第3章访问控制与防火墙技术
动作 拒绝
入
内部网络
拒绝
缺点:信息利用不完全。
3.2 防火墙技术基础
按服务过滤: 例:禁 止外部 主 机访问 内 部的 E_Mail 服务器 ( 协议 SMTP 端口25),允许内部主机访问外部主机,则:
规则 方向 A B C 入 出 双向 动作 拒绝 允许 拒绝 源 地址 M * * 源端口 * * * 目的地址 E_Mail * * 目的 端口 25 * * 注释 不信任 允许连接 默认状态
路由协议本身具有安全漏洞 路由器上的分组过滤规则的设置和配置复杂 攻击者可假冒地址 本质缺陷:一对矛盾,防火墙的设置会大大降低 路由器的性能。
路由器:为网络访问提供动态灵活的路由 防火墙:对访问行为实施静态固定的控制
3.2 防火墙技术基础
包过滤型防火墙
第二代: 用户化的防火墙工具套件
3.1 访问控制技术
•强制访问控制(mandatory policies)
特点:取决于能用算法表达的并能在计算机上执行的策
略。策略给出资源受到的限制和实体的授权,对资源的 访问取决于实体的授权而非实体的身份。RBAC决策在批 准一个访问之前需要进行授权信息和限制信息的比较。
(1)将主体和客体分级,根据主体和客体的级别标记来
安全策略之间没有更好的说法,只是一种可以比一种
提供更多的保护。应根据应用环境灵活使用。
3.1 访问控制技术
访问控制策略与机制
•自主访问控制(discretionary policies), 也称基 于身份的访问控制IBAC(Identity Based Access Control) •强制访问控制(mandatory policies),也称基于规则 的访问控制RBAC(Rule Based Access Control) •基于角色的访问控制(role-based policies)
3.1 访问控制技术
角色的定义
每个角色与一组用户和有关的动作相互关联,角色中 所属的用户可以有权执行这些操作 A role can be defined as a set of actions and responsibilities associated with a particular working activity. 角色与组的区别
3.2 防火墙技术基础
网络层 链路层 物理层
外部网络
内部网 络
3.2 防火墙技术基础
应用层
表示层 包 过 滤 模 型 会话层 传输层 网络层
防火墙检查模块
与过滤规则 匹配吗 链路层数据 传输层数据 应用层数据
与过滤规则 匹配吗
审计/报警
转发包吗
数据链路层
发送NACK
物理层
丢弃包
结束
3.2 防火墙技术基础
包括分组过滤或借用路由器的分组过滤功能; 装有专用的代理系统,监控所有协议的数据和指令; 保护用户编程空间和用户可配置内核参数的设置; 安全性和速度大为提高。
3.2 防火墙技术基础
实现方式:软件、硬件、软硬结合。 问题:
作为基础的操作系统及其内核的安全性无从保证。 通用操作系统厂商不会对防火墙的安全性负责; 从本质上看,第三代防火墙既要防止来自外部网 络的攻击,还要防止来自操作系统漏洞的攻击。 用户必须依赖两方面的安全支持:防火墙厂商和 操作系统厂商。
特征: 将过滤功能从路由器中独立出来,并加上审计和告 警功能; 针对用户需求提供模块化的软件包; 安全性提高,价格降低; 纯软件产品,实现维护复杂。 缺点: 配置和维护过程复杂费时; 对用户技术要求高; 全软件实现,安全性和处理速度均有局限;
3.2 防火墙技术基础
第三代:建立在通用操作系统上的防火墙 是近年来在市场上广泛可用的一代产品。 特征
设置步骤:
●确定什么是应该或不应该被允许的。 ●规定允许的包类型、包字段的逻辑表达。 ●用防火墙支持的语法重写表达式。
3.2 防火墙技术基础
按地址过滤: 例:如果认为202.110.8.0是危险网络,则可以:
规则 方向 出 源地址 目的地址 内部网络 202.110.8.0
202.110.8.0
A B
3.1 访问控制技术
访问控制策略与机制 访问控制策略(Access Control Policy):访问控制
策略在系统安全策略级上表示授权。是对访问如何控 制,如何作出访问决定的高层指南。
访问控制机制(Access Control Mechanisms):是
访问控制策略的软硬件低层实现。
访问控制机制与策略独立,可允许安全机火墙 1997年初,此类产品面市。 安全性有质的提高。 获得安全操作系统的方法:
通过许可证方式获得操作系统的源码; 通过固化操作系统内核来提高可靠性。
3.2 防火墙技术基础
特点:
防火墙厂商具有操作系统的源代码,并可实现安 全内核; 对安全内核实现加固处理:即去掉不必要的系统 特性,强化安全保护; 对每个服务器、子系统都作了安全处理; 在功能上包括了分组过滤、代理服务,且具有加 密与鉴别功能; 透明性好,易于使用。
未授权的访问包括:
未经授权的使用、泄露、修改、销毁信息以及颁 发指令等。 –非法用户进入系统。
3.1 访问控制技术
访问控制的作用:
访问控制对机密性、完整性起直接的作用。 对于可用性,访问控制通过对以下信息的有效控制
来实现: 1)谁可以颁发影响网络可用性的网络管理指令 2)谁能够滥用资源以达到占用资源的目的 3)谁能够获得可以用于拒绝服务攻击的信息
组:一组用户的集合
角色:一组用户的集合 + 一组操作权限的集合
3.2 防火墙技术基础
1.防火墙的概念 在网络中,所谓“防火墙”,是指一种将内部网和公众访 问网 ( 如 Internet) 分开的方法,它实际上是一种隔离技术。 防火墙是在两个网络通讯时执行的一种访问控制尺度,它 能允许你“同意”的人和数据进入你的网络,同时将你 “不同意”的人和数据拒之门外,最大限度地阻止网络中 的黑客来访问你的网络。
第3章 访问控制与防火墙技术
1. 2. 3. 4. 5. 6. 本章主要介绍: 访问控制技术 防火墙技术基础 防火墙安全设计策略 防火墙攻击策略 第四代防火墙的主要技术 防火墙发展的新方向
3.1 访问控制技术
一般概念:
是针对越权使用资源的防御措施。
基本目标:
防止对任何资源(如计算资源、通信资源或信息 资源)进行未授权的访问。从而使计算机系统在合法 范围内使用;决定用户能做什么,也决定代表一定用 户利益的程序能做什么。
3.2 防火墙技术基础
两种缺省策略:
没有被拒绝的流量都可以通过
管理员必须针对每一种新出现的攻击,制定新的规则 比较保守 根据需要,逐渐开放
没有被允许的流量都要拒绝
3.2 防火墙技术基础
每个数据包都包含有特定信息的一组报头,其主要信息是:
(1)IP协议类型(TCP、UDP,ICMP等); (2)IP源地址; (3)IP目标地址; (4)TCP或UDP源端口号; (5)TCP或UDP目标端口号;
3.2 防火墙技术基础
防火墙的控制能力: 服务控制,确定哪些服务可以被访问 方向控制,对于特定的服务,可以确定允许哪 个方向能够通过防火墙 用户控制,根据用户来控制对服务的访问 行为控制,控制一个特定的服务的行为
3.2 防火墙技术基础
防火墙的优点: ●防火墙对企业内部网实现了集中的安全管理,可以强
化网络安全策略,比分散的主机管理更经济易行。 ●防火墙能防止非授权用户进入内部网络。 ●防火墙可以方便地监视网络的安全性并报警。 ●可以作为部署网络地址转换(Network Address Translation)的地点,利用NAT技术,可以缓解地址空 间的短缺,隐藏内部网的结构。 ●利用防火墙对内部网络的划分,可以实现重点网段的 分离,从而限制安全问题的扩散。 ●由于所有的访问都经过防火墙,防火墙是审计和记录 网络的访问和使用的最佳地方。
决定访问模式。如,绝密级,机密级,秘密级,无密级。
(2)其访问控制关系分为:上读/下写,下读/上写 (完整性) (机密性) (3)通过安全标签实现单向信息流通模式。
3.1 访问控制技术
•基于角色的访问控制(role-based policies)
与现代的商业环境相结合的产物
基于角色的访问控制是一个复合的规则,可以被认为是 IBAC和RBAC的变体。一个身份被分配给一个被授权的组。 起源于UNIX系统或别的操作系统中组的概念
3.2 防火墙技术基础
第四代防火墙的主要技术与功能:
灵活的代理系统:两种代理机制,一种用于从 内部网到外部网的连接,另一种用于此外部网 到内部网的连接; 双端口或三端口结构; 网络地址转换技术(NAT) 虚拟专网技术(VPN)
3.2 防火墙技术基础
防火墙的类型:
●数据包过滤路由器 ●应用层网关 ●电路层网关
基于路由器的防火墙
利用路由器本身对分组的解析,进行分组过滤 过滤判断依据:地址、端口号、IP旗标及其它网络特征 防火墙与路由器合为一体,只有过滤功能 适用于对安全性要求不高的网络环境
将过滤功能从路由器中独立出来,并加上审计和告警功能 针对用户需求,提供模块化的软件包 软件可通过网络发送,用户可根据需要构造防火墙 与第一代防火墙相比,安全性提高了,价格降低了 是批量上市的专用防火墙产品 包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统,监控所有协议的数据和指令 保护用户编程空间和用户可配置内核参数的设置 安全性和速度大为提高。 防火墙厂商具有操作系统的源代码,并可实现安全内核 去掉了不必要的系统特性,加固内核,强化安全保护 在功能上包括了分组过滤、应用网关、电路级网关 增加了许多附加功能:加密、鉴别、审计、NAT转换 透明性好,易于使用
