拥有合法IP地址的情况下也无法接入到网络。这种方法解决了传统的使用MAC+端口+IP的绑定方法中存在的盗用IP地址和MAC地址所带来的不可管理性。传统的MAC+端口+IP的绑定方法最多只能控制到某台设备,但无法控制到使用设备的人?/div>
        基于Web的安全验证。想要接受网络服务的用户可以通过浏览器访问一个安全web页面(web服务器实际上位于每一个交换机中),然后系统会要求用户提供用户名和口令。这些口令被转发到RADIUS服务器,这个服务器或者对其进行鉴别,或者再将口令转发到其它合适的鉴别设备,如NT服务器、活动目录,或者NDS服务器等。Enterasys安全网络设计的关键旨在利用现有的安全系统、用户名和证书数据库,不需要实施者再去安装和配置一个重复的数据库用于基于网络的安全验证?/div>
        基于802.1X标准的用户安全验证?span>  这种标准可以在多厂商环境中提供广泛而可互操作的验证功能。微软Windows 2000和XP最新版本增加了?02.1X的支持,很快其它操作系统也将支持802.1X?/div>
        基于MAC地址的安全认证。对于一些设备,如网络打印机,IP摄像头可以采用这种认证方式?/div>
        需要强调的是,正是由于安全验证过程能够发现网络系统用户的真实身份,才使其成为构成安全网络的三个关键部分之一。所以,安全验证是将动态网络策略分配给组织?ldquo;个人”的关键的第一步。一旦个人用户的身份得到确认,为他分配相应策略的过程就可以开始?/div>
第三步:授权和角色分?/strong>
        Enterasys并没有在RADIUS系统上实施任何专用的功能添加,但是却能够使用客户网络中已有的多种不同的RADIUS服务器产品。通过交换机接收到末端工作站的鉴别信息之后,该信息可以转发到RADIUS服务器。这样,RADIUS服务器或者可以鉴别用户,或者可以转发(或代理)该用户的鉴别信息到其它鉴别实体,通常是NT域、NDS或者活动目录。如果安全验证成功,RADIUS服务器就会将一个过滤ID域添加到发送回交换机的验证成功的信息中。过滤ID域是一个文本字符串,包含交换机可以明白的角色名称,有助于理解某个特定用户如何同角色相匹配?/div>
        RADIUS服务器知道在安全验证的时候如何将角色值分配给一个给定的用户,因为RADIUS服务器经过配置后,可以完成用户和相应角色的匹配。它可以通过使现有的组织结构同NetSight策略管理器中已有的组织结构相一致来实现。常见的是NT域的例子,域中的用户名可以同NetSight策略管理器中采用NT域或NDS组相同名称的角色一一对应?/div>
第四步:服务提供
        安全网络实现的最后一个步骤就是为成功通过安全验证的用户提供服务。如前面所提到的,通过网络系统中角色的设置,能够提供相应的服务。实现该功能的过程只需简单地在NegSight策略管理器中创建想要的角色、服务和规则,并且将它们分配到系统的相应部分?/div>
         在提供动态服务的情况下,可以将策略管理器中所定义的任何已有的角色授权给交换机。当交换机对来自RADIUS服务器中的验证响应进行解码之后,它就可以校验过滤ID域,读取角色值,并为该端口配置相应的策略。这包括在特定接口引入合适的分类规则。这种过程使得已经通过验证的用户可以得到相应网络资源的安全接入,并获得相应的服务水平?/div>

        安全网络实现的四个步骤完成以后,我们就能够达到预期目的,网络系统的用户可以安全地得到他们想要的服务,如果正确配置了系统,则用户不?真正知道所使用的策略规则,除非他们尝试违反这些规则。通常情况下,即使在违反规则的时候,用户也不会意识到存在这样的策略。考虑Napster这个例子,它是当前最流行的一种应用。如果用户登录到Napster下载音乐,他们可能会消耗大量的带宽。如果拒绝该应用的访问,则用户可能会寻找别的方式,改变应用在网络中的表象和行为,在将来的某个时候再次登录。相反,如果允许用户登录到Napster,但是将他们的流量限制在某个带宽范围内,或者其优先级低于关键任务数据,则用户将会继续使用该应用,并且不会寻求其它方式来“绕过系统”。这样的解决方案不会限制用户创建或者扩展他们使用网络的方式,但是可以确保用户的这种创造性不会影响到业务的良好运转。毕竟,是由管理者来确定策略规则的严格程度,以及在何地、何时、如何使用这种策略?/p>

Žɳվȫ
版权信息: 北京市万力佳创网络技术有限公?/a> 2000-2011版权所? 京ICP?41663? 北京市公安局海淀分局 备案编号?101081674 Žɳַ
Žɳվȫ