《网络安全第8章访问控制及防火墙》由会员分享,可在线阅读,更多相关《网络安全第8章访问控制及防火墙(61页珍藏版)》请在金锄头文库上搜索。
1、第8章 访问控制及防火墙,本章要求,了解访问控制的基本原理和常用的防火墙技术 理解防火墙的工作原理与体系结构 了解防火墙在不同网络层次的应用 了解SOCKS V5协议的基本框架 常见的鉴别协议,本章主要内容,8.1 访问控制的基本原理 8.2 常见操作系统的访问控制 8.3 防火墙技术,8.1 访问控制的基本原理,访问控制服务的作用是保证只有被授权的用户才能访问网络和利用资源。 访问控制的基本原理是检查用户标识、口令,根据授予的权限限制其对资源的利用范围和程度。例如是否有权利用主机CPU运行程序,是否有权对数据库进行查询和修改等等。 访问控制服务通过访问控制机制实现。 一般访问控制包括三种类型
2、:自主访问控制、强制访问控制和基于角色的访问控制。,自主访问控制,自主访问的含义是有访问许可的主体能够直接或间接地向其他主体转让访问权。 自主访问控制是在确认主体身份以及(或)它们所属的组的基础上,控制主体的活动,实施用户权限管理、访问属性(读、写、执行)管理等,是一种最为普遍的访问控制手段。 自主访问控制的主体可以按自己的意愿决定哪些用户可以访问他们的资源,亦即主体有自主的决定权,一个主体可以有选择地与其它主体共享他的资源。,基于访问控制矩阵的访问控制表(ACL)是自主访问控制中通常采用一种的安全机制。ACL是带有访问权限的矩阵,这些访问权是授予主体访问某一客体的。安全管理员通过维护ACL控
3、制用户访问企业数据。对每一个受保护的资源,ACL对应一个个人用户列表或由个人用户构成的组列表,表中规定了相应的访问模式。 当用户数量多、管理数据量大时,由于访问控制的粒度是单个用户,ACL会很庞大。当组织内的人员发生能变化(升迁、换岗、招聘、离职)、工作职能发生变化(新增业务)时,ACL的修改变得异常困难。 采用ACL机制管理授权处于一个较低级的层次,管理复杂、代价高以至易于出错。,自主访问控制的主要特征体现在主体可以自主地把自己所拥有客体的访问权限授予其它主体或者从其它主体收回所授予的权限,访问通常基于访问控制表(ACL)。 访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客
4、体的访问权。 自主访问控制的缺点是信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。,(1)访问能力表 (2)访问控制表,(1)访问能力表,基于行的自主访问控制是在每个主体上都附加一个该主体可访问的客体的明细表,也称为访问能力表。能力是一个提供给主体、对客体具有特定权限的不可伪造的标志。只有当一个主体对某个客体拥有准许访问的能力时,它才能访问这个客体。,能力机制的最大特点是能力的拥有者可以在主体中转移能力,具有转移或传播权限的主体A可以将其能力的副本传递给,也可将能力传递给,但为了防止能力的进一步扩散,在传递能力副本给时
5、可移去其中的“转移”权限,于是将不能继续传递能力。 能力的转移不受任何策略的限制,因此对于一个特定的客体不能确定所有有权访问它的主体。所以访问能力表不能实现完备的自主访问控制,利用访问能力表实现自主访问控制的系统不是很多,其中只有少数系统试图增加其他的措施实现完备的自主访问控制。,(2)访问控制表,基于列的访问控制是指按客体附加一份可访问它的主体的明细表,也称做访问控制表,表中的每一项包括主体的身份以及对该客体的访问权。 访问控制表是目前采用最多的一种实现方式。访问控制表可以对某个特定资源指定任意一个用户的访问权限,还可以将有相同权限的用户分组,并授权组的访问权限。还可以用通配符“*”来代替任
6、何组名或主体标识符。访问控制表的主体标识表示为ID.GN,其中ID是主体标识符,GN是主体所在组的组名。,访问控制表需对每个资源指定可以访问的用户或组以及相 应的权限。当用户与资源数量很多时多,ACL中变的非常庞大。当用户调进/调出(如招聘、解聘)、用户工作岗位变化(如任免、升迁、定期换岗等)、用户工作职能变化(如增加新业务。当网络中)时,管理员需要修改用户对所有资源的访问权限,所有这些,使得访问控制的授权管理变得费力而烦琐,且容易出错。,强制访问控制,强制访问控制是“强加”给访问主体的,即系统强制主体服从访问控制策略。 强制访问控制(MAC)的主要特征是对所有主体及其所控制的客体(例如:进程
7、、文件、段、设备)实施强制访问控制。 强制访问策略将每个用户及文件赋于一个访问级别,如,最高秘密级(Top Secret),秘密级(Secret),机密级(Confidential)及无密级(Unclassified)。其级别为TSCU,系统根据主体和客体的敏感标记来决定访问模式。 例如Bell-Lapadula安全模型所制定的原则是利用不上读/不下写来保证数据的保密性。即不允许低信任级别的用户读高敏感度的信息,也不允许高敏感度的信息写入低敏感度区域,禁止信息从高级别流向低级别。而Biba安全模型所制定的原则是利用不下读/不上写来保证数据的完整性。在实际应用中,完整性保护主要是为了避免应用程序
8、修改某些重要的系统信息。,强制访问控制一般与自主访问控制结合使用,并且实施一些附加的、更强的访问限制。 一个主体只有通过了自主与强制性访问限制检查后,才能访问某个客体。用户可以利用自主访问控制来防范其它用户对自己客体的攻击,由于用户不能直接改变强制访问控制属性,所以强制访问控制提供了一个不可逾越的、更强的安全保护层以防止其它用户偶然或故意地滥用自主访问控制。,基于角色的访问控制,基于角色的访问控制模型(RBAC Model,Role-based Access Model) RBAC模型的基本思想是将访问权限分配给一定的角色,用户通过担任不同的角色获得角色所拥有的访问权限。 RBAC从控制主体的
9、角度出发,根据管理中相对稳定的职权和责任来划分角色,将访问权限与角色相联系,这点与传统的强制访问控制和自主访问控制将权限直接授予用户的方式不同;通过给用户分配合适的角色,让用户与访问权限相联系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。,RBAC一般模型,用户经过系统认证; 系统给通过认证的用户分派角色(该角色被分配了一定的权限); 用户以该角色访问系统资源; 访问控制机制检查角色的权限,决定是否允许访问。,角色可以看作是一组操作的集合,不同的角色具有不同的操作集,这些操作集由系统管理员分配给角色。 依据RBAC策略,系统定义了各种角色,每种角色可以完成一定的职能,不同的用户根据其职
10、能和责任被赋予相应的角色,一旦某个用户成为某角色的成员,则此用户可以完成该角色所具有的职能。,系统管理员负责授予用户各种角色的成员资格或撤消某用户具有的某个角色。 同一个用户可以扮演多种角色,比如一个用户可以是老师,同时也可以作为进修的学生。同样,一个角色可以拥有多个用户成员,这与现实是一致的,一个人可以在同一部门中担任多种职务,而且担任相同职务的可能不止一人。 RBAC中引进了角色的概念,用角色表示访问主体具有的职权和责任,简化了权限设置的管理,从这个角度看,RBAC很好地解决了目前管理信息系统中用户数量多、变动频繁的问题。,相比较而言,RBAC是实施面向企业的安全策略的一种有效的访问控制方
11、式,其具有灵活性、方便性和安全性的特点,目前在大型数据库系统的权限管理中得到普遍应用。 角色由系统管理员定义,角色成员的增减也只能由系统管理员来执行,即只有系统管理员有权定义和分配角色。用户与客体无直接联系,他只有通过角色才享有该角色所对应的权限,从而访问相应的客体。因此用户不能自主地将访问权限授给别的用户,这是基于角色的访问控制与自主访问控制的根本区别所在。 基于角色的访问控制与强制访问控制的区别在于:强制访问控制是基于多级安全需求的,而基于角色的访问控制则不是。,8.2 常见操作系统的访问控制,8.2.1 Windows 2000中的访问控制 8.2.2 Linux中的访问控制,8.2.1
12、 Windows 2000中的访问控制,1Windows 2000的安全模型 2Windows 2000登录认证过程,1Windows 2000的安全模型,本地的Windows 2000安全子系统包括的关键组件,(1)安全标识符:分配给所有用户、组和计算机的统计上的全局惟一的48位数字,为了保证SID的惟一性,在生成的时候结合计算机名、当前时间和当前用户模式、线程使用CPU时间的总量。SID像这样:S1521164928866415498249601244863647500可以使用whoami这样的工具(包含在Windows 2000 Resource Kit中)来查看与登录会话相关的SID。
13、 (2)访问令牌:由用户的SID、用户所属组的SID和用户名组成。 (3)安全描述符由对象所有者的SID、POSIX子系统使用的组SID、访 问控制列表和系统访问控制列表组成。 (4)访问控制条目(Access Control Entry,ACE)包含用户或组的SID和分配给对象的权限。,2Windows 2000登录认证过程,首先,Windows 2000必须通过身份认证来确定自己是否在与合法的安全主体打交道。最简单的例子是通过控制台登录到Windows 2000的用户。用户按下标准的CTRL+ALT+DEL组合键以打开Windows 2000安全登录窗口,然后输入账户名称和口令。 安全登录
14、窗口将输入的凭据传递给负责验证的用户模式组件。假设凭据是有效的,本地安全授权(LSA)将创建一个访问令牌(包括用户SID、用户所属组的SID和用户名),并将之绑定到用户登录会话上,此后用户每新建一个进程,都将访问令牌复制作为新进程的访问令牌。 当用户或用户生成的进程要访问资源时,安全引用监视器(SRM)将利用访问令牌上的SID到安全描述符中查看系统访问控制表,从而决定用户是否有权访问该资源。,8.2.2 Linux中的访问控制,Linux系统以文件方式访问设备和目录,系统的访问控制方法非常简单,它把用户分成四类:根用户、文件的拥有者、组成员和其他用户。 根用户(root):在系统里具有最大的权
15、利,几乎可以控制整个系统,独有很多重要的能力; 文件的拥有者(owner):一般可以读写执行文件,比其他用户具有更高的权限,多数情况下是文件的创建者,但并不完全如此; 组(user group):所有者所在组,一个用户可以同时在多个组中。组可以按不同的需求设定,便于设置访问权限; 其他用户(other user):不属于前三类的用户。,在linux中,主体对文件具有三种访问权限: 读(r):用户可以读文件; 写(w):用户可以创建或修改文件; 执行(x):用户可以运行可执行程序。 Linux系统每个文件有10个标志位来表示访问权限(access rights): 第1个标志:d(目录), b(
16、块系统设备), c(字符设备), .(普通文件) 第2-4个标志:所有者的读、写、执行权限 第5-7个标志:所有者所在组的读、写、执行权限 第8-10个标志:其他用户的读、写、执行权限,用chmod命令修改权限:可以用字符方式和数字方式来描述,例如$chmod 644 test将目录test的权限修改为644,即所有者具有读、写权限,所有者所在组只有读的权限,其他用户只有读的权限。 Linux系统权限管理不灵活,只能对所有者、所有者所在组和其他用户分配权限,无法做到进一步的细致化,POSIX ACLs for Linux软件包,可以做到用访问控制表来管理权限,但需要重新编译内核。,8.3 防火
17、墙技术,8.3.1 防火墙的概念 8.3.2 防火墙的技术分类 8.3.3防火墙的主要技术参数 8.3.4防火墙基本体系结构 8.3.5防火墙的部署 8.3.6 防火墙设置案例 8.3.7 Linux内核防火墙,8.3.1 防火墙的概念,防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。 我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访,用来保护内部网络。 典型的防火墙具有以下三个方面的基本特性: 内部网络和外部网络之间的所有网络数据流都必须经过防火墙; 只有符合安全策略的数据流才能通过防火墙; 防火墙自身应具有非常强的抗攻击免疫力。,
