1、一个有效的网络访问控制策略应该将那些不法之徒阻挡在外,并只能根据内部人员的身份、所连接的地点、所连接的时间等,确保其访问网络资源。同时,一个有效的网络访问控制应该使企业的网络保持灵活性。 下面我们看一些实现有效的网络访问控制的具体措施:
2、一般说来,你可以根据你的业务因素,从以下三种访问控制方法中进行选择以满足你的网络需要: ●IEEE 802.1X ●Web身份验证 ●MAC身份验证 选择一个网络架构设备
3、网络架构设备,如交换机、接入点和WAN路由器可以提供对RADIUS验证的支持,并且支持上述全部的验证形式。这些设备可以直接控制客户端与网络的连接。考虑到不同边缘设备的不同性能,任何增强安全策略的特定设备的能力都依赖于所用的访问控制方法以及客户端是否在寻求一个有线或无线的连接。 选择RADIUS服务器 远程身份验证拨入用户服务(RADIUS)是一个工业标准协议,可以提供身份验证、授权和账户服务;它用在提供用户网络访问的设备与对进入的用户进行身份验证的设备之间。RADIUS定义了三种公共的部件: ●访问客户 ●网络接入(访问)服务器 ●RADIUS服务器
4、即使你有多种多样的应用环境,你也只能在网络中使用一种类型的RADIUS服务器(例如,你可以使用微软的IAS服务器或者FreeRADIUS)。在这方面,你应该根据网络中的所用的应用环境选择自己的RADIUS服务器。这也是对一个中央用户数据库进行投资(LDAP或者活动目录)的时机。 选择EAP方法(如果使用802.1x的话) 只有在你使用802.1x访问控制方法时,可扩展身份验证协议(EAP)的方法才具有重要意义。你需要考虑两个因素:客户对网络的验证和网络对客户的验证。
5、集成所有的网络段 一旦你部署了网络中各种不同的分段,你就可以通过将所有的分段集成到一个统一的总体中来实施优化。 考虑采用身份驱动管理 身份驱动管理(IDM)提供了基于用户身份而不是网络设备的网络访问控制,它允许你在网络的中心设置一个网络访问策略的实施,并将它动态地运用于网络的边缘。 通过上述的措施你应该已经部署了一个比较健全的NAC方案。