第5讲 网络访问控制和云安全-(1)网络访问控制

优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。
网络与信息安全
9
防火墙
• 防火墙技术是通过有机结合 各类用于安全管理与筛选的 软件和硬件设备，帮助计算 机网络于其内、外网之间构 建一道相对隔绝的保护屏障 ，以保护用户资料与信息安 全性的一种技术。
• 通过允许或拒绝企业主机与 外部用户的网络流量来提供 一种形式的网络访问控制。
网络与信息安全
Network and information security
主讲 陈付龙
安徽师范大学 计算机与信息学院 （2020年）
第5讲 网络访问控制和云安全
5.1 网络访问控制 5.2 可扩展认证协议 5.3 IEEE 802.1X基于端口的网络访问控制 5.4 云计算 5.5 云安全风险和对策 5.6 云端数据保护 5.7 云安全即服务
• 依赖杀毒、补丁管理， 或者用户目录等后端 系统的帮忙来决定主 机的状况
策略服务器
网络与信息安全
5
网络 访问 控制 环境
网络与信息安全
6
网络访问强制措施
• 强制措施被施加到AR上来管理用户对企业
网络的访问。
IEEE 802.1X
动态主 机配置
协议
(DHCP) 管理
虚拟局 域网 (VLAN)
防火墙
NAC的基本形式是802.1X标准。
网络与信息安全
4
NAC系统的组成元素
• 尝试访问网络的节点， 包括工作站、服务器、 打印机以及其他支持 IP的设备。
• 简称客户
• 远程用户连接公司内 网，NAS起到一个访 问控制点作用。
• 又称介质网关。
访问请求者 (AR)
网络访问服 务器(NAS)
• 决定授予请求者什么 访问权限。
3
网络与信息安全
3
NAC内涵
NAC是一种计算机网络解决方案，它使用一组协议来定义和实现一个策略，该策 略描述设备在最初尝试访问网络时如何安全地访问网络节点。
NAC可以将自动修复过程（允许访问前修复不符合要求的节点）集成到网络系统 中，允许路由器、交换机和防火墙等网络基础设施与后台服务器和最终用户计 算设备协同工作，以确保信息系统在集成前安全运行。
网络与信息安全
10
动态主机配置协议(DHCP)管理
• 是一个局域网的网络协议。指的是由服务 器控制一段lP地址范围，客户机登录服务 器时就可以自动获得服务器分配的lP地址 和子网掩码。
• 通常被应用在大型的局域网络环境中，主 要作用是集中的管理、分配IP地址，使网 络 环 境 中 的 主 机 动 态 的 获 得 IP 地 址 、 Gateway地址、DNS服务器地址等信息， 并能够提升地址的使用率。
• DHCP为主机动态分配IP。由于存在IP欺骗 ，只能提供有限安全性。
网络与信息安全
11
网络与信息安全
8
虚拟局域网(VLAБайду номын сангаас)
• 虚拟局域网（VLAN）是一组逻辑 上的设备和用户，这些设备和用 户并不受物理位置的限制，可以 根据功能、部门及应用等因素将 它们组织起来，相互之间的通信 就好像它们在同一个网段中一样 ，由此得名虚拟局域网。
• NAC根据设备对企业资源何种级 别的网络访问、是否只是访问互 联网，决定将网络中的哪一个虚 拟局域网分配给AR。
网络与信息安全
2
5.1 网络访问控制
• 网 络 访 问 控 制 (Network Access Control, NAC)是对网络 进行管理访问的一个概况性 术语。
• NAC对登录到网络用户进行 认证，同时决定该用户可以 访问哪些数据，执行哪些操 作。
• NAC可以同时检查用户的计 算机或者移动设备（终端） 的安全程度
网络与信息安全
7
IEEE 802.1X
• 链接层协议，端口被分配IP之前必须强制进行 认证。
• 802.1x协议是基于Client/Server的访问控制和 认证协议。它可以限制未经授权的用户/设备 通过接入端口(access port)访问LAN/WLAN。
• 在获得交换机或LAN提供的各种业务之前， 802.1x对连接到交换机端口上的用户/设备进 行认证。在认证通过之前，802.1x只允许 EAPOL（基于局域网的扩展认证协议）数据通 过设备连接的交换机端口；认证通过以后， 正常的数据可以顺利地通过以太网端口。