国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　是一把雙刃劍。一方面其信息非常的豐富，能夠?qū)Φ墓ぷ鲙砗艽蟮膸椭?。另一方面，、娛樂網(wǎng)站、游戲等等也在危害著企業(yè)，讓員工工作效率低下、做一天和尚打一天鐘等等。網(wǎng)絡(luò)管理員要在這兩方面均衡，比較難?；蛘哒f，我們處于企業(yè)管理者與員工之間的夾心層，要綜合來自各方面的意見，具有一定的難度。筆者在這里，想給大家介紹一下，如何通過Forefront安全的Web訪問身份驗(yàn)證機(jī)制來控制員工的上網(wǎng)行為，揚(yáng)長避短，讓互聯(lián)網(wǎng)提升企業(yè)的市場競爭力。

　　一、Forefront安全網(wǎng)關(guān)作為企業(yè)的邊緣服務(wù)器

　　如上圖所示，是Forefront安全網(wǎng)關(guān)在企業(yè)網(wǎng)絡(luò)中的典型配置。這個(gè)配置的特點(diǎn)是Forefront作為，將企業(yè)的內(nèi)往與互聯(lián)網(wǎng)進(jìn)行隔離，以提到保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的目的。在這種情況下，互聯(lián)網(wǎng)與企業(yè)內(nèi)部網(wǎng)絡(luò)之間的都需要通過ForefrontTMG來進(jìn)行轉(zhuǎn)發(fā)。為了更好的控制企業(yè)的上網(wǎng)行為，我們能否在這里想一些點(diǎn)子呢？

　　為了滿足企業(yè)用戶的這種需求，Web訪問身份驗(yàn)證規(guī)劃也應(yīng)運(yùn)而生了。簡單的說，這種安全機(jī)制可以限制用戶訪問互聯(lián)網(wǎng)的行為?；蛘哒f，只有授權(quán)的用戶才能夠訪問互聯(lián)網(wǎng)。當(dāng)用戶提出互聯(lián)網(wǎng)的連接請求之時(shí)、允許內(nèi)部用戶訪問互聯(lián)網(wǎng)之前，F(xiàn)orefrontTMG可以要求對內(nèi)容用戶進(jìn)行身份驗(yàn)證。如內(nèi)部用戶只有輸入合法的用戶名與密碼后，才能夠訪問互兩網(wǎng)。如此的話，就可以保證只有合法的、授權(quán)的用戶才能夠訪問互聯(lián)網(wǎng)。

　　在實(shí)際工作中，我們可能只允許銷售、、財(cái)務(wù)等部門或者部分人員可以訪問互聯(lián)網(wǎng)。那么就可以給這些用戶分配合適的身份。他們需要訪問互聯(lián)網(wǎng)時(shí)，提供合法的身份憑證之后，就可以訪問互聯(lián)網(wǎng)。這跟其他基于地址等控制手段相比，具有比較大的靈活性。如有客戶到企業(yè)來拜訪，他們需要使用自帶的電腦上互聯(lián)網(wǎng)。此時(shí)不需要更改防火墻等配置，而只需要給他們一個(gè)賬戶名與密碼即可。通常情況下，在部署這種時(shí)，可以預(yù)先建立一個(gè)Guest類型的賬戶。限制他們可以訪問互聯(lián)網(wǎng)，同時(shí)可以訪問企業(yè)內(nèi)部網(wǎng)絡(luò)中的某些資源，如打印機(jī)等等。但是無法訪問企業(yè)的文件等可能含有機(jī)密信息的服務(wù)器。那么當(dāng)有合作伙伴來企業(yè)時(shí)，只需要給他們Guest賬戶與密碼即可。即靈活，安全性又高。

　　可見，Web訪問身份驗(yàn)證機(jī)制在企業(yè)中使用的還是比較多的。在下面的內(nèi)容中，筆者將詳細(xì)介紹一下其具體的實(shí)現(xiàn)方法以及需要注意的相關(guān)事項(xiàng)。以幫助大家從整體層面對ForefrontTMG的訪問身份驗(yàn)證機(jī)制有一個(gè)全面的了解。

　　二、兩種實(shí)現(xiàn)方式以及注意事項(xiàng)解析

　　在ForefrontTMG中，如果要實(shí)現(xiàn)訪問身份驗(yàn)證機(jī)制，基本上有兩種實(shí)現(xiàn)的途徑。分別為“對每個(gè)Web會(huì)話都要進(jìn)行身份驗(yàn)證”和“要求用戶針對特定規(guī)則”進(jìn)行身份驗(yàn)證。在實(shí)際工作中，筆者認(rèn)為網(wǎng)絡(luò)安全人員需要了解這兩種實(shí)現(xiàn)手段的差異。因?yàn)楹芸赡芨魑恍枰鶕?jù)自己企業(yè)的實(shí)際情況來選擇一種實(shí)現(xiàn)方式。這兩種實(shí)現(xiàn)方式在效果上還是有很大差異的，這就決定了其有不同的應(yīng)用范圍。

　　簡單的說，“對每個(gè)Web會(huì)話都要進(jìn)行身份驗(yàn)證”這種方法，是一個(gè)比較絕對的限制規(guī)則。這個(gè)規(guī)則要求用戶在請求Web訪問時(shí)進(jìn)行身份驗(yàn)證。換句話說，只要是互聯(lián)網(wǎng)上的資源，那么用戶進(jìn)行訪問時(shí)，必須要提供合法的用戶名與密碼后，才能夠正常訪問。可見，這種訪問規(guī)則可能不適合所有的企業(yè)。如有些企業(yè)有自己公司的網(wǎng)站與郵箱系統(tǒng)。不過可能租用的是互聯(lián)網(wǎng)上的服務(wù)器或者說自己的服務(wù)器讓服務(wù)商進(jìn)行托管?？傊藭r(shí)這些資源并不是在企業(yè)的內(nèi)部，而是在互聯(lián)網(wǎng)上?，F(xiàn)在的問題時(shí)，如果采用這種規(guī)則的話，即使訪問這些資源，也必須要提供合法的身份憑證才可以。這顯然有點(diǎn)不合情理。像生產(chǎn)等部門的用戶，即使他們沒有權(quán)限訪問互聯(lián)網(wǎng)，但是他們也可以訪問企業(yè)自己的網(wǎng)站或者郵箱系統(tǒng)。如果訪問這些信息的話，也需要他們輸入用戶名與密碼的話，顯然不合情理。一方面管理員的工作量會(huì)很大，另一方面用戶在使用的過程中也會(huì)非常的不方便。所以這種方案，一般只有在特定的場合中才使用。如在無論任何情況下都不允許大部分用戶訪問互聯(lián)網(wǎng)的資源等等。

　　在使用這種方案的時(shí)候，需要注意如下內(nèi)容

　　一是需要禁用匿名的Web訪問。因?yàn)槟涿腤eb訪問規(guī)則與要求每個(gè)Web會(huì)話都進(jìn)行身份驗(yàn)證的規(guī)則是相互沖突的。如果允許用戶進(jìn)行匿名Web訪問的話，那么這個(gè)控制規(guī)則就會(huì)實(shí)效。默認(rèn)情況下，系統(tǒng)是允許匿名的Web訪問的。為此在配制時(shí)，需要將這個(gè)選項(xiàng)禁用掉。不少剛接觸這個(gè)安全產(chǎn)品的人員，經(jīng)常會(huì)在這里載跟頭。

　　二是需要確保身份驗(yàn)證體制的正確。ForefrontTMG在根據(jù)防火墻策略檢查請求前會(huì)請求用戶憑據(jù)并對其進(jìn)行身份驗(yàn)證。這里需要注意的是，有些企業(yè)出于安全或者性能方面的考慮，會(huì)用一臺專業(yè)的服務(wù)器來負(fù)責(zé)身份驗(yàn)證的工作。此時(shí)就需要確保這臺身份驗(yàn)證服務(wù)器與Forefront服務(wù)器之間連接正常。否則的話，會(huì)導(dǎo)致用戶無法完成身份驗(yàn)證的工作，而被Forefront拒絕互聯(lián)網(wǎng)連接的請求。

　　三是某些特定的客戶端可能無法使用這個(gè)規(guī)則。這些客戶端主要指的是無法進(jìn)行身份驗(yàn)證的客戶端。為此一些非交互式客戶端，他們無法自主完成身份驗(yàn)證的工作。所以即使他們擁有合法的身份，也無法正常連接無聯(lián)網(wǎng)。特別是WindowsUpdate客戶端。如果對于這些客戶端采取了這種策略，那么就需要注意，會(huì)導(dǎo)致他們更新失敗。

　　三、要求用戶針對特定規(guī)則進(jìn)行身份驗(yàn)證

　　要求用戶針對特定最早進(jìn)行身份驗(yàn)證，這種機(jī)制限制的就不是很死。簡單的說，這種機(jī)制就是將互聯(lián)網(wǎng)上的資源分類兩類。一類是允許用戶訪問的，如部署在互聯(lián)網(wǎng)上的自己公司的網(wǎng)站或者郵箱系統(tǒng)，企業(yè)內(nèi)部任何用戶都可以直接的、不受限制的訪問，而不需要在連接時(shí)輸入用戶憑證與密碼。另外一類資源是受到限制的，如等娛樂性網(wǎng)站，他們只有授權(quán)的用戶才能夠訪問。筆者認(rèn)為，這種控制策略可能更加適合于大部分企業(yè)的實(shí)際情況。

　　使用這種策略的難點(diǎn)是對資源的規(guī)劃。即允許哪些資源可以不受限制的訪問，哪些資源的訪問受到限制。由于互聯(lián)網(wǎng)上的資源非常繁雜，而且新的資源每天都在迅速的增長，如新建的網(wǎng)站、等等。要對他們進(jìn)行很里的分類具有一定的困難。在實(shí)際工作中，這里更多的是采用排除法的方法。即我們只規(guī)定哪些資源可以不受限制的訪問(這定義起來比較容易)。而除了這些資源外，其他的互聯(lián)網(wǎng)資源的話，則需要經(jīng)過授權(quán)，即需要有合法的身份憑據(jù)才能夠進(jìn)行訪問。筆者認(rèn)為，采用這種方法的話，在實(shí)際工作中會(huì)相對來說簡單許多。無論在配置上還是在管理上。

　　總之，雖然有兩種方式可以實(shí)現(xiàn)Web訪問身份驗(yàn)證。不過管理員在做這道二選一的選擇題的時(shí)候，并不困難。因?yàn)樗麄冎g的差異非常的明顯。