1、訪問控制與網(wǎng)絡(luò)隔離技術(shù),本章簡介,本章主要介紹了訪問控制的功能、原理、類型及機制，并對防火墻的定義和相關(guān)技術(shù)進行了較詳細(xì)的介紹，本章也對目前的各種物理隔離技術(shù)進行了比較和講解，并介紹了我國目前物理隔離技術(shù)的發(fā)展方向。 通過本章的學(xué)習(xí)，使讀者： （1）了解訪問控制列表； （2）理解防火墻原理； （3）了解物理隔離的定義和原理； （4）掌握防火墻和物理隔離的基本配置。,5.1訪問控制,訪問控制（Access Control）指系統(tǒng)對用戶身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段。通常用于系統(tǒng)管理員控制用戶對服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。訪問控制是系統(tǒng)保密性、完整性、可用性和合

2、法使用性的重要基礎(chǔ)，是網(wǎng)絡(luò)安全防范和資源保護的關(guān)鍵策略之一，也是主體依據(jù)某些控制策略或權(quán)限對客體本身或其資源進行的不同授權(quán)訪問。,5.1訪問控制,訪問控制的主要目的是限制訪問主體對客體的訪問，從而保障數(shù)據(jù)資源在合法范圍內(nèi)得以有效使用和管理。為了達到上述目的，訪問控制需要完成兩個任務(wù)：識別和確認(rèn)訪問系統(tǒng)的用戶、決定該用戶可以對某一系統(tǒng)資源進行何種類型的訪問。 訪問控制包括三個要素：主體、客體和控制策略。,5.1訪問控制,訪問控制的功能及原理 訪問控制的主要功能包括：保證合法用戶訪問受權(quán)保護的網(wǎng)絡(luò)資源，防止非法的主體進入受保護的網(wǎng)絡(luò)資源，或防止合法用戶對受保護的網(wǎng)絡(luò)資源進行非授權(quán)的訪問。訪問控制首

3、先需要對用戶身份的合法性進行驗證，同時利用控制策略進行選用和管理工作。當(dāng)用戶身份和訪問權(quán)限驗證之后，還需要對越權(quán)操作進行監(jiān)控。因此，訪問控制的內(nèi)容包括認(rèn)證、控制策略實現(xiàn)和安全審計.,5.1訪問控制,訪問控制功能及原理,5.1訪問控制,1）認(rèn)證 包括主體對客體的識別及客體對主體的檢驗確認(rèn)。 （2）控制策略 通過合理地設(shè)定控制規(guī)則集合，確保用戶對信息資源在授權(quán)范圍內(nèi)的合法使用。既要確保授權(quán)用戶的合理使用，又要防止非法用戶侵權(quán)進入系統(tǒng)，使重要信息資源泄露。同時對合法用戶，也不能越權(quán)行使權(quán)限以外的功能及訪問范圍。 （3）安全審計 系統(tǒng)可以自動根據(jù)用戶的訪問權(quán)限，對計算機網(wǎng)絡(luò)環(huán)境下的有關(guān)活動或行為進行系

4、統(tǒng)的、獨立的檢查驗證，并做出相應(yīng)評價與審計。,5.1訪問控制,訪問控制的類型及機制 訪問控制可以分為兩個層次：物理訪問控制和邏輯訪問控制。 訪問控制的類型 主要的訪問控制類型有3種模式：自主訪問控制（DAC）、強制訪問控制（MAC）和基于角色訪問控制（RBAC）。,5.1訪問控制,自主訪問控制（Discretionary Access Control，DAC）是一種接入控制服務(wù)，通過執(zhí)行基于系統(tǒng)實體身份及其到系統(tǒng)資源的接入授權(quán)。,5.1訪問控制,強制訪問控制（MAC）是系統(tǒng)強制主體服從訪問控制策略。是由系統(tǒng)對用戶所創(chuàng)建的對象，按照規(guī)定的規(guī)則控制用戶權(quán)限及操作對象的訪問。,5.1訪問控制,基于角

5、色的訪問控制（Role-Based Access Control，RBAC）是通過對角色的訪問所進行的控制。使權(quán)限與角色相關(guān)聯(lián)，用戶通過成為適當(dāng)角色的成員而得到其角色的權(quán)限。,5.1訪問控制,訪問控制機制 訪問控制機制是檢測和防止系統(tǒng)未授權(quán)訪問，并對保護資源所采取的各種措施。是在文件系統(tǒng)中廣泛應(yīng)用的安全防護方法，一般在操作系統(tǒng)的控制下，按照事先確定的規(guī)則決定是否允許主體訪問客體，貫穿于系統(tǒng)全過程。,5.1訪問控制,訪問控制列表（Access Control List，ACL）是應(yīng)用在路由器接口的指令列表，用于路由器利用源地址、目的地址、端口號等的特定指示條件對數(shù)據(jù)包的抉擇。 能力關(guān)系表（Cap

6、abilities List）是以用戶為中心建立訪問權(quán)限表。,5.1訪問控制,單點登入的訪問管理 通過單點登入SSO的主要優(yōu)點是：可集中存儲用戶身份信息，用戶只需一次向服務(wù)器驗證身份，即可使用多個系統(tǒng)的資源，無需再向各客戶機驗證身份，可提高網(wǎng)絡(luò)用戶的效率，減少網(wǎng)絡(luò)操作的成本，增強網(wǎng)絡(luò)安全性。根據(jù)登入的應(yīng)用類型不同，可將SSO分為3種類型。,5.1訪問控制,1.對桌面資源的統(tǒng)一訪問管理 2.Web單點登入 3.傳統(tǒng)C/S 結(jié)構(gòu)應(yīng)用的統(tǒng)一訪問管理,5.1訪問控制,訪問控制的安全策略 訪問控制的安全策略是指在某個自治區(qū)域內(nèi)（屬于某個組織的一系列處理和通信資源范疇），用于所有與安全相關(guān)活動的一套訪問控

7、制規(guī)則。由此安全區(qū)域中的安全權(quán)力機構(gòu)建立，并由此安全控制機構(gòu)來描述和實現(xiàn)。訪問控制的安全策略有三種類型：基于身份的安全策略、基于規(guī)則的安全策略和綜合訪問控制方式。,5.1訪問控制,1.安全策略實施原則 最小特權(quán)原則。 最小泄露原則。 多級安全策略。,5.1訪問控制,基于身份和規(guī)則的安全策略 授權(quán)行為是建立身份安全策略和規(guī)則安全策略的基礎(chǔ)，兩種安全策略為： （1）基于身份的安全策略 （2）基于規(guī)則的安全策略,5.1訪問控制,3.綜合訪問控制策略 （1）入網(wǎng)訪問控制 （2）網(wǎng)絡(luò)的權(quán)限控制 （3）目錄級安全控制 （4）屬性安全控制 （5）網(wǎng)絡(luò)服務(wù)器安全控制 （6）網(wǎng)絡(luò)監(jiān)控和鎖定控制 （7）網(wǎng)絡(luò)端口和

8、結(jié)點的安全控制,5.2 防火墻技術(shù),防火墻的概述 防火墻是設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合，是網(wǎng)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)用戶的安全策略控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，能有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動，保證內(nèi)部網(wǎng)絡(luò)的安全，,5.2 防火墻技術(shù),5.2 防火墻技術(shù),防火墻的目的 從理論上講，防火墻用來防止Internet上的各類危險傳播到內(nèi)部的網(wǎng)絡(luò)內(nèi)。事實上，防火墻

9、服務(wù)用于多個目的： 限定人們從一個特別的節(jié)點進入； 防止入侵者接近你的防御設(shè)施； 限定人們從一個特別的節(jié)點離開； 有效地阻止破壞者對正常用戶的計算機系統(tǒng)進行破壞。,5.2 防火墻技術(shù),防火墻的位置,5.2 防火墻技術(shù),防火墻應(yīng)當(dāng)根據(jù)安全計劃和安全策略中的定義來保護網(wǎng)絡(luò)，并具有以下功能： （1）所有進出網(wǎng)絡(luò)的通信流應(yīng)該通過防火墻； （2）所有穿過防火墻的通信流都必須有安全策略和計劃的確認(rèn)和授權(quán)； （3）理論上說，防火墻是穿不透的。,5.2 防火墻技術(shù),需要防火墻防范的3種基本進攻： 間諜：試圖偷走敏感信息的黑客、入侵者和闖入者。 盜竊：盜竊對象包括數(shù)據(jù)、Web表格、磁盤空間、CPU資源、聯(lián)接等。

10、 破壞系統(tǒng)：通過路由器或主機/服務(wù)器蓄意破壞文件系統(tǒng)或阻止授權(quán)用戶訪問內(nèi)部網(wǎng)（外部網(wǎng)）和服務(wù)器。,5.2 防火墻技術(shù),3防火墻的特性 一個好的防火墻系統(tǒng)應(yīng)具有以下3方面的特性： 所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻； 只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻； 防火墻本身不受各種攻擊的影響。,5.2 防火墻技術(shù),防火墻具有的基本準(zhǔn)則是： （1）過濾不安全服務(wù) （2）過濾非法用戶和訪問特殊站點,5.2 防火墻技術(shù),防火墻的優(yōu)點 （1）防火墻能強化安全策略 （2）防火墻能有效地記錄Internet上的活動 （3）防火墻可以實現(xiàn)網(wǎng)段控制 （4）防火墻是一個安

11、全策略的檢查站,5.2 防火墻技術(shù),防火墻的缺點 防火墻技術(shù)是內(nèi)部網(wǎng)絡(luò)最重要的安全技術(shù)之一，但防火墻也有其明顯的局限性： （1）防火墻防外不防內(nèi) （2）防火墻難于管理和配置，易造成安全漏洞 （3）很難為用戶在防火墻內(nèi)外提供一致的安全策略 （4）防火墻只實現(xiàn)了粗粒度的訪問控制 （5）防火墻不能防范病毒,5.2 防火墻技術(shù),防火墻的類型 1.包過濾防火墻 2代理防火墻 3混合型防火墻,5.2 防火墻技術(shù),防火墻的安全策略 1網(wǎng)絡(luò)服務(wù)訪問策略 2防火墻設(shè)計策略,5.2 防火墻技術(shù),防火墻的技術(shù) 防火墻的技術(shù)大體上可以包括：包過濾技術(shù)，代理技術(shù)，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，狀態(tài)檢查技術(shù)，加密技術(shù)，安全審記技術(shù)，

12、安全內(nèi)核技術(shù)，身份認(rèn)證技術(shù)，負(fù)載均衡技術(shù)等方面。這里主要介紹包過濾技術(shù)、代理技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。,5.2 防火墻技術(shù),包過濾術(shù)技術(shù),5.2 防火墻技術(shù),代理防火墻,5.2 防火墻技術(shù),NAT的工作過程,5.2 防火墻技術(shù),防火墻技術(shù)趨勢 1高速的性能 2良好的可擴展性 3與其它網(wǎng)絡(luò)安全產(chǎn)品的協(xié)同互動 4簡化的安裝與管理,5.3物理隔離技術(shù),隔離技術(shù)的發(fā)展歷程 第一代隔離技術(shù)完全的隔離。 第二代隔離技術(shù)硬件卡隔離。 第三代隔離技術(shù)數(shù)據(jù)轉(zhuǎn)播隔離。 第四代隔離技術(shù)空氣開關(guān)隔離。 第五代隔離技術(shù)安全通道隔離。,5.3物理隔離技術(shù),物理隔離的定義 所謂“物理隔離”是指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。

13、物理安全的目的是保護路由器、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。,5.3物理隔離技術(shù),物理隔離在安全上主要有以下3點要求： （1）在物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)絡(luò)不能通過網(wǎng)絡(luò)連接而侵入內(nèi)部網(wǎng)絡(luò)；同時防止內(nèi)部網(wǎng)絡(luò)信息通過網(wǎng)絡(luò)連接泄漏到外部網(wǎng)絡(luò)。 （2）在物理輻射上隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)，確保內(nèi)部網(wǎng)絡(luò)信息不會通過電磁輻射或耦合方式泄漏到外部網(wǎng)絡(luò)。 （3）在物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境，對于斷電后會遺失信息的部件，如內(nèi)存、處理器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時清除處理，防止殘留信息出網(wǎng)；對于斷電非遺失性設(shè)備如磁帶機、硬盤等存儲設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)要分開存儲。,

14、5.3物理隔離技術(shù),物理隔離功能及實現(xiàn)技術(shù)分析 1.物理隔離網(wǎng)閘的定位 物理隔離技術(shù)，不是要替代防火墻，入侵檢測，漏洞掃描和防病毒系統(tǒng)，相反，它是用戶“深度防御”的安全策略的另外一塊基石，一般用來保護為了的“核心”。物理隔離技術(shù)，是絕對要解決互聯(lián)網(wǎng)的安全問題，而不是什么其它的問題。,5.3物理隔離技術(shù),2.物理隔離要解決的問題 解決目前防火墻存在的根本問題： 防火墻對操作系統(tǒng)的依賴，因為操作系統(tǒng)也有漏洞。 TCP/IP的協(xié)議漏洞：不用TCP/IP。 防火墻、內(nèi)網(wǎng)和DMZ同時直接連接。 應(yīng)用協(xié)議的漏洞，因為命令和指令可能是非法的。 文件帶有病毒或惡意代碼：防火墻不支持MIME、殺病毒軟件或惡意代碼檢查軟件，只支持TXT文件。 物理隔離的指導(dǎo)思想與防火墻有很大的不同： 防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全，而物理隔離的思路是在保證必須安全的前提下，盡可能互聯(lián)互通,5.3物理隔離技術(shù),物理隔離的技術(shù)原理,