Network Access Control
管理網路存取方法的總稱架構,驗證使用者登入並判斷存取或執行的身份,並且檢查設備是否正常等 。
- Access Requester (AR): 可以為任何一種設備的使用者節點
- Supplicants, Clients
- Policy Server: 對AR定義政策,判斷存取是被承認的(granted)
- Network Access Server (NAS): 提供內部網路與ISP遠程連線的節點
- Gateway, Access Point
- 也稱為Media Gateway, Remote Access Server
- 內部可能擁有自身的Policy Server
Quarantine Network: 網路隔離,如反間諜或反病毒服務與內部網路分離等。
Network Access 增強方法
ARs與企業網路連線規範,也允許多種增強方法同時使用
- IEEE 802.1X: 用於解決Port-Based Access Control的連入方法定義的標準, 用於解決有限線網路連線認證的方法策略。
- Virtual Local Area Networks (VLANs): 將區域網路切分成多個個別的虛擬網段
- Firewall: 防火牆,決定哪些網路協定、目標是否接受或不接受等
- DHCP 管理
補充
- DHCP: 提供區域網路分配動態的IP的功能,也可以配置固定的IP給設備, 參見網路規劃與管理 - CCNA 技術彙集:5-4-1 DHCP 系統簡介
- Authentication Server: 判斷使用者是否符合存取身份
- VLAN: 實體LAN透過軟體分割,將設備區分不同的群組設定不同管制方法。 注:
- Kerberos中AS意指Authentication Service
EAP
認證方法
- EAP-TLS
- EAP-TTLS
- EAP-GPSK
- EAP-IKEv2
EAP交流
- EAP peer: 透過 EAP 發起連線請求的端點
- EAP authenticator: AP or NAS 要求連入前要先有EAP認證
- Authentication Server: 用於驗證EAP Peer,RADIUS
EAPOL: EAP over LAN
雲端運算
使用資源時,透過雲端運算克服取得資源的障礙。 NIST定義雲端運算於NIST SP-800-145
- Essential Characteristics
- Broad network access:
- Rapid elasticity:
- Measured service:
- On-demand self-service:
- Resource pooling:
- Service Models
- SaaS: 如應用程式,在網路上面提供軟體服務
- PaaS: 提供客戶部屬應用程式於雲端設施,提供一個中間的服務, 如資料庫或其他服務被應用程式所使用。
- IaaS: 網路,儲存,處理設備,或其他基礎運算資源, 能夠部屬客戶的應用程式。
- Deployment Models
- Public cloud
- Private cloud
- Community cloud
- Hybrid cloud
Network Security Information Security Cryptography