《局域网交换机安全》一1.3 访问控制和身份管理-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

《局域网交换机安全》一1.3 访问控制和身份管理

简介:

本节书摘来自异步社区《局域网交换机安全》一书中的第1章,第1.3节,作者【美】Eric Vyncke , Christopher Paggen, 更多章节内容可以访问云栖社区“异步社区”公众号查看

1.3 访问控制和身份管理

局域网交换机安全
在网络中,最典型的控制就是访问控制。当行为主体(subjects)(主动实体,比如一个用户、工作站、程序、IP地址等)发起访问一个对象(object)(被动实体,比如一个以太网VLAN、文件、服务器、Internet等)时,必须检查其安全策略并强制执行。

访问控制可以如Cisco IOS访问控制列表(ACL)般简单,也可以更为复杂并基于一个用户的身份(关于访问控制的更多信息,请见第17章)。

身份管理依赖于身份(identification)、认证(authentication)、授权(authorization)以及审计(audit)。

身份:仅仅是主体的名字(诸如一个微软的活动目录用户名或一个IP地址)。
认证:能证明身份的证据,这通常要借助于“通行证(credentials)”(比如,一个密码)来完成,不被认证的身份几乎毫无价值。
授权:一组被授权的访问权力的集合(即哪些主体可以访问哪些对象)。在网络中主要使用ACL来进行授权。
审计(也被称为记账(Accouting)):主体所留下的访问及行为记录,据此可以对任一给定事件序列进行检查。其主要目的是用于取证。在网络中,将与协议相关的事件消息记录到服务器上的行为(像syslog那样),就是出于审计的考虑。
以下是这4步的简化形式。

步骤1 身份:你是谁?

步骤2 认证:证明你自己。

步骤3 授权:你可以做什么?

步骤4 审计:你做了什么?

在网络中,经常将身份(Identification)与认证(Authentication)混淆起来。例如,使用了一个数据包的IP地址(仅仅是个身份)对该包的IP地址加以信任,就好像它已经通过了认证一样(要想加以认证,就必须提供真实的证据以证明该IP地址确实发送了该数据包)。

通常会用一个被称为认证服务器的专用服务器对身份进行集中管理。如图1-3所示,网络设备使用RADIUS或TACACS+协议与认证服务器安全地进行通信。

image

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章
最新文章
相关文章