访问控制原理与防火墙技术PPT课件下载推荐.ppt

1、访问文件、目录、外设；访问数据库；访问一个网站。,6,访问控制的基本概念,访问可以被描述为一个三元组（s,a,o）主体，发起者:Subject，Initiator客体，目标:Object,Target访问操作:Access,Object,Read/Write/Exec,7,访问控制模型,访问控制执行功能（AEF）,访问控制决策功能（ADF）,客体,主体的访问控制信息,主体,客体的访问控制信息,访问控制政策规则,上下文信息（如时间，地址等）,决策请求,决策,访问请求,提交访问,8,访问控制的基本概念,访问控制信息（ACI）的表示主体访问控制属性客体访问控制属性访问控制政策规则授权（Authori

2、zation）怎样把访问控制属性信息分配给主体或客体如何浏览、修改、回收访问控制权限访问控制功能的实施控制实施部件如何获得实体的访问控制信息怎样执行,9,访问控制矩阵,访问控制机制可以用一个三元组来表示（S,O,M）主体的集合 S=s1,s2,sm客体的集合 O=o1,o2,on所有操作的集合 A=R,W,E,访问控制矩阵 M=S O 2A,10,访问控制矩阵,矩阵的的i行Si表示了主体si对所有客体的操作权限，称为主体si的能力表（Capability List）矩阵的第j列Oj表示客体oj允许所有主体的操作，称为oj的访问控制表（ACL）,11,能力表（Capability List）,能

3、力表与主体关联，规定主体所能访问的客体和权限。表示形式：用户Profile，由于客体相当多，分类复杂，不便于授权管理授权证书，属性证书从能力表得到一个主体所有的访问权限，很容易从能力表浏览一个客体所允许的访问控制权限，很困难,O1RW,O2R,O5RWE,Si,12,访问控制表（Access Control List）,访问控制表与客体关联，规定能够访问它的主体和权限由于主体数量一般比客体少得多而且容易分组，授权管理相对简单得到一个客体所有的访问权限，很容易浏览一个主体的所有访问权限，很困难,S1RW,S2R,S5RWE,Oj,13,访问控制表（Windows）,14,授权信息,访问控制与其他

4、安全机制的关系,认证、授权、审计（AAA）,Log,身份认证,访问控制,审计,授权（authorization）,主体,客体,15,访问控制与其他安全机制的关系,身分认证身份认证是访问控制的前提保密性限制用户对数据的访问（读取操作）可以实现数据保密服务完整性限制用户对数据的修改，实现数据完整性保护可用性限制用户对资源的使用量，保证系统的可用性安全管理相关的活动访问控制功能通常和审计、入侵检测联系在一起,16,主要内容,访问控制的基本概念基本的访问控制政策模型,17,访问控制政策模型,自主型访问控制（DAC）强制型访问控制（MAC）基于角色的访问控制（RBAC）,18,自主型访问控制政策,Dis

5、cretionary Access Control,DAC每个客体有一个属主，属主可以按照自己的意愿把客体的访问控制权限授予其他主体DAC是一种分布式授权管理的模式控制灵活，易于管理，是目前应用最为普遍的访问控制政策,19,自主型访问控制政策,/bin/lsrootacl tmp#chown root lsrootacl tmp#ls-l-rw-r-r-1 nobodynobody 770 Oct 18 15:16 4011.tmp-rw-1 root users 48 Oct 28 11:41 lssrwxrwxrwx 1 root root 0 Aug 29 09:04 mysql.soc

6、kdrwxrwxr-x 2 duan uan 4096 Oct 23 23:41 sslrootacl tmp#chmod o+rw lsrootacl tmp#ls-l-rw-r-r-1 nobody nobody 770 Oct 18 15:16 4011.tmp-rw-rw-1 root users 48 Oct 28 11:04 mysql.sockdrwxrwxr-x 2 duan duan 4096 Oct 23 23:41 sslrootacl tmp#,20,自主型访问控制（DAC）,无法控制信息流动信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给

7、用户B,从而使不具备对O访问权限的B可访问O。特洛伊木马的威胁 特洛伊木马（Trojan）是一段计算机程序，它附在合法程序的中，执行一些非法操作而不被用户发现,特洛伊木马举例：#cat/tmp/ls mail/etc/passwd/bin/lsCtrl+D#chmod a+x/tmp/ls 如果用户的路径设置不安全，如path=./:/usr/bin:/usr/sbin:/usr/local/bin#cd/tmp#ls,21,强制型访问控制（MAC）,Mandatory Access Control每个主体和客体分配一个固定的安全级别，只有系统管理员才可以修改Clearance，classif

8、ication,sensitivity Unclassified confidential secret top secret 普密秘密机密绝密只有在主体和客体的安全级别满足一定规则时，才允许访问,22,强制型访问控制（续）,BLP 模型禁止向下写：如果用户的级别比要写的客体级别高，则该操作是不允许的禁止向上读：如果主体的级别比要读的客体级别低，则该操作是不允许的。,向下写是不允许的,向上读是不允许的,23,强制型访问控制（续）,TSSCU,TS,S,C,U,R/W,W,R/W,R,R/W,R,W,R,R,R,R/W,R,W,W,W,W,Subjects,Objects,信息流向,BLP 模型

9、的信息流,24,基于角色的访问控制（RBAC）,用户组（group）用户组：用户的集合 G=s1,s2,s3 授权管理：把用户分组，把访问权限分配给一个用户组；角色（Role）角色是完成一项任务必须访问的资源及相应操作权限的集合，R=（a1,o1）,（a2,o2）,（a3,o3）授权管理：根据任务需要定义角色，为角色分配资源和操作权限给一个用户指定一个角色,25,基于角色的访问控制（RBAC）,角色的继承关系RBAC的优势便于授权管理便于责任划分参考文献：Ravi S.Sandhu Role-Base Access Control Model,Computer,Feb.1996http:/cs

10、rc.nist.gov/rbac/,Project SupervisorTest Engineer Programmer Project Member,26,6.2 防火墙技术,27,主要内容,6.2.1 防火墙的 基本概念6.2.2 防火墙的几种技术6.2.3 防火墙的配置结构6.2.4 防火墙的设计,28,防火墙的基本概念,防火墙是在两个网络（通常是用户内部网络和Internet）之间实施访问控制政策的一个或一组系统（硬件、软件的组合）所有进入和离开的数据都必须经过防火墙的检查，只有符合访问控制政策的数据才允许通过,29,防火墙可以做什么,防火墙可以在网络边界实施访问控制政策防火墙可以记录

11、所有的访问防火墙可以隐藏内部网络,30,防火墙不可以做什么,防火墙自身不会正确的配置，需要用户定义访问控制规则防火墙不能防止内部恶意的攻击者防火墙无法控制没有经过它的连接防火墙无法防范全新的威胁和攻击防火墙不能很好的实现防病毒,31,关于防火墙的争论,防火墙破坏了Internet端到端的特性，阻碍了新的应用的发展防火墙没有解决主要的安全问题，即网络内部的安全问题防火墙给人一种误解，降低了人们对主机安全的意识,32,主要内容,5.2.1 防火墙的 基本概念5.2.2 防火墙的几种技术5.2.3 防火墙的配置结构5.2.4 防火墙的设计,33,防火墙技术,物理层,链路层,包过滤、地址转换,电路层网

12、关,应用层代理,内部网络,外部网络,包过滤技术（Packet filtering/screening）电路层网关（Socks）应用层代理（Proxy）地址转换（NAT）,34,包过滤技术（Packet filtering）,工作在网络层，称为Packet filter,screen router基于以下信息对经过的每一个包进行检查：IP 源地址和目标地址协议（TCP,UDP,ICMP,BGP等）TCP/UDP源端口号和目标端口号ICMP的消息类型包的大小常见包过滤设备/软件路由器访问控制表ACL硬件包过滤设备软件：ipchains/netfilter,35,包过滤技术（Packet filte

13、ring）,优点可以保护所有的服务对应用透明较高的网络性能成本较低,缺点无法实施细粒度的访问控制政策现有的工具不完善规则配置复杂降低路由器的性能,36,电路层网关（Circuit Gateway）,工作在传输层/会话层根据数据包的标志位建立一个连接状态表对于收到的某个IP包，检查它是否属于某一个会话？跟踪一段时间内一个会话中经过包的总数常见设备/软件商业防火墙硬件/软件免费软件：Socksd:相关标准rfc1928.txt,37,电路层网关（Circuit Gateway）,优点支持所有TCP应用保持状态，可以检测、防范SYN Flood类型的攻击隐藏内部网络,缺点不支持UDP的应用对应用不透

14、明，应用软件必须经过socksified才能使用防火墙保持状态，可能造成网络中断性能的开销较大防火墙本身易受DOS攻击,38,应用层代理（Proxy）,工作在应用层（Application Layer）应用/协议相关（Protocol specific）,比如telnet,http,smtp,pop,ftp proxy等可以支持身份认证功能除了基于地址、协议、端口的控制以外，还可以支持应用层命令的过滤，比如FTP的GET,PUT等常用软件：squid,wingate,Netscape,MS ISA 等,物理层,链路层,网络层,传输层,Server,Client,telnet Client,te

15、lnet Server,39,应用层代理（Proxy）,优点功能强大：用户认证、细粒度的访问控制对于Web应用，提供内容缓存功能（cache）,缺点协议相关的，需要对每一种应用协议编写Proxy程序必须修改应用程序通用计算机/软件实现，影响网络性能,40,地址转换（NAT）,类似路由器，工作在网络层。除了转发以外，完成地址转换不能提供额外的安全性，但是可以隐蔽内部网络，节省地址空间,10.42.6.9,地址转换设备,192.123.2.5,192.123.2.6,10.42.7.1,41,转换方式静态地址转换动态地址转换静态地址转换端口映射（Port Mapping）动态地址转换端口映射,10.42.6.9:1025,地址转换设备,192.123.2.5:2028,192.123.2.5:2029,10.42.7.1:1025,42,地址转换,优点节省IP地址资源隐蔽内部的网络,缺点地址转换破坏了IP包的完整性，破坏了Internet端到端的特性动态地址转换必须保留状态，破坏了网络无状态的特性Log 变得困难端口映射使得包过滤变得困难,43,主要内容,5.2.1 防火墙的 基本概念