欢迎进入网络技术社区论坛,与200万技术人员互动交流 >>进入 随着信息化办公与无纸化办公的日益普及,企业对于信息化管理软件的要求也越来越高。现在那些出差在外的销售员、休假的管理人员,甚至是千里之外的办事处,都需要远程接入到企业内部网络上,访问本
欢迎进入网络技术社区论坛,与200万技术人员互动交流 >>进入
随着信息化办公与无纸化办公的日益普及,企业对于信息化管理软件的要求也越来越高。现在那些出差在外的销售员、休假的管理人员,甚至是千里之外的办事处,都需要远程接入到企业内部网络上,访问本部的网络资源。但是,由于现在的大多数远程访问连接都是建立在异步线路上,所以,远程访问连接容易受到安全攻击。为此,网络管理员要提供一些安全措施来提高远程访问连接的安全性。而AAA服务(即鉴别、授权、记帐)则是一种很好的解决方案。思科在这个协议的基础上,结合自己的产品,提供了一个安全服务器软件产品,即Cisco安全访问控制器。
无论是其他公司的AAA安全服务,还是Cisco的安全访问控制期,都有本地数据库与远程数据库的区分。这个数据库就是用来存储AAA安全服务器的访问控制信息。根据这个存储位置的不同,就可以分为本地安全数据库与远程安全数据库。作为一个网络管理人员,需要知道这两种方式的区别与特点,并结合自己公司的实际情况,来选择一种合适的处理方式。
一、本地数据库的特点
在应用AAA安全服务器时,如果把用户名和口令信息存储在网络接入服务器本身,这就是本地安全数据库模式,也被称为本地鉴别。在本地鉴别模式下,网络管理员需要把每个远程访问用户的用户名与口令文件都加载到网络接入设备的本地安全数据库中。如果网络管理员采用了这个本地安全数据库模式,则AAA安全服务主要有五个步骤。
一是当用户需要远程访问企业内部网络资源时,他们就会发起一个远程访问的请求。此时,用户所采用的客户机会拨号到企业的网络接入服务器,建立一个PPP会话(点到点会话)。
二是进行身份认证。建立起会话之后,在用户的客户机上,会提示远程用户输入用户名与密码。而网络接入服务器接受到远程用户传递过来的用户名与口令之后,就会利用本地数据库中存储的信息去验证这个用户名与口令,是否匹配。若匹配的话,则进行下一个步骤,否则的话,就会直接终止当前会话或者提示用户重新输入密码。这就完成了AAA服务的第一个步骤:鉴别。
三是进行授权。当用户名与密码验证服务之后,网络接入服务器就会在本地数据库中,查找这个用户所对应的访问权限。找到相应的鉴别参数之后,网络接入服务器就会对这个用户进行授权,让其能够访问网络中的某些资源。这就是AAA服务的第二个步骤:授权。
四是对访问过程进行监视并且如实的做好记录。网络接入服务器会对用户访问内部网络资源的行为进行监视,监控用户的通信流量与操作行为并且记录到相关的日志中。这具体要不要监控,如何监控等等,都需要网络管理员进行事先的配置。当对账户进行授权时,网络接入服务器会从本地数据库中查找相关的安全策略并进行配置。
以上就是本地安全数据库模式基本步骤。从以上的分析中,可以得知这种模式下,具有如下几个特点。
一是它只适合于小型网络。或者说,只有当少数用户需要远程访问时,才能够采用本地数据库模式。如果远程访问主要用户总公司与分公司之间的连接,那么采用本地鉴别策略并不是很合理。切记,只有在少量远程用户的情况下,采用这种本地安全服务器模式才可以起到其应有的作用。
二是所有AAA服务所需要用到的安全信息,如用户名、密码以及安全策略等等,都被保存在网络接入服务器的本地安全数据库中。网络接入服务器根据本地安全数据库中的信息,对远程用户进行鉴别与授权。同时,也会根据本地数据库中的安全策略,监控用户的操作行为并编制记账记录。所以,通过使用本地安全数据库来控制少量用户进行远程访问的安全策略,具有容易实现、安全和维护方便、成本低廉等特点。
[1] [2]