返回
浅谈分层管控建立集团大厦内部网络权限管理

浅谈分层管控建立集团大厦内部网络权限管理

ID:31371706

大小:112.50 KB

页数:9页

时间:2019-01-09

浅谈分层管控建立集团大厦内部网络权限管理_第1页
浅谈分层管控建立集团大厦内部网络权限管理_第2页
浅谈分层管控建立集团大厦内部网络权限管理_第3页
浅谈分层管控建立集团大厦内部网络权限管理_第4页
浅谈分层管控建立集团大厦内部网络权限管理_第5页
资源描述:

《浅谈分层管控建立集团大厦内部网络权限管理》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、浅谈分层管控建立集团大厦内部网络权限管理  摘要:随着计算机和通讯技术的高速发展,网络的开放性、互连性、共享性程度的扩大,工作越来越依赖信息和网络技术来支持。但随之而来的威胁也越来越多,而想只依赖安全产品硬件软件就想解决所有的安全问题是不现实的,安全和管理是密不可分的缺一不可,需要从网络建设初期就考虑安全,运行为维护管理的过程尤其重要,其中层次化安全管理和保障合法的身份验证和访问授权是最基本的安全管理办法。  关键词:用户管理;内网安全;访问控制;RADIUS  中图分类号:TP393文献标识码:A文章编号:1009-3044

2、(2016)17-0041-04  1安徽日报集团大厦基础网络布局和用户结构  1.1网路基础布局  报业大厦的信息网络系统包含以下几种网络设备:  1)对外出口的安全设备;  2)内网的网络交换设备;  3)内网安全监控设备和管理软件;  4)各类应用的服务器、数据存储设备。  1.2人员结构分布  集团人员具有集中性、独立性、分布性等特点:9  1)所有的单位都集中在一栋大楼内办公,拥有各自独立的办公共区域,也有共同分布的区域;  2)同在一个内网有共同的办公系统,也有不同的业务系统;  3)有开放的访问资源也有各自独立的

3、授权访问资源;  4)固定的办公人员和临时、外来访客;  5)有需要跨部门权限的个人。  2大厦网络体系及安全状况  目前集团大厦局域网的建设都是基于TCP/IP参考模型而非OSI,TCP/IP是一组用于实现网络互连的通信协议。Internet网络体系结构以TCP/IP为核心。基于TCP/IP的参考模型将协议分成四个层次,它们分别是:网络访问层、网际互连层、传输层(主机到主机)、和应用层。  1)OSI是七层模型,TCP/IP是四层结构;  2)TCP/IP的可靠性更高;  3)OSI模型是在协议开发前设计的,具有通用性.TC

4、P/IP是先有协议集然后建立模型,不适用于非TCP/IP网络;  4)实际市场应用不同,OSI模型只是理论上的模型,并没有成熟的产品,而TCP/IP已经成为“实际上的国际标准”。  随着信息系统的集中性和敏感性增大,非法和越权访问很容易造成数据丢失,系统故障,对信息安全的运行是个极大的危害,已经成为摆在我们面前的一个严峻的问题。针对这个局域网中存在的安全隐患需要采取相应的安全措施,可以从以下几个方面来理解:1)物理层是否可靠;2)网络层是否安全;3)应用层是否有漏洞;4)管理是否全面。  3大厦网络应用到的网络权限管控技术9 

5、 3.1VLAN隔离  3.1.1vlan的使用  VLAN(VirtualLocalAreaNetwork)的隔离整个2层网络。VLAN是一种局域网(LAN)内的设备从逻辑上划分为不同网段,从而实现虚拟团队的新兴数据交换技术。这种隔离技术主要应用于交换机和路由器,但主应用程序仍在交换机。VLAN是基于工作小组使用一个物理网络,逻辑的应用部门的局域网,一个广播域,用户的物理位置。VLAN通信网络用户通过局域网交换机。VLAN成员看不到VLAN的另一个成员。VLAN的方法,基于端口VLAN端口是基于物理层,MAC是基于数据链路层

6、,网络层和IP多播基于第三层。  3.1.2建立基于单位的网络用户身份  在整个大厦中根据用户单位将其使用的物理端口划分到不同的vlan,减少单位人员之间网络使用的干扰。  在实际划分过程中我们将192.168.1.0/24到192.168.32.0/24网段分别对应vlan1到vlan32,每个单位或部门分别划分一个vlan。  3.2无线网隔离  3.2.1不同用户无线ssid隔离  服务设置标识符,例如,abbreviation服务集标识符。技术可以分为多个SSID的无线本地区域网络(LAN)需要验证的子网,每个子网独立

7、认证的要求,只经过身份验证的用户可以对相应的子网,以防止擅自进入用户的网络。在nutshellSSID名称,是本地区域网络(LAN),只有设置为名称相同SSID的值的设备才能互相通信。IEEE9802.11规范包括MAC子层和物理层(PHY)两个协议层  3.2.2建立基于设备功能的用户身份  单位中使用无线网络的通常可以分为不同设备和不同用处,手机上网、办公移动设备、无线管控设备、访客使用等等,根据这几个方面划分基于不同vlan的不同的ssid,并且设定不用密钥,防止交叉使用,降低使用过程中的风险。同一ssid下的用户也根据

8、用户类型,如娱乐类型的在同一ssid下也互相不能访问。  实际配置了六个ssid,在部分ssid下启用[AP]user-isolation以实现隔离功能。  3.3访问控制列表  3.3.1访问控制的手段  ACL技术是一种基于包过滤的流量控制技术。标准的访问控制列表由源地址

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。