网络访问

网络访问（精选十篇）

网络访问 篇1

1 问题的提出

作为年轻人,大学生喜欢上网原本无可厚非,但是,如果学生不自觉通宵上网,那会带来很大的坏影响,一来上网者本人第二天会精神不振,从而导致缺课补觉,二来会影响同宿舍其他同学的睡眠,从而导致他人睡眠不足而影响上课,所以,学校必须要对通宵上网的行为进行管控。

在笔者所在的学校,学生宿舍上网是运营商运营的,运营商对学生定时断网管控的积极性肯定是不高的,而且,即便在学校的要求下,运营商能做到定时断网,而学校作为对学生管理的主体,不能直接管控,而需要间接通过运营商定时断网也是不方便和不利的,因此,笔者所在的部门,网络中心,接受了管控定时断网的任务。

2 解决问题的办法

在运营商对学生上网进行运营的情况下,学校如何介入做定时断网管理,既不影响运营商的运营,又能有效的控制定时断网,是最主要的问题,很自然的,我们想到了将运营商到学生宿舍的光纤绕道到学校网络中心机房,串联一个设备,在这个设备上进行控制是可以实现的,于是,在经过细致的思考,并与运营商协商达成一致后,细致的管控方案出台如下:

将运营商到学生宿舍的多根光纤经由网络中心的核心交换机,使用trunk模式,并指定可以穿过的vlanids,透明穿过设备在核心交换机里设置基于时间的ACL,时间段是一个星期里,正常上课日的7:00至当晚的23:59,即周一至周五的7:00——23:59。

为前面所述运营商经过核心交换机所占的端口引用该ACL,在指定时间段之外,该端口被设置为down。

这样,周日、周一至周四的晚上每晚23:59分开始自动断网,次日早7:00点自动通网个别临时的节假日或寒暑假,手动去掉口子上的ACL即可取消自动断网。

下面列出实现上面解决办法的部分配置代码:

/////////////定义时间范围

//////////////在聚合口上配置trunk,并指定可以通过的运营商的vlan id范围,还有应用前面定义好的基于时间的ACL

3 实施效果

网络访问控制实施攻略 篇2

对网络访问控制的政策执行与公司的业务流程密切相关。比如说一些餐馆的无线网络就是最简单的网络访问控制体系，顾客在接入网络之前就必须接受相关的协议。这只是网络访问控制最简单的例子，这些餐馆提供最简单的增值服务――上网。然而对其他环境如医院，这样的协议就过于简单了。

要为你的网络选择正确的网络访问控制类型，要知道两个前提条件。第一，要清楚网络访问控制所提供的服务，怎样提供这些服务，以及如何把这些服务纳入网络。第二点就是要有明确的、可执行的安全访问策略。网络访问控制不是创造策略，而是执行策略。没有这两点，公司网络安全问题仍旧会被认为仅仅是IT部门的职责（而这永远不是一件好事）。

对接入是开还是关？

在网络访问授权之前的有限接入，通常被称做“锁住状态”。它并不是说所有的关口都被阻止了，例如它允许你下载新的杀毒软件以升级。所以，在计划引进网络访问控制设置前，要理解并匹配准入的锁机方法。

早期的共享网络采用人为的方法，通过接入的路线和关口来限制共享，其中包括起始和终端IP地址、TCP协议、用户数据端口、IP端口以及MAC地址等。从网络建设的角度说，这需要一整套执行方法，网络访问控制方法将会自动完成一系列准入程序，

另一种方法则是以分配实际LAN/VLAN来分离整个网络中被锁定的电脑，相对简单的就是用DHCP（即动态主机配置协议）来分配。这种方法不仅可以限制性设置机器到3 VLAN中，还能设置其他客户的信息如DNS。例如，所有网页都可以通过网络服务器的一个“接受”按钮全部放行。

在一些更为高级的开关设置中，网络访问控制系统可以同那些开关一起动态控制VLAN。默认条件下，所有受网络访问控制的网站端口都自动锁住，存在有限的接入权限。只有当系统检测到机器符合网络访问控制要求的时候，才会传输指令给这些端口解除锁定。网络访问控制设备安装在一个开关点（类似SPAN端口），向ARP传输信号要求通过网关。网络访问控制把MAC地址注入用户的ARP注册表作为网关，因此会强制客户把所有非本地通信传输给网络访问控制。一旦机器通过网络访问控制的参数，就会被允许通过正确的网关。

每种方法的保护都不一样。在DHCP方法中，明智的用户都会被分配一个有效的静态IP地址，也顺带通过VLAN验证。如果知道网关的正确MAC地址，就可以通过人工创建通过网关的ARP迂回摆脱ARP中毒。不过，大部分网络访问控制系统都有针对这些行为的专门措施。

接入网络的间隔距离也应该重点考虑。与端口控制的网络访问控制方法不同，在线网络访问控制对公司广域网线路和网络严格控制，但是相同方向通关则不受限制。简单说，如果A和B都在网络访问控制网关的同侧，它们就可以互相进入。

评估终端的安全

验证用户ID是网络访问控制系统中很严格的步骤。最简单的例子，就像在咖啡馆无线上网，只当用户遵守相关协时，才能被授权上网。

网络访问控制技术及应用研究 篇3

关键词：网络；访问；控制技术；应用

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2011) 03-0000-02

Network Access Control Technology and Application

Li Hui

(Jiangxi Bureau of Geology and Mineral Exploration and Development Information Center,Nanchang330002,China)

Abstract:With the application and development of computer technology,network control technology of the necessity and importance of gradually appearing.Many domestic and foreign researchers conduct a research and development of the system to allow network access control technology is more mature and better able to use.Based on the network access control technology that analyzes the use of network access control technology and importance of the field.

Keywords:Network;Access;Control technology;Application

一、网络访问控制技术的内容

在以太网的安全漏洞中，容易出现各种各样的安全问题。在局域网、园区网网络中，随着计算机技术工作者的不懈研究，将VLAN、防火墙、访问控制等多种技术应用到计算机网络中。通过这些网络技术的应用，让计算机网络的安全性有了很大程度的提高。但是，虽然各种技术的发展，让人们对计算机的运用更加安全可靠，但在接入控制问题方面还是没有得到突破。非法用户可以通过仿冒IP地址等方法穿透防火墙等保护侵入用户计算机，造成信息的泄露。网络控制技术通过接入认证的方式，对网络接入进行了限制。通过进行健康检查等方式，提高计算机可靠性。网络访问控制技术能保证网络节点的完整，提高用户信息的使用安全。网络访问控制技术能够通过对用户的限制，保证资源的访问安全。可以避免因非法计算机侵入和用户误操作的影响和损失。

二、网络访问控制技术的意义

在我国，随着计算机的逐渐普及，人们的工作和生活的各个方面都涉及了计算机网络的应用，人们也因为计算机网络的广泛应用而获得了很多便利。计算机的普及，对于社会的各个方面及表现方式都有改变，人们在享受这一成果的同时，也会面临一些问题。在计算机网络的应用中，本质就是进行信息的交换，人们通过计算机网络与外界进行信息的交流。在商业、金融等方面，计算机信息交流的安全性非常重要。特别是在国防等方面，一旦出现信息的泄漏就会给国家造成重大的损失。因此，只有保证网络的安全性达到一定的标准，让用户的使用在安全的环境内，才能体现出信息交流的目的和意义。如果计算机网络的安全性不能够得到保证，就会妨碍计算机网络技术的进步和发展。甚至有可能会影响到整个行业的发展。

三、网络访问控制技术

（一）自主访问控制

自主访问控制能够让主体对访问权限进行更改或者授予。主体能够将权限授予其他的主体，也能够收回。但通常是单个用户。在自主访问控制中，需要对主体进行身份的认证。在进行身份的认证后才能够对对访问进行授权。策略是将主体和客体按照行列进行保存，并且只是基于此进行控制，并不是将整个矩阵进行保存。ACL技术较为普及，这种技术能够直观地将关系进行表述。并且便于查阅和理解。但是，ACL技术也存在一定的问题。例如，在用户与权限的关联方面。因为比较复杂，就导致相对的庞大。这就让管理变得相对的困难。特别是在网络比较复杂的企业中进行运用时，因为要设定很多表项，用户的信息进行变更的时候，修改就变得比较麻烦。管理员需要对用户的权限进行更改来适应这些变化。这就造成了大量的人力资源浪费。不仅繁琐，也容易出错，不利于在复杂的环境中使用。而且，在企业等环境中红，虽然自主访问控制支持用户（员工等）进行授权的操作。但实际上，信息的拥有者并不是用户，而是属于企业。因此，访问控制是应该根据用户在各自部门中的工作内容来进行控制。但这又会因为各自理解和概念的不同造成混淆。管理员因为不能界定用户对资源的访问内容，造成管理上的漏洞。

（二）强制访问控制

强制访问控制是指让主体按照一定的规定进行访问。这种技术的前提在于，先将所有的信息按照需要的保密程度分成不同的等级，例如绝密级，无密级。并且将相应的签证授予用户。某一级别的用户要对信息进行访问，就需要对其签证进行认证，用户只能访问其签证级别或者更低的信息。相当于一个信息的梯度，用户的安全级别必须高于其要访问信息的级别。并且，用户跟要访问的信息应该是属于同一类别的。网络访问控制技术多用户数据库的管理之中。但是在军事的应用系统中，也经常用到。这种技术的缺点在于信息级别的划分跟用户级别的划分的标准不同，容易出现问题。而且，在信息的同级别之间的访问不好控制。

（三）基于任务的访问控制

基于任务的访问控制相对新颖。这是一种面对任务而不是主体的管理模式。基于任务的访问控制还只是在理论阶段，较为抽象，还没有进行实际的应用。但是具有一定的优点。这是一种主动访问控制的类型。能够解决提前授权的问题。其与动态授权相关。动态授权是指授权同用户、角色与任务相关。用户只是在进行任务的相关操作时，才被授权。并且当用户结束对任务的操作，其授权就进行终止。简单的说，用户只是在进行任务的时候才得到授权。而且，在基于任务的访问控制中，用户的进行任务的时候，其授权的状态是被监控的。并且根据任务的执行情况来进行调节。因此，可以说，基于任务的访问控制技术是一种主动的访问控制管理。虽然它的技术研究还不成熟，但可以预见，在办公室、电子商务领域的应用中基于任务的访问控制是非常适合的。

四、网络访问控制技术的应用

用户需要一定的网络安全作为计算机网络的使用环境，因此网络访问控制技术作为一项解决方案被不断改革和完善。在工程运用中，通常只是在基础网络中实施。但是在网络访问控制技术加入健康检查和完整性的改革之后，就能够将控制范围扩大到对网络、桌面、信息的管理。

网络访问控制系统是结合认证、目录、健康策略等以前多项服务结合的一个整体。这个集成体能够满足用户的大多数要求。单个厂家的产品一般不具备所有的功能，要实现一个成熟的网络控制系统就需要将多家厂家的产品进行整合。这是按照一定的标准来进行选择的。

（一）开放性

虽然还没有全开放的网络访问控制系统，评判的标准需要结合产品的其他方面来进行综合的评定。例如NAP在健康认证等方面开放接口，但是在认证、证书等方面开放性差，只能说是比较开放的系统。

（二）兼容性

要考虑系统是否与基础设施和服务兼容。例如目录、认证等服务。某些系统与防病毒、软件、不定等不集成。而且会与桌面环境不兼容。这些都需要考虑。

（三）遵从TNC

遵从TNC的系统互操作性更强。

五、结语

网络访问控制技术对于计算机网络的安全性是非常重要的一项保护措施。其功能决定了网络访问控制技术相对的复杂，要在基础设施和服务的条件下才能实施。802.1x作为相对成熟的网络访问控制技术，运用非常广泛，其安全性和友好性很好。但是在兼容性方面还略有不足。网络访问控制技术在为提高网络安全，加强管理方面提供了一定的保障，但是，由于其一定的復杂性，要求在设计、运行和维护的方面要投入相当的精力。

参考文献：

[1]周益军,黄本雄.网络端点接入控制的实现[J].计算机技术与发展,2006,16,9:227-232

[2]孔旭辉,鲁辉.网络健康安全的保障——网络接入保护技术详解[EB/OL],2008,1,9

[3]叶茂,罗万伯.TNC架构的应用研究[J].安全与通信保密,2006,1:58-60

[4]吴开超,沈志宏,周园春,闫保平.信息系统访问控制的层次模型[J].计算机工程设计,2009,1

[5]胡燕妮,黄铂.浅析数据库访问控制技术[J].武汉生物工程学院学报,2009,1

用访问控制列表打造安全网络 篇4

在网络盛行的今天,网络攻击原理日趋复杂,攻击却变得越来越简单易操作,攻击的方式也越来越多,如病毒(网络蠕虫)、针对网络服务器漏洞的攻击、拒绝服务攻击、与协议弱点相关的攻击、与不完全的密码相关的攻击等;还存在着一些额外的不安全因素,如外部组织、外部个体和内部个体的攻击等。使得网络管理员经常面临进退维谷的窘境:他们必须设法拒绝那些不希望的网络连接,同时又要允许那些正常的访问连接。虽然,可以通过其他的一些方式,如密码、权限、虚拟局域网等功能实现这些目的,但它们缺乏基本的通信流量过滤的灵活性和特定的控制手段,而这却正是许多网络管理员所需要的。例如,网络管理员或许想允许局域网内的用户访问Internet,同时他又不愿意局域网以外的用户通过Internet使用Telnet登录到本局域网。路由器提供了基本的通信流量过滤能力,例如通过访问控制列表就可以实现以上目的。

2 访问控制列表(ACL)

2.1 概述

ACL是应用在路由器(三层交换机或防火墙)接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以接收、那些数据包需要拒绝。至于数据包是被接受还是被拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。ACL的定义是基于所有协议的,如果想控制某种协议的通信数据流,那么必须要对该接口处的这种协议定义单独的ACL。

2.2 ACL的用途

(1)限制网络流量,提高网络性能。

(2)提供对通信流量的控制手段。

(3)提供网络访问的基本安全手段。如图1所示,ACL可以允许PC机A访问财务服务器或会计服务器,而阻止PC机B对财务网的访问。

(4)在路由器接口处,决定哪种类型的通信流量

被转发哪种类型的通信流量被阻塞。例如,可以允许E-Mail通信流量被路由,同时却拒绝所有的Telnet通信流量。

2.3 规则的应用

2.3.1 按正确顺序创建ACL

ACL其实就是各种允许或者拒绝的条件判断语句的集合,其特点是根据从上到下的语序进行判断,当第一个条件满足时,就不会再对其他条件进行比较,因此在ACL中各条件语句的放置顺序非常重要,不注意这一点往往会使得ACL形同虚设。

2.3.2 数字表示标识

ACL分为两类:标准ACL和扩展ACL。在路由器上配置ACL的时候,必须为每一协议的ACL分配一个唯一的表号,以便标识每个ACL。标准ACL的表号从1-99,扩展ACL的表号从100-199。

2.3.3 ACL配置步骤

(1)根据要求先用文本编辑器写出需要配置的ACL,检查各语句的顺序。

(2)在路由器模拟器上测试编写的ACL。因为直接在路由器上改动会暂时影响到网络的正常运行。

(3)经测试没有问题的时候再把ACL移植到路由器上。

(4)把相应的ACL关联到路由器的特定端口。

3 配置实例

3.1 标准ACL配置

例:如图2所示,要求允许源网络地址为172.20.0.0的通信流量可以通过,而拒绝其他所有的通信流量。配置方法如下:

其实在每个ACL的最后都隐含了一句:access-list表号deny 0.0.0.0 255.255.255.255(拒绝所有)。上面的ACL中由于首先找到了允许网络172.20.0.0的通信流量通过的匹配条件,以后就不会再检查有关网络172.20.0.0的其他匹配条件了。

3.2 扩展ACL配置

利用标准ACL可以对网络流量进行一定的控制,以达到对网络性能、安全的提高。但它是基于某一特定网络或协议的所有通信量而言的,而要达到更广阔的控制范围,如只想允许外来的Web和Mail通信流量通过,同时又要拒绝外来的Ftp和Telnet等通信流量时,就只能借助于扩展访问控制列表了。这种扩展后的特性给了网络管理员更大的灵活性,可以灵活多变地设计ACL的测试条件。

例1:如图2,设计一ACL,要求允许从192.168.3.0通过s0发往别处的mail流量,拒绝FTP流量从s0出去。配置如下:

例2:如图2,禁止192.168.3.0的计算机访问192.168.5.0的计算机,包括那台服务器,不过惟独可以访问192.168.5.15上的WWW服务,而其他服务不能访问。配置如下:

3.3 形同虚设的ACL实例

例:如图2,设计一个ACL,以便阻塞来自一特定主机192.168.3.15的通信流量,而其他的通信流量则从f1接口转发出去。如下配置:

这个例子中的ACL实际是达不到题设要求的,因为第一句已经允许了所有的通信流量,那么阻塞特定主机的第二句就不会再执行了。也就是说在编写访问控制列表一定要遵照ACL的应用规则,注意ACL中的语序。

4 结语

有关ACL的内容还有很多,诸如使用命名ACL、使用带协议的ACL和使用带防火墙功能的ACL等。合理地使用好不同的ACL可以帮助网络管理员打造安全、坚固的网络系统,如扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制。不过它也存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL将消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合并是最有效的方法。

参考文献

[1]Cisco Systems公司.思科网络技术学院教程(第三、四学期)(第二版)[M].北京:人民邮电出版社,2002.132-155.

[2]蒋理.计算机网络实验操作教程[M].西安:西安电子科技大学出版社,2004.317-319.

[3]江苏省校园网网络管理人员培训中心、南京工业大学信息中心.江苏省校园网网络管理人员培训教材[M].2002.360-371.

网络访问 篇5

最近遇到一个情况就是，要无线上网的同时连接有线局域网，搜了半天，终于找到解决方法。

经常遇到一台计算机要同时访问两个网络（一个是互联网，一个是企业内部网）的要求

以本单位为例：地址是虚构的^_^

机器有两块网卡，接到两台交换机上

internet地址：192.169.1.27，子网掩码：255.255.255.0，网关：192.168.1.1

企业内部网地址：10.128.123.123，子网掩码：255.255.255.0，网关：10.128.123.254

如果按正常的设置方法设置每块网卡的ip地址和网关，再cmd下使用route print查看时会看到

Network

Destination Netmask

Gateway Inte***ce

Metric 0.0.0.0

0.0.0.0

192.168.1.1

218.22.123.123

0.0.0.0

0.0.0.0

10.128.123.254 10.128.123.123

即指向0.0.0.0的有两个网关，这样就会出现路由冲突，两个网络都不能访问。要实现同时访问两个网络就要用到route命令

第一步：route delete 0.0.0.0 “删除所有0.0.0.0的路由”

第二步：route add 0.0.0.0 mask 0.0.0.0 192.168.1.1 “添加0.0.0.0网络路由”

第三步：route add 10.0.0.0 mask 255.0.0.0 10.128.123.254 “添加10.0.0.0网络路由”

这时就可以同时访问两个网络了，但碰到一个问题，使用上述命令添加的路由在系统重新启动后会自动丢失，怎样保存现有的路由表呢？

在win2000 下可以使用route add-p 添加静态路由，即重启后，路由不会丢失。

xp下行不行我没试，因为这种网络环境只是临时的。我的做法是把上面3条写成一个批处理，每天早上运行一下就行了，或加到启动项里

--------怎么写成批处理----------

访问控制技术在网络安全中的应用 篇6

关键词:互联网 网络安全 访问控制

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

一、入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制着哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。

二、权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(irm)可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。

三、目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。

四、属性安全控制

当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。

五、服务器安全控制

网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

六、网络检测和锁定控制

网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。

七、网络端口和节点的安全控制

端口是虚拟的“门户”,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。

八、防火墙控制

网络教育及其访问控制问题研究 篇7

目前国内的远程教育模式,一般采取在各省、市、自治区建立校外学习中心,由学院统一管理,校外学习中心辅助学院教学的方法。以中央电大为例,它采用的是中央、省、市三级级教学模式:中央电大负责教学计划的制定,相应专业及专业内容必修课的开设和界定等指导性工作;省级学习中心负责省开课内容的制定,招生计划全省考试的统筹、教材征订等工作;市级学习中心主要负责生源的组织、考前辅导、考试的组织等具体业务。在这种管理模式下,上下级平行各学习站点之间、各职能部门之间的网络信息交换频繁。为防止非法用户的盗用和破坏、合法用户的越权数据请求,确保数据传输过程中的安全,系统需要采用严密的安全防范措施。

访问控制作为一种基本的安全服务,在大型系统中有着不可或缺的作用。它是通过特定方式控制主体对客体的访问能力和访问范围的一种安全机制,它是信息安全中的重要组成部分和关键技术之一。在访问控制机制中,只有被授权用户可以访问特定资源,只有被授权用户可以修改特定资源。相对其它的安全技术来说,访问控制技术主要涉及了信息安全中的保密性和完整性,并且对信息的有效性也有一定的影响作用。

从访问控制的角度来看,网络教育系统系统具有用户数量多、资源信息量大、内容更新快、用户对资源权限多样化等方面的特征。所以网络教育系统中的访问控制系统必须满足以下要求:

1.能管理巨大数量用户,对大量用户进行灵活、方便的访问控制管理;

2.访问控制管理灵活方便,具有良好的安全性和较快的响应速度;

3.操作简单,能满足来自各个行业、计算机操作水平参差不齐的人员需求。简单地说,网络教育系统关键在于它的分布式分级体制,中央、省、市三级级教学,三级人员构成复杂,且每一级都需要不同的权限,因此要求授权机制灵活,适于采用分布式授权机制。

由于传统的自主访问控制只能提供相对比较低的安全防护,不能给系统提供充分的数据保护;强制访问控制又过于严格,实现工作量太大,管理不便,不适用于主体或客体经常更新的应用环境;相比较之下,能简化系统管理,自然地反映组织中人员的权责关系的基于角色的访问控制技术RBAC(Role-Based Access Control)模型,就成了网络教育系统最好的选择。

RBAC是近年来影响很大的不局限于特定策略的访问控制策略描述方法。它的基本思想是在用户与权限之间引入角色的概念,利用角色来实现用户和权限的逻辑隔离,即用户与角色相关联,角色与权限相关联。它把角色作为用户与资源之间的桥梁,对用户的访问授权转变为对角色的授权。

可以用RBAC0模型进行简单的说明。RBAC0模型包含RBAC模型的核心部分(Core RBAC),是最基本的模型。RBACO只包含最基本的RBAC元素:

用户(user):是一个访问计算机系统中的数据或者用数据表示的其它资源的主体。我们用U表示全体用户的集合。

角色(role):是指一个组织或任务中的工作或位置,代表了一种资格、权利和责任。我们用R表示全体角色的集合。

权限(permission):是对计算机系统中的数据或者用数据表示的其它资源进行访问的许可。我们用P表示全体权限的集合。

会话(session):对应于一个用户和一组激活的角色,表征用户进行角色激活的过程。一个用户可以进行多次会话,在每次会话中激活不同的角色,这样用户也将具有不同的访问权限。用户必须通过会话才能激活角色。

在RBAC0中所有的角色都是平级的,没有指定角色层次关系;所有的对象都没有附加约束,没有指定限制。图形表示如图1所示。

由图示及定义可以看出,在RBAC中,角色是安全控制策略的核心。它可以根据实际的工作需要生成或取消,而且登录到系统中的用户可以根据自己的需要通过会话动态激活自己拥有的角色,避免了用户无意中危害系统安全。除此之外,角色之间、许可权之间、角色和许可权之间定义了一些关系,比如角色间的层次性关系,而且也可以按需要定义各种约束(constraints)。这种方法不但简化了授权管理工作,同时又使指定和执行个性化保护策略的过程更加灵活。用户可以根据实际情况定义角色,也可根据需要重新改变角色,角色决定了用户将拥有的权限。RBAC对访问权限的授权由管理员统一管理,用户只能被动接受,不能自主地将访问权限传给他人。

在RBAC中,由于把角色作为用户与资源之间的“中间层”,有效实现了用户与访问权限的逻辑分离,极大地方便了权限管理。一旦一个RBAC系统建立起来以后,主要的管理工作即为授权或取消用户的角色。

例如,如果一个用户的职位发生变化,只要将用户当前的角色去掉,加入代表新职务或新任务的角色即可。研究表明,role/permissin之间的变化比role/users关系之间的变化相对要慢得多,并且委派用户到角色不需要很多技术,可以由行政管理人员来执行,而配置权限到角色的工作比较复杂,需要一定的技术,可以由专门的技术人员来承担,但是不给他们委派用户的权限,这与现实中情况正好一致。除了方便权限管理之外,基于角色的访问控制方法可以很好地描述角色层次关系,实现最少授权原则和职责分离的原则。基于角色的访问控制的最大优点在于它能够灵活表达和实现组织的安全政策,使管理员从访问控制底层的具体实现机制中脱离出来,十分接近日常的组织管理规则。

基于角色的访问控制被认为是一种更普遍适用的访问控制模型,可以有效地表达和巩固特定事务的安全策略,有效缓解网络教育系统中因为人员复杂、资源庞大、权限种类繁多而造成的安全管理瓶颈问题。

参考文献

[1]唐成华.基于的访问控制模型的设计及实现.计算机应用研究[J],2006.

[2]社平安.基于角色的访问控制在多应用层ERP中的应用研究.硕士论文.电子科技大学,2006.

[3]郑宇,傅鹂.基于角色的访问控制模型在电子政务系统中的应用.硕士论文.重庆大学,2006.

[4]沈海波,洪帆.访问控制研究综述.计算机应用研究,2005;06.

应用访问控制列表保护网络安全 篇8

随着网络的高速发展, 网络安全问题越来越突显, 按OSI参考模型来探讨, 网络安全问题主要可分为数据链路层安全、网络层的安全等各个层的安全防范。而网络层设备 (三层交换机和路由器) 在网络安全问题上有很重要的作用, 它不仅能实现传统的路由功能外, 还能设置访问控制策略, 访问控制列表就是其中一项重要功能。访问控制技术通过控制和检查进出关键网络设备的访问, 保护关键数据。

二、访问控制列表的机制与实现

2.1访问控制列表

访问控制列表的条件列表, 由它们对进出路由器的信息进行规范。每一个从路由器接口进出的数据包都要按访问列表的规则进行从上到下的顺序比较操作, 直到符合规则, 即或被允许通过, 或被拒绝丢弃。

2.2访问控制列表的基本概念

ACL按它能过滤的对象的范围分为标准ACL和扩展ACL两种。标准ACL主要根据数据包的源地址进行过滤, 而扩展ACL可以从源地址、目的地址、协议、端口号四个方面进行过滤, 这个协议可以是TCP、IP、UDP、ICMP等, 而IP协议封装TCP、UDP和ICMP包, 所以它可以用来与其中任一种协议匹配。

2.3访问控制列表特点

访问控制列表是一种主机防护技术, 但与传统的防火墙、防病毒或入侵检测等防护技术的功能却不同。一般的防火墙、IDS、防病毒系统只能检测到异常的进攻行为, 而对系统中伪装成正常用户的行为却无能为力。访问控制列表是一些语句的有序的集合, 它根据网络中每个数据包所包含信息的内容, 决定是否允许该信息包通过接口, 访问控制列表中的参数也用于对数据包的信息内容做指定的处理。

三、访问权限控制的应用

如图:某单位网络拓扑示意图

3.1 实现步骤及方法

以下我们建立的access-list 101将应用于思科3620路由器的s0/0接口上, 并且是对进入的包进行过滤 (方向为in) 。

3.1.1 对WWW、FTP服务器的访问控制

3.1.2 建立网络连接

由于没有限制内部主机和服务器对外部的访问, 所以必须让外部服务器返回的数据答复包进入, 此时, 返回包的目的端口号都将大于1023。

由于内部主机使用外部FTP服务器时, 返回的数据没有置ack位的, 所以上面两条语句不能颠倒。

3.1.3 防止外部地址欺骗

对进入的包进行过滤可以阻止一类叫做地址欺骗的攻击, 即从外部端口进入的包是不可能来自于内部网络的。

Access-list 101 deny ip 192.168.1.0 0.0.0.255 any

3.1.4 保护路由器

不允许因特网用户通过telnet或http协议访问路由器自身。

3.1.5 对OA服务器的访问控制

因为OA服务器为供局域网内部使用的办公自动化系统, 所以不允许外部访问

access-list 101 deny ip any host 192.168.1.3

3.1.6 关闭常见易遭受攻击的端口

由于操作系统本身的漏洞, 给病毒和网络攻击者提供了机会。可阻止对关键端口的访问

例如:access-list 101 deny tcp any any eq 445禁止扫描内网

3.1.7 禁止ping

要阻止向内的探测, 最常见的命令是ping过滤如下:

access-list 101 deny icmp any any echo

3.1.8 拒绝一切不必要的UDP通信流

access-list 101 deny udp any any

3.1.9 隐含拒绝

3.2 减少潜在危险

3.2.1一些DOS攻击经常会利用路由器上开启的一些小服务, 例如echo, discard等, 所以建议在路由器接口上关闭这些服务:

3.2.2源路由选择使用数据链路层的信息, 已穿越过了网络层, 所以就有可能允许攻击者为本地网上的数据指定不正确的路由, 所以应禁止使用源路由选择:no ip source-route

四、小结

通过以上配置, 使路由器实现了一定的防火墙功能, 对进出路由器的的数据包进行安全检测并过滤, 提高了网络的安全性, 实现了对数据的保护。

参考文献

[1]联想集团.思科产品配置手册[M].联想科技发展有限公司, 1998

浅析计算机网络访问控制技术研究 篇9

近年来, 随着全球网络化热潮的迅速涌起, 计算机网络正在日益广泛而深入地渗透到社会的各个领域, 并深刻地改变着整个社会的行为和面貌。尤其在商业、金融和国防等领域的网络应用中, 能否保证网络具有足够的安全性是首先要考虑的问题。安全问题若不能有效地得到解决, 必然会严重到影响整个网络事业的发展。

2 访问控制技术的研究

根据授权策略的不同, 目前在理论上主要有4种不同类型的访问控制技术:自主访问控制 (DAC) 、强制访问控制 (MAC) 、基于角色的访问控制 (RBAC) 和基于任务的访问控制 (TBAC) 。

2.1 自主访问控制和强制访问控制

(1) 自主访问控制 (Discretionary Access Control, DAC) DAC的主要特征体现在主体可以自主地把自己所拥有的对客体的访问权限授予其他主体或者从其他主体收回所授予的权限, 访问控制的粒度是单个用户。DAC是在确认主体身份及所属的组的基础上, 对访问进行限定的一种控制策略, 访问控制策略保存在一个矩阵中, 行为主体, 列为客体。为了提高效率, 系统不保存整个矩阵, 在具体实现时是基于矩阵的行或列来实现访问控制策略的。目前以基于列客体的访问控制列表 (Access Control List, ACL) 采用的最多。ACL的优点在于表述直观、易于理解, 而且比较容易查出对一特定资源拥有访问权限的所有用户。

(2) 强制访问控制 (Mandatory Access Control, MAC) MAC是指系统强制主体服从事先制订的访问控制策略。在MAC安全系统中, 所有信息都有一个密级, 例如:绝密级、机密级、秘密级、无密级;每个用户也都相应地有一签证。例如要决定是否允许某用户读一个文件, 那么就比较该用户的签证是否与该文件的密级相符。安全策略要求, 为了合法地得到某一信息, 用户的安全级必须大于或等于该信息的安全级, 并且该信息属于用户的信息访问类别。可见, MAC通过梯度安全标签实现单向信息流通模式。

2.2 基于角色的访问控制

(Role-Based Access Co-ntrol, RBAC) RBAC主要研究将用户划分成与其在组织结构体系相一致的角色, 以减少授权管理的复杂性, 降低管理开销和为管理员提供一个比较好的实现复杂安全策略的环境。

在应用级信息系统的设计中, 采用RBAC具有以下优势:

(1) 降低了管理的复杂度。管理授权数据通常是系统管理员的一项繁重工作, 而在RBAC中根据用户的能力与责任把用户与角色关联, 一方面定义角色、添加与删除角色中的用户, 易于操作;另一方面由于用户与权限不直接关联, 可以通过改变角色的权限来改变该角色中所有用户的权限。

(2) 能够方便地描述复杂的安全策略。安全的整个领域既复杂又广泛, 安全策略实质上表明系统在进行一般操作时, 在安全范围内什么是允许的, 什么是不允许的。策略通常不作具体规定, 即它只是提出什么是最重要的, 而不确切地说明如何达到所希望的这些结果。策略建立起安全技术规范的最高一级, 不像ACL只支持低级的用户/权限关系。RBAC支持角色/权限、角色/角色的关系, 由于RBAC的访问控制是在更高的抽象级别上进行的, 系统管理员可以通过定义角色、角色分层、角色约束来实现企业的安全策略, 管理用户的行为。

(3) 降低了管理中的错误。系统管理员一旦完成了角色与角色间关系的定义, 由于角色的职能具有一定的稳定性, 而用户的职能变动频繁, 所以系统管理员的主要工作就是添加与删除角色中的用户, 与ACL相比较, 操作简单方便, 减少了出错的风险。

2.3 基于任务的访问控制

(Task-Based Access Co-ntrol, TBAC) TBAC是一种新型的访问控制和授权管理模式, 它非常适合多点访问控制的分布式计算和信息处理活动以及决策制定系统。TBAC采取面向任务, 而不是传统的面向主体对象访问控制方法。如果实现TBAC思想, 权限体系的生成就会更及时, 而且这些权限是执行操作时所需的, 这一点在包含事务和工作流的应用环境中尤其适用。TBAC方法还将使自我管理的访问控制模型提升到更高程度, 从而降低总体费用。

TBAC模型现在还处于一种高度抽象的概念层次, 还没有具体化, 离实用阶段还有一段距离。但它有很广的潜在应用性, 从对客户——服务器交互这样精细活动实施访问控制, 到对跨部门和组织边界的分布式应用和工作流这样的粗单元实施访问控制都适用。

TBAC访问控制涉及到与一定应用逻辑一致的任务完成过程中不同点的授权, 这一点在其他的主体对象访问控制方法中不能得到满足。相比之下, 在传统访问控制中, 访问控制决策制定太简单了, 本质上与高层应用程序语义和要求脱节。

TBAC从基于任务的角度来实现访问控制, 能有效解决提前授权问题, 是一种主动访问控制模型。它给出了动态授权的概念。所谓动态授权, 就是将授权不仅同用户、角色联系, 还同任务相关。当任务即将执行时, 才对用户授权;当任务执行完就撤销用户的权限。这样就可以保证权限只有在用户需要时才得到, 满足最小特权原则。TBAC在完成任务的过程中, 要监视权限的状态, 按照进行中的任务状态确定权限是活动状态或非活动状态, 因此它是积极参与访问控制管理的。

参考文献

[1]王玮.小议计算机网络系统的安全维护[J].现代经济信息, 2010, 5.[1]王玮.小议计算机网络系统的安全维护[J].现代经济信息, 2010, 5.

浅谈基于Web的网络访问信息挖掘 篇10

1 Web数据挖掘概述

Web数据挖掘是数据挖掘技术在Web环境下的应用, 是从因特网及其相关资料和行为中提取有用的模式和隐含信息。按照处理对象的不同, Web挖掘一般可以分为三大类:Web内容挖掘、web结构挖掘和Web访问信息挖掘。

1.1 Web内容挖掘。

Web内容挖掘是指从Web文档或其描述中发现知识的过程, 主要是根据网页本身的内容做资料挖掘, 目的是实现Web资源的自动检索, 提供Web资源的利用率。Web内容挖掘中常采用的技术是文本挖掘和多媒体挖掘。

1.2 Web结构挖掘。

web上的超链接结构是一个非常丰富和重要的资源, 网页之间大量的链接结构为人们增强对网页精确分析处理提供了极大的帮助。Web结构挖掘通过分析一个网页链接和被链接数量以及对象来建立Web自身的链接结构模式。这样可以进行网页归类, 帮助用户找到相关主题的权威站点, 还可以对页面进行排序, 发现重要的页面。

1.3 Web访问信息挖掘。

用户使用Web获取信息的过程中, 需要不断地从一个Web站点通过超文本链接跳转到另一个站点。这种过程在Web上每一个提供信息资源的服务器上都有一个结构比较好的记录集, 即Web访问日志。Web访问日志信息的数据通常是大规模且海量, 分布广泛, 而且具有丰富的内涵, 记录了用户的访问行为, 是网站设计者和访问者进行沟通的桥梁。通过对Web访问信息的挖掘可以快速、自动地发现用户的浏览模式, 从而改进站点的结构或为用户提供个性化的服务。

2 Web访问信息挖掘及处理过程

通过Web访问信息分析, 可以提炼出设计者的领域知识、用户访问兴趣及其程度、用户的访问习惯等, 进而得到优化站点结构、个性化服务以及用户访问控制等对站点设计者、经营者有用的决策性信息。Web访问信息挖掘一般分为三个阶段;数据预处理、模式发现、模式分析。

2.1 数据预处理。

数据预处理对于数据挖掘是一个重要的问题, 其工作量可占到整个挖掘过程的50%。数据预处理技术可以改进数据的质量, 从而有助于提高其后挖掘过程的精度和性能, 因此数据预处理是知识发现过程的重要步骤。

(1) Web挖掘的数据源。数据预处理阶段要把从各种数据源得到的使用信息、内容信息和结构信息转换成模式发现阶段需要的数据模型。可以用于Web用户访问信息挖掘的数据包括:访问信息数据、用户概貌、内容数据、结构数据。这些数据可以从Web服务器、客户端、web代理服务器获得。其中访问信息数据就是日志数据, 是整个预处理的关键, 也是挖掘的主要对象。

(2) 数据清洗。数据清洗是整个数据挖掘工作的基础。日志中记录的原始数据通常都很大, 存在很多对于挖掘任务没有意义的数据一记录和数据项。首先要做的就是除去URL中包含后缀为gif, jpeg, swf, jpg, map等的文件的日志记录, 网站内容允许的话, 可以只保留后缀为htm, html, asp, php等的文件的日志记录。这种信息的过滤是很有必要的, 因为现在的网站的设计都很精美, 有大量的图片、动画、模板等信息是用户未请求就自动传给用户的, 因此必须去除。除此之外, 还要删除大量的无关属性, 与挖掘任务相关的属性只有用户IP地址、用户ID、用户请求访问的访问时间、cookie、引用:eferer, 其他属性均可以删除。

最简单的处理代理访问的方法是检查日志中每项的代理域, 许多代理和爬虫会在这个域里申明自己。那么通过字符串匹配方法可以容易地删除这些项。

(3) 用户识别。在进行Web访问信息挖掘之前, 我们需要拥有用户会话级的行为数据。但是在建立会话之前, 必须先识别用户。最好的解决方法是让客户采用用户名和密码登陆模式, 但绝大多数的用户习惯的方式是匿名登陆模式, 于是不得不采取各种不完善的策略来判断两个页面是否是同一个用户请求的, 但是只有IP地址, agent信息和点击记录是不足以有效的确定一个用户的。除了用户注册机制之外, 使用cookie也是识别用户的常用技术。

(4) 会话识别。用户会话识别是建立在识别用户的基础上的。会话是同一个用户在一次访问期间发出的一系列请求的过程, 它反映了用户对网站的认知和兴趣所在。用户会话的识别就是把用户的访问日志分割成一个个的会话。通常采用超时方法识别用户会话, 对于超时阈值的设定, 有两种方法, 一种是设定整个用户会话的超时时间;另一种方法是设定相邻请求之间的超时时间。超时阈值的设定直接影响Web日志数据预处理的结果输出, 设定不同的超时阈值, 就会产生不同的用户会话文件, 从而最终影响Web日志的挖掘结果。

(5) 事务识别。事务识别就是从用户访问会话中找出有意义的页面访问序列。在挖掘算法实施之前通常要将用户会话分割为更小的事务, 这样就可以为每个用户建立有意义的页面组合。最常用的识别事务的方法是最大前向引用, 这种方法的基本模型是事务中的最后一页是内容页, 而前面的都是辅助页。

2.2 模式发现。

模式发现阶段旨在使用各种数据挖掘技术发掘隐藏在数据背后的规律和模式, 是Web访问信息挖掘的核心。主要有统计分析、关联规则、序列模式、聚类和分类等。

统计分析是Web挖掘中最基础的方法, 也是分析用户行为最常用的方法。它通过求点击率、求平均和求中值等, 统计最常访问的网页, 每页平均访问的时间, 浏览路径的平均长度等, 以获得用户访问站点的基本信息。

关联规则是数据挖掘方法中的重要方法, 它是指从数据库事务中建立的项集中, 发现某种关联关系, 在这种关系中各个对象彼此之间没有顺序。在web中, 关联规则可以作为启发式规则用于发现远程用户预取可能请求的页面, 分析某位特定的使用者所浏览过的网页是否彼此存在关联。

序列模式指在时序数据集中发现在时间上具有先后顺序的数据项, 即寻找事务之间的时序关系。根据序列模式的特点, 可以应用它来做用户的浏览趋势分析, 即一组数据项之后出现另一组数据项, 从而形成一组按时间排序的会话, 以预测未来的访问模式, 这将有助于针对特定用户群安排特定内容。

聚类就是将数据对象分组为多个类或簇 (cluster) , 要求同一个簇中的对象之间有较高的相似度, 不同簇之间的对象差别较大。在Web中, 聚类可以分为用户聚类和页面聚类。用户聚类的目标是要建立具有相同或相似浏览模式用户, 而页面聚类的目标是要发掘具有相关或相似内容的页面。

分类分析是把数据项映射到几个预先定义好的类中去。在Web访问信息挖掘中使用分类能够将用户配置文件归属到特定的用户类别, 建立数据各特定类别的用户概图。如把学习《数据库基础及应用》的学生的知识水平分成入门级、初级、中级和高级, 并给予相应的适应性训练。

分类与聚类的区别在于:分类中的类及相关属性是预先定义好的, 其任务是运用分类算法将尚未划分类别的数据标记为特定的类标号;而聚类中的类别事先并不知道, 其任务是将大量的个体数据, 根据属性之间的相似性, 将原始数据集合划分为若干个子集。

2.3 模式分析。

模式分析是Web访问信息挖掘的最后步骤。它的目的是通过选择和观察把发现的规则、模式和统计值转换为知识, 再经过模式分析得到有价值的模式, 即人们感兴趣的规则、模式, 采用可视化技术, 以图形界面的方式提供给使用者。

摘要：针对如何利用Web上的信息资源, 发现对个体有价值和感兴趣的信息的问题进行分析, 并提出将数据挖掘的技术引入Web中的解决方式。

关键词：Web,网络访问信息,数据挖掘

参考文献

[1]李燕风.Web访问信息挖掘系统[J].计算机工程, 2003 (15) .