网络安全与信息加密技术-第十六章资料.pptxVIP

第16章 网络访问控制和云安全 第17章 传输层安全 第18章 无线网络安全 第19章 电子邮件安全 第20章 IP安全性 ;本章我们从两个重要的方面讨论网络安全：网络访问控制和云安全。我们首先总体上介绍网络访问控制系统，总结它的主要元素和涉及的相关技术。接着我们会讨论可扩展的认证协议和IEEE 802.1X，他们是两种广泛实施的标准，是许多网络访问控制系统的基础。 本章后半部分讲述云安全相关内容。首先总体上介绍云计算相关知识，接着讨论云安全问题。;网络访问控制(network Access Control, NAC)是对网络访问管理的总称。NAC在用户登录网络的时候进行认证，决定其可以获取哪些数据及可以执行哪些行为。NAC同时还检测用户的计算机及移动设备(终端)的安全情况。 网络访问控制系统的组成元素 一个网络访问控制系统的组成元素有： 访问请求者(AR)：AR是试图访问网络的节点。它可能是NAC系统管理的任何设备，包括工作站、服务器、打印设备、摄像机及其他具有IP的设备。AR通常被认为是请求者或者简单说是客户端。;策略服务器：根据AR的信息和企业制定的策略，策略服务器决定哪些访问是被允许的。策略服务器通常依赖后台系统，包括反病毒软件、补丁管理系统及用来帮助决定主机环境的用户字典。 网络接入服务器(NAS)：NAS是一个接入控制点，为用户远程连接企业的内部网络提供访问控制。通常它也被称为媒体网关，远程访问服务器或者策略服务器。一个NAS可能包含自己的认证服务器，或是依赖策略服务器提供的认证服务。;下图是一张常见的网络接入图。;许多不同种类的AR通过向相应的NAS申请，来尝试访问企业网络。第一步通常是对AR进行认证。认证通常包括一些安全协议和密钥的使用。NAS可能执行这个认证过程，也可能只在认证过程担当中介的作用。在之后的过程中，认证发生在请求者和认证服务器之间。认证服务器是策略服务器的一部分或者通过认证服务器接入的。 认证过程提供多种目的的服务。它验证请求者所声明的身份，使得策略服务器能够由身份决定AR所拥有的权限。认证的过程可以会产生会话密钥，来确保在企业网络上用户和资源之间的安全通信。 ;通常，策略服务器或辅助服务器会对AR进行检查，决定AR是否可以进行远程交互连接的访问。这些检查(又称为健康、适配、筛选或评估检查)需要对用户系统上的软件进行认证，来确定其是否符合企业制定的安全配置基本要求。比如，用户的反恶意软件必须是最新的，操作系统补丁要打满，远程主机必须是由企业拥有并控制的。这些检查必须在AR获得访问企业网络的授权之前进行。在这些检查结果的基础上，企业可以决定远程计算机是否可以进行交互远程访问。如果一个用户具有可接受的授权凭证，但远程计算机并没有通过安全检查，用户和远程计算机的网络访问会被拒绝，或者在隔离网络中进行受限的访问，这使得授权用户能够修复安全缺陷。上图展示了隔离网络的组成，通常包括策略服务器和AR相关的适用性服务器，也可能包含不需要常规安全门限的应用服务器。;一旦AR经过授权，明确了在企业网络访问中的级别，NAS就会使AR能够与企业网络中的资源进行交互。NAS可能会为了执行安全策略传递它的每次交换，也可能使用其他的方法限制AR的权限。 网络访问实施方法 实施方法是为了控制对企业网络的访问而实施在AR上的行为。许多供应商支持多种实施方法，允许用户使用一个或多种方法的组合来进行配置。下面将介绍常见的NAC实施方法。 IEEE 802.1X：这是一个链路层协议，它在一个端口被分配IP之前执行授权。IEEE 802.1X使用可授权访问协议进行授权。;虚拟本地局域网(VLAN)：企业网络是一系列有联系的LAN组成的网络。通过这种方式，它在逻辑上被分割为一系列虚拟的LAN。NAC系统根据设备是否需要安全修复、只需要网络访问或需要访问企业资源决定哪些VLAN来管理相应的AR。VLAN可被动地创立，VLAN中服务器和AR之间的成员关系可重叠。也就是说，一个服务器或AR可以属于一个或多个VLAN。 防火墙：一个防火墙提供一个表单。它允许或拒绝企业主机和外部用户之间的网络流量。 DHCP管理：动态主机配置协议是一个可以给主机动态分配IP的网络协议。一个DHCP服务器收到DHCP请求，然后进行IP分配。因此，NAC的实施发生在以子网和IP分配为基础的IP层。一个DHCP服务器的安装和配置是简单的，但是它受限于多种形式的IP欺骗，提供了受限的安全性。 还有很多其他的实施方法被供应商支持。;可扩展认证协议(EAP)在RFC 3748中定义。它是一个网络访问和授权协议的框架。EAP提供了许多协议消息，他们可以封装多种认证方法，在客户和认证服务器之间使用。E