IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當前所在位置: 首頁網(wǎng)絡安全安全防護 → AAA本地數(shù)據(jù)庫與遠程數(shù)據(jù)庫差異分析

AAA本地數(shù)據(jù)庫與遠程數(shù)據(jù)庫差異分析

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

  隨著信息化辦公與無紙化辦公的日益普及,企業(yè)對于信息化管理軟件的要求也越來越高?,F(xiàn)在那些出差在外的銷售員、休假的管理人員,甚至是千里之外的辦事處,都需要遠程接入到企業(yè)內(nèi)部網(wǎng)絡上,訪問本部的網(wǎng)絡資源。但是,由于現(xiàn)在的大多數(shù)遠程訪問連接都是建立在異步線路上,所以,遠程訪問連接容易受到安全攻擊。為此,網(wǎng)絡管理員要提供一些安全措施來提高遠程訪問連接的安全性。而AAA服務(即鑒別、授權(quán)、記帳)則是一種很好的解決方案。思科在這個協(xié)議的基礎上,結(jié)合自己的產(chǎn)品,提供了一個安全服務器軟件產(chǎn)品,即Cisco安全訪問控制器。

  無論是其他公司的AAA安全服務,還是Cisco的安全訪問控制期,都有本地數(shù)據(jù)庫與遠程數(shù)據(jù)庫的區(qū)分。這個數(shù)據(jù)庫就是用來存儲AAA安全服務器的訪問控制信息。根據(jù)這個存儲位置的不同,就可以分為本地安全數(shù)據(jù)庫與遠程安全數(shù)據(jù)庫。作為一個網(wǎng)絡管理人員,需要知道這兩種方式的區(qū)別與特點,并結(jié)合自己公司的實際情況,來選擇一種合適的處理方式。

  一、本地數(shù)據(jù)庫的特點

  在應用AAA安全服務器時,如果把用戶名和口令信息存儲在網(wǎng)絡接入服務器本身,這就是本地安全數(shù)據(jù)庫模式,也被稱為本地鑒別。在本地鑒別模式下,網(wǎng)絡管理員需要把每個遠程訪問用戶的用戶名與口令文件都加載到網(wǎng)絡接入設備的本地安全數(shù)據(jù)庫中。如果網(wǎng)絡管理員采用了這個本地安全數(shù)據(jù)庫模式,則AAA安全服務主要有五個步驟。

  一是當用戶需要遠程訪問企業(yè)內(nèi)部網(wǎng)絡資源時,他們就會發(fā)起一個遠程訪問的請求。此時,用戶所采用的客戶機會撥號到企業(yè)的網(wǎng)絡接入服務器,建立一個PPP會話(點到點會話)。

  二是進行身份認證。建立起會話之后,在用戶的客戶機上,會提示遠程用戶輸入用戶名與密碼。而網(wǎng)絡接入服務器接受到遠程用戶傳遞過來的用戶名與口令之后,就會利用本地數(shù)據(jù)庫中存儲的信息去驗證這個用戶名與口令,是否匹配。若匹配的話,則進行下一個步驟,否則的話,就會直接終止當前會話或者提示用戶重新輸入密碼。這就完成了AAA服務的第一個步驟:鑒別。

  三是進行授權(quán)。當用戶名與密碼驗證服務之后,網(wǎng)絡接入服務器就會在本地數(shù)據(jù)庫中,查找這個用戶所對應的訪問權(quán)限。找到相應的鑒別參數(shù)之后,網(wǎng)絡接入服務器就會對這個用戶進行授權(quán),讓其能夠訪問網(wǎng)絡中的某些資源。這就是AAA服務的第二個步驟:授權(quán)。

  四是對訪問過程進行監(jiān)視并且如實的做好記錄。網(wǎng)絡接入服務器會對用戶訪問內(nèi)部網(wǎng)絡資源的行為進行監(jiān)視,監(jiān)控用戶的通信流量與操作行為并且記錄到相關的日志中。這具體要不要監(jiān)控,如何監(jiān)控等等,都需要網(wǎng)絡管理員進行事先的配置。當對賬戶進行授權(quán)時,網(wǎng)絡接入服務器會從本地數(shù)據(jù)庫中查找相關的安全策略并進行配置。

  以上就是本地安全數(shù)據(jù)庫模式基本步驟。從以上的分析中,可以得知這種模式下,具有如下幾個特點。

  一是它只適合于小型網(wǎng)絡?;蛘哒f,只有當少數(shù)用戶需要遠程訪問時,才能夠采用本地數(shù)據(jù)庫模式。如果遠程訪問主要用戶總公司與分公司之間的連接,那么采用本地鑒別策略并不是很合理。切記,只有在少量遠程用戶的情況下,采用這種本地安全服務器模式才可以起到其應有的作用。

  二是所有AAA服務所需要用到的安全信息,如用戶名、密碼以及安全策略等等,都被保存在網(wǎng)絡接入服務器的本地安全數(shù)據(jù)庫中。網(wǎng)絡接入服務器根據(jù)本地安全數(shù)據(jù)庫中的信息,對遠程用戶進行鑒別與授權(quán)。同時,也會根據(jù)本地數(shù)據(jù)庫中的安全策略,監(jiān)控用戶的操作行為并編制記賬記錄。所以,通過使用本地安全數(shù)據(jù)庫來控制少量用戶進行遠程訪問的安全策略,具有容易實現(xiàn)、安全和維護方便、成本低廉等特點。

  二、遠程數(shù)據(jù)庫策略模式

  遠程安全數(shù)據(jù)庫位于網(wǎng)絡中的一個特殊的安全服務器。在這個遠程安全數(shù)據(jù)庫中,存儲了每個接入服務器的用戶名、口令、安全策略等等。也就是說,遠程數(shù)據(jù)庫是跟接入服務器相獨立的。遠程安全數(shù)據(jù)庫主要為網(wǎng)絡管理員提供了一個集中管理安全策略的平臺。如此的話,當網(wǎng)絡管理員需要更改某個安全策略或者增加某個遠程訪問用戶時,不需要更新每個接入服務器的配置,而只需要在遠程安全數(shù)據(jù)庫中進行相應更改即可。

  若采用遠程數(shù)據(jù)庫模式,則其基本步驟如下。

  一是遠程用戶要發(fā)起一個遠程連接的請求,然后客戶端就會跟網(wǎng)絡接入服務器之間建立起一個PPP通話。這個步驟跟本地鑒別模式下是相同的。

  二是進行身份驗證。當用戶在遠程客戶端輸入用戶名與密碼后,網(wǎng)絡接入服務器就會接受到這些內(nèi)容。但是,網(wǎng)絡接入服務器自己并不驗證這個用戶名與密碼的合法性,而是把它轉(zhuǎn)發(fā)給專門的安全服務器(遠程安全數(shù)據(jù)庫),讓他來驗證這個用戶的合法性。驗證通過后,遠程安全數(shù)據(jù)庫會把這個用戶相關的安全策略與訪問權(quán)限轉(zhuǎn)發(fā)給網(wǎng)絡接入服務器。然后,網(wǎng)絡接入服務器就會根據(jù)這些參數(shù)來配置這個用戶的訪問權(quán)限,并進行一些訪問監(jiān)督與控制。這里要注意,收集用戶的操作信息并編制相關的日志,這是網(wǎng)絡接入服務器所負責的。當網(wǎng)絡接入服務器收集好這些信息后,會轉(zhuǎn)發(fā)給安全服務期上的遠程數(shù)據(jù)庫中。所以,網(wǎng)絡管理員想要知道到底用戶訪問了什么內(nèi)容,進行了哪些修改,則可以通過遠程安全數(shù)據(jù)庫進行查詢,而不需要進入每個網(wǎng)絡接入服務器。

  可見,遠程數(shù)據(jù)庫策略模式根本地安全數(shù)據(jù)庫策略模式還是有比較大的不同。他們分別適用與不同的場景。若企業(yè)有如下幾種情形,則往往采用遠程數(shù)據(jù)庫策略模式比較合適。

  一是企業(yè)有多個網(wǎng)絡接入服務器。在一些比較復雜的應用情景中,網(wǎng)絡管理員為了提高遠程訪問的安全,往往為設立多個網(wǎng)絡接入服務器。如對于網(wǎng)絡內(nèi)部的文件服務器、OA服務器、ERP服務器等等,會為其設置獨立的網(wǎng)路介入服務器。以往針對不同的應用,其安全策略是不同的。如對于文件服務器、ERP服務器等存儲有企業(yè)關鍵信息的應用,往往需要設置更高的安全策略,如信息訪問、數(shù)據(jù)修改等等都需要進行監(jiān)督等等。為此,為不同級別的應用設置獨立的網(wǎng)絡服務器,可以提高這些服務的安全性,進行區(qū)別對待。

  二是企業(yè)網(wǎng)絡管理人員人手比較緊。此時,網(wǎng)絡管理員往往需要有一個統(tǒng)一的管理平臺,對各種接入服務器進行集中管理與控制。而遠程安全數(shù)據(jù)庫則就給我們網(wǎng)絡管理員提供了這么一個平臺,可以一個平臺上對各個網(wǎng)絡接入服務器進行統(tǒng)一管理,如配制用戶名與密碼等等。

  三是可以提高訪問策略的一致性。當企業(yè)有多個遠程訪問接入口時,如何保障各個接入口上訪問策略的一致性,是非常重要的。如果此時企業(yè)采用本地安全數(shù)據(jù)庫的話,很容易造成從不同的入口進入,會有不同的訪問權(quán)限。因為各種安全策略分散在各自獨立的安全數(shù)據(jù)庫中,所以策略的一致性無法保證。而現(xiàn)在遠程安全數(shù)據(jù)庫進行統(tǒng)一管理,無疑解決了這個問題。

  四是會增加管理的難度與實施的成本。由于安全服務器與網(wǎng)絡接入服務器不在同一個服務器上,無疑會增加管理的難度。因為網(wǎng)絡管理員要同時管理網(wǎng)絡接入服務器與遠程安全數(shù)據(jù)庫。當出現(xiàn)用戶遠程訪問故障的時候,網(wǎng)絡管理員也需要分別去判斷到底是哪個出了問題才導致訪問的故障。如當網(wǎng)絡管理員無法查詢到用戶的訪問日志時,就需要分析,是遠程數(shù)據(jù)庫的安全策略問題,還是網(wǎng)絡接入服務器的問題;又或者是網(wǎng)絡接入服務器與遠程安全數(shù)據(jù)庫之間的網(wǎng)絡連接問題,數(shù)據(jù)傳輸是否存在延遲等等。這會增加網(wǎng)絡管理員網(wǎng)絡維護的工作量。另外,需要配置一臺獨立的安全服務器,也會增加一定的實施成本。

  所以,AAA服務確實是一個保障遠程訪問安全的好工具。其本地安全數(shù)據(jù)庫模式與遠程安全數(shù)據(jù)庫模式各有各的特點,各有各的局限性。網(wǎng)絡管理員必須了解這方面的差異,并根據(jù)企業(yè)實際情況進行對號入座,選擇一個適合自己的策略模式。才能夠讓AAA服務起到應有的作用。

關鍵詞標簽:AAA,數(shù)據(jù)庫

相關閱讀

文章評論
發(fā)表評論

熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 網(wǎng)絡安全管理軟件-PCHunter使用教程 網(wǎng)絡安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議 騰訊QQ密碼防盜十大建議

相關下載

    人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 網(wǎng)絡安全管理軟件-PCHunter使用教程 xp系統(tǒng)關閉445端口方法_ 教你如何關閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡安全事件應急響應方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設置