返回
计算机网络安全与应用 教学课件 作者 陈学平 主编 李明 副主编第6章 访问控制与防火墙技术.ppt

计算机网络安全与应用 教学课件 作者 陈学平 主编 李明 副主编第6章 访问控制与防火墙技术.ppt

ID:50214051

大小:113.00 KB

页数:10页

时间:2020-03-10

计算机网络安全与应用 教学课件 作者 陈学平 主编 李明 副主编第6章 访问控制与防火墙技术.ppt_第1页
计算机网络安全与应用 教学课件 作者 陈学平 主编 李明 副主编第6章 访问控制与防火墙技术.ppt_第2页
计算机网络安全与应用 教学课件 作者 陈学平 主编 李明 副主编第6章 访问控制与防火墙技术.ppt_第3页
计算机网络安全与应用 教学课件 作者 陈学平 主编 李明 副主编第6章 访问控制与防火墙技术.ppt_第4页
计算机网络安全与应用 教学课件 作者 陈学平 主编 李明 副主编第6章 访问控制与防火墙技术.ppt_第5页
资源描述:

《计算机网络安全与应用 教学课件 作者 陈学平 主编 李明 副主编第6章 访问控制与防火墙技术.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第6章访问控制与防火墙技术本章要点(1)访问控制的基本概念(2)访问控制的基本模型(3)防火墙的功能(4)防火墙的规则(5)防火墙的种类划分(6)防火墙的功能需求(7)防火墙的优点与不足6.1访问控制6.1.1访问控制的定义访问控制是针对越权使用资源的防御措施,是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。6.1.2基本目标防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问,从而使计

2、算机系统在合法范围内使用,决定用户能做什么,也决定代表一定用户利益的程序能做什么。未授权的访问包括:未经授权的使用、泄露、修改、销毁信息以及颁发指令等:非法用户进入系统:合法用户对系统资源的非法使用。6.1.3访问控制的作用(1)访问控制对机密性、完整性起直接的作用。(2)对于可用性,访问控制通过对以下信息的有效控制来实现。·谁可以颁发影响网络可用性的网络管理指令。·谁能够滥用资源以达到占用资源的目的。·谁能够获得可以用于拒绝服务攻击的信息。6.1.4主体、客体和授权(1)客体(Object)。规定需要保护的资源,又称作目标(target)。(2)主体(Subject)。或称

3、为发起者(Initiator),是一个主动的实体,规定可以访问该资源的实体,通常指用户或代表用户执行的程序。(3)授权(Authorization)。规定可对该资源执行的动作,例如读、写、执行或拒绝访问。一个主体为了完成任务,可以创建另外的主体,这些子主体可以在网络上不同的计算机上运行,并由父主体控制它们。主客体的关系是相对的。6.1.5访问控制模型基本组成访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问请求加以控制。在访问控制中,客体是指资源,包括文件、设备、信号量等;主体是指对客体访问的活动资源,主体是访问的发起者,通常是指进程、程序或用户

4、。6.1.6访问控制策略访问控制策略(AccessControlPolicy)控制、如fn-1做出访问决定的高层指南(如图是在系统安全策略级上表示授权,是对访问如何6-2所示)。图6-2访问控制的一般策略1.自主访问控制2.强制访问控制3.多级策略4.基于间隔的策略——时间粒度上的控制6.1.7访问控制机制1.访问控制表(ACL.AcEessControlList)2.其他访问控制机制6.1.8其他的访问控制(1)与目标的内容相关的访问控制。如动态访问控制。(2)多用户访问控制。当多个用户同时提出请求时,如何做出授权决定。(3)基于上下文的控制。在做出对一个目标的授权决定时依

5、赖于外界的因素用户的位置等。6.2防火墙防火墙不是万能的,并不是拥有了防火墙设备后就可以高枕无忧了。防火墙技术只是整体安全策略的重要一环,主要执行的是访问控制功能。从成本和速度的角度考虑,它不适合集成太多的网络安全功能,防火墙应该与其他安全技术联动来实现完整的计算机安全功能。而且防火墙只负责对通过它的数据流进行检测,如果存在旁路的数据流,防火墙就无能为力了。6.2.1防火墙的定义从广泛、宏观的意义上说,防火墙是隔离在内联网络与外联网络之间的一个防御系统。防火墙拥有内联网络与外联网络之间的唯一进出口,因此能够使内联网络与外联网络,尤其是与Internet互相隔离。它通过限制内联

6、网络与外联网络之间的访问来防止外部用户非法使用内部资源,保护内联网络的设备不被破坏,防止内联网络的敏感数据被窃取,从而达到保护内联网络的目的。6.2.2防火墙的位置1.防火墙的物理位置从物理角度看,防火墙的物理实现方式有所不同。通常来说,防火墙是一组硬件设备,即路由器、计算机或者配有适当软件的网络设备的多种组合。作为内联网络与外联网络之间实现访问控制的一种硬件设备,防火墙通常安装在内联网络与外联网络的交界点上。防火墙通常位于等级较高的网关位置或者与外联网络相连接的节点处,这样做有利于防火墙对全网(内联网络)的信息流的监控,进而实现全面的安全防护。但是,防火墙也可以部署在等级较

7、低的网关位置或者与数据流交汇的节点上,目的是为某些有特殊要求的子系统或内联子网提供进一步的保护。2.防火墙的逻辑位置防火墙的逻辑位置指的是防火墙与网络协议相对应的逻辑层次关系。处于不同网络层次的防火墙实现不同级别的网络过滤功能,表现出的特性也不同。例如,网络层防火墙可以进行快速的数据包过滤,但是却无法理解数据包内容的含义,因此也就无法进行更深入的内容检查;而代理型防火墙与包过滤型防火墙大相径庭,这种类型的防火墙位于应用层上,虽然有过滤速度慢的缺点,但是却可以理解数据流的含义,进而能够对其进行更加深人的检

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。