2022年新华电脑为您支招:哪种网络访问控制方法最适合?整理 .pdf
《2022年新华电脑为您支招:哪种网络访问控制方法最适合?整理 .pdf》由会员分享,可在线阅读,更多相关《2022年新华电脑为您支招:哪种网络访问控制方法最适合?整理 .pdf(7页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、作者:江西新华电脑学院2013-4-6 哪种网络访问控制方法最适合?目前进行网络访问控制的方法主要有:MAC 地址过滤、 VLAN 隔离、IEEE802.1x 身份验证、基于IP 地址的访问控制列表和防火墙控制等等。下面分别予以简单介绍。1. MAC 地址过滤法MAC 地址是网络设备在全球的唯一编号,它也就是我们通常所说的:物理地址、硬件地址、适配器地址或网卡地址。MAC 地址可用于直接标识某个网络设备,是目前网络数据交换的基础。现在大多数的二层交换机都可以支持基于物理端口配置MAC 地址过滤表,用于限定只有与MAC 地址过滤表中规定的一些网络设备有关的数据包才能够使用该端口进行传递。通过MA
2、C 地址过滤技术可以保证授权的MAC 地址才能对网络资源进行访问。如下图所示,在服务器B 所联接的交换机网络端口的MAC 地址列表中上只配置了 MAC a 和 MAC b 两个工作站的 MAC 地址,因此只有这两台工作站可以访问服务器B,而 MAC c 就不能访问了,但是在服务器A 中却没有配置 MAC 地址表,交换机就默认可以与所有同一网段的工作站连接,这样 MAC a、MAC b 、MAC c 三个工作站都可以与服务器A 连接了。由于 MAC 地址过滤是基于网络设备唯一ID 的,因此通过 MAC 地址过滤,可以从根本上限制使用网络资源的使用者。基于MAC 地址的过滤对交换设备的要求不高,并
3、且基本对网络性能没有影响,配置命令相对简单,比较适合小型网络,规模较大的网络不是适用。因为使用MAC 地址过滤技术要求网络管理员必须明确网络中每个网络设备的MAC 地址,并要根据控制要求对各端口的过滤表进行配置;且当某个网络设备的网卡发生变化,或是物理位置变化时要对系统进行重新配置,所以采用MAC 地址过滤方法,对名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 7 页 - - - - - - - - - 作者:江西新华电脑学院2013-4-6 于网管员来说,其负担是相当重
4、的,而且随着网络设备数量的不断扩大,它的维护工作量也不断加大。另外,还存在一个安全隐患,那就是现在许多网卡都支持MAC 地址重新配置,非法用户可以通过将自己所用网络设备的MAC 地址改为合法用户MAC 地址的方法,使用MAC 地址“欺骗”,成功通过交换机的检查,进而非法访问网络资源。2. VLAN 隔离法VLAN(虚拟局域网) 技术是为了避免当一个网络系统中网络设备数量增加到一定程度后,众多的网络广播报文消耗大量的网络带宽,使得真正的数据传递受到很大的影响; 确保部分安全性比较敏感的部门数据不被随意访问浏览而采用一种划分相互隔离子网的方法。在此仅对 VLAN 技术实现访问控制的一些基本方面作一
5、简单介绍。通过 VALN 技术,可以把一个网络系统中的众多网络设备分成若干个虚拟的“工作组”,组和组之间的网络设备在二层上互相隔离,形成不同的广播域,进而将广播流量限制在不同的广播域中。由于 VALN 技术是基于二层和三层之间的隔离技术,被广泛应用于网络安全方面,可以通过将不同的网络用户与网络资源进行分组,通过支持VLAN 的交换机阻隔不同组内网络设备间的数据交换来达到网络安全的目的。该方式允许同一VLAN 上的用户互相通信,而处于不同VLAN 的用户之间在链路层上是断开的,只能通过三层路由器才能访问。如下图所示,右从左至右工作站的编号为16。在该图中将编号为1、3、5 的工作站划分到一个VL
6、AN 中,将编号为 2、4、6 的工作站划分到另一个VLAN 中,这样编号为1、3、5 的工作站之间可以相互通信,编号为2、4、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 7 页 - - - - - - - - - 作者:江西新华电脑学院2013-4-6 6 的工作站之间也可以相互通信,但两个组之间不可以直接通信,这样可以确保本组资源只能由本组用户访问。目前基于 VLAN 隔离方式的访问控制方法,在一些中小型企业中也得到广泛应用。如企业中的人事部和财务部等部门都是相对
7、来说安全性要求更高一些的,通常不允许其它部门用户随意访问、查阅相关资料,通过VLAN方式划分后,两个部门的网络数据就不会被其他用户访问了,虽然他们与其它部门一样同处一个网络。还有一点要注意的是,虽然别的用户不能随意访问 VLAN 组用户,但 VLAN 组用户却可随意访问其它非VLAN 组用户,除非也做了访问限制配置。不同的交换机 VLAN 划分的方法不尽相同,可以分别基于端口、MAC 、IP 地址进行,具体因篇幅关系,在此不作详细介绍。虽然我们说 VLAN 隔离方式具有比较明显的优点,但同时也有一个非常明显的缺点,那就是要求网络管理员必须明确交换机每一物理端口上所联接的设备的 MAC 地址或是
8、 IP 地址,并要根据不同的工作组对交换机进行VLAN 配置。当某一网络终端的网卡、 IP 地址或是物理位置发生变化时,需要对整个网络系统中的多个相关的网络设备进行重新配置,这同样对于网管来说负担是相当重的,所以只适用于在小型网络中使用。在安全性方面也存在隐患,VLAN 技术可以保证网络设备间的隔离,但对于同一台服务器,只能做到同时向多个VLAN 组全面开放或是只向某个VLAN 组全面开放,而不能针对个别用户进行限制。而在通常情况下,一台服务器会提供多种服务, 担当多种服务器角色, 同时为多个 VLAN 组用户提供不同的服务,这样带来了一定的安全隐患。例如一个数据库服务器中可能存有财务数据,也
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年新华电脑为您支招:哪种网络访问控制方法最适合?整理 2022 新华 电脑 您支招 网络 访问 控制 方法 适合 整理
限制150内