访问控制与网络隔离技术.ppt

. 5.2 防火墙技术 防火墙的技术 防火墙的技术大体上可以包括：包过滤技术，代理技术，网络地址转换技术，状态检查技术，加密技术，安全审记技术，安全内核技术，身份认证技术，负载均衡技术等方面。这里主要介绍包过滤技术、代理技术、网络地址转换技术。 5.2 防火墙技术 包过滤术技术 5.2 防火墙技术 代理防火墙 5.2 防火墙技术 NAT的工作过程 . 访问控制与网络隔离技术 本章简介 本章主要介绍了访问控制的功能、原理、类型及机制，并对防火墙的定义和相关技术进行了较详细的介绍，本章也对目前的各种物理隔离技术进行了比较和讲解，并介绍了我国目前物理隔离技术的发展方向。 通过本章的学习，使读者： （1）了解访问控制列表； （2）理解防火墙原理； （3）了解物理隔离的定义和原理； （4）掌握防火墙和物理隔离的基本配置。 5.1访问控制 访问控制（Access Control）指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一，也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。 5.1访问控制 访问控制的主要目的是限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。为了达到上述目的，访问控制需要完成两个任务：识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问。 访问控制包括三个要素：主体、客体和控制策略。 5.1访问控制 访问控制的功能及原理 访问控制的主要功能包括：保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证，同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后，还需要对越权操作进行监控。因此，访问控制的内容包括认证、控制策略实现和安全审计. 5.1访问控制 访问控制功能及原理 5.1访问控制 1）认证 包括主体对客体的识别及客体对主体的检验确认。 （2）控制策略 通过合理地设定控制规则集合，确保用户对信息资源在授权范围内的合法使用。既要确保授权用户的合理使用，又要防止非法用户侵权进入系统，使重要信息资源泄露。同时对合法用户，也不能越权行使权限以外的功能及访问范围。 （3）安全审计 系统可以自动根据用户的访问权限，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应评价与审计。 5.1访问控制 访问控制的类型及机制 访问控制可以分为两个层次：物理访问控制和逻辑访问控制。 访问控制的类型 主要的访问控制类型有3种模式：自主访问控制（DAC）、强制访问控制（MAC）和基于角色访问控制（RBAC）。 5.1访问控制 自主访问控制（Discretionary Access Control，DAC）是一种接入控制服务，通过执行基于系统实体身份及其到系统资源的接入授权。 5.1访问控制 强制访问控制（MAC）是系统强制主体服从访问控制策略。是由系统对用户所创建的对象，按照规定的规则控制用户权限及操作对象的访问。 5.1访问控制 基于角色的访问控制（Role-Based Access Control，RBAC）是通过对角色的访问所进行的控制。使权限与角色相关联，用户通过成为适当角色的成员而得到其角色的权限。 5.1访问控制 访问控制机制 访问控制机制是检测和防止系统未授权访问，并对保护资源所采取的各种措施。是在文件系统中广泛应用的安全防护方法，一般在操作系统的控制下，按照事先确定的规则决定是否允许主体访问客体，贯穿于系统全过程。 5.1访问控制 访问控制列表（Access Control List，ACL）是应用在路由器接口的指令列表，用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。 能力关系表（Capabilities List）是以用户为中心建立访问权限表。 5.1访问控制 单点登入的访问管理 通过单点登入SSO的主要优点是：可集中存储用户身份信息，用户只需一次向服务器验证身份，即可使用多个系统的资源，无需再向各客户机验证身份，可提高网络用户的效率，减少网络操作的成本，增强网络安全性。根据登入的应用类型不同，可将SSO分为3种类型。 5.1访问控制 1.对桌面资源的统一访问管理 2.Web单点登入 3.传统C/S 结构应用的统一访问管理 5.1访问控制 访问控制的安全策略 访问控制的安全策略是指在某个自治区域内（属于某个组织的一系列处理和通信资源范畴），用于所有与安全相关活动的一套访问控制规则。由此安全区域中的安全权力