第8章訪問控制技術第8章訪問控制技術8.1訪問控制技術概述8.2訪問控制策略8.3訪問控制的常用實現方法8.4防火墻技術基礎8.5入侵檢測技術8.1訪問控制技術概述訪問控制的定義：訪問控制是針對越權使用資源的防御措施，是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非法訪問。也是維護網絡系統安全、保護網絡資源的重要手段。基本目標：防止對任何資源（如計算資源、通信資源或信息資源）進行未授權的訪問，從而使計算機系統在合法范圍內使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。8.1訪問控制技術概述訪問控制的作用：訪問控制對機密性、完整性起直接的作用。對于可用性，訪問控制通過對以下信息的有效控制來實現：誰可以頒發影響網絡可用性的網絡管理指令；誰能夠濫用資源以達到占用資源的目的；誰能夠獲得可以用于拒絕服務攻擊的信息。8.2訪問控制策略自主訪問控制：是針對訪問資源的用戶或者應用設置訪問控制權限；根據主體的身份及允許訪問的權限進行決策；自主是指具有某種訪問能力的主體能夠自主地將訪問權的某個子集授予其它主體，訪問信息的決定權在于信息的創建者。特點：靈活性高，被大量采用。缺點：安全性最低。信息在移動過程中其訪問權限關系會被改變8.2訪問控制策略強制訪問控制：在自主訪問控制的基礎上，增加了對資源的屬性（安全屬性）劃分，規定不同屬性下的訪問權限。對一個安全區域的強制式策略被最終的權威機構采用和執行，它基于能自動實施的規則。將主體和客體分為不同的級別，所有對信息的控制權都由系統管理員來決定。8.2訪問控制策略基于角色的訪問控制：同時具有基于身份策略的特征，也具有基于規則策略的特征，可以看作是基于組的策略的變種，根據用戶所屬的角色做出授權決定與訪問者的身份認證密切相關，通過確定該合法訪問者的身份來確定訪問者在系統中對哪類信息有什么樣的訪問權限角色與組的區別是：組，代表一組用戶的集合；角色，則是一組用戶的集合＋一組操作權限的集合。8.3訪問控制的常用實現方法訪問控制表（ACL）對應于訪問控制矩陣中的一列內容，基于身份的訪問控制策略和基于角色的訪問控制策略都可以用ACL來實現。優點：控制粒度比較小，適用于被區分的用戶數比較小的情況，并且這些用戶的授權情況相對比較穩定的情形。8.3訪問控制的常用實現方法訪問能力表：授權機構針對每個限制區域，都為用戶維護它的訪問控制能力。它與ACL相比較，在每個受限制的區域，都維護一個ACL表。安全標簽：發起請求時，附屬一個安全標簽，在目標的屬性中，也有一個相應的安全標簽。在做出授權決定時，目標環境根據這兩個標簽決定是允許還是拒絕訪問，常常用于多級訪問策略。8.3訪問控制的常用實現方法基于口令的機制:與目標的內容相關的訪問控制：動態訪問控制。多用戶訪問控制：當多個用戶同時提出請求時，如何做出授權決定。基于上下文的控制：在做出對一個目標的授權決定時依賴于外界的因素，比如時間、用戶的位置等。8.4防火墻技術基礎8.4.1防火墻的基本概念8.4.2防火墻的功能8.4.3防火墻的缺點8.4.4防火墻的基本結構8.4.5防火墻的類型8.4.6防火墻安全設計策略8.4.7防火墻攻擊策略8.4.8第四代防火墻的主要技術8.4.9防火墻發展的新方向8.4.1防火墻的基本概念內網（受信網絡）：防火墻內的網絡。外網（非受信網絡）：防火墻外的網絡，一般指Internet。受信主機和非受信主機分別對照內網和外網的主機。非軍事區（DMZ）：為了配置管理方便，內網中需要向外提供服務的服務器往往放在一個單獨的網段，這個網段便是非軍事化區。防火墻一般配置三塊網卡，分別連接內部網、Internet和DMZ。8.4.1防火墻的基本概念防火墻的定義:防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合，它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力8.4.2防火墻的功能基本功能:是網絡安全的屏障控制對主機系統的訪問可以強化網絡安全策略對網絡存取和訪問進行監控審計附加功能網絡地址翻譯虛擬專用網絡8.4.3防火墻的缺點不能防范來自內部網絡的攻擊不能防范不經由防火墻的攻擊不能防范感染了病毒的軟件或文件的傳輸不能防范利用標準網絡協議中的缺陷進行的攻擊不能防范利用服務器系統漏洞進行的攻擊不能防范新的網絡安全問題限制了有用的網絡服務8.4.4防火墻的基本結構屏蔽路由器雙宿主機防火墻屏蔽主機防火墻屏蔽子網防火墻其他的防火墻結構一個堡壘主機和一個非軍事區兩個堡壘主機和兩個非軍事區兩個堡壘主機和一個非軍事區8.4.5防火墻的類型數據包過濾路由器為系統內設置的過濾規則（即訪問控制表），只有滿足過濾規則的數據包才被轉發至相應的網絡接口，其余數據包則被從數據流中刪除代理網關針對每一個特定應用都有一個程序，在應用層實現防火墻的功能，主要特點是有狀態性。狀態檢測在防火墻的核心部分建立狀態連接表，并將進出網絡的數據當成一個個的會話，利用狀態表跟蹤每一個會話狀8.4.6防火墻安全設計策略網絡服務訪問權限策略:網絡服務訪問策略是一種高層次的、具體到事件的策略，主要用于定義在網絡中允許的或禁止的網絡服務，而且還包括對撥號訪問以及SLIP/PPP連接的限制一個防火墻執行兩個通用網絡服務訪問策略中的一個：允許從內部站點訪問Internet而不允許從Internet訪問內部站點；只允許從Internet訪問特定的系統，如信息服務器和電子郵件服務器8.4.6防火墻安全設計策略防火墻設計策略及要求:防火墻一般執行以下兩種基本設計策略中的一種：第一種，除非明確不允許，否則允許某種服務；第二種，除非明確允許，否則將禁止某種服務防火墻與加密機制早期的防火墻主要起屏蔽主機和加強訪問控制的作用，現在的防火墻則一般都具有加密、解密和壓縮、解壓等功能8.4.7防火墻攻擊策略掃描防火墻策略方法是探測在目標網絡上安裝的是何種防火墻系統并且找出此防火墻系統允許哪些服務，通常稱之為對防火墻的探測攻擊通過防火墻認證機制策略IP地址欺騙TCP序號攻擊利用防火墻漏洞策略尋找、利用防火墻系統實現和設計上的安全漏洞，從而有針對性地發動攻擊8.4.8第四代防火墻的主要技術防火墻技術的發展經歷了基于路由器的防火墻、用戶化的防火墻工具套裝、建立在通用操作系統上的防火墻、具有安全操作系統的防火墻四個階段雙端口或三端口的結構透明的訪問方式靈活的代理系統多級的過濾技術網絡地址轉換技術8.4.8第四代防火墻的主要技術Internet網關技術安全服務器網絡（SSN）用戶鑒別與加密用戶定制服務審計和告警功能8.4.8第四代防火墻的主要技術第四代防火墻技術的實現方法：安全內核的實現代理系統的建立分組過濾器的設計安全服務器的設計鑒別與加密的考慮8.4.8第四代防火墻的主要技術第四代防火墻抗攻擊能力分析：抗IP假冒攻擊抗特洛伊木馬攻擊抗口令字探尋攻擊抗網絡安全性分析抗郵件詐騙攻擊8.4.9防火墻發展的新方向透明接入技術透明模式：對用戶是透明的,沒有IP地址透明代理：代理服務器建立透明的通道，讓用戶直接與外界通信兩者之間的區別：工作于透明模式的防火墻使用了透明代理的技術，但透明代理并不是透明模式的全部，防火墻在非透明模式中也可以使用透明代理分布式防火墻技術分布式防火墻技術分布式防火墻的產生背景：網絡應用受到結構性限制內部安全隱患依然存在效率較低和故障率高分布式防火墻的主要特點主機駐留嵌入操作系統內核適用于服務器托管分布式防火墻技術分布式防火墻的主要優勢增強的系統安全性提高了系統性能系統的擴展性實施主機策略應用更為廣泛，支持VPN通信分布式防火墻技術分布式防火墻的基本原理：首先由制定防火墻接入控制策略的中心通過編譯器將策略語言描述轉換成內部格式，形成策略文件；然后中心采用系統管理工具把策略文件分發給各臺“內部”主機；“內部”主機將從兩方面來判定是否接受收到的包，一方面是根據IP安全協議，另一方面是根據服務器端的策略文件分布式防火墻技術分布式防火墻的主要功能Internet訪問控制應用訪問控制網絡狀態監控黑客攻擊的防御日志管理系統工具8.5入侵檢測技術8.5.1入侵檢測概念8.5.2入侵檢測系統模型8.5.3入侵檢測技術分類8.5.4入侵檢測系統的組成與分類8.5.1入侵檢測概念入侵是指違背訪問目標的安全策略的行為。入侵檢測通過收集操作系統、系統程序、應用程序、網絡包等信息，發現系統中違背安全策略或危及系統安全的行為。具有入侵檢測功能的系統稱為入侵檢測系統，簡稱IDS入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊8.5.1入侵檢測概念IDS的功能：監視、分析用戶及系統活動；系統構造和弱點的審計；識別反映已知進攻的活動模式并向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為8.5.2入侵檢測系統模型通用的入侵檢測框架模型（簡稱CIDF）該模型認為入侵檢測系統由事件產生器（eventgenerators）、事件分析器（eventanalyzers）、響應單元（responseunits）和事件數據庫（eventdatabases）組成8.5.3入侵檢測技術分類基于誤用的入侵檢測技術通常稱為基于特征的入侵檢測方法，指根據已知的入侵模式檢測入侵行為誤用入侵檢測依賴于攻擊模式庫入侵檢測的過程實際上就是模式匹配的過程基于異常的入侵檢測技術異常檢測方法