3、访问控制与防火墙over.ppt

访问控制与防火墙 主讲人:赵磊 前　言 　　　在今天，高速发展的互联网已经深入到社会生活的各个方面。对个人而言，互联网已使人们的生活方式发生了翻天覆地的变化;对企业而言，互联网改变了企业传统的营销方式及其内部管理机制。但是，在享受信息的高度网络化带来的种种便利之时，我们还必须应对随之而来的信息安全方面的种种挑战。没有安全保障的网络可以说是一座空中楼阁，安全性已逐渐成为网络建设的第一要素。特别随着网络规模的逐渐增大，所储存的数据的逐渐增多，使用者会要求网络能够对不同来源、不同角色所提出的网络访问进行控制，以确保自己的资源不受到非法的访问与篡改，这就要用到访问控制． 主要内容 访问控制的概念、目的 访问控制分类 访问控制的方法 防火墙基础知识和常用术语 怎么选购硬件防火墙 访问控制的概念 原始概念 —— 是对进入系统的控制 （用户标识+口令/生物特性/访问卡）。 一般概念 —— 是针对越权使用资源的防御措施。 访问控制三要素—— 　　主体（Subject）、客体（Object）和控制策略 访问控制目的和作用 是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。 是对需要访问系统及其数据的人进行鉴别，并验证其合法身份；也是进行记账、审计等的前提。 访问控制与其他安全措施的关系模型 访问控制的分类 自主访问控制（DAC） 强制访问控制（MAC） 基于角色的访问控制（RBAC） 自主访问控制 特点： 　　　根据主体的身份和授权来决定访问模式。 缺点： 　　　信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。 强制访问控制 特点： 将主题和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。 其访问控制关系分为：上读/下写 ， 下读/上写 　　　　　　　　　　　（完整性） （机密性） 　　　　　　　　 自主/强制访问的问题 自主式太弱 强制式太强 二者工作量大，不便管理 例： 1000主体访问10000客体，须1000万次配置。如每次配置 需1秒，每天工作8小时，就需 10，000，000/（3600*8）=347.2天 基于角色的访问控制 　　角色和组的区别 　　　　　　组 ： 用户集 　　　　　角色 ：　 用户集＋权限集 基于角色的访问控制 角色控制与DAC、MAC的区别： 　角色控制相对独立，根据配置可使某些角 色为接近DAC，某些角色接近MAC。 基于角色的访问控制 访问控制的方法 　　　目前进行网络访问控制的方法主要有：MAC地址过滤、VLAN隔离、IEEE802.1Q身份验证、基于IP地址的访问控制列表和防火墙控制等等。 MAC地址过滤法 MAC地址是网络设备在全球的唯一编号，它也就是我们通常所说的：物理地址、硬件地址、适配器地址或网卡地址。MAC地址可用于直接标识某个网络设备，是目前网络数据交换的基础。通过MAC地址过滤技术可以保证授权的MAC地址才能对网络资源进行访问。 MAC地址过滤法 　　　在服务器B所联接的交换机网络端口的MAC地址列表中上只配置了MAC a和MAC b两个工作站的MAC地址，因此只有这两台工作站可以访问服务器B ；服务器A中却没有配置MAC地址表，交换机就默认可以与所有同一网段的工作站连接，这样MAC a、MAC b、MAC c三个工作站都可以与服务器A连接了 。 MAC地址过滤法 　由于MAC地址过滤是基于网络设备唯一ID的，因此通过MAC地址过滤，可以从根本上限制使用网络资源的使用者。基于MAC地址的过滤对交换设备的要求不高，并且基本对网络性能没有影响，配置命令相对简单，比较适合小型网络 。 因为使用MAC地址过滤技术要求网络管理员必须明确网络中每个网络设备的MAC地址，并要根据控制要求对各端口的过滤表进行配置 。对于网管员来说，其负担是相当重的，而且随着网络设备数量的不断扩大，它的维护工作量也不断加大。 VLAN隔离法 　　　VLAN（虚拟局域网）技术是为了避免当一个网络系统中网络设备数量增加到一定程度后，众多的网络广播报文消耗大量的网络带宽，使得真正的数据传递受到很大的影响；确保部分安全性比较敏感的部门数据不被随意访问浏览而采用一种划分相互隔离子网的方法。 VLAN隔离法 通过VALN技术，可以把一个网络系统中的众多网络设备分成若干个虚拟的“工作组”，组和组之间的网络设备在二层上互相隔离，形成不同的广播域，进而将广播流量限制在不同的广播域中。 由于VALN技术是基于二层和三层之间的隔离技术