魅力博客

对企业局域网上的数据进行访问控制保护不是单靠企业IT部门就能独立完成的，它涉及到企业中的多个部门，例如包括负责桌面、服务器、网络和安全的团队，同样还有负责企业员工目录信息和应用系统的团队，而且IT之外的业务部门也必须参与到其中，来帮助IT部门制定合适的策略，以控制企业中的哪些人能够访问局域网上的哪些资源。

　　根据对不同行业、不同规模企业中的数百个局域网安全项目的研究，我们可以发现在企业局域网中对数据进行访问控制一般可以分为以下三类共性的问题：

　　•防范来自内部的威胁。

　　举个例子来说，许多企业通常需要通过网络和承包商进行业务合作。后者必须能够访问该企业的局域网网络，否则他们不能完成他们的任务。他们需要运行特定软件、访问特定文件和特定服务器，但是，他们不需要也不应该有权限来访问所有网络资源。

　　•达到规章制度要求。

　　不同的政府和行业规章要求公司必须实行访问控制策略，并且进行全局应用，而且这种控制要求自动化实现，而不是手工来进行控制。自动化控制可以简化审核过程，因为它们只需要测试一两次就可以，相比之下人工控制方式往往需要测试十几次，而且存在很多不确定性。

　　•限制用户访问敏感信息。

　　企业现在越来越多的希望根据用户在企业中的不同角色来对他们进行识别和区分，然后对不同的角色设定不同的访问权限。举个例子来说，它们可能希望仅允许财务部门员工查看财务信息，或者仅允许客户服务代表有权力查看机密客户数据。

　　虽然每一个企业的具体情况不完全相同，但是在某种程度上，数年以来，上面所说的三类共性问题一直让企业用户感到非常头疼。下面将根据我的经验提出一些最佳经验，希望能帮助你打造一个具有合适的网络访问控制的安全局域网。
　　
　　为什么要进行访问控制及需要控制什么?
　　看一下那些成功在局域网中实现数据访问控制的企业，它们存在一个共同的地方：在这个安全项目真正开始前，它们的IT部门都花费了大量的时间来分析调查，以真正深入理解为什么要进行访问控制，以及要控制什么。要实现这一点，你可能需要与多个业务部门的人员进行座谈交流，了解他们的工作内容，以及谁需要访问哪些资源：是内部职工还是外部合同商，还是任何技术人员或其他需要访问企业局域网的其他人员。

　　在任何局域网安全项目中要采取的第一步是，识别并区分业务部门的资源访问需求。以下是一些最常见的需要明确的问题，可以供你参考，根据你自己的实际情况来选择：

　　•控制谁能访问局域网;

　　•降低非企业员工将能够访问敏感数据的风险：限制客人只可以访问互联网，而不能访问企业局域网上的资源。对资源进行控制，设定哪一个软件开发者、设计者或其他长期的非员工人员可以访问哪些资源。

　　•为不同的员工设定不同的访问权限。限制每个人只能访问他们需要的数据和应用程序。

　　•控制那些非计算机的网络设备的使用，诸如打印机、VoIP电话、数码相机等等。

　　•防范恶意软件攻击。

　　•实现对政府和行业标准的支持，并让业务组的人也了解这些要求。

　　讨论上述问题的目的是确定企业局域网的当前和长远目标。也就是你需要详细研究网络访问控制(NAC)问题的全面设置，决定谁可以登录到局域网中，并限制他们能够访问的内容。

　　举个例子来说，在项目一开始的时候，多数企业客户一般会先选择分离并限制客人的访问权限。然后其中多数企业计划在以后增加更多细化的控制，尤其是基于角色或基于策略的访问控制，来限制它们员工的访问权限。

　　在制定了你的网络访问控制优先权后，接下来，你需要在整个局域网安全计划中为不同的终端分配不同的角色。

确定终端策略
　　局域网安全的一个关键因素是允许控制(admission control)，也就是说，你需要决定是否给予某一个终端访问局域网的权限。多数客户希望保护它们的局域网(和计算机终端)远离病毒和恶意软件，许多人使用终端验证或“状态检查”软件来确认任何试图访问局域网的设备已经被合适的进行了打补丁和升级处理。以下是一些关于状态检查的一些问题：

　　首先要了解你的终端上运行的软件，比如终端计算机上的反病毒软件，你可能希望你的访问控制能与终端上已有软件能够和平共处，不互相冲突。

　　尽管目前微软的网络访问保护(NAP)解决方案至今还没有部署(它需要依靠微软将在2008年第一季度发布的Longhorn服务器)，考虑到微软的Vista系统进入企业是早晚的事，你可能希望你的网络访问控制平台可以处理微软的NAP终端软件所中继的信息。

　　另外，你需要考虑那些无法安装一个代理的终端如何处理，诸如打印机、VoIP电话、数码相机等。这些设备将需要使用诸如基于MAC地址的认证形式，因为它们不能运行一个终端代理软件。

　　现在你已经定义了你的需求，并确定了你的终端策略，现在是时候来看一下你现有的网络，并制定一个需要进行改变的网络计划了。
　　
　　按需定制 了解你的网络
　　网络访问控制(NAC)和LAN产品必须与你的交换机和路由器进行交互，同样也需要与其他网络连接的设备和资源进行交互。举个例子来说，有的客户一直在强调，能够保留他们现有网络对他们来说是多么重要，因为他们已经花了大量的投资在上面。如果仅仅是为了实施一个网络访问控制，就让他们进行重大的网络修改，确实有些浪费投资。

　　我们还注意到，许多客户忽视了利用局域网升级的时间同时实施网络访问控制安全项目的建设。这实际上是一个既省时又经济的办法，因为它实际上将两个项目化为一个项目。不过我们同时也看到很多客户案例，它们没有经过重大的网络改造就可以在局域网中实现网络访问控制。

　　实际上，不管你是否正处于一个网络升级的阶段，都有一些好的方法供你选择。

　　如果你的局域网升级刚刚完成，那么就看一下通过什么方法对现有网络产生影响最小但又能实现绝大多数控制。现在的多数安全设备基本上可以支持任何现有的局域网架构。

　　如果你正要进行局域网升级，那更简单了，在进行网络升级的过程中，同时考虑网络访问控制设计。安全交换机已经在市场上出现，它们一般都包含完整的基于身份的控制功能。

　　如果你的网络升级已经过去好多年，可以寻找一些可以满足将来网络升级后安全需求的安全设备，这样即使将来网络进行了升级，你的投资也没有浪费。

　　许多局域网安全解决方案可以在局域网中的多个位置实施，但是多数被设计放在：局域网的边缘，靠近用户实施;在两个网段或两类网络的连接处;靠近数据中心，以保护服务器。

　　一般情况下，客户会选择它们的最有价值的位置，在那儿开始部署。举个例子来说，如果它们最担心访问者通过会议室的开放端口进入局域网，它们将会首先在这些网口上部署访问控制技术。如果它们最担心临时人员通过VPN从远程访问总部的网络和数据，它们将对VPN增加基于角色和基于策略的访问控制。

　　考虑一下以下网络位置哪个是你最希望加固的地方：无线区域;会议室;网络边缘;数据中心;VPN网络。

　　现在，你可能已经收集好了关于局域网安全访问控制解决方案所需要的信息，现在是时候进行试验部署了。
　　
　　控制策略试运行技巧
　　因为策略是你成功实现局域网安全访问控制的基础，你需要通过试验来对它们进行验证，确信在你选择的安全和网络访问控制平台中，你可以轻松的创建并实施安全策略。通过厂商的演示你可能会

觉得这是一件非常容易的事情，但是你需要在无需帮助的情况下自己重复进行这些步骤，以确保在厂商工程师离开后，你自己能熟练使用这个工具。

　　而且，尽管在实验室中的测试结果非常成功，你还是需要在真正的局域网中对它进行相关测试。尤其是当你试图应用基于身份的控制的时候，你需要让真实的用户来完成他们真实的工作来测试其功能。通过在监视模式下运行一个产品，你可以看到是否存在没有真正阻挡用户通信的策略存在。

　　在进行试运行的过程中，不仅仅要让IT员工参加，还要争取让来自不同业务部门具有不同权限级别的用户参与进来，为了确保你可以得到一个你正在考察的产品的全面的了解，确认下面的任务应该是你测试工作的一部分：试验你现在需要的功能;试验你将来希望应用的功能，因为你不会希望被一个产品捆住手脚;经过来自厂商的最初的安装和培训后，你应该独自来负责和推动试验工作的进行。

　　在你的行业市场领域看看是否有人已经应用了这个产品，满意的客户将会非常乐意与你交流，并分享他们的经验，无论是好的还是坏的。通过一段时间的专门试运行安全项目，可以加速企业整体安全项目的完成时间，并可以帮助它们达到最初的目标。
　　
　　用户目录信息和其他实施问题
　　对很多客户来说，网络访问控制(NAC)实施和用户目录信息清理通常是并行运行的。没有精确的身份和角色信息，网络设备就没有应用控制策略的基础，因此网络和用户信息目录团队需要关注他们的被认证的用户的记录的组隶属关系是准确的。根据实际案例证明，那些前期花费了时间来校正这些数据准确性的客户，一般都能够正确的运用安全策略，而且他们的技术支持人员很少接到要求解决访问问题的电话。

　　诸如目录清理之类的工作的最有力的表现形式之一就是一个完整的身份和访问管理项目。那些将这些项目与网络访问控制项目联合实施的用户一般能够有效的在整个企业中创建和发布策略。在部署之中，网络访问控制(NAC)部分负责网络级别用户的设置和取消设置，而身份和访问管理平台是在应用程序级别进行设置和取消设置，两者是互相补充的关系。

　　一旦你的用户数据库建立就绪，而且也选择了你的局域网安全解决方案，你就可以开始创建一个最低限度需求来控制访问了。多数用户可以分三个阶段来全面部署访问控制项目。第一阶段可以简单的应用认证控制和状态检查;第二阶段，IT人员与业务部门建立可以在将来应用更多控制但又不会对现在的工作带来重大影响的策略;

　　我们还建议您亲自来实施这些项目，而不要让厂商来替你完成所有事情。当然，最初肯定需要厂商的帮助，但是你应该尽可能早的来亲自进行实施，因为这样你对系统会有更深的认识。

　　在你建立其最初的控制后，让它们在你的网络中运行一段时间，然后使用监视工具来看以下局域网中都发生了什么。你的网络安全平台应该能够立即告诉你问题在哪儿。举个例子说，统计功能是否正常?是否有太多的人违反一个访问策略?如果有很多人违反一个访问策略，那可能是这个策略不准确，一般不会有这么多的人同时试图访问他们不能够访问的信息。

　　确信你能够将一个告警对应到一个明确的策略上，然后与业务部门共同研究，确认他们给你正确的访问信息，然后你将其转成正确的策略。业务部门表达访问需求的错误或遗漏往往是造成错误策略的主要原因。在通过监视模式下对这些策略进行一段时间的监视后，你可以确认这些策略的正确性，然后你就可以真正去阻挡不合法的访问行为了。

　　你需要与业务部门一起制定好合适的安全策略，考虑哪些数据是最敏感的，是必须被保护的，另外在创建新的策略后，对于违反策略的行为仅仅进行记录，而不要阻止它们。对策略进行调查。是策略不正确，还是用户确实做了他们不应该做的事情?

　　结论

　　如果你按照“计划、测试然后部署”的合理逻辑来计划你的局域网安全架构和产品的话，你将能够驾驭这些复杂的项目。关键是：一个深思熟虑的局域网安全架构的得出，一个完美的分阶段部署，监视变化和检查IT和业务之间交流无误的能力，以及反复完善的积极态度。具备了上述条件，你就可以控制谁可以进入你的局域网以及他们进来后可以做什么，就可以让你公司的重要信息和其他资源得到完美的保护。

返回顶部