访问控制原理与防火墙技术.ppt

《访问控制原理与防火墙技术.ppt》由会员分享，可在线阅读，更多相关《访问控制原理与防火墙技术.ppt（57页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第六讲、访问控制原理与防火墙技术16.1 访问控制原理2主要内容6.1.1 访问控制的基本概念6.1.2 基本的访问控制政策模型3访问控制的基本概念什么是访问控制访问控制的基本模型访问控制和其他安全机制的关系4访问控制的基本概念访问控制的基本概念主体(Subject)主体是一个主动的实体，它提出对资源访问请求。如用户，程序，进程等。客体(Object)含有被访问资源的被动实体，如网络、计算机、数据库、文件、目录、计算机程序、外设、网络。访问（Access）对资源的使用，读、写、修改、删除等操作，例如访问存储器；访问文件、目录、外设；访问数据库；访问一个网站。5访问控制的基本概念访问控制的基本概

2、念访问可以被描述为一个三元组(s,a,o)主体，发起者 :Subject，Initiator客体，目标 :Object,Target访问操作 :AccessObjectRead/Write/Exec6访问控制模型访问控制执行功能访问控制执行功能（AEF）访问控制决策功能访问控制决策功能（ADF）客体客体主体的访问主体的访问控制信息控制信息主体主体客体的访问客体的访问控制信息控制信息访问控制政策规则上下文信息(如时间，地址等)决策请求决策请求决策决策访问请求访问请求提交访问提交访问7访问控制的基本概念访问控制的基本概念访问控制信息（ACI）的表示主体访问控制属性客体访问控制属性访问控制政策规则授

3、权（Authorization）怎样把访问控制属性信息分配给主体或客体如何浏览、修改、回收访问控制权限访问控制功能的实施控制实施部件如何获得实体的访问控制信息怎样执行8访问控制矩阵访问控制机制可以用一个三元组来表示（S,O,M）主体的集合 S=s1,s2,sm客体的集合 O=o1,o2,on所有操作的集合 A=R,W,E,访问控制矩阵 M=S O 2A9访问控制矩阵矩阵的的i行Si表示了主体si对所有客体的操作权限，称为主体si的能力表(Capability List)矩阵的第j列Oj表示客体oj允许所有主体的操作，称为oj的访问控制表（ACL）10能力表（Capability List）能力

4、表与主体关联，规定主体所能访问的客体和权限。表示形式：用户Profile，由于客体相当多，分类复杂，不便于授权管理授权证书，属性证书从能力表得到一个主体所有的访问权限，很容易从能力表浏览一个客体所允许的访问控制权限，很困难O1RWO2RO5RWESi11访问控制表（Access Control List）访问控制表与客体关联，规定能够访问它的主体和权限由于主体数量一般比客体少得多而且容易分组，授权管理相对简单得到一个客体所有的访问权限，很容易浏览一个主体的所有访问权限，很困难S1RWS2RS5RWEOj12访问控制表（Windows）13授权信息访问控制与其他安全机制的关系认证、授权、审计（A

5、AA）Log身份认证身份认证访问控制访问控制审计审计授权（授权（authorization）主体主体客体客体14访问控制与其他安全机制的关系身分认证身份认证是访问控制的前提保密性限制用户对数据的访问（读取操作）可以实现数据保密服务完整性限制用户对数据的修改，实现数据完整性保护可用性限制用户对资源的使用量，保证系统的可用性安全管理相关的活动访问控制功能通常和审计、入侵检测联系在一起15主要内容访问控制的基本概念基本的访问控制政策模型16访问控制政策模型自主型访问控制（DAC）强制型访问控制(MAC)基于角色的访问控制（RBAC）17自主型访问控制政策Discretionary Access Co

6、ntrol,DAC每个客体有一个属主，属主可以按照自己的意愿把客体的访问控制权限授予其他主体DAC是一种分布式授权管理的模式控制灵活，易于管理，是目前应用最为普遍的访问控制政策18自主型访问控制政策/bin/lsrootacl tmp#chown root lsrootacl tmp#ls-l-rw-r-r-1 nobodynobody 770 Oct 18 15:16 4011.tmp-rw-1 root users 48 Oct 28 11:41 lssrwxrwxrwx 1 root root 0 Aug 29 09:04 mysql.sockdrwxrwxr-x 2 duan uan

7、4096 Oct 23 23:41 sslrootacl tmp#chmod o+rw lsrootacl tmp#ls-l-rw-r-r-1 nobody nobody 770 Oct 18 15:16 4011.tmp-rw-rw-1 root users 48 Oct 28 11:41 lssrwxrwxrwx 1 root root 0 Aug 29 09:04 mysql.sockdrwxrwxr-x 2 duan duan 4096 Oct 23 23:41 sslrootacl tmp#19自主型访问控制(DAC)无法控制信息流动信息在移动过程中其访问权限关系会被改变。如用户A可

8、将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。特洛伊木马的威胁 特洛伊木马（Trojan）是一段计算机程序，它附在合法程序的中，执行一些非法操作而不被用户发现特洛伊木马举例：#cat /tmp/ls mail /etc/passwd/bin/lsCtrl+D#chmod a+x/tmp/ls 如果用户的路径设置不安全，如path=./:/usr/bin:/usr/sbin:/usr/local/bin#cd/tmp#ls20强制型访问控制（MAC）Mandatory Access Control每个主体和客体分配一个固定的安全级别，只有系统管理员才可以修改Clear

9、ance，classification,sensitivity Unclassified confidential secret top secret 普密秘密机密绝密只有在主体和客体的安全级别满足一定规只有在主体和客体的安全级别满足一定规则时，才允许访问则时，才允许访问21强制型访问控制（续）BLP 模型禁止向下写：如果用户的级别比要写的客体级别高，则该操作是不允许的禁止向上读：如果主体的级别比要读的客体级别低，则该操作是不允许的。向下写是不允许的向上读是不允许的22强制型访问控制（续）TSSCUTSSCUR/WWR/WRR/WRWRRR R/WRWWWWSubjectsObjects信息流

10、向BLP 模型的信息流模型的信息流23基于角色的访问控制(RBAC)用户组（group）用户组：用户的集合 G=s1,s2,s3 授权管理：把用户分组，把访问权限分配给一个用户组；角色（Role）角色是完成一项任务必须访问的资源及相应操作权限的集合，R=(a1,o1),(a2,o2),(a3,o3)授权管理：根据任务需要定义角色，为角色分配资源和操作权限给一个用户指定一个角色24基于角色的访问控制（RBAC）角色的继承关系角色的继承关系RBAC的优势的优势便于授权管理便于授权管理便于责任划分便于责任划分参考文献：参考文献：Ravi S.Sandhu Role-Base Access Contr

11、ol Model,Computer,Feb.1996http:/csrc.nist.gov/rbac/Project SupervisorTest Engineer Programmer Project Member256.2 防火墙技术26主要内容6.2.1 防火墙的 基本概念6.2.2 防火墙的几种技术6.2.3 防火墙的配置结构6.2.4 防火墙的设计27防火墙的基本概念防火墙是在两个网络(通常是用户内部网络和Internet)之间实施访问控制政策的一个或一组系统（硬件、软件的组合）所有进入和离开的数据都必须经过防火墙的检查，只有符合访问控制政策的数据才允许通过28防火墙可以做什么防火墙

12、可以在网络边界实施访问控制政策防火墙可以记录所有的访问防火墙可以隐藏内部网络29防火墙不可以做什么防火墙自身不会正确的配置，需要用户定义访问控制规则防火墙不能防止内部恶意的攻击者防火墙无法控制没有经过它的连接防火墙无法防范全新的威胁和攻击防火墙不能很好的实现防病毒30关于防火墙的争论防火墙破坏了Internet端到端的特性，阻碍了新的应用的发展防火墙没有解决主要的安全问题，即网络内部的安全问题防火墙给人一种误解，降低了人们对主机安全的意识31主要内容5.2.1 防火墙的 基本概念5.2.2 防火墙的几种技术5.2.3 防火墙的配置结构5.2.4 防火墙的设计32防火墙技术物理层物理层链路层链路

13、层包过滤、地址转换包过滤、地址转换电路层网关电路层网关应用层代理应用层代理内部网络内部网络外部网络外部网络包过滤技术(Packet filtering/screening)电路层网关(Socks)应用层代理(Proxy)地址转换（NAT）33包过滤技术(Packet filtering)工作在网络层，称为Packet filter,screen router基于以下信息对经过的每一个包进行检查：IP 源地址和目标地址协议(TCP,UDP,ICMP,BGP等)TCP/UDP源端口号和目标端口号ICMP的消息类型包的大小常见包过滤设备/软件路由器访问控制表ACL硬件包过滤设备软件：ipchains

14、/netfilter34包过滤技术(Packet filtering)优点可以保护所有的服务对应用透明较高的网络性能成本较低缺点无法实施细粒度的访问控制政策现有的工具不完善规则配置复杂降低路由器的性能35电路层网关（Circuit Gateway）工作在传输层/会话层根据数据包的标志位建立一个连接状态表对于收到的某个IP包，检查它是否属于某一个会话？跟踪一段时间内一个会话中经过包的总数常见设备/软件商业防火墙硬件/软件免费软件：Socksd:相关标准rfc1928.txt36电路层网关（Circuit Gateway）优点支持所有TCP应用保持状态，可以检测、防范SYN Flood类型的攻击隐

15、藏内部网络缺点不支持UDP的应用对应用不透明，应用软件必须经过socksified才能使用防火墙保持状态，可能造成网络中断性能的开销较大防火墙本身易受DOS攻击37应用层代理（Proxy）工作在应用层(Application Layer)应用/协议相关(Protocol specific),比如telnet,http,smtp,pop,ftp proxy等可以支持身份认证功能除了基于地址、协议、端口的控制以外，还可以支持应用层命令的过滤，比如FTP的GET,PUT等常用软件：squid,wingate,Netscape,MS ISA 等物理层物理层链路层链路层网络层网络层传输层传输层Serve

16、rClienttelnet Clienttelnet Server38应用层代理（Proxy）优点功能强大：用户认证、细粒度的访问控制对于Web应用，提供内容缓存功能（cache）缺点协议相关的，需要对每一种应用协议编写Proxy程序必须修改应用程序通用计算机/软件实现，影响网络性能39地址转换（NAT）类似路由器，工作在网络层。除了转发以外，完成地址转换不能提供额外的安全性，但是可以隐蔽内部网络，节省地址空间10.42.6.9地址转换设备地址转换设备192.123.2.5192.123.2.610.42.7.140转换方式静态地址转换动态地址转换静态地址转换端口映射（Port Mapping

17、）动态地址转换端口映射10.42.6.9:1025地址转换设备地址转换设备192.123.2.5:2028192.123.2.5:202910.42.7.1:102541地址转换优点节省IP地址资源隐蔽内部的网络缺点地址转换破坏了IP包的完整性，破坏了Internet端到端的特性动态地址转换必须保留状态，破坏了网络无状态的特性Log 变得困难端口映射使得包过滤变得困难42主要内容5.2.1 防火墙的 基本概念5.2.2 防火墙的几种技术5.2.3 防火墙的配置结构5.2.4 防火墙的设计43防火墙的配置结构（Firewall Architecture)单盒结构（Single-Box Archi

18、tecture）屏蔽主机结构(Screened Host Architecture)屏蔽子网结构(Screened Subnet Architecture)44单盒结构（Single Box Architecture）屏蔽路由器（Screening Router）简单的包过滤功能优点：投资小，配置简单，没有增加单一故障点缺点：在ACL较多时，影响路由器的性能适用于如下环境网络内部的主机安全性比较好，规则简单对性能、可靠性要求比较高InsideOutside45单盒结构（Single Box Architecture）双宿主机（Dual Home Host）至少有两块网卡的通用计算机系统可以是包

19、过滤软件/硬件、电路层网关、应用层代理增加了单一故障点，影响网络吞吐量适用于如下应用环境去往Internet的流量比较小对可靠性要求不高不对外提供服务InsideOutside46屏蔽主机结构屏蔽路由器堡垒主机一台暴露在外部网络的攻击之下的计算机，要求安全性配置比较好的计算机。适用于只对外提供较少的服务，外部的来的连接比较少内部主机安全性配置较好OutsideFirewallscreeningrouterBastion Host47屏蔽子网结构48屏蔽子网结构外部路由器只允许对DMZ的访问拒绝所有以内部网络地址为源地址的包进入内部网络拒绝所有不以内部网络地址为原地址的包离开网络DMZ(Demi

20、litarized zone),不设防区通常放置DNS,Web,Email,FTP，Proxy Server等内部路由器保护内部网络，防止来自Internet或DMZ的访问内部网络一般不对外部提供服务，所以拒绝外部发起的一切连接，只允许内部对外的访问49主要内容5.2.1 防火墙的 基本概念5.2.2 防火墙的几种技术5.2.3 防火墙的配置结构5.2.4 防火墙的设计50防火墙设计定义你的需求防火墙产品的评价如何把这些产品组合在一起？51定义你的需求You should finger out exactly what you need before you start to look at

21、firewall products,because otherwise you risk being influenced more by advertising than by your own situation.If you dont know clearly what you need,the products that you look at will shape your decisions no matter how suspicious you are.52定义你的需求你需要防火墙做什么？你的安全政策是什么：你要保护什么？哪些行为是允许的？哪些行为是禁止的？缺省允许原则 与 缺

22、省拒绝原则你的用户需要访问哪些服务？你的网络提供哪些服务？你的网络规模有多大，带宽是多少，实际流量有多大，将来的扩展性怎样？你需要多高的安全性？怎样的可靠性？约束条件你的预算是多少？什么人来管理防火墙？53防火墙产品评测功能防火墙类型（包过滤/电路层网关/应用代理）支持的网络接口类型（10M/100M/1000M）支持的协议（对于代理服务器）是否支持地址翻译(NAT)，虚拟专网(VPN)如何扩展，怎样实现负载平衡(Load Balancing)用户身份验证方式：口令，RADIUS/Kerberos实时监控、审计、报警能力管理与维护的能力54防火墙产品评测性能：对不同大小的包的转发能力（pps）

23、并发会话数目（对于状态包过滤、代理服务器）最大允许的规则数目是否具有自动加固宿主机功能可靠性，稳定性，是否提供双机热备份功能从防火墙实时检测主防火墙的工作状态，一旦发现主防火墙死机、系统崩溃，从防火墙将立即取代主防火墙进行工作，同时从防火墙会及时向管理员发送报警信息，通知管理员对发现故障的防火墙及时进行维修。防火墙测试的标准 RFC297955防火墙产品与性能评测 价格典型的防火墙产品Netscreen公司的Netscreen系列Cisco公司的PIXCheckpoint公司的firewall-1Axent公司的RaptorNAI公司的Gaunlet56重点访问控制模型及相关概念：访问控制矩阵，能力表，访问控制表三种常见的访问控制政策TCSEC把网络安全分成几个等级，每个等级的特点是什么？防火墙的作用，防火墙的局限防火墙相关技术，各自的优缺点防火墙配置结构，各自的应用的环境57