欢迎来到天天文库
浏览记录
ID:36197388
大小:479.50 KB
页数:75页
时间:2019-05-07
《网络安全访问控制与防火墙技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、退出第3章访问控制与防火墙技术网络安全技术学习目的:了解访问控制技术的基本概念熟悉防火墙技术基础初步掌握防火墙安全设计策略了解防火墙攻击策略了解第四代防火墙的主要技术了解防火墙发展的新方向了解防火墙选择原则与常见产品学习重点:WindowsNT/2K安全访问控制手段防火墙安全设计策略防火墙攻击策略防火墙选择原则3.1访问控制技术3.1.1访问控制技术概述1.访问控制的定义访问控制是针对越权使用资源的防御措施,是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和非常访问。也是保证网络安全的核心策略之一。2.
2、基本目标防止对任何资源进行未授权的访问,从而使计算机系统在合法范围内使用;决定用户能做什么。3.访问控制的作用(1)访问控制对机密性、完整性起直接的作用。(2)对于可用性的有效控制3.1.2访问控制策略访问控制策略(AccessControlPolicy)是在系统安全策略级上表示授权,是对访问如何控制、如何作出访问决定的高层指南。1.自主访问控制自主访问控制(DAC)也称基于身份的访问控制(IBAC),是针对访问资源的用户或者应用设置访问控制权限;根据主体的身份及允许访问的权限进行决策;自主是指具有某种访问能力的主体能够
3、自主地将访问权的某个子集授予其它主体,访问信息的决定权在于信息的创建者。自主访问控制可以分为以下两类:基于个人的策略基于组的策略自主访问控制存在的问题:配置的粒度小,配置的工作量大,效率低。特点:灵活性高,被大量采用。缺点:安全性最低。2.强制访问控制强制访问控制(MAC)也称基于规则的访问控制(RBAC),在自主访问控制的基础上,增加了对资源的属性(安全属性)划分,规定不同属性下的访问权限。3.基于角色的访问控制基于角色的访问控制(RBAC)是与现代的商业环境相结合后的产物,同时具有基于身份策略的特征,也具有基于规则的
4、策略的特征,可以看作是基于组的策略的变种,根据用户所属的角色作出授权决定。4.多级策略法多级策略给每个目标分配一个密级,一般安全属性可分为四个级别:最高秘密级(TopSecret)、秘密级(Secret)、机密级(Confidene)以及无级别级(Unclassified)。3.1.3访问控制的常用实现方法访问控制的常用实现方法是指访问控制策略的软硬件低层实现。访问控制机制与策略独立,可允许安全机制的重用。安全策略之间没有更好的说法,应根据应用环境灵活使用。1.访问控制表(ACL)优点:控制粒度比较小,适用于被区分的用户
5、数比较小的情况,并且这些用户的授权情况相对比较稳定的情形。2.访问能力表授权机构针对每个限制区域,都为用户维护它的访问控制能力。3.安全标签发起请求的时候,附属一个安全标签,在目标的属性中,也有一个相应的安全标签。在做出授权决定时,目标环境根据这两个标签决定是允许还是拒绝访问,常常用于多级访问策略。4.基于口令的机制(1)与目标的内容相关的访问控制(2)多用户访问控制(3)基于上下文的控制对于用户而言,WindowsNT/2K有以下几种管理手段:1.用户帐号和用户密码3.1.4WindowsNT/2K安全访问控制手段2.
6、域名管理3.用户组权限4.共享资源权限3.2防火墙技术基础1.防火墙(FireWall)一个防火墙的基本目标为:1)对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙;2)通过一些安全策略,来保证只有经过授权的流量才可以通过防火墙;3)防火墙本身必须建立在安全操作系统的基础上。3.2.1防火墙概述所谓“防火墙”,是指一种将内部网和公众网络(如Internet)分开的方法,它实际上是一种隔离技术,是在两个网络通信时执行的一种访问控制手段,它能允许用户“同意”的人和数据进入网络,同时将用户“不同意”的人和
7、数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们更改、复制和毁坏自己的重要信息。2.防火墙的优点(1)防火墙对企业内部网实现了集中的安全管理,可以强化网络安全策略,比分散的主机管理更经济易行。(2)防火墙能防止非授权用户进入内部网络。(3)防火墙可以方便地监视网络的安全性并报警。(4)可以作为部署网络地址转换(NetworkAddressTranslation)的地点,利用NAT技术,可以缓解地址空间的短缺,隐藏内部网的结构。(5)利用防火墙对内部网络的划分,可以实现重点网段的分离,从而限制问题的扩散。
8、(6)由于所有的访问都经过防火墙,防火墙是审计和记录网络的访问和使用的最佳地方。3.防火墙的局限性(1)限制有用的网络服务。(2)无法防护内部网络用户的攻击。(3)Internet防火墙无法防范通过防火墙以外的其他途径的攻击。(4)Internet防火墙也不能完全防止传送已感染病毒的软件或文件。(5)防火墙无法防范数
此文档下载收益归作者所有