網路存取控制 (NAC)：確保只有授權設備可以連接網路(网路存取控制原理)

文章编号：3451时间：2024-05-20人气：

网络访问控制 (NAC) 是一套技术，能够强制执行网络访问政策，并仅允许经过授权的设备连接到网络。NAC系统由一个中央服务器和一个或多个网络接入设备组成。中央服务器负责制定和维护网络访问策略，而网络接入设备负责实施这些策略。

NAC 工作原理

NAC系统通过以下步骤工作：

当设备尝试连接到网络时，网络接入设备会向中央服务器发送请求。
中央服务器会检查设备的凭证，并确定设备是否被授权连接到网络。
如果设备被授权，中央服务器会向网络接入设备发送一条消息，允许设备连接到网络。
如果设备未被授权，中央服务器会向网络接入设备发送一条消息，拒绝设备连接到网络。

NAC的好处

NAC系统可以为企业提供许多好处，包括：

提高安全性： NAC 系统可以帮助企业保护其网络免受未经授权的访问。通过仅允许经过授权的设备连接到网络，NAC 系统可以降低安全漏洞的风险。
改善合规性： NAC系统可以帮助企业满足各种法规要求。例如，HIPAA 和 PCI DSS 要求企业保护其网络免受未经授权的访问。
提高网络性能： NAC 系统可以通过防止未经授权的设备连接到网络来提高网络性能。这可以帮助企业避免网络拥塞和带宽问题。
降低成本： NAC 系统可以通过降低安全漏洞的风险来帮助企业降低成本。NAC 系统还可以通过提高网络性能来帮助企业节省资金。

NAC

访问控制详细资料大全

访问控制是给出一套方法，将系统中的所有功能标识出来，组织起来，托管起来，将所有的数据组织起来标识出来托管起来，然后提供一个简单的唯一的接口，这个接口的一端是套用系统一端是许可权引擎。许可权引擎所回答的只是：谁是否对某资源具有实施某个动作（运动、计算）的许可权。返回的结果只有：有、没有、许可权引擎异常了。

访问控制是几乎所有系统（包括计算机系统和非计算机系统）都需要用到的一种技术。访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用的一种技术，如UniNAC网路准入控制系统的原理就是基于此技术之上。访问控制通常用于系统管理员控制用户对伺服器、目录、档案等网路资源的访问。

基本介绍

功能,实现策略,分类,实现,发展,

功能

主要有以下：一、防止非法的主体进入受保护的网路资源。二、允许合法用户访问受保护的网路资源。三、防止合法的用户对受保护的网路资源进行非授权的访问。

实现策略

1. 入网访问控制 2. 网路许可权限制 3. 目录级安全控制 4. 属性安全控制 5.网路伺服器安全控制 6.网路监测和锁定控制 7. 网路连线埠和节点的安全控制 8.防火墙控制

分类

访问控制可分为自主访问控制和强制访问控制两大类。自主访问控制，是指由用户有权对自身所创建的访问对象（档案、数据表等）进行访问，并可将对这些对象的访问权授予其他用户和从授予许可权的用户收回其访问许可权。强制访问控制，是指由系统（通过专门设定的系统安全员）对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么样作业系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。基于对象的访问控制模型基于对象的访问控制（OBAC Model：Object-based Aess Control Model）：DAC或MAC模型的主要任务都是对系统中的访问主体和受控对象进行一维的许可权管理。当用户数量多、处理的信息数据量巨大时，用户许可权的管理任务将变得十分繁重且难以维护，这就降低了系统的安全性和可靠性。对于海量的数据和差异较大的数据类型，需要用专门的系统和专门的人员加以处理，要是采用RBAC模型的话，安全管理员除了维护用户和角色的关联关系外，还需要将庞大的信息资源访问许可权赋予有限个角色。当信息资源的种类增加或减少时，安全管理员必须更新所有角色的访问许可权设定，如果受控对象的属性发生变化，和需要将受控对象不同属性的数据分配给不同的访问主体处理时，安全管理员将不得不增加新的角色，并且还必须更新原来所有角色的访问许可权设定以及访问主体的角色分配设定。这样的访问控制需求变化往往是不可预知的，造成访问控制管理的难度和工作量巨大。所以在这种情况下，有必要引入基于受控对象的访问控制模型。控制策略和控制规则是OBAC访问控制系统的核心所在，在基于受控对象的访问控制模型中，将访问控制列表与受控对象或受控对象的属性相关联，并将访问控制选项设计成为用户、组或角色及其对应许可权的集合；同时允许对策略和规则进行重用、继承和派生操作。这样，不仅可以对受控对象本身进行访问控制，受控对象的属性也可以进行访问控制，而且派生对象可以继承父对象的访问控制设定，这对于信息量巨大、信息内容更新变化频繁的管理信息系统非常有益，可以减轻由于信息资源的派生、演化和重组等带来的分配、设定角色许可权等的工作量。 OBAC访问控制系统是从信息系统的数据差异变化和用户需求出发，有效地解决了信息数据量大、数据种类繁多、数据更新变化频繁的大型管理信息系统的安全管理。并从受控对象的角度出发，将访问主体的访问许可权直接与受控对象相关联，一方面定义对象的访问控制列表，增、删、修改访问控制项易于操作，另一方面，当受控对象的属性发生改变，或者受控对象发生继承和派生行为时，无须更新访问主体的许可权，只需要修改受控对象的相应访问控制项即可，从而减少了访问主体的许可权管理，降低了授权数据管理的复杂性。基于任务的访问控制模型基于任务的访问控制模型（TBAC Model，Task-based Aess Control Model）是从套用和企业层角度来解决安全问题，以面向任务的观点，从任务（活动）的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。在TBAC中，对象的访问许可权控制并不是静止不变的，而是随着执行任务的上下文环境发生变化。TBAC首要考虑的是在工作流的环境中对信息的保护问题：在工作流环境中，数据的处理与上一次的处理相关联，相应的访问控制也如此，因而TBAC是一种上下文相关的访问控制模型。其次，TBAC不仅能对不同工作流实行不同的访问控制策略，而且还能对同一工作流的不同任务实例实行不同的访问控制策略。从这个意义上说，TBAC是基于任务的，这也表明，TBAC是一种基于实例（instance-based）的访问控制模型。 TBAC模型由工作流、授权结构体、受托人集、许可集四部分组成。任务（task）是工作流程中的一个逻辑单元，是一个可区分的动作，与多个用户相关，也可能包括几个子任务。授权结构体是任务在计算机中进行控制的一个实例。任务中的子任务，对应于授权结构体中的授权步。授权结构体（authorization unit）：是由一个或多个授权步组成的结构体，它们在逻辑上是联系在一起的。授权结构体分为一般授权结构体和原子授权结构体。一般授权结构体内的授权步依次执行，原子授权结构体内部的每个授权步紧密联系，其中任何一个授权步失败都会导致整个结构体的失败。授权步（authorization step）表示一个原始授权处理步，是指在一个工作流程中对处理对象的一次处理过程。授权步是访问控制所能控制的最小单元，由受托人集（trustee-set）和多个许可集（permissions set）组成。受托人集是可被授予执行授权步的用户的集合，许可集则是受托集的成员被授予授权步时拥有的访问许可。当授权步初始化以后，一个来自受托人集中的成员将被授予授权步，我们称这个受托人为授权步的执行委托者，该受托人执行授权步过程中所需许可的集合称为执行者许可集。授权步之间或授权结构体之间的相互关系称为依赖（dependency），依赖反映了基于任务的访问控制的原则。授权步的状态变化一般自我管理，依据执行的条件而自动变迁状态，但有时也可以由管理员进行调配。一个工作流的业务流程由多个任务构成。而一个任务对应于一个授权结构体，每个授权结构体由特定的授权步组成。授权结构体之间以及授权步之间通过依赖关系联系在一起。在TBAC中，一个授权步的处理可以决定后续授权步对处理对象的操作许可，上述许可集合称为激活许可集。执行者许可集和激活许可集一起称为授权步的保护态。 TBAC模型一般用五元组（S，O，P，L，AS）来表示，其中S表示主体，O表示客体，P表示许可，L表示生命期（lifecycle），AS表示授权步。由于任务都是有时效性的，所以在基于任务的访问控制中，用户对于授予他的许可权的使用也是有时效性的。因此，若P是授权步AS所激活的许可权，那么L则是授权步AS的存活期限。在授权步AS被激活之前，它的保护态是无效的，其中包含的许可不可使用。当授权步AS被触发时，它的委托执行者开始拥有执行者许可集中的许可权，同时它的生命期开始倒记时。在生命期期间，五元组（S，O，P，L，AS）有效。生命期终止时，五元组（S，O，P，L，AS）无效，委托执行者所拥有的许可权被回收。 TBAC的访问政策及其内部组件关系一般由系统管理员直接配置。通过授权步的动态许可权管理，TBAC支持最小特权原则和最小泄漏原则，在执行任务时只给用户分配所需的许可权，未执行任务或任务终止后用户不再拥有所分配的许可权；而且在执行任务过程中，当某一许可权不再使用时，授权步自动将该许可权回收；另外，对于敏感的任务需要不同的用户执行，这可通过授权步之间的分权依赖实现。 TBAC从工作流中的任务角度建模，可以依据任务和任务状态的不同，对许可权进行动态管理。因此，TBAC非常适合分散式计算和多点访问控制的信息处理控制以及在工作流、分散式处理和事务管理系统中的决策制定。基于角色的访问控制模型基于角色的访问控制模型（RBAC Model，Role-based Aess Model）：RBAC模型的基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。这是因为在很多实际套用中，用户并不是可以访问的客体信息资源的所有者（这些信息属于企业或公司），这样的话，访问控制应该基于员工的职务而不是基于员工在哪个组或是谁信息的所有者，即访问控制是由各个用户在部门中所担任的角色来确定的，例如，一个学校可以有教工、老师、学生和其他管理人员等角色。 RBAC从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问许可权与角色相联系，这点与传统的MAC和DAC将许可权直接授予用户的方式不同；通过给用户分配合适的角色，让用户与访问许可权相联系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。角色可以看作是一组操作的集合，不同的角色具有不同的操作集，这些操作集由系统管理员分配给角色。在下面的实例中，我们假设Tch1，Tch2，Tch3……Tchi是对应的教师，Stud1，Stud 2，Stud3 …Studj是相应的学生，Mng1，Mng 2，Mng 3…Mngk是教务处管理人员，那么老师的许可权为TchMN={查询成绩、上传所教课程的成绩}；学生的许可权为Stud MN={查询成绩、反映意见}；教务管理人员的许可权为MngMN={查询、修改成绩、列印成绩清单}。那么，依据角色的不同，每个主体只能执行自己所制定的访问功能。用户在一定的部门中具有一定的角色，其所执行的操作与其所扮演的角色的职能相匹配，这正是基于角色的访问控制（RBAC）的根本特征，即：依据RBAC策略，系统定义了各种角色，每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予相应的角色，一旦某个用户成为某角色的成员，则此用户可以完成该角色所具有的职能。如今数据安全成疾，蠕虫和病毒横行，如何提高网路安全？选择网路访问控制（NAC）成为必然，它能够帮助企业网路免于多种网路安全威胁。许多企业往往不愿意实施基于角色的访问控制。因为企业担心冗长而复杂的实施过程，并且由于雇员访问权要发生变化，也会对工作效率带来副作用。完成基于角色的矩阵可能是一个需要花费企业几年时间的复杂过程。有一些新方法可以缩短这个过程，并当即带来好处。企业可以采用人力资源系统作为数据源，收集所有雇员的部门、职位、位置以及企业的层次结构等信息，并将这些信息用于创建每个访问级别的角色。下一步就是从活动目录等位置获得当前的权利，以及与不同角色的雇员有关的数据共享。下一步，使数据标准化，确保相同角色的雇员拥有相同的访问权。可以通过从人力资源和活动目录、修正报告以及雇员的管理者那里收集数据，用于检查和纠正。基于角色的访问控制套用与身份管理系统结合使用，可以实施管理员在自动模式中做出的变化。此过程可以在包含敏感信息的企业网路的其它套用中多次反复实施，确保访问权的正确性。

实现

实现机制访问控制的实现机制建立访问控制模型和实现访问控制都是抽象和复杂的行为，实现访问的控制不仅要保证授权用户使用的许可权与其所拥有的许可权对应，制止非授权用户的非授权行为；还要保证敏感信息的交叉感染。为了便于讨论这一问题，我们以档案的访问控制为例对访问控制的实现做具体说明。通常用户访问信息资源（档案或是资料库），可能的行为有读、写和管理。为方便起见，我们用Read或是R表示读操作，Write或是W表示写操作，Own或是O表示管理操作。我们之所以将管理操作从读写中分离出来，是因为管理员也许会对控制规则本身或是档案的属性等做修改，也就是修改我们在下面提到的访问控制表。访问控制表访问控制表（ACLs：Aess Control Lists）是以档案为中心建立的访问许可权表，简记为ACLs。目前，大多数PC、伺服器和主机都使用ACLs作为访问控制的实现机制。访问控制表的优点在于实现简单，任何得到授权的主体都可以有一个访问表，例如授权用户A1的访问控制规则存储在档案File1中，A1的访问规则可以由A1下面的许可权表ACLsA1来确定，许可权表限定了用户UserA1的访问许可权。访问控制矩阵访问控制矩阵（ACM：Aess Control Matrix）是通过矩阵形式表示访问控制规则和授权用户许可权的方法；也就是说，对每个主体而言，都拥有对哪些客体的哪些访问许可权；而对客体而言，又有哪些主体对他可以实施访问；将这种关连关系加以阐述，就形成了控制矩阵。其中，特权用户或特权用户组可以修改主体的访问控制许可权。访问控制矩阵的实现很易于理解，但是查找和实现起来有一定的难度，而且，如果用户和档案系统要管理的档案很多，那么控制矩阵将会成几何级数增长，这样对于增长的矩阵而言，会有大量的空余空间。访问控制能力列表能力是访问控制中的一个重要概念，它是指请求访问的发起者所拥有的一个有效标签（ticket），它授权标签表明的持有者可以按照何种访问方式访问特定的客体。访问控制能力表（ACCLs：Aess Control Capabilitis Lists）是以用户为中心建立访问许可权表。例如，访问控制许可权表ACCLsF1表明了授权用户UserA对档案File1的访问许可权，UserAF表明了UserA对档案系统的访问控制规则集。因此，ACCLs的实现与ACLs正好相反。定义能力的重要作用在于能力的特殊性，如果赋予哪个主体具有一种能力，事实上是说明了这个主体具有了一定对应的许可权。能力的实现有两种方式，传递的和不可传递的。一些能力可以由主体传递给其他主体使用，另一些则不能。能力的传递牵扯到了授权的实现，我们在后面会具体阐述访问控制的授权管理。安全标签安全标签是限制和附属在主体或客体上的一组安全属性信息。安全标签的含义比能力更为广泛和严格，因为它实际上还建立了一个严格的安全等级集合。访问控制标签列表（ACSLLs： Aess Control Security Labels Lists）是限定一个用户对一个客体目标访问的安全属性集合。安全标签能对敏感信息加以区分，这样就可以对用户和客体资源强制执行安全策略，因此，强制访问控制经常会用到这种实现机制。具体类别访问控制实现的具体类别访问控制是网路安全防范和保护的重要手段，它的主要任务是维护网路系统安全、保证网路资源不被非法使用和非常访问。通常在技术实现上，包括以下几部分：（1）接入访问控制：接入访问控制为网路访问提供了第一层访问控制，是网路访问的最先屏障，它控制哪些用户能够登录到伺服器并获取网路资源，控制准许用户入网的时间和准许他们在哪台工作站入网。例如，ISP服务商实现的就是接入服务。用户的接入访问控制是对合法用户的验证，通常使用用户名和口令的认证方式。一般可分为三个步骤：用户名的识别与验证、用户口令的识别与验证和用户帐号的预设限制检查。（2）资源访问控制：是对客体整体资源信息的访问控制管理。其中包括档案系统的访问控制（档案目录访问控制和系统访问控制）、档案属性访问控制、信息内容访问控制。档案目录访问控制是指用户和用户组被赋予一定的许可权，在许可权的规则控制许可下，哪些用户和用户组可以访问哪些目录、子目录、档案和其他资源，哪些用户可以对其中的哪些档案、目录、子目录、设备等能够执行何种操作。系统访问控制是指一个网路系统管理员应当为用户指定适当的访问许可权，这些访问许可权控制着用户对伺服器的访问；应设定口令锁定伺服器控制台，以防止非法用户修改、删除重要信息或破坏数据；应设定伺服器登录时间限制、非法访问者检测和关闭的时间间隔；应对网路实施监控，记录用户对网路资源的访问，对非法的网路访问，能够用图形或文字或声音等形式报警等。档案属性访问控制：当用档案、目录和网路设备时，应给档案、目录等指定访问属性。属性安全控制可以将给定的属性与要访问的档案、目录和网路设备联系起来。（3）网路连线埠和节点的访问控制：网路中的节点和连线埠往往加密传输数据，这些重要位置的管理必须防止黑客发动的攻击。对于管理和修改数据，应该要求访问者提供足以证明身份的验证器（如智慧卡）。

发展

网路访问控制(NAC)名声不好，我们得让它改改。过去十年里，访问控制出现了部署失败和安全策略过份严格等问题，这使得许多CEO发现按照IT部门实施的访问控制，自己的笔记本电脑无法访问网路。但是，现在情况已经发生变化。专家指出，访问控制不再只是访问控制；而是提供终端可见性和感知环境的安全性。Enterprise Strategy Group的研究表明，访问控制正演变成一种新的平台产品，它叫终端监控、访问与安全(EVAS)，它能够实现感知环境的安全性，可以给其他安全平台提供信息，同时套用这些平台专用的策略。早期的访问控制解决方案会检查用户设备的状态，保证它们未感染病毒，并且安装了正确的终端安全软体，然后才允许它们连线网路。之后，访问控制增加了软体补丁和配置检查。现在，访问控制解决进一步发展成为EVAS平台，从而符合企业关于感知环境安全性的需求。

网络准入控制的技术介绍

a. NAC系统组件网络准入控制主要组件有：。终端安全检查软件。网络接入设备（接入交换机和无线访问点）。策略/AAA服务器终端安全检查软件 — 主要负责对接入的终端进行主机健康检查和进行网络接入认证。当前更倾向于采用轻量级或可溶解的客户端。以降低终端的部署和使用压力。网络接入设备 — 实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。这些设备接受主机委托，然后将信息传送到策略服务器，在那里实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策：允许、拒绝、隔离或限制。策略/AAA服务器——策略服务器负责评估来自网络设备的端点安全信息，并决定应该使用哪种接入策略（接入、拒绝、隔离或打补丁）。 b. NAC系统基本工作原理当终端接入网络时，首先由终端设备和网络接入设备（如：交换机、无线AP、VPN等）进行交互通讯。然后，网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。当终端及使用者符合策略/AAA服务器上定义的策略后，策略/AAA服务器会通知网络接入设备，对终端进行授权和访问控制。

如何正确应用网络地址转换(NAT)技术

NAT英文全称是Network Address Translation，称是网络地址转换，它是一个IETF标准，允许一个机构以一个地址出现在Internet上。 NAT将每个局域网节点的地址转换成一个IP地址，反之亦然。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet 地址和私有IP地址的使用。二、NAT技术的基本原理和类型 1、NAT技术基本原理 NAT技术能帮助解决令人头痛的IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。 NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。 NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这意味着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。 2、NAT技术的类型 NAT有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（Port－Level NAT）。其中静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。 NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。 NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。 NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。在Internet中使用NAPT时，所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过NAPT接入Internet。实际上，许多SOHO远程访问设备支持基于PPP的动态IP地址。这样，ISP甚至不需要支持NAPT，就可以做到多个内部IP地址共用一个外部IP地址上Internet，虽然这样会导致信道的一定拥塞，但考虑到节省的ISP上网费用和易管理的特点，用NAPT还是很值得的。三、在Internet中使用NAT技术 NAT技术可以让你区域网路中的所有机器经由一台通往Internet的server 线出去，而且只需要注册该server的一个IP就够了。在以往没有NAT技术以前，我们必须在server上安装sockd，并且所有的clients都必须要支援sockd，才能够经过server的sockd连线出去。这种方式最大的问题是，通常只有telnet/ftp/www-browser支援sockd，其它的程式都不能使用；而且使用sockd的速度稍慢。因此我们使用网络地址转换NAT技术，这样client不需要做任何的更动，只需要把gateway设到该server上就可以了，而且所有的程式(例如kali/kahn等等) 都可以使用。最简单的NAT设备有两条网络连接：一条连接到Internet，一条连接到专用网络。专用网络中使用私有IP地址（有时也被称做Network 10地址，地址使用留做专用的从10.0.0.0开始的地址）的主机，通过直接向NAT设备发送数据包连接到Internet上。与普通路由器不同NAT设备实际上对包头进行修改，将专用网络的源地址变为NAT设备自己的Internet地址，而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。四、应用NAT技术的安全策略 1、应用NAT技术的安全问题在使用NAT时，Internet上的主机表面上看起来直接与NAT设备通信，而非与专用网络中实际的主机通信。输入的数据包被发送到NAT设备的IP地址上，并且NAT设备将目的包头地址由自己的Internet地址变为真正的目的主机的专用网络地址。而结果是，理论上一个全球唯一IP地址后面可以连接几百台、几千台乃至几百万台拥有专用地址的主机。但是，这实际上存在着缺陷。例如，许多Internet协议和应用依赖于真正的端到端网络，在这种网络上，数据包完全不加修改地从源地址发送到目的地址。比如，IP安全架构不能跨NAT设备使用，因为包含原始IP 源地址的原始包头采用了数字签名。如果改变源地址的话，数字签名将不再有效。 NAT还向我们提出了管理上的挑战。尽管NAT 对于一个缺少足够的全球唯一Internet地址的组织、分支机构或者部门来说是一种不错的解决方案，但是当重组、合并或收购需要对两个或更多的专用网络进行整合时，它就变成了一种严重的问题。甚至在组织结构稳定的情况下，NAT系统不能多层嵌套，从而造成路由噩梦。 2、应用NAT技术的安全策略当我们改变网络的IP地址时，都要仔细考虑这样做会给网络中已有的安全机制带来什么样的影响。如，防火墙根据IP报头中包含的TCP端口号、信宿地址、信源地址以及其它一些信息来决定是否让该数据包通过。可以依NAT设备所处位置来改变防火墙过滤规则，这是因为NAT改变了信源或信宿地址。如果一个NAT设备，如一台内部路由器，被置于受防火墙保护的一侧，将不得不改变负责控制NAT设备身后网络流量的所有安全规则。在许多网络中，NAT机制都是在防火墙上实现的。它的目的是使防火墙能够提供对网络访问与地址转换的双重控制功能。除非可以严格地限定哪一种网络连接可以被进行NAT转换，否则不要将NAT设备置于防火墙之外。任何一个淘气的黑客，只要他能够使NAT误以为他的连接请求是被允许的，都可以以一个授权用户的身份对你的网络进行访问。如果企业正在迈向网络技术的前沿，并正在使用IP安全协议（IPSec）来构造一个虚拟专用网（VPN）时，错误地放置NAT设备会毁了计划。原则上，NAT设备应该被置于VPN受保护的一侧，因为NAT需要改动IP报头中的地址域，而在IPSec报头中该域是无法被改变的，这使可以准确地获知原始报文是发自哪一台工作站的。如果IP地址被改变了，那么IPSec的安全机制也就失效了，因为既然信源地址都可以被改动，那么报文内容就更不用说了。那么NAT技术在系统中我们应采用以下几个策略： ①网络地址转换模块 NAT技术模块是本系统核心部分，而且只有本模块与网络层有关，因此，这一部分应和Unix系统本身的网络层处理部分紧密结合在一起，或对其直接进行修改。本模块进一步可细分为包交换子模块、数据包头替换子模块、规则处理子模块、连接记录子模块与真实地址分配子模块及传输层过滤子模块。 ②集中访问控制模块集中访问控制模块可进一步细分为请求认证子模块和连接中继子模块。请求认证子模块主要负责和认证与访问控制系统通过一种可信的安全机制交换各种身份鉴别信息，识别出合法的用户，并根据用户预先被赋予的权限决定后续的连接形式。连接中继子模块的主要功能是为用户建立起一条最终的无中继的连接通道，并在需要的情况下向内部服务器传送鉴别过的用户身份信息，以完成相关服务协议中所需的鉴别流程。 ③临时访问端口表为了区分数据包的服务对象和防止攻击者对内部主机发起的连接进行非授权的利用，网关把内部主机使用的临时端口、协议类型和内部主机地址登记在临时端口使用表中。由于网关不知道内部主机可能要使用的临时端口，故临时端口使用表是由网关根据接收的数据包动态生成的。对于入向的数据包，防火墙只让那些访问控制表许可的或者临时端口使用表登记的数据包通过。 ④认证与访问控制系统认证与访问控制系统包括用户鉴别模块和访问控制模块，实现用户的身份鉴别和安全策略的控制。

相关标签：確保只有授權設備可以連接網路、 NAC、網路存取控制、网路存取控制原理、

上一篇：提升网站性能与主机屋携手优化您的数字存在

下一篇：入侵检测防禦系統IDSIPS監控網路流量並偵測

内容声明：

1、本站收录的内容来源于大数据收集，版权归原网站所有！
2、本站收录的内容若侵害到您的利益，请联系我们进行删除处理！
3、本站不接受违法信息，如您发现违法内容，请联系我们进行举报处理！
4、本文地址：https://www.ed4.cn/article/e6d4a32937516da3829f.html，复制请保留版权链接！

温馨小提示：在您的网站做上本站友情链接,访问一次即可自动收录并自动排在本站第一位！