网络访问控制如何利用静态路由实现网络访问控制？

怎么利用网络分段和访问控制来抵御攻击？

根据美国特勤局在最近公布的Verizon数据泄漏调查报告中提供的数据显示，内部人员攻击事故的数量在过去一年又翻了一番，但是外部攻击仍然是主要攻击来源，这说明企业仍然没有保护好网络和数据的安全。

主动安全控制和安全的网络架构在抵御内部和外部攻击方面发挥着非常重要的作用，然而，如果没有适当的网络分段和访问控制，一旦攻击者获取对受害者内部网络的访问权限，一切就完了：敏感服务器就在内部网络中，等着被攻击者掠夺。

不过，安全泄漏事故的结果并不总是很糟糕的。

美国卡罗莱纳州Advanced Digital公司首席信息安全官表示：“网络访问控制(NAC)属于哲学范畴，而不是技术范畴。

”网络分段和访问控制采用纵深防御方法的话，将能够减缓恶意软件的传播速度，并且可以阻止敏感系统的泄漏。

在过去几个星期发现的嵌入式操作系统(例如VxWorks和QNX)中存在的漏洞突显了保护这些设备并尽可能将这些设备隔离而不影响生产力的重要性。

然而，从多功能设备和类似系统的一般部署来看，显示出缺乏对对这些系统滥用所导致安全问题的影响的认识。

举例来说，为Metasploit Framework发布的新模块允许内存从有漏洞的VxWorks设备卸载。

在内存信息转储中，可以找到允许攻击者登录到网络交换机的密码和内部IP地址并且将VLAN转变成一个设备，或者通过暴露的服务帐户来登录到服务器。

由于打印机和流媒体设备不仅仅是哑设备，而完全是客户端和服务器，所以必须创建一个网络分段将这些设备隔离并为业务需求提供足够的访问权限。

例如，用来电子邮件发送扫描文件的多功能复印机应该被允许在邮件服务器的端口25/tcp进行通信，而不是交换机上的远程登陆或者文件服务器上的windows服务器端口。

同样，嵌入式系统不应该被允许访问互联网或者具有访问权限，除非是因为像Vbrick媒体流媒体设备的使用。

嵌入式设备是员工放在网路上而完全不会考虑它对安全的影响的设备。

在对客户的漏洞评估中，AirTight Networks公司发现四分之一的网络中有员工安装的恶意无线网络。

不管是处于生产效率还是易于使用的目的，或者因为用户存在恶意意图，结果都是一样的：将内部企业网络曝露给无线端口范围内的任何人。

政策声明中表示，对网络的任何变化，例如添加无线访问端口，最好应该进行严格的禁止，但是需要部署必要的技术控制来执行这种禁止，并且检测任何异常行为。

基本技术控制(例如限制每个网络交换机端口的一个MAC地址)是一个开始，但是这可以很容易地被技术娴熟的员工突破。

在网络访问控制解决方案中应该添加更多高级控制，以帮助鉴定无线设备并通过关闭连接到的网络端口或者转移端口到隔离的VLAN来防止对内部网络的访问权限。

从纵深防御的角度来看，可以添加无线入侵检测系统(WIDS)来提供抵御恶意无线设备的额外保护层，并且因为无线入侵检测系统位于企业办公室范围内，还能够检测到新的无线网络，并且向安全人员发出警报。

PCI安全委员会意识到恶意无限网络的影响，并规定对PCI DSS每年进行四次无线扫描。

不过一年四次扫描可能并不足够，恶意无线设备可能在扫描间隔的三个月内逃过检测。

无线供应商正在解决这些问题，包括企业管理系统内的WIDS功能。

例如，思科无线服务模块(WiSM)能够识别、定位和控制企业网络中的恶意无线设备(一旦发现恶意无线设备)。

任何网络安全方案的最终目标都是防止泄漏重要数据的安全泄漏的发生，并且允许满足企业的需求。

通过适当的网络分段、政策和技术控制能够帮助企业很好地实现这些目标。

无线访问控制什么意思

1、可以通过无线通信的方式进行访问就是浏览、读取的意思。

2、控制就通以访问（就像用电脑打开网页一样或用电脑设置路由器一样）或发送指令（就像1给10086查话费一样）进行设置不同的参数，使其工作于自己想要的方式。

（以短信的形式发1的指令到10086，希望以短信形式返回当前此手机号的余额情况） 3、无线通信的方式种类很多，常见是用手机上网看网站上的新闻就是无线访问。

用手机设置微信帐号信息就是无线控制。

用手机发1到10086查话费也是无线指令控制。

这些操作都基于公共通信网络实现。

4、特殊的一些设备必须是用它自带的或特定的无线通信设备才可以访问和控制。

比如机床、智能生产线等路灯控制系统等 .

无线路由器访问控制是什么

1. 首先，启用访问控制。

把“打开访问控制”前面的复选框打上钩，点击“应用”。

2. 选择“允许所有新设备连接”，点击“应用”，此时所有新加入的设备连接上无线网络后，可以访问因特网。

如需要阻止某些设备访问本地网关与因特网，请在设备清单中选中该设备，然后点击“阻止”按钮，点击“确定”，等待网页刷新完毕，该设备的状态会变成“已阻止”，此时，该设备可以正常连接至无线路由器，但无法访问本地网关，也无法访问因特网，一旦访问本地网关与因特网，网页就会提示“此设备已被路由器访问控制功能阻止”。

3. 如需要阻止某个没有连入网络同时也不在非许可设备清单列表下的设备访问本地网关与因特网，可在“没有连入网络的非许可设备清单”下添加该设备。

点击“添加”，把该设备的“MAC地址”与“设备名称”添加到对应的文本框中。

为什么说访问控制是网络安全的核心策略之一？

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。

访问控制涉及入网访问控制、权限控制、目录级安全控制、属性安全控制、服务器安全控制等技术手段，通过一层层的校验验证来控制用户和用户组的访问权限，能够有效控制用户对服务器资源的访问，从而加强网络和服务器的安全性。

如何利用静态路由实现网络访问控制？

当一台主机应用需要向位于不同网络的目的地发送数据包时，路由器从一个接口接受数据信息。

网络层会检查这个数据包来决定预计发送的网络，然后，路由器会检查自己的路由表，并利用路由表的信息来判断预计要发送的端口。

路由器再次把数据报按一定的规则进行封装，然后把数据包在某个端口转发出去。

路由器再转发任何一个数据包的时候，都会发生这个路由判断的过程。

路由判断使得路由器能够选择最合适的接口来转发数据包。

也就是说，路由器主要是靠路由表来工作的，若没有路由表或者路由表中的信息错误的话，则路由器将如同一堆废铁，没有任何价值。

根据路由表生成机制的不同，可以分为静态路由与动态路由。

动态路由是指路由器会根据一定的方法，自动更新路由表。

因为在网络中，当添加某个路由器或者某条链路发生故障时，在网络上都会产生一些信息来告知对方。

路由器就是根据这些信息来更新自己的路由表，并按照一些预定的规则，来调整相关的路由信息。

可见，采用动态路由的话，可以方便我们的管理。

但是，其也会带来一些问题。

如动态路由会把网络中所有可见的路由都在查寻出来，也就是说，采用路由器的动态路由的话，只要数据链路不出现问题，一般来说，各个网络都是可达的，这就不利于网络管理员控制网络访问。

静态路由是由网络管理员手工更新路由表。

当网络的拓扑结构发生变化或者路由器增加与减少等等，都需要网络管理员手工的去更新路由器的路由表，否则的话，网络通讯就会产生影响。

不过，静态路由跟动态路由比较起来，最大的缺点就是需要网络管理员手工的更新路由表，无论企业的网络发生任何的改变。

这对于网络管理员来说，是工作量非常大的一件工作。

不过，静态路由也有其好处，如：一方面不需要启用动态路由选择协议服务，因此可以减少路由器的运行资源开销。

而且，在网络中，也不需要进行信息的发送与传递，可以减少由此带来的带宽的占用。

要实现动态路由的话，必须要有一些协议的支持，如RIP等等。

这些协议规定了路由器中路由表的生成规则。

而运行这些协议的话，毕竟会占用路由器的资源，同时，这些协议会经常的跟相邻的路由器进行通信，以判断对方的运作状态是否正常。

无疑，这会增加路由器以及企业网络带宽的负担。

但是，以上这个优点不是我们采用静态路由的主要原因。

因为随着企业网络的改造升级，这些路由器资源或者网络带宽的限制，已经不再是企业网络组建过程中的瓶颈资源。

决定让我们采用静态路由技术的，是其另外一个特点。

网络管理员可以借助静态路由，实现对网络访问的控制。

如所在的企业是一个大的集团公司，集团总公司跟下面一个三个子公司是采用同一个网络。

现在在网络组建时，领导希望各个子公司、集团公司的网络能够相互独立，工作起来互不干扰。

当然实现这个需求的方法可以有很多，如可以为各个子公司都申请一个独立的上网帐号，但是，这种处理方式的话，就是有些浪费，因为集团公司已经有光钎网络，若再特意的为其他公司开通网络而不走集团的线路的话，那需要额外的支付不少的钱，而且，速度可能也没有光纤网络那么快，所以，是不怎么现实。

再者，若理由CISCO路由器的访问控制列表也可以实现相关的控制。

但是，这个需要路由器能够支持这个功能，而且，配置起来也有一定的方法，维护起来也不是很方面。

所以，根据笔者的了解，访问控制列表虽然是一个很不错的网络访问控制机制，但是，在实际应用中，用的企业比较少，因为其配置起来，还是有一定的难度的。

其实，我们可以利用静态路由技术，来实现网络路由的控制。

在路由器的路由表中，大致包含以下信息。

目的网络地址、子网掩码、网关、接口等等信息。

目的网络地址与子网掩码跟数据包的发送IP地址一起，可以判断出发送地址与目的地址是否属于同一个网络，若属于同一个网络的话，则路由器不会进行数据的转发或者按预定的规则进行处理。

而若发送地址跟目的地址不是属于同一个子网的话，则路由器就会根据路由表中的信息进行路径的判断。

若路由器找不到合适的路径的话，在该数据转发就会被终止而我们网络管理员就可以根据这个特性来作好路由访问的控制。