网络通信 频道

基于PACS的网络层访问控制

信息的网络化使得工作人员在网络上查找、使用与维护各种信息,提高了日常办公效率。同时,也对信息安全带来了日益严重的挑战。由于业务的需求,一方面人们希望网络能够四通八达,自己的终端能够访问到自己所关心的所有资源;另一方面,人们要求网络能够对不同来源与角色的网络进行访问控制,以保护自己的资源不受非法访问与篡改。伴随着网络的深入发展,网络互通性和安全性这一对矛盾日益成为网络用户 与网络技术人员关注的焦点。

为了同时保证网络的互通性和信息的安全性,网络技术在各个不同的层面上产生了许多的网络安全措施和技术。本文在简要分析这些技术的优劣势的基础上,提出了基于PACS的解决方案。

一 网络访问控制技术的现状

1)MAC地址过滤技术

MAC地址(物理地址)用于直接标识某个网络设备,是目前网络数据交换的基础。目前大多数的二层交换机都支持基于物理端口配置MAC地址过滤表,用于限定只有与MAC地址过滤表中规定的一些网络设备的数据包才能通过该端口进行传递。通过MAC地址过滤技术可以保证只有授权的MAC地址才能对网络资源进行访问。

由于MAC地址过滤是基于网络设备的ID的唯一性,从而可以从根本上限制网络资源的使用者。一方面,基于MAC地址过滤技术对交换设备的要求不高,并且对网络设备的性能没有多大的影响,配置相对简单,比较适合于小型网络;另一方面,使用MAC地址过滤技术要求管理员必须明确网络中每个网络设备的MAC地址,根据需求对各个端口的过滤表进行配置,并且当某个网络设备的网卡或物理位置发生变化时要对系统进行重新配置,所以采用MAC地址过滤技术,对于网络管理员来说,负担很重,而且随着网络设备的不断增多,维护工作量也不断加大。

使用MAC地址过滤技术存在一个安全隐患--MAC地址"欺骗",即现在许多网卡都支持MAC地址重新配置,非法用户可以通过将自己所用的网络设备的MAC地址篡改为合法用户的MAC地址,成功通过交换设备的检查,进而非法访问网络资源。

2)VLAN隔离技术

VLAN(虚拟局域网)隔离技术是一种一方面为了避免当一个网络系统的设备数量增加到一定规模后,大量的广播报文消耗大量的网络带宽,从而影响有效数据的传递;另一方面确保部分安全性比较敏感的部门不被随意访问浏览而采用的划分相互隔离子网的方法。目前,基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。

通过VLAN隔离技术,可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组,组和组之间的网络设备在二层上相互隔离,形成不同的广播域,将广播流量限制在不同的广播域。由于VLAN技术是基于二层和三层之间的隔离,可以将不同的网络用户与网络资源进行分组并通过支持VLAN技术的交换机隔离不同组内网络设备间的数据交换来达到网络安全的目的。该方式允许同一VLAN上的用户互相通信,而处于不同VLAN的用户之间在数据链路层上是断开的,只能通过三层路由器才能访问。

 

转载地址:http://www.net130.com/CMS/Pub/network/network_manage/2006_03_30_7495.htm

0
相关文章