网络安全 第6章 访问控制与防火墙技术.pptVIP

* 第 6 章 访问控制与防火墙技术 本章要点 （1）访问控制的基本概念 （2）访问控制的基本模型 （3）防火墙的功能 （4）防火墙的规则 （5）防火墙的种类划分 （6）防火墙的功能需求 （7）防火墙的优点与不足 6．1 访问控制 6．1．1 访问控制的定义 访问控制是针对越权使用资源的防御措施，是 网络安全防范和保护的主要策略，它的主要任务是保证 网络资源不被非法使用和非常访问。它也是维护网络系 统安全、保护网络资源的重要手段。各种安全策略必须 相互配合才能真正起到保护作用，但访问控制可以说是 保证网络安全最重要的核心策略之一。 6．1．2 基本目标 防止对任何资源(如计算资源、通信资源或信 息资源)进行未授权的访问，从而使计算机系统在合法 范围内使用，决定用户能做什么，也决定代表一定用户 利益的程序能做什么。 未授权的访问包括：未经授权的使用、泄露、 修改、销毁信息以及颁发指令等：非法用户进入系统： 合法用户对系统资源的非法使用。 6．1．3 访问控制的作用 (1)访问控制对机密性、完整性起直接的作用。 (2)对于可用性，访问控制通过对以下信息的有效 控制来实现。 · 谁可以颁发影响网络可用性的网络管理指令。 · 谁能够滥用资源以达到占用资源的目的。 · 谁能够获得可以用于拒绝服务攻击的信息。 6．1．4 主体、客体和授权 (1)客体(Object)。规定需要保护的资源，又 称作目标(target)。 (2) 主 体 (Subject) 。 或 称 为 发 起 者 (Initiator)，是一个主动的实体，规定可以访问该资 源的实体，通常指用户或代表用户执行的程序。 (3)授权(Authorization)。规定可对该资源执 行的动作，例如读、写、执行或拒绝访问。 一个主体为了完成任务，可以创建另外的主 体，这些子主体可以在网络上不同的计算机上运行，并 由父主体控制它们。 主客体的关系是相对的。 6．1．5 访问控制模型基本组成 访问控制规定了主体对客体访问的限制，并在 身份识别的基础上，根据身份对提出资源访问请求加以 控制。在访问控制中，客体是指资源，包括文件、设备、 信号量等；主体是指对客体访问的活动资源，主体是访 问的发起者，通常是指进程、程序或用户。 6．1．6 访问控制策略 访问控制策略(Access Control Policy)控制、 如 fn-1 做出访问决定的高层指南(如图是在系统安全 策略级上表示授权，是对访问如何 6-2 所示)。 图 6-2 访问控制的一般策略 1．自主访问控制 2.强制访问控制 3．多级策略 4．基于间隔的策略——时间粒度上的控制 6．1．7 访问控制机制 1．访问控制表(ACL．AcEess Control List) 2.其他访问控制机制 6．1．8 其他的访问控制 (1)与目标的内容相关的访问控制。如动态访 问控制。 (2)多用户访问控制。当多个用户同时提出请 求时，如何做出授权决定。 (3)基于上下文的控制。在做出对一个目标的 授权决定时依赖于外界的因素用户的位置等。 6．2 防火墙 防火墙不是万能的，并不是拥有了防火墙设备后就可 以高枕无忧了。防火墙技术只是整体安全策略的重要一环， 主要执行的是访问控制功能。从成本和速度的角度考虑， 它不适合集成太多的网络安全功能，防火墙应该与其他安 全技术联动来实现完整的计算机安全功能。而且防火墙只 负责对通过它的数据流进行检测，如果存在旁路的数据流， 防火墙就无能为力了。 6.2.1 防火墙的定义 从广泛、宏观的意义上说，防火墙是隔离在内联 网络与外联网络之间的一个防御系统。防火墙拥有内联网 络与外联网络之间的唯一进出口，因此能够使内联网络与 外联网络，尤其是与 Internet 互相隔离。它通过限制内联网 络与外联网络之间的访问来防止外部用户非法使用内部资 源，保护内联网络的设备不被破坏，防止内联网络的敏感 数据被窃取，从而达到保护内联网络的目的。 6．2.2 防火墙的位置 1. 防火墙的物理位置 从物理角度看，防火墙的物理实现方式有所不同。通 常来说，防火墙是一组硬件设备，即路由器、计算机或者 配有适当软件的网络设备的多种组合。作为内联网络与外 联网络之间实现访问控制的一种硬件设备，防火墙通常安 装在内联网络与外联网络的交界点上。防火墙通常位于等 级较