规划你的部门
如果你所在组织已经建立了完善的职能部门和成熟的决策流程,作为网络的管理者,你也有权利规划局域网的组织结构。在AC中,我们建议你通过IP组设置来实现。
首先你需要收集局域网中所有IP地址,然后再根据职能部门来划分用户组。有些部门由于物理环境的限制无法获取连续的C类地址(如下图所示),但这不会影响AC的使用,你需要做的就是继续添加。对于某些不属于特定部门的人群,如每周来办公室工作两天的股东、新入职的员工,你可以另外给他们建组。记住,不要逃避这个步骤!在后面你会发现,细致的准备会让你在突发事件来临时镇定自若。
 |
| 图1 |
建立身份认证体系
在这里,我们讨论一下互联网访问的认证机制。
A(认证,授权和审计)是组织安全基础设施的基础,将对用户和内容进行有效的保护和控制。认证对于一个局域网来说主要分为两个层面,首先是借助应用系统自身的认证,例如OA系统的用户名/密码,这可以从一定程度上避免非授权用户对内网核心资源的访问;另一层面是借助于网络部门建立的Radius域认证、微软LDAP(Lightweight Directory Access Protocol , LDAP)等来对内部用户进行身份认证管理。然而,基于内网的安全的认证机制还需要进一步完善。试想,如果可信用户例如一个打算离职的员工把内网中的财务报表通过E-mail发送给好友,或将组织辛苦搜集到的客户信息打个包上传到公网的一台FTP服务器,这些行为对组织的经济效益将带来巨大的损失。
所以,我们还需要管理局域网中所有用户的Internet访问。上一步骤中,我们已经划分了用户组,现在我们需要对用户组进行认证方式的设置。
在AC中你将切实感受到多种认证方式带来的方便。身份认证主要有两种方式,免客户端认证和客户端认证,AC中的Web认证属于前者。Web认证通过浏览器即可完成全部认证,即使对计算机操作并不熟悉的用户也能够理解和操作,很好提高了操作的互动性和弹性。
Web认证是这样运行的:内网的用户第一次开机时,只要在浏览器中输入网址,AC将自动把用户的访问页面重定向到预设的Web认证界面。只有在页面中正确输入管理员分配的帐号信息才能正常访问Internet并获取相应权限,否则网关将拒绝用户的所有Internet连接请求。另外,为了避免用户离开后主机被他人利用,当用户再一段时间内没有发生任何网络流量,AC的Web认证将断开其网络连接,直到用户再次通过Web认证。
AC支持多种认证方式,除了通过用户名/密码、IP/Mac认证外, AC的Web认证还可以透明结合Radius、LDAP、POP3等认证服务系统进行用户身份校验。IP/Mac认证可以通过AC自带的局域网扫描功能实现。对于后几种认证手段,只要在AC中正确填入域、活动目录和邮件服务器的地址和端口,AC将自动更新用户列表和策略,这对建立了完善的内网认证体系的用户非常方便。
 |
| 图2 |
在下一版本的AC中,你还将有机会体验更多的身份认证机制,这包括PPPOE认证、802.1X认证和USB Key认证。通过给内网用户颁发随身携带的USB密钥,用户的身份认证信息将被存储到一枚小小的智能钥匙(Key)中,只要在电脑的USB口插上加密Key就可以正常上网,拔掉Key以后,即使他人能够有机会使用你的PC或笔记本,他仍然无法获得互联网的访问权限。
| 共6页: 1 [2] [3] [4] [5] [6] 下一页 | ||||||||
|
