目前進(jìn)行網(wǎng)絡(luò)訪問控制的方法主要有：MAC地址過濾、VLAN隔離、IEEE802.1x身份驗(yàn)證、基于IP地址的訪問控制列表和防火墻控制等等。下面分別予以簡單介紹。 1. MAC地址過濾法 ??? MAC地址是網(wǎng)絡(luò)設(shè)備在全球的唯一編號(hào)，它也就是我們通常所說的：物理地址、硬件地址、適配器地址或網(wǎng)卡地址。MAC地址可用于直接標(biāo)識(shí)某個(gè)網(wǎng)絡(luò)設(shè)備，是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)?，F(xiàn)在大多數(shù)的二層交換機(jī)都可以支持基于物理端口配置MAC地址過濾表，用于限定只有與MAC地址過濾表中規(guī)定的一些網(wǎng)絡(luò)設(shè)備有關(guān)的數(shù)據(jù)包才能夠使用該端口進(jìn)行傳遞。通過MAC地址過濾技術(shù)可以保證授權(quán)的MAC地址才能對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問。 如下圖所示，在服務(wù)器B所聯(lián)接的交換機(jī)網(wǎng)絡(luò)端口的MAC地址列表中上只配置了MAC a和MAC b兩個(gè)工作站的MAC地址，因此只有這兩臺(tái)工作站可以訪問服務(wù)器B，而MAC c就不能訪問了，但是在服務(wù)器A中卻沒有配置MAC地址表，交換機(jī)就默認(rèn)可以與所有同一網(wǎng)段的工作站連接，這樣MAC a、MAC b、MAC c三個(gè)工作站都可以與服務(wù)器A連接了。 由于MAC地址過濾是基于網(wǎng)絡(luò)設(shè)備唯一ID的，因此通過MAC地址過濾，可以從根本上限制使用網(wǎng)絡(luò)資源的使用者。基于MAC地址的過濾對(duì)交換設(shè)備的要求不高，并且基本對(duì)網(wǎng)絡(luò)性能沒有影響，配置命令相對(duì)簡單，比較適合小型網(wǎng)絡(luò)，規(guī)模較大的網(wǎng)絡(luò)不是適用。因?yàn)槭褂肕AC地址過濾技術(shù)要求網(wǎng)絡(luò)管理員必須明確網(wǎng)絡(luò)中每個(gè)網(wǎng)絡(luò)設(shè)備的MAC地址，并要根據(jù)控制要求對(duì)各端口的過濾表進(jìn)行配置；且當(dāng)某個(gè)網(wǎng)絡(luò)設(shè)備的網(wǎng)卡發(fā)生變化，或是物理位置變化時(shí)要對(duì)系統(tǒng)進(jìn)行重新配置，所以采用MAC地址過濾方法，對(duì)于網(wǎng)管員來說，其負(fù)擔(dān)是相當(dāng)重的，而且隨著網(wǎng)絡(luò)設(shè)備數(shù)量的不斷擴(kuò)大，它的維護(hù)工作量也不斷加大。 另外，還存在一個(gè)安全隱患，那就是現(xiàn)在許多網(wǎng)卡都支持MAC地址重新配置，非法用戶可以通過將自己所用網(wǎng)絡(luò)設(shè)備的MAC地址改為合法用戶MAC地址的方法，使用MAC地址“欺騙”，成功通過交換機(jī)的檢查，進(jìn)而非法訪問網(wǎng)絡(luò)資源。
2. VLAN隔離法 ??? VLAN（虛擬局域網(wǎng)）技術(shù)是為了避免當(dāng)一個(gè)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備數(shù)量增加到一定程度后，眾多的網(wǎng)絡(luò)廣播報(bào)文消耗大量的網(wǎng)絡(luò)帶寬，使得真正的數(shù)據(jù)傳遞受到很大的影響；確保部分安全性比較敏感的部門數(shù)據(jù)不被隨意訪問瀏覽而采用一種劃分相互隔離子網(wǎng)的方法。在此僅對(duì)VLAN技術(shù)實(shí)現(xiàn)訪問控制的一些基本方面作一簡單介紹。 通過VALN技術(shù)，可以把一個(gè)網(wǎng)絡(luò)系統(tǒng)中的眾多網(wǎng)絡(luò)設(shè)備分成若干個(gè)虛擬的“工作組”，組和組之間的網(wǎng)絡(luò)設(shè)備在二層上互相隔離，形成不同的廣播域，進(jìn)而將廣播流量限制在不同的廣播域中。 由于VALN技術(shù)是基于二層和三層之間的隔離技術(shù)，被廣泛應(yīng)用于網(wǎng)絡(luò)安全方面，可以通過將不同的網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)資源進(jìn)行分組，通過支持VLAN的交換機(jī)阻隔不同組內(nèi)網(wǎng)絡(luò)設(shè)備間的數(shù)據(jù)交換來達(dá)到網(wǎng)絡(luò)安全的目的。該方式允許同一VLAN上的用戶互相通信，而處于不同VLAN的用戶之間在鏈路層上是斷開的，只能通過三層路由器才能訪問。 如下圖所示，右從左至右工作站的編號(hào)為1~6。在該圖中將編號(hào)為1、3、5的工作站劃分到一個(gè)VLAN中，將編號(hào)為2、4、6的工作站劃分到另一個(gè)VLAN中，這樣編號(hào)為1、3、5的工作站之間可以相互通信，編號(hào)為2、4、6的工作站之間也可以相互通信，但兩個(gè)組之間不可以直接通信，這樣可以確保本組資源只能由本組用戶訪問。
目前基于VLAN隔離方式的訪問控制方法，在一些中小型企業(yè)中也得到廣泛應(yīng)用。如企業(yè)中的人事部和財(cái)務(wù)部等部門都是相對(duì)來說安全性要求更高一些的，通常不允許其它部門用戶隨意訪問、查閱相關(guān)資料，通過VLAN方式劃分后，兩個(gè)部門的網(wǎng)絡(luò)數(shù)據(jù)就不會(huì)被其他用戶訪問了，雖然他們與其它部門一樣同處一個(gè)網(wǎng)絡(luò)。還有一點(diǎn)要注意的是，雖然別的用戶不能隨意訪問VLAN組用戶，但VLAN組用戶卻可隨意訪問其它非VLAN組用戶，除非也做了訪問限制配置。 不同的交換機(jī)VLAN劃分的方法不盡相同，可以分別基于端口、MAC、IP地址進(jìn)行，具體因篇幅關(guān)系，在此不作詳細(xì)介紹。 雖然我們說VLAN隔離方式具有比較明顯的優(yōu)點(diǎn)，但同時(shí)也有一個(gè)非常明顯的缺點(diǎn)，那就是要求網(wǎng)絡(luò)管理員必須明確交換機(jī)每一物理端口上所聯(lián)接的設(shè)備的MAC地址或是IP地址，并要根據(jù)不同的工作組對(duì)交換機(jī)進(jìn)行VLAN配置。當(dāng)某一網(wǎng)絡(luò)終端的網(wǎng)卡、IP地址或是物理位置發(fā)生變化時(shí)，需要對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)中的多個(gè)相關(guān)的網(wǎng)絡(luò)設(shè)備進(jìn)行重新配置，這同樣對(duì)于網(wǎng)管來說負(fù)擔(dān)是相當(dāng)重的，所以只適用于在小型網(wǎng)絡(luò)中使用。 在安全性方面也存在隱患，VLAN技術(shù)可以保證網(wǎng)絡(luò)設(shè)備間的隔離，但對(duì)于同一臺(tái)服務(wù)器，只能做到同時(shí)向多個(gè)VLAN組全面開放或是只向某個(gè)VLAN組全面開放，而不能針對(duì)個(gè)別用戶進(jìn)行限制。而在通常情況下，一臺(tái)服務(wù)器會(huì)提供多種服務(wù)，擔(dān)當(dāng)多種服務(wù)器角色，同時(shí)為多個(gè)VLAN組用戶提供不同的服務(wù)，這樣帶來了一定的安全隱患。例如一個(gè)數(shù)據(jù)庫服務(wù)器中可能存有財(cái)務(wù)數(shù)據(jù)，也可能同時(shí)擔(dān)當(dāng)市場(chǎng)部電子商務(wù)中服務(wù)器角色，存有客戶的數(shù)據(jù)，這樣這臺(tái)服務(wù)器就得同時(shí)向財(cái)務(wù)人員與市場(chǎng)人員開放，單純采用VLAN技術(shù)就無法避免市場(chǎng)人員查看財(cái)務(wù)數(shù)據(jù)的情況發(fā)生。當(dāng)然這種安全隱患可通過其它途經(jīng)來解決。
3. ACL訪問控制列表法 ??? 訪問控制列表在路由器中被廣泛采用，它是一種基于包過濾的流向控制技術(shù)。標(biāo)準(zhǔn)訪問控制列表通過把源地址、目的地址以及端口號(hào)作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合檢查條件的數(shù)據(jù)包是允許通過，還是不允許通過。訪問控制列表通常應(yīng)用在企業(yè)網(wǎng)絡(luò)的出口控制上，例如企業(yè)通過實(shí)施訪問控制列表，可以有效地部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。如控制哪些員工可以訪問Internet；員工可以訪問哪些Internet站點(diǎn)；員工可以在什么時(shí)候訪問Internet；員工可以利用Internet收發(fā)電子郵件而不可以進(jìn)行其它活動(dòng)等。從而保證寶貴的網(wǎng)絡(luò)資源不至于被浪費(fèi)，而且使員工在上班時(shí)精力集中。 隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加，一些企業(yè)已經(jīng)開始使用訪問控制列表來控制對(duì)局域網(wǎng)內(nèi)部資源的訪問能力，進(jìn)而來保障這些資源的安全性。如圖所示的就是一個(gè)應(yīng)用ACL訪問控制列表的示意圖。如在路由器A中配置一個(gè)訪問控制列表，ACL訪問控制列表配置允許IP地址為192.168.2.10的工作站通過它訪問其它網(wǎng)絡(luò)IP地址為192.168.5.2的主機(jī)，而子網(wǎng)192.168.1.0不能與192.168.2.10及192.168.5.2通信。

訪問控制列表可以有效地在三層上控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問，它既可以細(xì)致到兩臺(tái)網(wǎng)絡(luò)設(shè)備間的具體的網(wǎng)絡(luò)應(yīng)用，也可以按網(wǎng)段進(jìn)行大范圍的訪問控制管理，可以說是為網(wǎng)絡(luò)應(yīng)用提供了一個(gè)有效的安全手段。 訪問控制列表如果廣泛用于局域網(wǎng)內(nèi)部的訪問控制，可能最終會(huì)變?yōu)橐环N較為“粗獷”型的管理手段。因?yàn)椴捎眠@種技術(shù)，網(wǎng)絡(luò)管理員需要明確每一臺(tái)主機(jī)及工作站所在的IP子網(wǎng)，并確認(rèn)它們之間的訪問關(guān)系，對(duì)于網(wǎng)絡(luò)終端數(shù)量有限的網(wǎng)絡(luò)而言，這不成問題，但對(duì)于具有大量網(wǎng)絡(luò)終端的網(wǎng)絡(luò)而言，為了完成某些訪問控制甚至不得不浪費(fèi)很多的IP地址資源，同時(shí)巨大的網(wǎng)絡(luò)終端數(shù)量，同樣會(huì)使得管理的復(fù)雜性和難度十分巨大。 另外，維護(hù)訪問控制列表不僅耗時(shí)，而且較大程度上增加了路由器開銷。訪問控制列表的策略性非常強(qiáng)，并且與網(wǎng)絡(luò)的整體規(guī)劃有很大的關(guān)系，因此，它的使用對(duì)策略制定及網(wǎng)絡(luò)規(guī)劃的人員要求比較高，所以是否采用訪問控制列表以及在多大程度上利用它，只能是管理效益與網(wǎng)絡(luò)安全之間的一個(gè)權(quán)衡。
4. 防火墻控制法 ??? 防火墻技術(shù)首先將網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)與外網(wǎng)，它通過分析每一項(xiàng)內(nèi)網(wǎng)與外網(wǎng)通信應(yīng)用的協(xié)議構(gòu)成，得出主機(jī)IP地址及IP上聯(lián)端口號(hào)，從而規(guī)劃出業(yè)務(wù)流，對(duì)相應(yīng)的業(yè)務(wù)流進(jìn)行控制。如下圖所示的是一個(gè)利用防火墻控制內(nèi)、外網(wǎng)絡(luò)通信的基本網(wǎng)絡(luò)結(jié)構(gòu)。
在圖中，通過對(duì)防火墻的配置可以對(duì)外界開放Web服務(wù)器的80端口，因?yàn)?0號(hào)端口是Web應(yīng)用的HTTP協(xié)議使用的端口，這樣就可使得任何用戶都可以訪問公司的網(wǎng)站。而在郵件服務(wù)器及DNS服務(wù)器上也開放相應(yīng)的IP上聯(lián)端口（如POP的23號(hào)端口和SMTP的25號(hào)端口），在保證相應(yīng)功能實(shí)現(xiàn)的同時(shí)，也確保這些主機(jī)不會(huì)受到惡意的***。而對(duì)于數(shù)據(jù)庫服務(wù)器來說，外界對(duì)它的訪問將受到嚴(yán)格的限制，多是以***或是加密傳輸?shù)膶＞€方式進(jìn)行。 防火墻技術(shù)在最大限度上限制了源IP地址、目的IP地址、源上聯(lián)端口號(hào)、目的上聯(lián)端口號(hào)的訪問權(quán)限，從而限制了每一業(yè)務(wù)流的通斷。它要求網(wǎng)絡(luò)管理員明確每一業(yè)務(wù)的源及目標(biāo)地址、以及該業(yè)務(wù)的協(xié)議甚至上聯(lián)端口。在一個(gè)龐大的網(wǎng)絡(luò)中構(gòu)造一個(gè)有效的防火墻，也需要相當(dāng)大的工作量與技術(shù)水平。同時(shí)，防火墻設(shè)備如果要達(dá)到很高的數(shù)據(jù)吞吐量，其設(shè)備造價(jià)將會(huì)非常高，通常在企業(yè)應(yīng)用中都只能用于整個(gè)企業(yè)的出口安全，在企業(yè)網(wǎng)內(nèi)部的安全保護(hù)方面使用較少。 支持***通信的防火墻支持如DES、3DES、RC4以及國內(nèi)專用的數(shù)據(jù)加密標(biāo)準(zhǔn)和算法。加密除用于保護(hù)傳輸數(shù)據(jù)以外，還應(yīng)用于其他領(lǐng)域，如身份認(rèn)證、報(bào)文完整性認(rèn)證，密鑰分配等。支持的用戶身份認(rèn)證類型是指防火墻支持的身份認(rèn)證協(xié)議，一般情況下具有一個(gè)或多個(gè)認(rèn)證方案，如RADIUS、Kerberos、TACACS/TACACS＋、 口令方式、數(shù)字證書等。防火墻能夠?yàn)楸镜鼗蜻h(yuǎn)程用戶提供經(jīng)過認(rèn)證與授權(quán)的對(duì)網(wǎng)絡(luò)資源的訪問，防火墻管理員必須決定客戶以何種方式通過認(rèn)證。 還可對(duì)通過防火墻的包過濾規(guī)則進(jìn)行設(shè)置。包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成，它應(yīng)涵蓋對(duì)所有出入防火墻的數(shù)據(jù)包的處理方法，對(duì)于沒有明確定義的數(shù)據(jù)包，應(yīng)該有一個(gè)缺省處理方法；過濾規(guī)則應(yīng)易于理解，易于編輯修改；同時(shí)應(yīng)具備一致性檢測(cè)機(jī)制，防止沖突。 防火墻中的IP包過濾依據(jù)主要是IP包頭部信息，如源地址和目的地址。如IP頭中的協(xié)議字段封裝協(xié)議為ICMP、TCP或UDP，則再根據(jù)ICMP頭信息（類型和代碼值）、TCP頭信息（源端口和目的端口）或UDP頭信息（源端口和目的端口）執(zhí)行過濾，其他的還有MAC地址過濾。應(yīng)用層協(xié)議過濾要求主要包括FTP過濾、基于RPC的應(yīng)用服務(wù)過濾、基于UDP的應(yīng)用服務(wù)過濾要求以及動(dòng)態(tài)包過濾技術(shù)等。???? 以上幾種訪問控制方式的比較如下表所示。 由上表中的比較可以看出，幾種訪問控制方式各有優(yōu)缺點(diǎn)，由于它們采用的技術(shù)以及所要解決問題的方向相差較大，所以在現(xiàn)實(shí)的網(wǎng)絡(luò)安全管理中，通常都是幾種甚至是全部技術(shù)的組合，從而對(duì)網(wǎng)絡(luò)安全管理人員的要求非常高。但全面掌握這些網(wǎng)絡(luò)安全技術(shù)的管理人員相對(duì)較少，特別是一些中小企業(yè)中，這樣就使得眾多企業(yè)不能有效利用這些技術(shù)來充分保障企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的安全。

總結(jié)

以上是生活随笔為你收集整理的哪种网络访问控制方法最适合？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。