访问控制与防火墙.ppt
《访问控制与防火墙.ppt》由会员分享,可在线阅读,更多相关《访问控制与防火墙.ppt(147页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、访问控制与网络安全技术(1)严飞严飞武汉大学计算机学院武汉大学计算机学院Yfpostbox(AT)主要内容主要内容(1阶段)l访问控制技术l防火墙技术lVPN技术(2阶段)l入侵检测技术l一种新的网络安全技术1.访问控制技术访问控制技术l1.1 访问控制技术概述 l1.2 入网认证 l1.3 物理隔离措施 l1.4 自主访问控制 l1.5 强制访问控制 l1.6 角色访问控制l1.7 发展趋势1.访问控制技术访问控制技术l安全服务(Security Services)l安全系统提供的各项服务,用以保证系统或数据传输足够的安全性l根据ISO7498-2,安全服务包括:l实体认证(Entity A
2、uthentication)l数据保密性(Data Confidentiality)l数据完整性(Data Integrity)l不可抵赖性(Non-repudiation)l访问控制(Access Control)1.访问控制的基本任务访问控制的基本任务l防止非法用户即未授权用户进入系统l合法用户即授权用户对系统资源的非法使用1.1 访问控制技术概述访问控制技术概述l访问控制是从计算机系统的处理能力方面对信息提供保护l它按照事先确定的规则决定主体对客体的访问是否合法l当一主体试图非法使用一个未经授权的资源时,访问控制机制将拒绝这一企图,并将这一事件报告给审计跟踪系统l审计跟踪系统将给出报警,
3、并记入日志档案1.1 访问控制技术概述访问控制技术概述l对网络的访问控制是为了防止非法用户进入系统和合法用户对系统的非法使用l访问控制要对访问的申请、批准和撤消的全过程进行有效的控制1.1 访问控制技术概述访问控制技术概述l访问控制的内容包括 l用户身份的识别和认证 l对访问的控制 l授权、确定访问权限、实施访问权限 l附加控制除了对直接的访问进行控制外,还应对信息的流动和推理攻击施加控制 l审计跟踪 l对用户使用何种系统资源、使用的时间、执行的操作等问题进行完整的记录,以备非法事件发生后能进行有效的追查 1.1 访问控制技术概述访问控制技术概述l访问控制的类型l自主访问控制(DAC)l用户可
4、以按自己的意愿对系统参数做适当的修改,可以决定哪个用户可以访问系统资源 l强制访问控制(MAC)l用户和资源都是一个固定的安全属性,系统利用安全属性来决定一个用户是否可以访问某个资源l由于强制访问控制的安全属性是固定的,因此用户或用户程序不能修改安全属性 l基于角色访问控制(RBAC)1.2 入网认证入网认证l入网认证即入网访问控制。它为网络访问提供了第一层访问控制l入网认证控制哪些用户能够登录到服务器并获得网络资源,也控制准许用户入网的时间和准许他们在哪台工作站入网l入网认证实质上就是对用户的身份进行认证 1.2 入网认证入网认证l身份认证 l身份认证过程指的是当用户试图访问资源的时候,系统
5、确定用户的身份是否真实的过程l认证对所有需要安全的服务来说是至关重要的,因为认证是访问控制执行的前提,是判断用户是否有权访问信息的先决条件,同时也为日后追究责任提供不可抵赖的证据 1.2 入网认证入网认证l身份认证的依据 l用户所知道的 l密码 l用户所拥有的 l智能卡l用户的特征 l生物学上的属性 l根据特定地点(或特定时间)l通过信任的第三方 lKerberos,IKE1.2 入网认证入网认证l身份认证的评价标准l可行性l认证强度l认证粒度l认证数据正确l不同协议间的适应性 1.2 入网认证入网认证l身份认证的评价标准l可行性 l从用户的观点看,认证方法应该提高用户访问应用的效率,减少多余
6、的交互认证过程,提供一次性认证l另外所有用户可访问的资源应该提供友好的界面给用户访问 l典型实例:单点登录(SSO)1.2 入网认证入网认证l身份认证的评价标准l认证强度 l认证强度取决于采用的算法的复杂度以及密钥的长度l采用更复杂的算法,更长的密钥,将能提高系统的认证强度,提高系统的安全性1.2 入网认证入网认证l身份认证的评价标准l认证粒度 l身份认证只决定是否允许用户进入服务应用。之后如何控制用户访问的内容,以及控制的粒度也是认证系统的重要标志l有些认证系统仅限于判断用户是否具有合法身份,有些则按权限等级划分成几个密级,严格控制用户按照自己所属的密级访问 l典型实例:UNIX、MS Wi
7、ndows NT等1.2 入网认证入网认证l身份认证的评价标准l认证数据正确 l消息的接受者能够验证消息的合法性、真实性和完整性l消息的发送者对所发的消息不可抵赖l除了合法的消息发送者外,任何其他人不能伪造合法的消息l当通信双方(或多方)发生争执时,有公正权威的第3方解决纠纷 l典型实例:电子商务安全1.2 入网认证入网认证l身份认证的评价标准l不同协议间的适应性 l认证系统应该对所有协议的应用进行有效的身份识别l除了HTTP以外,安全Email访问(包括认证SMTP、POP或者IMAP)也应该包含在认证系统中 l典型实例:网格安全1.2 入网认证入网认证l口令认证的一般过程l用户名的识别与验
8、证 l确定是否存在该用户的信息 l用户口令的识别与验证 l确定用户输入的口令是否正确 l用户帐号的缺省限制检查 l确定该用户帐号是否可用,以及能够进行哪些操作、访问哪些资源等用户的权限 1.2 入网认证入网认证l口令认证l口令认证也称通行字认证,是一种根据已知事物验证身份的方法 l通行字的选择原则 l易记l难以被别人猜中或发现l抗分析能力强l需要考虑的方面l选择方法、使用期限、字符长度、分配和管理以及在计算机系统内的保护 1.2 入网认证入网认证安全性要求口令认证方案无无口令低合法用户公用口令中每个用户一个单独的口令高要求一次一密,或口令分散*系统中不存储口令的原文1.2 入网认证入网认证l认
9、证方式l单向认证l双向认证询问认证受理的用户可利用他所知道、而别人不太知道的一些信息向申请用户提问一系列不大相关的问题 1.3 物理隔离措施物理隔离措施l物理隔离l物理隔离技术是一种将内外网络从物理上断开,但保持逻辑连接的网络安全技术l任何时候内外网络都不存在连通的物理连接,同时原有的传输协议必须被中断 l逻辑连接指能进行适度的数据交换1.3 物理隔离措施物理隔离措施l1999年12月29日国家保密局发布的计算机信息系统国际联网保密管理规定中第二章第六条规定:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相联接,必须进行物理隔离”1.3 物理隔离措施物理隔离措施
10、l网络物理隔离方案l客户端的物理隔离 l集线器级的物理隔离 l服务器端的物理隔离1.3 物理隔离措施物理隔离措施l网络物理隔离方案l客户端的物理隔离 1.3 物理隔离措施物理隔离措施l网络物理隔离方案l客户端的物理隔离 l网络安全隔离卡 1.3 物理隔离措施物理隔离措施l网络物理隔离方案l集线器级的物理隔离 1.3 物理隔离措施物理隔离措施l网络物理隔离方案l集线器级的物理隔离 l物理隔离网闸 1.3 物理隔离措施物理隔离措施l网络物理隔离方案l服务器端的物理隔离 1.3 物理隔离措施物理隔离措施l物理隔离的优点l安全级别高,保障强l易于在现有涉密网上安装l物理隔离的未尽之处l资源消耗大l缺乏
11、管理l认证、访问控制、审计、取证l 妨碍应用1.4 自主访问控制自主访问控制l自主访问控制l由客体自主地来确定各个主体对它的直接访问权限(又称访问模式)l在自主访问控制下,用户可以按自己的意愿对系统的参数做适当的修改,以决定哪个用户可以访问他们的文件 1.4 自主访问控制自主访问控制l自主访问控制lDiscretionary Access Control,简称DAC l自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问,这种控制是自主的l自主l是指对其它具有授予某种访问权力的主体能够自主地(可能是间接的)将访问权的某个子集授予其它主体 1.4 自主访问控制自主访问控制l访问控制矩
12、阵 1.4 自主访问控制自主访问控制lDAC的实现方法l基于行的DAC:面向主体l权力表(Capabilities List)r,w,a,el前缀表(Profiles)可访问文件命l口令(Password)l基于列的DAC:面向客体l保护位(Protection Bits)用户组:RWX l访问控制表(Access Control List,ACL)主体明细表 1.4 自主访问控制自主访问控制lDAC的优点l方便、实用l可由用户自由定制l可扩展性强l缺点l管理分散、用户关系不清l权限易被滥用l信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O
13、访问权限的B可访问O。1.5 强制访问控制强制访问控制l强制访问控制 lMandatory Access Control,简称MAC l用户与文件都有一个固定的安全属性,系统利用安全属性来决定一个用户是否可以访问某个文件l安全属性是强制性的,它是由安全管理员或操作系统根据限定的规则分配的,用户或用户的程序不能修改安全属性 1.5 强制访问控制强制访问控制l强制访问控制 l如果系统认为具有某一安全属性的用户不适于访问某个文件,那么任何人(包括文件的拥有者)都无法使该用户具有访问文件的能力 l强制访问控制是比任意访问控制更强的一种访问控制机制,它可以通过无法回避的访问限制来防止某些对系统的非法入侵
14、l强制访问控制可以防止一个进程生成共享文件,从而防止一个进程通过共享文件把信息从一个进程传送给另一个进程 1.5 强制访问控制强制访问控制l抵抗特洛伊木马l特洛伊木马进行攻击的条件 l必须编写一段程序或修改一个已存在的程序来进行非法操作,而且这种非法操作不能令程序的使用者起任何怀疑。这个程序对使用者来说必须具有吸引力l必须使受害者能以某种方式访问到或得到这个程序,如将这个程序放在系统的根目录或公共目录中l必须使受害者运行这个程序。一般利用这个程序代替一个受害者常用的程序来使受害者不知不觉地使用它l受害者在系统中有一个合法的帐号1.5 强制访问控制强制访问控制l抵抗特洛伊木马l强制访问控制一般与
15、自主访问控制结合使用,并实施一些附加的、更强的访问限制l限制访问控制的灵活性 l过程控制 1.5 强制访问控制强制访问控制lBell-La Padual模型 l简单安全规则l仅当主体的敏感级不低于客体敏感级且主体的类别集合包含客体时,才允许该主体读该客体。即主体只能读密级等于或低于它的客体,也就是说主体只能从下读,而不能从上读l星规则l仅当主体的敏感级不高于客体敏感级且客体的类别集合包含主体的类别集合时,才允许该主体写该客体。即主体只能写密级等于或高于它的客体,也就是说主体只能向上写,而不能向下写1.5 强制访问控制强制访问控制lBiba模型 l简单完整规则l仅当主体的完整级大于等于客体的完整
16、级且主体的类别集合包含客体的类别集时,才允许该主体写该客体。即主体只能向下写,而不能向上写,也就是说主体只能写(修改)完整性级别等于或低于它的客体 l完整性制约规则(星规则)l仅当主体的完整级不高于客体完整级且客体的类别集合包含主体的类别集合时,才允许该主体读读客体。即主体只能从上读,而不能从下读 1.6角色访问控制技术角色访问控制技术l四种RBAC模型l基本模型RBAC0 l角色的层次结构RBAC1 l约束模型RBAC2 l混合模型RBAC3 1.6角色访问控制技术角色访问控制技术l基本模型RBAC0 l四个基本要素l用户(User)l角色(Role)l会话(Session)l授权(Perm
17、ission)1.6角色访问控制技术角色访问控制技术l四种RBAC模型l角色的层次结构RBAC1 lRBAC1的特征是为RBAC0上引入了角色层次的概念 l约束模型RBAC2lRBAC2除了继承RBAC0的原有特征外,还引入了约束(Constraints)的概念 l互斥角色(Mutually Exclusion Roles)l基数约束(Cardinality Constraints)l先决条件角色 l运行时约束 1.6角色访问控制技术角色访问控制技术lRBAC模型的优点l一种策略无关的访问控制技术l具有自管理的能力 l使得安全管理更贴近应用领域的机构或组织的实际情况lRBAC模型的不足l复杂、
18、不成熟lRBAC的策略无关性需要用户自己定义适合本领域的安全策略 1.7发展趋势发展趋势l安全策略l细粒度l面向需求l动态l行为l安全模型l理论更趋完备l无干扰理论2.防火墙技术防火墙技术 l2.1 防火墙技术概述 l2.2 防火墙的结构 l2.3 构建防火墙 l2.4 防火墙发展趋势2.1 防火墙技术概述防火墙技术概述 l在网络中防火墙主要用于逻辑隔离外部网络与受保护的内部网络 2.1 防火墙技术概述防火墙技术概述 l防火墙技术属于典型的静态安全技术,该类技术用于逻辑隔离内部网络与外部网络l通过数据包过滤与应用层代理等方法实现内外网络之间信息的受控传递,从而达到保护内部网络的目的 2.1 防
19、火墙技术概述防火墙技术概述 l经典安全模型l防火墙规则l匹配条件l防火墙分类2.1 防火墙技术概述防火墙技术概述l经典安全模型 2.1 防火墙技术概述防火墙技术概述l防火墙规则 l防火墙的基本原理是对内部网络与外部网络之间的信息流传递进行控制l控制的功能是通过在防火墙中预先设定一定的安全规则(也称为安全策略)实现的 2.1 防火墙技术概述防火墙技术概述l防火墙规则 l防火墙的安全规则由匹配条件与处理方式两个部分共同构成l其中匹配条件是一些逻辑表达式,根据信息中的特定值域可以计算出逻辑表达式的值为真(True)或假(False)l如果信息使匹配条件的逻辑表达式为真,则说明该信息与当前规则匹配2.
20、1 防火墙技术概述防火墙技术概述l防火墙规则 l信息一旦与规则匹配,就必须采用规则中的处理方式进行处理 l处理方式主要包括lAccept:允许数据包或信息通过 lReject:拒绝数据包或信息通过,并且通知信息源该信息被禁止 lDrop:直接将数据包或信息丢弃,并且不通知信息源 2.1 防火墙技术概述防火墙技术概述l防火墙规则 l基本原则 l“默认拒绝”原则 l“默认允许”原则 l现有的防火墙产品大多基于第一种规则 2.1 防火墙技术概述防火墙技术概述l匹配条件 l网络层 lIP源地址、IP目的地址、协议l传输层l源端口、目的端口 l应用层l根据各种具体应用而定l基于信息流向的匹配条件l向内、
21、向外2.1 防火墙技术概述防火墙技术概述l防火墙分类 l按防范领域分类 l个人防火墙 禁止Internet文件共享、隐藏端口、过滤IP信息流、控制Internet应用程序、警告和日志、漏洞检查 l网络防火墙对网络数据流进行分析,并按照规则进行过滤。2.1 防火墙技术概述防火墙技术概述l防火墙分类 l按实现的方式分类 l软件防火墙l硬件防火墙 2.1 防火墙技术概述防火墙技术概述l防火墙分类 l按实现技术分类 l数据包过滤在系统进行IP数据包转发时设置访问控制列表,访问控制列表主要由各种规则组成。数据包过滤的规则主要采用网络层与传输层匹配条件l应用层代理应用层代理是指运行在防火墙主机上的特殊应用
22、程序或者服务器程序这些程序根据安全策略接受用户对网络的请求,并在用户访问应用信息时依据预先设定的应用协议安全规则进行信息过滤 2.1 防火墙技术概述防火墙技术概述l应用层代理示意图2.1 防火墙技术概述防火墙技术概述l技术方案对比l数据包过滤 l服务无关、对用户透明 l过滤规则复杂、正确性难以检测、容易形成瓶颈l应用层代理 l内网安全性较高、Cache机制可以提高信息访问效率、支持用户认证 、支持基于内容的信息过滤 l必须对每种应用提供代理服务和代理客户端、实时性差2.2 防火墙的结构防火墙的结构l经典防火墙体系结构l双重宿主主机体系结构l被屏蔽主机体系结构l被屏蔽子网体系结构 2.2 防火墙
23、的结构防火墙的结构l双重宿主主机体系结构2.2 防火墙的结构防火墙的结构l被屏蔽主机体系结构2.2 防火墙的结构防火墙的结构l被屏蔽子网体系结构 2.2 防火墙的结构防火墙的结构l其他体系结构 l合并内部和外部路由器l合并堡垒主机和外部路由器l合并堡垒主机和内部路由器l多台内部路由器l多台外部路由器l多个周边网络2.2 防火墙的结构防火墙的结构l其他体系结构 l合并内部和外部路由器2.2 防火墙的结构防火墙的结构l其他体系结构 l合并堡垒主机和外部路由器2.2 防火墙的结构防火墙的结构l其他体系结构 l合并堡垒主机和内部路由器2.2 防火墙的结构防火墙的结构l其他体系结构 l多台内部路由器2.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 访问 控制 防火墙
限制150内