访问控制与防火墙技术共33页文档

访问控制和防火墙技术Access Control and Firewall Technology嵩天songtian@计算机学院网络与分布式计算研究所本节大纲• 访问控制原理• 防火墙技术概述• 防火墙核心技术• 防火墙部署• 本节总结访问控制原理• 什么是访问控制？–访问控制在生活中经常遇到，例如：门锁、交通灯；–访问控制是允许或者禁止某人使用某项资源的能力。

–主体：提出资源访问请求–客体：被访问资源实体–访问：对资源的使用例如：读、写、删改等操作访问控制原理• 访问可以被描述为一个三元组（s, a, o）–主体：Subject–客体：Object–访问：Access访问控制原理• 访问控制模型访问控制原理• 基本的访问控制政策模型–自主访问控制（DAC）Discretionary Access Control –强制访问控制（MAC）Mandatory Access Control–基于角色的访问控制（RBAC）Role-Based Access Control• 基本的访问控制政策模型–自主访问控制（DAC）–每个客体有一个所有者，所有者可以按照自己的意愿把客体的访问控制权限授予其他主体–控制灵活，易于管理，是目前应用最为普遍的访问控制政策–DAC的有效性依赖于资源的所有者对安全政策的正确理解和有效落实• 基本的访问控制政策模型–自主访问控制（DAC）/bin/ls[root@acl tmp]# chown root ls[root@acl tmp]# ls -l-rw-r--r-- 1 nobody nobody 770 Oct 18 15:16 4011.tmp-rw------- 1 root users 48 Oct 28 11:41 lssrwxrwxrwx 1 root root 0 Aug 29 09:04 mysql.sock drwxrwxr-x 2 duan uan 4096 Oct 23 23:41 ssl[root@acl tmp]# chmod o+rw ls[root@acl tmp]# ls -l-rw-r--r-- 1 nobody nobody 770 Oct 18 15:16 4011.tmp-rw----rw- 1 root users 48 Oct 28 11:41 lssrwxrwxrwx 1 root root 0 Aug 29 09:04 mysql.sock drwxrwxr-x 2 duan duan 4096 Oct 23 23:41 ssl• 基本的访问控制政策模型–强制访问控制（MAC）–每个主体和客体分配一个固定的安全级别，只有系统管理员才可以修改–普密<秘密<机密<绝密–只有在主体和客体的安全级别满足一定规则时，才允许访问–MAC通过定义的安全级别，达到访问控制–常用于军队和政府机构• 基本的访问控制政策模型–强制访问控制（MAC）–例如：BLP模型是最早的一个安全模型，用于美国军方–BLP的特点：• 禁止向下写• 禁止向上读• 低安全级信息向上流动• 高读底合法，有安全漏洞基本的访问控制政策模型–基于角色的访问控制（RBAC）–用户组（Group）• 用户组：用户的集合，G={s1, s2, s3 …}–角色（Role）• 角色是完成一项任务必须访问的资源及相应操作权限的集合，R={(a1 ,o1 ), (a2 ,o2 ), (a3 ,o3)…}• 基本的访问控制政策模型–基于角色的访问控制（RBAC）–授权管理：• 根据任务需要定义角色• 为角色分配资源和操作权限• 给一个用户组指定一个角色–RBAC通过角色，隔离了主体和权限访问控制的设计原则• （1）最小特权原则• （2）开放式设计原则• （3）特权的分隔原则• （4）公共机制的最小化原则• （5）经济性原则• （6）心理可接受原则• （1）最小特权原则–每一用户和进程只应拥有最小访问权的集合，只能在为完成其任务所必须的那些权限所组成的最小保护域内执行。

报文遵循自上至下的次序运用每一条规则，直到遇到与其相匹配的规则为 止。 操作方式有：转发、丢弃、报错、备忘等。
9
二、防火墙技术
3)防火墙规则制订实例 例1： 访问要求： 1）网络123.45.0.0/16不愿其他Internet 主机访问其站点；
2）但它的一个子网123.45.6.0/24和某大学135.79.0.0/16
防火墙是一种高级访问控制设备，是在被保护网和外网 之间执行访问控制策略的一种或一系列部件的组合，是不同 络及服务器 可信任的网络 防火墙
不可信 网络安全域间通信流的通道，能根据企业有关安全政策控制 的用户 不可信的网
Internet
(允许、拒绝、监视、记录)进出网络的访问行为。它是网络 的第一道防线，也是当前防止网络系统被人恶意破坏的一个
d.应用范围广：不仅支持基于TCP的应用，而且支持基
于无连接协议的应用。
22
5.3 防火墙的功能
利用防火墙保护内部网主要有以下几个主要功能： 控制对网点的访问和封锁网点信息的泄露 防火墙可看作检查点，所有进出的信息都必须穿过它， 为网络安全起把关作用，有效地阻挡外来的攻击，对进出的
数据进行监视，只允许授权的通信通过；保护网络中脆弱的
过代理程序将相应连接映射来实现。

外部连接
TELNET FTP HTTP
内部连接
堡垒主机

内部主机
16
外部主机
1.代理服务技术的优点 a.代理放火墙的最大好处是透明性。对用户来说，代理 服务器提供了一个“用户正在与目标服务器直接打交道”的 假象；对目标服务器来说，代理服务器提供了一个“目标服 务器正在与用户的主机系统直接打交道”的假象。 b.由于代理机制完全阻断了内部网络与外部网络的直接 联系，保证了内部网络拓扑结构等重要信息被限制在代理网

动作 拒绝
入
内部网络
拒绝
缺点：信息利用不完全。
3.2 防火墙技术基础
按服务过滤： 例：禁 止外部 主 机访问 内 部的 E_Mail 服务器 ( 协议 SMTP 端口25)，允许内部主机访问外部主机，则：
规则 方向 A B C 入 出 双向 动作 拒绝 允许 拒绝 源 地址 M * * 源端口 * * * 目的地址 E_Mail * * 目的 端口 25 * * 注释 不信任 允许连接 默认状态

路由协议本身具有安全漏洞 路由器上的分组过滤规则的设置和配置复杂 攻击者可假冒地址 本质缺陷：一对矛盾，防火墙的设置会大大降低 路由器的性能。

路由器：为网络访问提供动态灵活的路由 防火墙：对访问行为实施静态固定的控制
3.2 防火墙技术基础
包过滤型防火墙
第二代: 用户化的防火墙工具套件
3.1 访问控制技术
•强制访问控制(mandatory policies)
特点：取决于能用算法表达的并能在计算机上执行的策
略。策略给出资源受到的限制和实体的授权，对资源的 访问取决于实体的授权而非实体的身份。RBAC决策在批 准一个访问之前需要进行授权信息和限制信息的比较。
(1)将主体和客体分级，根据主体和客体的级别标记来
安全策略之间没有更好的说法，只是一种可以比一种
提供更多的保护。应根据应用环境灵活使用。
3.1 访问控制技术
访问控制策略与机制
•自主访问控制（discretionary policies), 也称基 于身份的访问控制IBAC(Identity Based Access Control) •强制访问控制(mandatory policies),也称基于规则 的访问控制RBAC（Rule Based Access Control） •基于角色的访问控制(role-based policies)

▣ 例如将数据分成绝密、机密、秘密和一般等几类。用户的访问 权限也类似定义，即拥有相应权限的用户可以访问对应安全级 别的数据，从而避免了自主访问控制方法中出现的访问传递问 题。这种方法具有层次性的特点，高级别的权限可访问低级别 的数据。
-17-
基于角色的访问控制
▣是对自主控制和强制控制机制的改进，它基于用户在 系统中所起的作用来规定其访问权限。这个作用（即 角色rule）可被定义为与一个特定活动相关联的一组 动作和责任。角色包括职务特征、任务、责任、义务 和资格。
-36-
防火墙不能对付的安全胁协
▣(1)不能防范来自内部恶意的知情者的攻击 ▣ 防火墙不能防止专用网中内部用户对资源的攻击。
M
a10
a11
...
a1n
... ... ... ...
am0
am1
...
amn
对于任意si
S
,
o
j
O,
存在aij
M决定si对o
允许
j
的操作。比如aij {R,W},alk
-25-
访问控制矩阵
a00 a01 ... a0n S1
M
a10
...
a11 ...
... ...
-8-
图7.3 访问控制模型基本组成
-9-
访问控制策略与机制
▣访问控制策略（Access Control Policy）在系统安 全策略级上表示授权。是对访问如何控制,如何做出 访问决定的高层指南。访问控制机制（Access Contr ol Mechanisms）是访问控制策略的软硬件低层实现。 访问控制机制与策略独立，可允许安全机制的重用。
-28-
▣协作式管理：对于特定系统资源的访问不能有单个用 户授权决定，而必须要其它用户的协作授权决定。

防火墙和访问控制

防火墙包含着一对矛盾(或称机制)：
一方面它限制数据流通，另一方面它又允许数据 流通。由于网络的管理机制及安全策略不同，因 此这对矛盾呈现出不同的表现形式。
防火墙和访问控制

存在两种极端的情形：
一、除了非允许不可的都被禁止 二、是除了非禁止不可都被允许。
第一种的特点是安全但不好用，第二种是好用但 不安全，而多数防火墙都在两者之间采取折衷， 即在确保防火墙安全或比较安全前提下提高访问 效率是当前防火墙技术研究和实现的热点。
规则中增加或更新条目。
防火墙和访问控制

代理防火墙 第一代：代理防火墙
代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理 （Proxy）技术参与到一个TCP连接的全过程。从内 部发出的数据包经过这样的防火墙处理后，就好像 是源于防火墙外部网卡一样，从而可以达到隐藏内 部网结构的作用。这种类型的防火墙被网络安全专 家和媒体公认为是最安全的防火墙。它的核心技术 就是代理服务器技术。
防火墙和访问控制

代理防火墙 第二代：自适应代理防火墙 自适应代理技术（Adaptive proxy）是最近在商业应 用防火墙中实现的一种革命性的技术。它可以结合代理 类型防火墙的安全性和包过滤防火墙的高速度等优点， 在毫不损失安全性的基础之上将代理型防火墙的性能提 高10倍以上。组成这种类型防火墙的基本要素有两个： 自适应代理服务器与动态包过滤器。 在自适应代理与动态包过滤器之间存在一个控制通 道。在对防火墙进行配置时，用户仅仅将所需要的服务 类型、安全级别等信息通过相应Proxy的管理界面进行设 置就可以了。然后，自适应代理就可以根据用户的配置 信息，决定是使用代理服务从应用层代理请求还是从网 络层转发包。如果是后者，它将动态地通知包过滤器增 减过滤规则，满足用户对速度和安全性的双重要求。

Obj1
userA Own R W O
userB
userC R
R
W
O
O
-22-
访问
(CL)
UserA
Obj1 Own R W O
Obj2
Obj3
R
R W
O
O
每个主体都附加一个该主体可访问的客体的明细表. 每个主体都附加一个该主体可访问的客体的明细表.
-23-
权关系 权关系
授权关系(Authorization relations)这种方案是ACL与CL的结合, 使用关系来表示访问矩阵.
-18-
角角色可以定义为出纳员,分行管理者,顾客,系 在银行环境中,用户角色可以定义为出纳员,分行管理者,顾客, 统管理者和审计员 访问控制策略的一个例子如下: 访问控制策略的一个例子如下: 允许一个出纳员修改顾客的帐号记录(包括存款和取款, (1)允许一个出纳员修改顾客的帐号记录(包括存款和取款,转帐 ),并允许查询所有帐号的注册项 等),并允许查询所有帐号的注册项 允许一个分行管理者修改顾客的帐号记录(包括存款和取款, (2)允许一个分行管理者修改顾客的帐号记录(包括存款和取款,但 不包括规定的资金数目的范围)并允许查询所有帐号的注册项, 不包括规定的资金数目的范围)并允许查询所有帐号的注册项,也 允许创建和终止帐号 (3)允许一个顾客只询问他自己的帐号的注册项 允许系统的管理者询问系统的注册项和开关系统, (4)允许系统的管理者询问系统的注册项和开关系统,但不允许读或 修改用户的帐号信息 允许一个审计员读系统中的任何数据, (5)允许一个审计员读系统中的任何数据,但不允许修改任何事情
-8-
图7.3 访问控制模型基本组成
-9-
访问控 访问控

限制有用的网络服务。 无法防护内部网络用户的攻击。 Internet防火墙无法防范通过防火墙以外的其他途径的攻击。 Internet防火墙也不能完全防止传送已感染病毒的软件或文件。 防火墙无法防范数据驱动型的攻击 不能防备新的网络安全问题。
防火墙的作用
防火墙用于加强网络间的访问控制，防止 外部用户非法使用内部网的资源，保护内部网 络的设备不被破坏，防止内部网络的敏感数据 被窃取。防火墙系统决定了哪些内部服务可以 被外界访问，外界的哪些人可以访问内部的哪 些可以访问的服务，以及哪些外部服务可以被 内部人访问。
6.2.2 防火墙的安全策略
在构筑防火墙之前，需要制定一套完整有效 的安全战略。网络服务访问策略，是一种高层 次的具体到事件的策略，主要用于定义在网络 中允许或禁止的服务。
用户账号策略 用户权限策略 信任关系策略 包过滤策略
用户账号策略
用户账号应包含用户的所有信息。其中最主要的应包括用户名、 口令、用户所属的工作组、用户在系统中的权限和资源存在许可
用户权限策略
通过网络连接计算机。 备份文件和目录，此权限要高于文件和目录许可。 设置计算机内部系统时钟。 从计算机键盘登录计算机。 指定何种事件和资源被审查，查看和清除安全日志。 恢复文件和目录。 关闭系统。 获取一台计算机的文件、目录或是其他对象的所有权。
信任关系策略
通过信任关系在网络中建立域模型的安全性。信任关系是两 个域中一个域信任另外的域，它包括两个方面：信任域和被信任 域。信任域可允许被信任域中的用户在其中使用。两个域信任关 系的建立可以允许一个域中建立的用户存取整个网络中的资源。
一般的防火墙模型
内部网
OSI/RM 防火墙 应用层 网关级 表示层 会话层 传输层 电路级 网络层 路由器级 数据链路层 网桥级 物理层 中继器级

Thank you
访问控制与防火墙
46、法律有权打破平静。——马·格林 47、在一千磅法律里，没有一盎司仁 爱。— —英国
48、法律一多，公正就少。——托·富 勒 49、犯罪总是以惩罚相补偿；只有处 罚才能 使犯罪 得到偿 还。— —达雷 尔
50、弱者比强者更能得到法律的保护 —— 威·厄尔
6、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂，怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿

（3）基于角色的访问控制 基于角色的访问控制策略（Role- Based Access
Control）起源于UNIX系统或别的操作系统中组的概念， 它是与现代的商业环境相结合的产物。基于角色的访问 控制是一个复合的规则，可以被认为是IBAC和RBAC的变 体。一个身份被分配给一个被授权的组。每个角色与一 组用户和有关的动作相互关联，角色中所属的用户可以 有权执行这些操作。角色与组的区别是：组只是一组用 户的集合，而角色则是一组用户的集合加上一组操作权 限的集合。
（3）授权（Authorization）规定可对该资源执 行的动作（例如读、写、执行或拒绝访问）。
一个主体为了完成任务，可以创建另外 的主体，这些子主体可以在网络上不同的计算机上 运行，并由父主体控制它们。主客体的关系是相对 的。
图2.3 访问控制模型基本组成
4．访问控制策略与机制
访问控制策略（Access Control Policy）在 系统安全策略级上表示授权。是对访问如何控制, 如何做出访问决定的高层指南。访问控制机制 （Access Control Mechanisms）是访问控制策略 的软硬件低层实现。访问控制机制与策略独立， 可允许安全机制的重用。
RBAC决策将主体和客体分级，根据主体和客体 的级别标记来决定访问模式。如，绝密级，机密级， 秘密级，无密级。其访问控制关系分为：上读/下 写（保证完整性），下读/上写（保证机密性）。 通过安全标签实现单向信息流通模式。在批准一个 访问之前需要进行授权信息和限制信息的比较。
强制访问控制是基于用户和资源分级（“安全标 签”）的，其实现机制一般是多级访问控制。所谓安全 标签是限制在目标上的一组安全属性信息项。在访问控 制中，一个安全标签隶属于一个用户、一个目标、一个 访问请求或传输中的一个访问控制信息。安全标签最通 常的用途是支持多级访问控制策略。

第8章 访问控制与防火墙技术
19
8.1.3 访问控制的实现
• 5．基于口令的机制
• 基于口令的机制主要有以下几点。 • （1）与目标的内容相关的访问控制：动态访问控 制。 • （2）多用户访问控制：当多个用户同时提出请求 时，如何做出授权决定。 • （3）基于上下文的控制：在做出对一个目标的授 权决定时依赖于外界的因素，如时间、用户的位 置等。
第8章 访问控制与防火墙技术
9
8.1.1 访问控制功能及原理
• 这里控制策略是通过合理地设定控制规则 集合，确保用户对网络空间信息资源在授 权范围内的合法使用的。其既要确保授权 用户的合理使用，又要防止非法用户侵权 进入系统，使重要或者敏感信息资源泄露。 同时，其对合法用户，也不能越权行使权 限以外的功能及访问范围。
第8章 访问控制与防火墙技术 20
8.1.4 Windows 平台的访问控制手段
• 网络空间的Windows 平台分为服务器版和 工作站版，其核心特性、安全系统和网络 设计都非常相似。 • Windows 平台通过一系列的管理工具，以 及用户账号、口令的管理，对文件、数据 授权访问，执行动作的限制，以及对事件 的审核达到C2级安全（系统审计保护级）。 其主要特点就是自主访问控制，要求资源 的所有必须能够控制对资源的访问。
8.1.3 访问控制的实现
• 3．访问控制能力列表
• 能力是访问控制中的一个重要概念，它是指请求 访问的发起者所拥有的一个有效标签，它授权标 签表明的持有者可以按照何种访问方式访问特定 的客体。访问控制能力表（Access Control Capabilitis Lists，ACCLs）是以用户为中心建立的访 问权限表。例如，访问控制权限表ACCLsF1表明了 授权用户UserA对文件File1的访问权限，UserAF表 明了UserA对文件系统的访问控制规则集。因此， ACCLs的实现与ACLs正好相反。定义能力的重要作 用在于能力的特殊性，如果赋予哪个主体具有一 种能力，事实上是说明了这个主体具有了一定对 18 应的权限。 第8章 访问控制与防火墙技术

第 3 章 访问控制与防火墙 （续）
3.3 物理隔离 3.3.1 物理隔离概述 3.3.2 物理隔离的原理、分类和发展趋势 3.3.3 物理隔离网闸的原理与特点
3.1 访问控制

访问控制实质上是对资源使用的限制，它决定 主体是否被授权对客体执行某种操作。它依赖 于鉴别使主体合法化，并将组成员关系和特权 与主体联系起来。只有经授权的用户，才允许 访问特定的网络资源。
3.1.1 访问控制概述


访问控制的定义 访问控制是按照事先确定的规则决定主体 对客体的访问是否合法。 访问控制是针对越权使用资源的防御措施，是 网络安全防范和保护的主要策略，它的主要任 务是保证网络资源不被非法使用和非法访问。
访问控制的三要素

主体（Subject）：是指一个提出请求或要求的 实体，是动作的发起者，但不一定是动作的执 行者，简记为S。主体可以是用户或其他任何 代理用户行为的实体（如进程、作业和程序）。 这里规定的实体是指计算机资源或一个合法用 户。
保护位（Protection Bits）


保护位对所有主体、主体组以及该客体的拥有 者指明了一个访问模式集合。 这种方法已被用于UNIX等系统中。 保护位的缺点是不能完全表示访问控制矩阵， 系统不能基于单个主体来决定是否允许其对客 体的访问。
访问控制表（Access Control List，ACL）
3.1.3 基于角色的访问控制技 术


基于角色的访问控制RBAC（Role-Based Access Control）的概念早在20世纪70年代就 已经提出 。进入90年代，安全需求的发展使 RBAC又引起了人们的极大关注。 在RBAC中，在用户和访问许可权之间引入角 色（Role）的概念，用户与特定的一个或多个 角色相联系，角色与一个或多个访问许可权相 联系。

(1) 认证：主体对客体的识别认证和客体对主体检验认证。是 双向认证过程。
(2) 控制策略的具体实现：体现在如何设定规则集合，从而确 保正常用户对信息资源的合法使用，既要防止非法用户，也 要考虑敏感资源的泄漏，对于合法用户而言，也不能越权行 使控制策略所赋予其权利以外的功能。
(3) 审计：审计的重要意义在于，比如客体的管理者即管理员 有操作赋予权，他有可能滥用这一权利，这是无法在策略中 加以约束的。必须对这些行为进行记录，从而达到威慑和保 证访问控制正常实现的目的。
Clark-Wilson 模型 Chinese Wall 模型
基于角色访问控制模型 （RBAC）
自主访问控制模型（DAC Model）
自主访问控制模型（Discretionary Access Control Model ， DAC Model） ：是根据自主访问控制策略建立的一种模型，允 许合法用户以用户或用户组的身份访问策略规定的客体，同时 阻止非授权用户访问客体，某些用户还可以自主地把自己所拥 有的客体的访问权限授予其它用户。自主访问控制又称为任意 访问控制。 Linux，Unix、Windows NT或是Server版本的操作系统都提 供自主访问控制的功能。在实现上，首先要对用户的身份进行 鉴别，然后就可以按照访问控制列表所赋予用户的权限，允许 和限制用户使用客体的资源。主体控制权限的修改通常由特权 用户（管理员）或是特权用户组实现。
访问控制的任务
访问控制的任务是在为用户对系统资源提供最大 限度共享的基础上，对用户的访问权进行管理，防止 对信息系统的非授权篡改和滥用。
访问控制对经过身份鉴别后的合法用户提供所需 要的且经过授权的服务，拒绝用户越权的服务请求， 保证用户在系统安全策略下有序工作。
未授权的访问包括：

网络安全管理制度中的网络访问控制与防火墙在今天的高度互联网依赖的世界中，网络安全管理制度是任何组织都需要重视和实施的重要措施。

其中，网络访问控制与防火墙作为网络安全的两大核心要素，在保护网络系统免受未授权访问和恶意攻击方面起着至关重要的作用。

本文将探讨网络访问控制和防火墙在网络安全管理制度中的重要性和实施方法。

一、网络访问控制的重要性网络访问控制是网络安全中最基本的控制措施之一。

它通过设立合适的访问控制策略，限制和管理用户对网络资源的访问权限，从而提高网络的机密性、完整性和可用性。

网络访问控制的重要性主要表现在以下几个方面：1. 防止未授权访问：网络中存在大量的敏感数据和重要资源，如果没有适当的访问控制措施，未经授权的用户或攻击者可能会非法获得这些数据和资源，从而对组织造成严重损失。

2. 保护隐私信息：随着信息时代的到来，个人和组织的隐私信息越来越容易受到网络攻击的威胁。

网络访问控制可以帮助组织保护用户的隐私信息，防止敏感数据被窃取或滥用。

3. 提供合规性保证：针对某些行业的法规要求或合同约定，组织需要对网络进行访问控制，以确保符合相关合规性标准。

例如，金融机构需要遵守银行保密法规定，网络访问控制可以帮助其控制数据访问权限，阻止未经授权的操作。

二、防火墙的重要性和功能防火墙是网络安全的另一个重要组成部分，其主要目的是监控和控制网络流量，阻止未经授权的访问和恶意攻击。

防火墙的重要性主要体现在以下几个方面：1. 拦截网络攻击：网络中存在各种各样的攻击方式，如病毒、木马、入侵等，防火墙能够检测和拦截这些恶意流量，保护网络系统免受攻击。

它通过过滤流量，根据预设规则判断流量的合法性，从而阻止潜在的威胁。

2. 控制网络访问权限：防火墙可以根据规则和策略，限制特定用户或特定应用程序对网络资源的访问。

这样可以避免不必要的流量带来的安全风险，并优化网络性能。

3. 监控和记录网络流量：防火墙具备实时监控和记录网络流量的功能，可以对网络中的异常活动进行识别和分析。