网络安全访问控制与防火墙技术

② 按地址过滤
•比如说，认为网络202.110.8.0是一个危险的网络 比如说，认为网络202.110.8.0是一个危险的网络 比如说 202.110.8.0 ，那么就可以用源地址过滤禁止内部主机和该网络 进行通信。下表是根据上面的政策所制定的规则。 进行通信。下表是根据上面的政策所制定的规则。
规则 A B 方 出 入 源地址 内部网络 202.110.8.0 目标地址 202.110.8.0 内部网络 动作 拒绝 拒绝
•优点： 优点： 优点 控制粒度比较小，适用于被区分的用户数比 控制粒度比较小， 较小的情况， 较小的情况，并且这些用户的授权情况相对比较 稳定的情形。 稳定的情形。
2. 访问能力表
授权机构针对每个限制区域，都为用户维护 授权机构针对每个限制区域， 它的访问控制能力。 它的访问控制能力。
3. 安全标签
发起请求的时候，附属一个安全标签， 发起请求的时候，附属一个安全标签，在目 标的属性中，也有一个相应的安全标签。 标的属性中，也有一个相应的安全标签。在做出 授权决定时， 授权决定时，目标环境根据这两个标签决定是允 许还是拒绝访问，常常用于多级访问策略。 许还是拒绝访问，常常用于多级访问策略。
4． 基于口令的机制 ．
3． 1 访问控制技术
3．1．1 访问控制技术概述
1. 访问控制的定义
访问控制是针对越权使用资源的防御措施， 访问控制是针对越权使用资源的防御措施， 是网络安全防范和保护的主要策略， 是网络安全防范和保护的主要策略，主要任务是 保证网络资源不被非法使用和非常访问。 保证网络资源不被非法使用和非常访问。 也是保证网络安全的核心策略之一。 也是保证网络安全的核心策略之一。
• 特点：灵活性高，被大量采用。 特点：灵活性高，被大量采用。 • 缺点：安全性最低。 缺点：安全性最低。
自主访问控制可以分为以下两类： 自主访问控制可以分为以下两类：
(1) 基于个人的策略 (2) 基于组的策略 • 自主访问控制存在的问题： 配置的粒度小 ， 自主访问控制存在的问题 ： 配置的粒度小， 配置的工作量大，效率低。 配置的工作量大，效率低。
4.多级策略法 4.多级策略法
多级策略给每个目标分配一个密级， 多级策略给每个目标分配一个密级，一般安 全属性可分为四个级别：最高秘密级（ 全属性可分为四个级别：最高秘密级（Top Secret）、秘密级（Secret）、机密级（ ）、秘密级 ）、机密级 Secret）、秘密级（Secret）、机密级（ Confidene）以及无级别级（ Confidene）以及无级别级（Unclassified ）。
③ 按服务过滤
假设安全策略是禁止外部主机访问内部的 mail服务器 SMTP，端口25），允许内部主 服务器（ 25）， E-mail服务器（SMTP，端口25），允许内部主 机访问外部主机， 机访问外部主机，实现这种的过滤的访问控制 规则类似下表。 规则类似下表。
网络安全技术
退出
学习目的： 学习目的：
了解访问控制技术的基本概念 熟悉防火墙技术基础 初步掌握防火墙安全设计策略 了解防火墙攻击策略 了解第四代防火墙的主要技术 了解防火墙发展的新方向 了解防火墙选择原则与常见产品
Baidu Nhomakorabea
学习重点： 学习重点：
Windows NT/2K安全访问控制手段 防火墙安全设计策略 防火墙攻击策略 防火墙选择原则
•通过检查模块，防火墙能拦截和检查所有出站的 通过检查模块， 通过检查模块 数据。 数据。
① 设置步骤
•必须制定一个安全策略； 必须制定一个安全策略； 必须制定一个安全策略 •必须正式规定允许的包类型、包字段的逻辑表达； 必须正式规定允许的包类型、 必须正式规定允许的包类型 包字段的逻辑表达； •必须用防火墙支持的语法重写表达式。 必须用防火墙支持的语法重写表达式。 必须用防火墙支持的语法重写表达式
3．1．3
访问控制的常用实现方法
访问控制的常用实现方法是指访问控制策略 的软硬件低层实现。访问控制机制与策略独立， 的软硬件低层实现。访问控制机制与策略独立， 可允许安全机制的重用。 可允许安全机制的重用。安全策略之间没有更好 的说法，应根据应用环境灵活使用。 的说法，应根据应用环境灵活使用。
访问控制表(ACL) 1. 访问控制表(ACL)
（1）与目标的内容相关的访问控制 （2）多用户访问控制 （3）基于上下文的控制
3．1．4 ． ．
Windows NT/2K 安全访问控制手段
对于用户而言， NT/2K有以下几种管 对于用户而言，Windows NT/2K有以下几种管 理手段： 理手段：
1． 用户帐号和用户密码 2． 域名管理 3． 用户组权限 4． 共享资源权限
3． 2 防火墙技 术 基础
3．2．1 防火墙概述 ． ．
防火墙（FireWall） 1． 防火墙（FireWall）
•所谓“防火墙”，是指一种将内部网和公众网络（如 所谓“防火墙” 是指一种将内部网和公众网络（ 所谓 Internet）分开的方法，它实际上是一种隔离技术， Internet）分开的方法，它实际上是一种隔离技术，是 在两个网络通信时执行的一种访问控制手段， 在两个网络通信时执行的一种访问控制手段，它能允许 用户“同意”的人和数据进入网络，同时将用户“ 用户“同意”的人和数据进入网络，同时将用户“不同 的人和数据拒之门外， 意”的人和数据拒之门外，最大限度地阻止网络中的黑 客来访问自己的网络，防止他们更改、 客来访问自己的网络，防止他们更改、复制和毁坏自己 的重要信息。 的重要信息。 •一个防火墙的基本目标为： 一个防火墙的基本目标为： 一个防火墙的基本目标为 对于一个网络来说，所有通过“内部” 1）对于一个网络来说，所有通过“内部”和“外 的网络流量都要经过防火墙； 部”的网络流量都要经过防火墙；2）通过一些安全策 来保证只有经过授权的流量才可以通过防火墙； 略，来保证只有经过授权的流量才可以通过防火墙；3 防火墙本身必须建立在安全操作系统的基础上。 ）防火墙本身必须建立在安全操作系统的基础上。
3． 防火墙的局限性 ．
（1）限制有用的网络服务。 限制有用的网络服务。 无法防护内部网络用户的攻击。 （2）无法防护内部网络用户的攻击。 Internet防火墙无法防范通过防火墙以外 （3）Internet防火墙无法防范通过防火墙以外 的其他途径的攻击。 的其他途径的攻击。 Internet防火墙也不能完全防止传送已感 （4）Internet防火墙也不能完全防止传送已感 染病毒的软件或文件。 染病毒的软件或文件。 防火墙无法防范数据驱动型的攻击。 （5）防火墙无法防范数据驱动型的攻击。 不能防备新的网络安全问题。 （6）不能防备新的网络安全问题。
2. 基本目标
防止对任何资源进行未授权的访问， 防止对任何资源进行未授权的访问，从而使 计算机系统在合法范围内使用； 计算机系统在合法范围内使用；决定用户能做什 么。
3. 访问控制的作用
（1）访问控制对机密性、完整性起直接 访问控制对机密性、 的作用。 的作用。 （2）对于可用性的有效控制
3．1．2
2． 防火墙的优点
（1）防火墙对企业内部网实现了集中的安全管理，可 防火墙对企业内部网实现了集中的安全管理， 以强化网络安全策略， 以强化网络安全策略，比分散的主机管理更经济易行 。 防火墙能防止非授权用户进入内部网络。 （2）防火墙能防止非授权用户进入内部网络。 防火墙可以方便地监视网络的安全性并报警。 （3）防火墙可以方便地监视网络的安全性并报警。 可以作为部署网络地址转换（ （4）可以作为部署网络地址转换（Network Address 的地点，利用NAT 技术， Translation ）的地点，利用NAT 技术，可以缓解地址 空间的短缺，隐藏内部网的结构。 空间的短缺，隐藏内部网的结构。 利用防火墙对内部网络的划分， （5）利用防火墙对内部网络的划分，可以实现重点网 段的分离，从而限制问题的扩散。 段的分离，从而限制问题的扩散。 由于所有的访问都经过防火墙， （6）由于所有的访问都经过防火墙，防火墙是审计和 记录网络的访问和使用的最佳地方。 记录网络的访问和使用的最佳地方。
3．2．2 防火墙的类型 ． ．
•防火墙常见的有三种类型：数据包过滤路由器 防火墙常见的有三种类型： 防火墙常见的有三种类型 应用层网关、电路层网关。 、应用层网关、电路层网关。
1． 数据包过滤路由器
（1）数据包过滤原理
•数据包过滤技术是防火墙最常用的技术。 数据包过滤技术是防火墙最常用的技术。 数据包过滤技术是防火墙最常用的技术 •数据包过滤技术，顾名思义是在网络中适当的 数据包过滤技术， 数据包过滤技术 位置对数据包实施有选择的通过规则， 位置对数据包实施有选择的通过规则，选择依据 即为系统内设置的过滤规则（即访问控制表） ，即为系统内设置的过滤规则（即访问控制表） ，只有满足过滤规则的数据包才被转发至相应的 网络接口，其余数据包则被从数据流中删除。 网络接口，其余数据包则被从数据流中删除。
访问控制策略
访问控制策略(Access Control Policy)是 访问控制策略(Access Policy)是 在系统安全策略级上表示授权， 在系统安全策略级上表示授权，是对访问如何控 如何作出访问决定的高层指南。 制、如何作出访问决定的高层指南。
1. 自主访问控制
自主访问控制(DAC)也称基于身份的访问控 自主访问控制(DAC)也称基于身份的访问控 (DAC) (IBAC)， 制 (IBAC)，是针对访问资源的用户或者应用设 置访问控制权限； 置访问控制权限；根据主体的身份及允许访问的 权限进行决策； 权限进行决策；自主是指具有某种访问能力的主 体能够自主地将访问权的某个子集授予其它主体 ，访问信息的决定权在于信息的创建者。 访问信息的决定权在于信息的创建者。
2. 强制访问控制
强制访问控制（MAC） 强制访问控制（MAC）也称基于规则的访问控 RBAC），在自主访问控制的基础上， ），在自主访问控制的基础上 制（RBAC），在自主访问控制的基础上，增加了 对资源的属性(安全属性)划分， 对资源的属性(安全属性)划分，规定不同属性下 的访问权限。 的访问权限。
4． 防火墙的作用 ．
防火墙用于加强网络间的访问控制， 防火墙用于加强网络间的访问控制，防止 外部用户非法使用内部网的资源， 外部用户非法使用内部网的资源，保护内部网 络的设备不被破坏， 络的设备不被破坏，防止内部网络的敏感数据 被窃取。 被窃取。 防火墙系统决定了哪些内部服务可以被外 界访问； 界访问；外界的哪些人可以访问内部的哪些可 以访问的服务， 以访问的服务，以及哪些外部服务可以被内部 人访问。 人访问。
• 数据包过滤可以控制站点与站点 、 站点与网络 数据包过滤可以控制站点与站点、 和网络与网络之间的相互访问， 和网络与网络之间的相互访问，但不能控制传输 的数据内容。 的数据内容。 因为传输的数据内容是应用层数据， 传输的数据内容是应用层数据 因为传输的数据内容是应用层数据，不是包 过滤系统所能辨认的， 过滤系统所能辨认的，数据包过滤允许用户在单 个地方为整个网络提供特别的保护。 个地方为整个网络提供特别的保护。 • 包过滤检查模块深入到系统的网络层和数据链 路层之间。 路层之间。 因为数据链路层是事实上的网卡（NIC）， 因为数据链路层是事实上的网卡（NIC）， 网络层是第一层协议堆栈， 网络层是第一层协议堆栈，所以防火墙位于软件 层次的最底层。 层次的最底层。
3. 基于角色的访问控制
基于角色的访问控制（RBAC） 基于角色的访问控制（RBAC）是与现代的商 业环境相结合后的产物， 业环境相结合后的产物，同时具有基于身份策略 的特征，也具有基于规则的策略的特征，可以看 的特征，也具有基于规则的策略的特征， 作是基于组的策略的变种， 作是基于组的策略的变种，根据用户所属的角色 作出授权决定。 作出授权决定。
下图是一个包过滤模型原理图： 下图是一个包过滤模型原理图：
7 应用层 6 表示层 5 会话层 4 传输层 3 网络层 防火墙检查模块 2 数据链路层 1 物理层 还有另外 的规则吗？ 发送 NACK 丢弃包 结束 与过滤规 则匹配吗？ 审计/报警 转发包吗？
IP TCP Session
Application