本节书摘来自异步社区《局域网交换机安全》一书中的第1章,第1.3节,作者【美】Eric Vyncke , Christopher Paggen, 更多章节内容可以访问云栖社区“异步社区”公众号查看
1.3 访问控制和身份管理
局域网交换机安全
在网络中,最典型的控制就是访问控制。当行为主体(subjects)(主动实体,比如一个用户、工作站、程序、IP地址等)发起访问一个对象(object)(被动实体,比如一个以太网VLAN、文件、服务器、Internet等)时,必须检查其安全策略并强制执行。
访问控制可以如Cisco IOS访问控制列表(ACL)般简单,也可以更为复杂并基于一个用户的身份(关于访问控制的更多信息,请见第17章)。
身份管理依赖于身份(identification)、认证(authentication)、授权(authorization)以及审计(audit)。
身份:仅仅是主体的名字(诸如一个微软的活动目录用户名或一个IP地址)。
认证:能证明身份的证据,这通常要借助于“通行证(credentials)”(比如,一个密码)来完成,不被认证的身份几乎毫无价值。
授权:一组被授权的访问权力的集合(即哪些主体可以访问哪些对象)。在网络中主要使用ACL来进行授权。
审计(也被称为记账(Accouting)):主体所留下的访问及行为记录,据此可以对任一给定事件序列进行检查。其主要目的是用于取证。在网络中,将与协议相关的事件消息记录到服务器上的行为(像syslog那样),就是出于审计的考虑。
以下是这4步的简化形式。
步骤1 身份:你是谁?
步骤2 认证:证明你自己。
步骤3 授权:你可以做什么?
步骤4 审计:你做了什么?
在网络中,经常将身份(Identification)与认证(Authentication)混淆起来。例如,使用了一个数据包的IP地址(仅仅是个身份)对该包的IP地址加以信任,就好像它已经通过了认证一样(要想加以认证,就必须提供真实的证据以证明该IP地址确实发送了该数据包)。
通常会用一个被称为认证服务器的专用服务器对身份进行集中管理。如图1-3所示,网络设备使用RADIUS或TACACS+协议与认证服务器安全地进行通信。
