下载文档原格式
访问控制和防火墙技术Access Control and Firewall Technology嵩天songtian@计算机学院网络与分布式计算研究所本节大纲• 访问控制原理• 防火墙技术概述• 防火墙核心技术• 防火墙部署• 本节总结访问控制原理• 什么是访问控制?–访问控制在生活中经常遇到,例如:门锁、交通灯;–访问控制是允许或者禁止某人使用某项资源的能力。
–主体:提出资源访问请求–客体:被访问资源实体–访问:对资源的使用例如:读、写、删改等操作访问控制原理• 访问可以被描述为一个三元组(s, a, o)–主体:Subject–客体:Object–访问:Access访问控制原理• 访问控制模型访问控制原理• 基本的访问控制政策模型–自主访问控制(DAC)Discretionary Access Control –强制访问控制(MAC)Mandatory Access Control–基于角色的访问控制(RBAC)Role-Based Access Control• 基本的访问控制政策模型–自主访问控制(DAC)–每个客体有一个所有者,所有者可以按照自己的意愿把客体的访问控制权限授予其他主体–控制灵活,易于管理,是目前应用最为普遍的访问控制政策–DAC的有效性依赖于资源的所有者对安全政策的正确理解和有效落实• 基本的访问控制政策模型–自主访问控制(DAC)/bin/ls[root@acl tmp]# chown root ls[root@acl tmp]# ls -l-rw-r--r-- 1 nobody nobody 770 Oct 18 15:16 4011.tmp-rw------- 1 root users 48 Oct 28 11:41 lssrwxrwxrwx 1 root root 0 Aug 29 09:04 mysql.sock drwxrwxr-x 2 duan uan 4096 Oct 23 23:41 ssl[root@acl tmp]# chmod o+rw ls[root@acl tmp]# ls -l-rw-r--r-- 1 nobody nobody 770 Oct 18 15:16 4011.tmp-rw----rw- 1 root users 48 Oct 28 11:41 lssrwxrwxrwx 1 root root 0 Aug 29 09:04 mysql.sock drwxrwxr-x 2 duan duan 4096 Oct 23 23:41 ssl• 基本的访问控制政策模型–强制访问控制(MAC)–每个主体和客体分配一个固定的安全级别,只有系统管理员才可以修改–普密<秘密<机密<绝密–只有在主体和客体的安全级别满足一定规则时,才允许访问–MAC通过定义的安全级别,达到访问控制–常用于军队和政府机构• 基本的访问控制政策模型–强制访问控制(MAC)–例如:BLP模型是最早的一个安全模型,用于美国军方–BLP的特点:• 禁止向下写• 禁止向上读• 低安全级信息向上流动• 高读底合法,有安全漏洞基本的访问控制政策模型–基于角色的访问控制(RBAC)–用户组(Group)• 用户组:用户的集合,G={s1, s2, s3 …}–角色(Role)• 角色是完成一项任务必须访问的资源及相应操作权限的集合,R={(a1 ,o1 ), (a2 ,o2 ), (a3 ,o3)…}• 基本的访问控制政策模型–基于角色的访问控制(RBAC)–授权管理:• 根据任务需要定义角色• 为角色分配资源和操作权限• 给一个用户组指定一个角色–RBAC通过角色,隔离了主体和权限访问控制的设计原则• (1)最小特权原则• (2)开放式设计原则• (3)特权的分隔原则• (4)公共机制的最小化原则• (5)经济性原则• (6)心理可接受原则• (1)最小特权原则–每一用户和进程只应拥有最小访问权的集合,只能在为完成其任务所必须的那些权限所组成的最小保护域内执行。
