AAA本地数据库与远程数据库差异分析
- 2023-01-09 11:29:27
- 来源:互联网
- 在手机上看
扫一扫立即进入手机端
无论是其他公司的AAA安全服务,还是Cisco的安全访问控制期,都有本地数据库与远程数据库的区分。这个数据库就是用来存储AAA安全服务器的访问控制信息。根据这个存储位置的不同,就可以分为本地安全数据库与远程安全数据库。作为一个网络管理人员,需要知道这两种方式的区别与特点,并结合自己公司的实际情况,来选择一种合适的处理方式。
一、本地数据库的特点
在应用AAA安全服务器时,如果把用户名和口令信息存储在网络接入服务器本身,这就是本地安全数据库模式,也被称为本地鉴别。在本地鉴别模式下,网络管理员需要把每个远程访问用户的用户名与口令文件都加载到网络接入设备的本地安全数据库中。如果网络管理员采用了这个本地安全数据库模式,则AAA安全服务主要有五个步骤。
一是当用户需要远程访问企业内部网络资源时,他们就会发起一个远程访问的请求。此时,用户所采用的客户机会拨号到企业的网络接入服务器,建立一个PPP会话(点到点会话)。
二是进行身份认证。建立起会话之后,在用户的客户机上,会提示远程用户输入用户名与密码。而网络接入服务器接受到远程用户传递过来的用户名与口令之后,就会利用本地数据库中存储的信息去验证这个用户名与口令,是否匹配。若匹配的话,则进行下一个步骤,否则的话,就会直接终止当前会话或者提示用户重新输入密码。这就完成了AAA服务的第一个步骤:鉴别。
三是进行授权。当用户名与密码验证服务之后,网络接入服务器就会在本地数据库中,查找这个用户所对应的访问权限。找到相应的鉴别参数之后,网络接入服务器就会对这个用户进行授权,让其能够访问网络中的某些资源。这就是AAA服务的第二个步骤:授权。
四是对访问过程进行监视并且如实的做好记录。网络接入服务器会对用户访问内部网络资源的行为进行监视,监控用户的通信流量与操作行为并且记录到相关的日志中。这具体要不要监控,如何监控等等,都需要网络管理员进行事先的配置。当对账户进行授权时,网络接入服务器会从本地数据库中查找相关的安全策略并进行配置。
以上就是本地安全数据库模式基本步骤。从以上的分析中,可以得知这种模式下,具有如下几个特点。
一是它只适合于小型网络。或者说,只有当少数用户需要远程访问时,才能够采用本地数据库模式。如果远程访问主要用户总公司与分公司之间的连接,那么采用本地鉴别策略并不是很合理。切记,只有在少量远程用户的情况下,采用这种本地安全服务器模式才可以起到其应有的作用。
二是所有AAA服务所需要用到的安全信息,如用户名、密码以及安全策略等等,都被保存在网络接入服务器的本地安全数据库中。网络接入服务器根据本地安全数据库中的信息,对远程用户进行鉴别与授权。同时,也会根据本地数据库中的安全策略,监控用户的操作行为并编制记账记录。所以,通过使用本地安全数据库来控制少量用户进行远程访问的安全策略,具有容易实现、安全和维护方便、成本低廉等特点。
二、远程数据库策略模式
远程安全数据库位于网络中的一个特殊的安全服务器。在这个远程安全数据库中,存储了每个接入服务器的用户名、口令、安全策略等等。也就是说,远程数据库是跟接入服务器相独立的。远程安全数据库主要为网络管理员提供了一个集中管理安全策略的平台。如此的话,当网络管理员需要更改某个安全策略或者增加某个远程访问用户时,不需要更新每个接入服务器的配置,而只需要在远程安全数据库中进行相应更改即可。
若采用远程数据库模式,则其基本步骤如下。
一是远程用户要发起一个远程连接的请求,然后客户端就会跟网络接入服务器之间建立起一个PPP通话。这个步骤跟本地鉴别模式下是相同的。
二是进行身份验证。当用户在远程客户端输入用户名与密码后,网络接入服务器就会接受到这些内容。但是,网络接入服务器自己并不验证这个用户名与密码的合法性,而是把它转发给专门的安全服务器(远程安全数据库),让他来验证这个用户的合法性。验证通过后,远程安全数据库会把这个用户相关的安全策略与访问权限转发给网络接入服务器。然后,网络接入服务器就会根据这些参数来配置这个用户的访问权限,并进行一些访问监督与控制。这里要注意,收集用户的操作信息并编制相关的日志,这是网络接入服务器所负责的。当网络接入服务器收集好这些信息后,会转发给安全服务期上的远程数据库中。所以,网络管理员想要知道到底用户访问了什么内容,进行了哪些修改,则可以通过远程安全数据库进行查询,而不需要进入每个网络接入服务器。
可见,远程数据库策略模式根本地安全数据库策略模式还是有比较大的不同。他们分别适用与不同的场景。若企业有如下几种情形,则往往采用远程数据库策略模式比较合适。
一是企业有多个网络接入服务器。在一些比较复杂的应用情景中,网络管理员为了提高远程访问的安全,往往为设立多个网络接入服务器。如对于网络内部的文件服务器、OA服务器、erp服务器等等,会为其设置独立的网路介入服务器。以往针对不同的应用,其安全策略是不同的。如对于文件服务器、ERP服务器等存储有企业关键信息的应用,往往需要设置更高的安全策略,如信息访问、数据修改等等都需要进行监督等等。为此,为不同级别的应用设置独立的网络服务器,可以提高这些服务的安全性,进行区别对待。
二是企业网络管理人员人手比较紧。此时,网络管理员往往需要有一个统一的管理平台,对各种接入服务器进行集中管理与控制。而远程安全数据库则就给我们网络管理员提供了这么一个平台,可以一个平台上对各个网络接入服务器进行统一管理,如配制用户名与密码等等。
三是可以提高访问策略的一致性。当企业有多个远程访问接入口时,如何保障各个接入口上访问策略的一致性,是非常重要的。如果此时企业采用本地安全数据库的话,很容易造成从不同的入口进入,会有不同的访问权限。因为各种安全策略分散在各自独立的安全数据库中,所以策略的一致性无法保证。而现在远程安全数据库进行统一管理,无疑解决了这个问题。
四是会增加管理的难度与实施的成本。由于安全服务器与网络接入服务器不在同一个服务器上,无疑会增加管理的难度。因为网络管理员要同时管理网络接入服务器与远程安全数据库。当出现用户远程访问故障的时候,网络管理员也需要分别去判断到底是哪个出了问题才导致访问的故障。如当网络管理员无法查询到用户的访问日志时,就需要分析,是远程数据库的安全策略问题,还是网络接入服务器的问题;又或者是网络接入服务器与远程安全数据库之间的网络连接问题,数据传输是否存在延迟等等。这会增加网络管理员网络维护的工作量。另外,需要配置一台独立的安全服务器,也会增加一定的实施成本。
所以,AAA服务确实是一个保障远程访问安全的好工具。其本地安全数据库模式与远程安全数据库模式各有各的特点,各有各的局限性。网络管理员必须了解这方面的差异,并根据企业实际情况进行对号入座,选择一个适合自己的策略模式。才能够让AAA服务起到应有的作用。