浅谈分层管控建立集团大厦内部网络权限管理.docVIP

浅谈分层管控建立集团大厦内部网络权限管理 　　摘要：随着计算机和通讯技术的高速发展，网络的开放性、互连性、共享性程度的扩大，工作越来越依赖信息和网络技术来支持。但随之而来的威胁也越来越多，而想只依赖安全产品硬件软件就想解决所有的安全问题是不现实的，安全和管理是密不可分的缺一不可，需要从网络建设初期就考虑安全，运行为维护管理的过程尤其重要，其中层次化安全管理和保障合法的身份验证和访问授权是最基本的安全管理办法。 　　关键词：用户管理；内网安全；访问控制；RADIUS 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）17-0041-04 　　1 安徽日报集团大厦基础网络布局和用户结构 　　1.1网路基础布局 　　报业大厦的信息网络系统包含以下几种网络设备： 　　1）对外出口的安全设备； 　　2）内网的网络交换设备； 　　3）内网安全监控设备和管理软件； 　　4）各类应用的服务器、数据存储设备。 　　1.2人员结构分布 　　集团人员具有集中性、独立性、分布性等特点： 　　1）所有的单位都集中在一栋大楼内办公，拥有各自独立的办公共区域，也有共同分布的区域； 　　2）同在一个内网有共同的办公系统，也有不同的业务系统； 　　3）有开放的访问资源也有各自独立的授权访问资源； 　　4）固定的办公人员和临时、外来访客； 　　5）有需要跨部门权限的个人。 　　2 大厦网络体系及安全状况 　　目前集团大厦局域网的建设都是基于TCP/IP参考模型而非OSI，TCP/IP是一组用于实现网络互连的通信协议。Internet网络体系结构以TCP/IP为核心。基于TCP/IP的参考模型将协议分成四个层次，它们分别是：网络访问层、网际互连层、传输层（主机到主机）、和应用层。 　　1）OSI是七层模型，TCP/IP是四层结构； 　　2）TCP/IP的可靠性更高； 　　3）OSI模型是在协议开发前设计的， 具有通用性.TCP/IP是先有协议集然后建立模型， 不适用于非TCP/IP网络； 　　4）实际市场应用不同，OSI模型只是理论上的模型，并没有成熟的产品，而TCP/IP已经成为“实际上的国际标准”。 　　随着信息系统的集中性和敏感性增大，非法和越权访问很容易造成数据丢失，系统故障，对信息安全的运行是个极大的危害，已经成为摆在我们面前的一个严峻的问题。针对这个局域网中存在的安全隐患需要采取相应的安全措施，可以从以下几个方面来理解：1） 物理层是否可靠；2） 网络层是否安全；3） 应用层是否有漏洞；4） 管理是否全面。 　　3 大厦网络应用到的网络权限管控技术 　　3.1 VLAN隔离 　　3.1.1 vlan的使用 　　VLAN（Virtual Local Area Network）的隔离整个2层网络。VLAN是一种局域网（LAN）内的设备从逻辑上划分为不同网段，从而实现虚拟团队的新兴数据交换技术。这种隔离技术主要应用于交换机和路由器，但主应用程序仍在交换机。VLAN是基于工作小组使用一个物理网络，逻辑的应用部门的局域网，一个广播域，用户的物理位置。VLAN通信网络用户通过局域网交换机。VLAN成员看不到VLAN的另一个成员。VLAN的方法，基于端口VLAN端口是基于物理层，MAC是基于数据链路层，网络层和IP多播基于第三层。 　　3.1.2建立基于单位的网络用户身份 　　在整个大厦中根据用户单位将其使用的物理端口划分到不同的vlan，减少单位人员之间网络使用的干扰。 　　在实际划分过程中我们将192.168.1.0/24到192.168.32.0/24网段分别对应vlan1到vlan 32，每个单位或部门分别划分一个vlan。 　　3.2 无线网隔离 　　3.2.1 不同用户无线ssid隔离 　　服务设置标识符，例如，abbreviation服务集标识符。技术可以分为多个SSID的无线本地区域网络（LAN）需要验证的子网，每个子网独立认证的要求，只经过身份验证的用户可以对相应的子网，以防止擅自进入用户的网络。在nutshell SSID名称，是本地区域网络（LAN），只有设置为名称相同SSID的值的设备才能互相通信。IEEE 802.11规范包括MAC子层和物理层（PHY）两个协议层 　　3.2.2 建立基于设备功能的用户身份 　　单位中使用无线网络的通常可以分为不同设备和不同用处，手机上网、办公移动设备、无线管控设备、访客使用等等，根据这几个方面划分基于不同vlan的不同的ssid，并且设定不用密钥，防止交叉使用，降低使用过程中的风险。同一ssid下的用户也根据用户类型，如娱乐类型的在同一ssid下也互相不能访问。 　　实际配置了六个ssid，