基于用户的局域网访问控制方案的分析与研究.pdfVIP

据包，路由器会丢弃它。要是数据包是可路由的，一个路由 可以重新定义网络许可和访问权限。由于采用了新一代的高 选择表入口为它提供相应数据的数据路由方式，其中就包括 性能ASIC，具备ULA能力的局域网安全系统可以在网络中 目标网络、路由和要使用的具体接口等。然后路由器检查目 的用户访问层或整合层发挥作用，并且对每一个端口上通过 标接口是否被编在已存在的某一个访问控制列表 (ACL)中。 的每一个数据包进行检查。只有符合安全策略的数据才可通 如果没有被编组，则把这个数据包直接发送到目标接口输出。 过，而恶意软件则被拒之门外。基于用户的局域网访问控制 如果相应接口已编组在某一ACL中，则需要按列表中语句执 (ULA)方案的网络拓扑图如图3。 行，最后同样输出到目标接口上，把数据发往目的端口。 基于用户的局域网访问控制(ULA)也被称为终端控制， 2访问控制列表(ACL)的局限性 它可以对传输内容进行检查，只有符合安全策略的数据才可 访问控制列表(ACL)最初是为路由器设计的，用于拒绝或允 以通过，而恶意软件则被拒之1]gb。 许数据包从广域网进入一个网络。但是这种技术在控制不同组 基于用户的局域网访问控制(ULA)的工作流程如下： 的用户在对局域网的访问时，也存在其固有的缺陷和不足。 (1)用户甲在uLA系统设备处接受验证，而现有的RA- 访问控制列表如果广泛用于局域网内部的访问控制，可 DIUS或轻型目录访问协议(LDAP)~务器会确定组成员资格。 能最终会变成一种较为 “粗犷”型的管理手段。因为采用这 (2)系统将组与策略进行对比，并将策略应用到各个端 种技术，网络管理员需要明确每一台主机及工作站所在的IP 口，允许用户访问适当的网络资源。 子网，并确认它们之间的访问关系，对于网络终端数量有限 (3)而当用户乙那台机器被蠕虫病毒感染的PC连接到 网络时，ULA系统会发现恶意软件并实施隔离策略。因此 的网络而言，这不是问题；但对于具有大量网络终端的网络 而言，为了完成某些访问控制甚至不得不浪费很多的IP地址 用户乙的机器只能连接到补救服务器，而连不到RADIUS或 资源，同时巨大的网络终端数量，使得管理的复杂性和难度 轻型目录访问协议(LDAP)~务器。 十分巨大。维护访问控制列表不仅耗时，而且较大程度上增 (4)ULA系统会向网络管理员发出通知，启动蠕虫补救 加了路由器开销。访问控制列表的策略性非常强，并且与网 措施并将操作系统补丁下载到用户乙的PC机上。此后该系统还 络的整体规划有很大的关系，因此，它的使用对策略制定及 会对用户乙的PC机进行检查，确保它是符合安全策略的要求。 网络规划的人员要求比较高，所以是否采用访问控制列表以 3．2基于用户的局域网访问控制(ULA)的特点 及在多大程度上利用它，只能是管理效益与网络安全之间的 基于用户的局域网访问控制使企业可以实施更简单的基 一 个权衡。 于身份的安全策略，并且为企业提供快速的安全事件解决方 由于ACL是使用包过滤技术来实现的，过滤的依据又仅 法和完整的符合性审计记录。其具有如下特点： 仅只是第三层和第四层包头中的部分信息，这种技术具有一 (1)可以快速知道网络用户的状态。这种技术使管理员 些固有的局限性，如无法识别到具体的人，无法识别到应用 可以找出是谁在使用网络、他在何处并以何种方式登录、他 内部的权限级副等。 正在访问什么资源，以及当这位用户被允许进入后局域网是 访问控制列表本身并不知道流量中包含的含义和内容， 否仍然安全，是否会感染恶意软件等。 因而无法针对单个用户调整访问的权限，而且这种技术在扩 (2)提供自动化的隔离机制。基于用户的局域网访问控 展性和性能方面都存在很大的限制。 制(ULA)提供自动化的隔离机制，能够立即将有问题的用户隔 3基于用户的局域网访问控制方案 离开来，并且在发现恶意软件时以动态的方式从普通策略转 3