隨著信息化辦公與無(wú)紙化辦公的日益普及，企業(yè)對(duì)于信息化管理軟件的要求也越來(lái)越高，

AAA本地?cái)?shù)據(jù)庫(kù)與遠(yuǎn)程數(shù)據(jù)庫(kù)差異分析

�，F(xiàn)在那些出差在外的銷售員、休假的管理人員，甚至是千里之外的辦事處，都需要遠(yuǎn)程接入到企業(yè)內(nèi)部網(wǎng)絡(luò)上，訪問(wèn)本部的網(wǎng)絡(luò)資源。但是，由于現(xiàn)在的大多數(shù)遠(yuǎn)程訪問(wèn)連接都是建立在異步線路上，所以，遠(yuǎn)程訪問(wèn)連接容易受到安全攻擊。為此，網(wǎng)絡(luò)管理員要提供一些安全措施來(lái)提高遠(yuǎn)程訪問(wèn)連接的安全性。而AAA服務(wù)(即鑒別、授權(quán)、記帳)則是一種很好的解決方案。思科在這個(gè)協(xié)議的基礎(chǔ)上，結(jié)合自己的產(chǎn)品，提供了一個(gè)安全服務(wù)器軟件產(chǎn)品，即Cisco安全訪問(wèn)控制器。 無(wú)論是其他公司的AAA安全服務(wù)，還是Cisco的安全訪問(wèn)控制期，都有本地?cái)?shù)據(jù)庫(kù)與遠(yuǎn)程數(shù)據(jù)庫(kù)的區(qū)分。這個(gè)數(shù)據(jù)庫(kù)就是用來(lái)存儲(chǔ)AAA安全服務(wù)器的訪問(wèn)控制信息。根據(jù)這個(gè)存儲(chǔ)位置的不同，就可以分為本地安全數(shù)據(jù)庫(kù)與遠(yuǎn)程安全數(shù)據(jù)庫(kù)。作為一個(gè)網(wǎng)絡(luò)管理人員，需要知道這兩種方式的區(qū)別與特點(diǎn)，并結(jié)合自己公司的實(shí)際情況，來(lái)選擇一種合適的處理方式。

　　一、本地?cái)?shù)據(jù)庫(kù)的特點(diǎn)

　　在應(yīng)用AAA安全服務(wù)器時(shí)，如果把用戶名和口令信息存儲(chǔ)在網(wǎng)絡(luò)接入服務(wù)器本身，這就是本地安全數(shù)據(jù)庫(kù)模式，也被稱為本地鑒別。在本地鑒別模式下，網(wǎng)絡(luò)管理員需要把每個(gè)遠(yuǎn)程訪問(wèn)用戶的用戶名與口令文件都加載到網(wǎng)絡(luò)接入設(shè)備的本地安全數(shù)據(jù)庫(kù)中。如果網(wǎng)絡(luò)管理員采用了這個(gè)本地安全數(shù)據(jù)庫(kù)模式，則AAA安全服務(wù)主要有五個(gè)步驟。

　　一是當(dāng)用戶需要遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)資源時(shí)，他們就會(huì)發(fā)起一個(gè)遠(yuǎn)程訪問(wèn)的請(qǐng)求。此時(shí)，用戶所采用的客戶機(jī)會(huì)撥號(hào)到企業(yè)的網(wǎng)絡(luò)接入服務(wù)器，建立一個(gè)PPP會(huì)話(點(diǎn)到點(diǎn)會(huì)話)。

　　二是進(jìn)行身份認(rèn)證。建立起會(huì)話之后，在用戶的客戶機(jī)上，會(huì)提示遠(yuǎn)程用戶輸入用戶名與密碼。而網(wǎng)絡(luò)接入服務(wù)器接受到遠(yuǎn)程用戶傳遞過(guò)來(lái)的用戶名與口令之后，就會(huì)利用本地?cái)?shù)據(jù)庫(kù)中存儲(chǔ)的信息去驗(yàn)證這個(gè)用戶名與口令，是否匹配。若匹配的話，則進(jìn)行下一個(gè)步驟，否則的話，就會(huì)直接終止當(dāng)前會(huì)話或者提示用戶重新輸入密碼。這就完成了AAA服務(wù)的第一個(gè)步驟：鑒別。

　　三是進(jìn)行授權(quán)。當(dāng)用戶名與密碼驗(yàn)證服務(wù)之后，網(wǎng)絡(luò)接入服務(wù)器就會(huì)在本地?cái)?shù)據(jù)庫(kù)中，查找這個(gè)用戶所對(duì)應(yīng)的訪問(wèn)權(quán)限。找到相應(yīng)的鑒別參數(shù)之后，網(wǎng)絡(luò)接入服務(wù)器就會(huì)對(duì)這個(gè)用戶進(jìn)行授權(quán)，讓其能夠訪問(wèn)網(wǎng)絡(luò)中的某些資源。這就是AAA服務(wù)的第二個(gè)步驟：授權(quán)。

　　四是對(duì)訪問(wèn)過(guò)程進(jìn)行監(jiān)視并且如實(shí)的做好記錄。網(wǎng)絡(luò)接入服務(wù)器會(huì)對(duì)用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源的行為進(jìn)行監(jiān)視，監(jiān)控用戶的通信流量與操作行為并且記錄到相關(guān)的日志中，

電腦資料

《AAA本地?cái)?shù)據(jù)庫(kù)與遠(yuǎn)程數(shù)據(jù)庫(kù)差異分析》(http://www.lotusphilosophies.com)。這具體要不要監(jiān)控，如何監(jiān)控等等，都需要網(wǎng)絡(luò)管理員進(jìn)行事先的配置。當(dāng)對(duì)賬戶進(jìn)行授權(quán)時(shí)，網(wǎng)絡(luò)接入服務(wù)器會(huì)從本地?cái)?shù)據(jù)庫(kù)中查找相關(guān)的安全策略并進(jìn)行配置。

　　以上就是本地安全數(shù)據(jù)庫(kù)模式基本步驟。從以上的分析中，可以得知這種模式下，具有如下幾個(gè)特點(diǎn)。

　　一是它只適合于小型網(wǎng)絡(luò)�；蛘哒f(shuō)，只有當(dāng)少數(shù)用戶需要遠(yuǎn)程訪問(wèn)時(shí)，才能夠采用本地?cái)?shù)據(jù)庫(kù)模式。如果遠(yuǎn)程訪問(wèn)主要用戶總公司與分公司之間的連接，那么采用本地鑒別策略并不是很合理。切記，只有在少量遠(yuǎn)程用戶的情況下，采用這種本地安全服務(wù)器模式才可以起到其應(yīng)有的作用。

　　二是所有AAA服務(wù)所需要用到的安全信息，如用戶名、密碼以及安全策略等等，都被保存在網(wǎng)絡(luò)接入服務(wù)器的本地安全數(shù)據(jù)庫(kù)中。網(wǎng)絡(luò)接入服務(wù)器根據(jù)本地安全數(shù)據(jù)庫(kù)中的信息，對(duì)遠(yuǎn)程用戶進(jìn)行鑒別與授權(quán)。同時(shí)，也會(huì)根據(jù)本地?cái)?shù)據(jù)庫(kù)中的安全策略，監(jiān)控用戶的操作行為并編制記賬記錄。所以，通過(guò)使用本地安全數(shù)據(jù)庫(kù)來(lái)控制少量用戶進(jìn)行遠(yuǎn)程訪問(wèn)的安全策略，具有容易實(shí)現(xiàn)、安全和維護(hù)方便、成本低廉等特點(diǎn)。

    二、遠(yuǎn)程數(shù)據(jù)庫(kù)策略模式

　　遠(yuǎn)程安全數(shù)據(jù)庫(kù)位于網(wǎng)絡(luò)中的一個(gè)特殊的安全服務(wù)器。在這個(gè)遠(yuǎn)程安全數(shù)據(jù)庫(kù)中，存儲(chǔ)了每個(gè)接入服務(wù)器的用戶名、口令、安全策略等等。也就是說(shuō)，遠(yuǎn)程數(shù)據(jù)庫(kù)是跟接入服務(wù)器相獨(dú)立的。遠(yuǎn)程安全數(shù)據(jù)庫(kù)主要為網(wǎng)絡(luò)管理員提供了一個(gè)集中管理安全策略的平臺(tái)。如此的話，當(dāng)網(wǎng)絡(luò)管理員需要更改某個(gè)安全策略或者增加某個(gè)遠(yuǎn)程訪問(wèn)用戶時(shí)，不需要更新每個(gè)接入服務(wù)器的配置，而只需要在遠(yuǎn)程安全數(shù)據(jù)庫(kù)中進(jìn)行相應(yīng)更改即可。

　　若采用遠(yuǎn)程數(shù)據(jù)庫(kù)模式，則其基本步驟如下。

　　一是遠(yuǎn)程用戶要發(fā)起一個(gè)遠(yuǎn)程連接的請(qǐng)求，然后客戶端就會(huì)跟網(wǎng)絡(luò)接入服務(wù)器之間建立起一個(gè)PPP通話。這個(gè)步驟跟本地鑒別模式下是相同的。

　　二是進(jìn)行身份驗(yàn)證。當(dāng)用戶在遠(yuǎn)程客戶端輸入用戶名與密碼后，網(wǎng)絡(luò)接入服務(wù)器就會(huì)接受到這些內(nèi)容。但是，網(wǎng)絡(luò)接入服務(wù)器自己并不驗(yàn)證這個(gè)用戶名與密碼的合法性，而是把它轉(zhuǎn)發(fā)給專門的安全服務(wù)器(遠(yuǎn)程安全數(shù)據(jù)庫(kù))，讓他來(lái)驗(yàn)證這個(gè)用戶的合法性。驗(yàn)證通過(guò)后，遠(yuǎn)程安全數(shù)據(jù)庫(kù)會(huì)把這個(gè)用戶相關(guān)的安全策略與訪問(wèn)權(quán)限轉(zhuǎn)發(fā)給網(wǎng)絡(luò)接入服務(wù)器。然后，網(wǎng)絡(luò)接入服務(wù)器就會(huì)根據(jù)這些參數(shù)來(lái)配置這個(gè)用戶的訪問(wèn)權(quán)限，并進(jìn)行一些訪問(wèn)監(jiān)督與控制。這里要注意，收集用戶的操作信息并編制相關(guān)的日志，這是網(wǎng)絡(luò)接入服務(wù)器所負(fù)責(zé)的。當(dāng)網(wǎng)絡(luò)接入服務(wù)器收集好這些信息后，會(huì)轉(zhuǎn)發(fā)給安全服務(wù)期上的遠(yuǎn)程數(shù)據(jù)庫(kù)中。所以，網(wǎng)絡(luò)管理員想要知道到底用戶訪問(wèn)了什么內(nèi)容，進(jìn)行了哪些修改，則可以通過(guò)遠(yuǎn)程安全數(shù)據(jù)庫(kù)進(jìn)行查詢，而不需要進(jìn)入每個(gè)網(wǎng)絡(luò)接入服務(wù)器。