访问控制与防火墙技术.ppt

第3章 访问控制与防火墙技术,本章主要介绍： 1. 访问控制技术 2. 防火墙技术基础 3. 防火墙安全设计策略 4. 防火墙攻击策略 5. 第四代防火墙的主要技术 6. 防火墙发展的新方向,3.1 访问控制技术,一般概念： 是针对越权使用资源的防御措施。 基本目标： 防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。 未授权的访问包括： 未经授权的使用、泄露、修改、销毁信息以及颁发指令等。 非法用户进入系统。 合法用户对系统资源的非法使用。,3.1 访问控制技术,访问控制的作用： 访问控制对机密性、完整性起直接的作用。 对于可用性，访问控制通过对以下信息的有效控制来实现： 1）谁可以颁发影响网络可用性的网络管理指令 2）谁能够滥用资源以达到占用资源的目的 3）谁能够获得可以用于拒绝服务攻击的信息,3.1 访问控制技术,访问控制策略与机制 访问控制策略(access control policy):访问控制策略在系统安全策略级上表示授权。是对访问如何控制,如何作出访问决定的高层指南。 访问控制机制（access control mechanisms):是访问控制策略的软硬件低层实现。 访问控制机制与策略独立，可允许安全机制的重用。 安全策略之间没有更好的说法，只是一种可以比一种提供更多的保护。应根据应用环境灵活使用。,3.1 访问控制技术,访问控制策略与机制 自主访问控制（discretionary policies), 也称基于身份的访问控制ibac(identity based access control) 强制访问控制(mandatory policies),也称基于规则的访问控制rbac（rule based access control） 基于角色的访问控制(role-based policies),3.1 访问控制技术,自主访问控制 dac是基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。 特点： 根据主体的身份及允许访问的权限进行决策。 自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。 灵活性高，被大量采用。 缺点： 安全性最低。信息在移动过程中其访问权限关系会被改变。如用户a可将其对目标c的访问权限传递给用户b,从而使不具备对c访问权限的b可访问c。,3.1 访问控制技术,强制访问控制(mandatory policies) 特点：取决于能用算法表达的并能在计算机上执行的策略。策略给出资源受到的限制和实体的授权，对资源的访问取决于实体的授权而非实体的身份。rbac决策在批准一个访问之前需要进行授权信息和限制信息的比较。 (1)将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。 (2)其访问控制关系分为：上读/下写，下读/上写 （完整性） （机密性） (3)通过安全标签实现单向信息流通模式。,3.1 访问控制技术,基于角色的访问控制(role-based policies) 与现代的商业环境相结合的产物 基于角色的访问控制是一个复合的规则，可以被认为是ibac和rbac的变体。一个身份被分配给一个被授权的组。 起源于unix系统或别的操作系统中组的概念,3.1 访问控制技术,角色的定义 每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作 a role can be defined as a set of actions and responsibilities associated with a particular working activity. 角色与组的区别 组：一组用户的集合 角色：一组用户的集合 + 一组操作权限的集合,3.2 防火墙技术基础,1防火墙的概念 在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如internet)分开的方法，它实际上是一种隔离技术。 防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。,3.2 防火墙技术基础,防火墙的基本设计目标: 对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙 通过一些安全策略，来保证只有经过授权的流量才可以通过防火墙 防火墙本身必须建立在安全操作系统的基础上 注意：安全操作系统可以保护防火墙的代码和文件免遭入侵者攻击。这些防火墙的代码只允许在给定主机系统上执行,这种限制可以减少非法穿越防火墙的可能性,3.2 防火墙技术基础,防火墙的控制能力: 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为,3.2 防火墙技术基础,防火墙的优点： 防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行。 防火墙能防止非授权用户进入内部网络。 防火墙可以方便地监视网络的安全性并报警。 可以作为部署网络地址转换（network address translation）的地点，利用nat技术，可以缓解地址空间的短缺，隐藏内部网的结构。 利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。 由于所有的访问都经过防火墙，防火墙是审计和记录网络的访问和使用的最佳地方。,3.2 防火墙技术基础,防火墙局限性： 限制有用的网络服务。 无法防护内部网络用户的攻击。 防火墙不能防范不经过防火墙的攻击。 防火墙也不能完全防止受病毒感染的文件或软件的传输。(由于病毒的种类繁多，如果要在防火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。) 防火墙不能有效地防范数据驱动式攻击。 不能防范新的网络安全问题。,基于路由器的防火墙,将过滤功能从路由器中独立出来，并加上审计和告警功能 针对用户需求，提供模块化的软件包 软件可通过网络发送，用户可根据需要构造防火墙 与第一代防火墙相比，安全性提高了，价格降低了,利用路由器本身对分组的解析,进行分组过滤 过滤判断依据：地址、端口号、ip旗标及其它网络特征 防火墙与路由器合为一体，只有过滤功能 适用于对安全性要求不高的网络环境,是批量上市的专用防火墙产品 包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统，监控所有协议的数据和指令 保护用户编程空间和用户可配置内核参数的设置 安全性和速度大为提高。,防火墙厂商具有操作系统的源代码，并可实现安全内核 去掉了不必要的系统特性，加固内核，强化安全保护 在功能上包括了分组过滤、应用网关、电路级网关 增加了许多附加功能：加密、鉴别、审计、nat转换 透明性好，易于使用,基于安全操作系统的防火墙,基于通用操作系统的防火墙,防火墙工具套,3.2 防火墙技术基础,第一代： 基于路由器的防火墙 称为包过滤防火墙 特征： 以访问控制表方式实现分组过滤 过滤的依据是ip地址、