前言
网络的普及带给人们许多便利,数据的撷取、知识的传递,上个网即随手可得。但相对地,数据窃取与破坏也透过网络之延伸成为更大的隐忧。
现今对网络的保护几乎是以防火墙为主,以保护内部网络与Internet间的联机。但是,对于内部网络之防护呢?我们可以利用VLAN功能将组织中的服务器独立成一个或数个Server Farm VLAN,用户依其特性也可区分成数个VLAN,如此即可利用防火墙来保护服务器的安全了。但这样的防护真的安全吗?
有关防火墙的解析
防火墙的基本运作原理,是利用来源(source)与目的地(destination)的 IP Address与TCP/UDP Port Number来判断封包是否被允许通过。因此,从防火墙的原则来看,今天若有办法知道那些用户的IP是被允许存取服务器中的数据,那么,不法之徒只需将IP设定为这些合法IP,也就能以相同的方法存取服务器了。
VLAN之解释
再者,关于VLAN的架构与设定,现今市场上所见的VLAN设定原则几乎只提供Port-Based VLAN,也就是说,不论你愿不愿意,一台交换器内的某些埠一旦设定是属于某一个VLAN,则其所辖的所有设备都是在同一VLAN中。(图一)
《图一 Server Farm VLAN的架构1》 |
|
在这种条件下,也就是说,一个用户一打开计算机,他就有网络的使用权了;而他属于那一个 VLAN 则看他接在那一个交换器埠上。
因此若把firewall与VLAN的问题结合在一起,那问题就大了。不法之徒只需将其计算机接在某一 VLAN埠之下,他就有内定的网络使用权,以及此VLAN的相关功能(如网络芳邻等),若再使用相对的IP Address,他可能就可以轻而易举的窃取服务器上的数据。
VLAN 新想法
我们能不能对VLAN有比较不一样的想法呢?不要再以交换器埠来决定VLAN成员的关系,而要以用户所输入的用户姓名与密码来决定其所属的 VLAN,再者,我们应视所有用户内定是没有网络使用权,除非经过授权。
在AVLAN(Authentication VLAN)的环境下(图二),用户一开机时Windows会显示一个认证窗口,等待用户输入姓名与密码,当然在这个时候,用户是没有什么网络使用权的。一旦用户输入姓名密码并通过认证后,此时便会授权给此用户有那些权限,亦即属于那个VLAN与可使用那些服务。当然,AVLAN也可与Firewall相结合,提供更安全的网络环境。但是另一个问题来了,那要如何储存这些用户的数据以供认证授权使用呢?如果存放在交换器中,对大型组织来说,可能会放不下,也会造成维护上的困扰,而目录服务就提供了一个最好的储存空间与方式。由于Windows 2000的 Active Directory也是目录服务的一种,因此可充分使用在AVLAN的环境下。
《图二 Server Farm VLAN的架构2》 |
|
结语
AVLAN非常适合使用在有高度安全考虑的网络环境,以及需要控制网络使用权的环境,前者如银行证券保险业,后者如校园与宿舍网络。例如在宿舍网络中,没有缴交网络实习费者不得使用网络。不过,要是在以前,是很难做到管制的,现在只要利用 AVLAN,没有缴费者由于没有密码,因此无法使用网络。再者,在使用AVLAN时,可强迫用户必需使用DHCP以取得动态IP,这也可避免同学违法使用校园网络,如开FTP或WWW站台。