第6章网络访问的可控性机制ppt课件.pptVIP

复习 简述基于数字证书的身份鉴别过程 简述U盾的鉴别过程 谁需要防火墙？ 任何使用互联网的企业和公司都需要防火墙 一个典型的防火墙使用形态 防火墙的发展过程 规则集 悲观策略：（保守策略）除非明确允许，否则将禁止某种服务。 服务容易受到限制 乐观策略：除非明确不允许，否则允许某种服务 容易产生安全漏洞 一般规则的设置 规则的格式为(R[i],A(R)) R[i]—包匹配的字段 A(R)匹配规则后防火墙所做的动作 每条规则包含两个方面： 定义包在何种情况下匹配该规则 匹配后防火墙进行何种动作(允许or禁止) 默认规则设置 阻止声明具有内部源地址的外来数据包或者具有外部源地址的外出数据包，这是防止IP欺骗 允许从内部DNS解析程序到Internet上的DNS服务器的基于UDP的DNS查询与应答。这是允许地址解析通过防火墙 默认规则设置 允许从Internet上的DNS服务器到内部DNS解析程序的基于UDP的DNS查询与应答 允许基于UDP的外部客户查询DNS解析程序并提供应答，允许从Internet上的DNS服务器到DNS解析程序的基于TCP的DNS查询与应答。 默认规则设置 允许从出站SMTP堡垒主机到Internet的邮件外出，允许外来邮件从Internet到达入站SMTP堡垒主机，这是允许电子邮件的访问。 允许代理发起的通信从代理服务器到达Internet，允许代理应答从Internet定向到外围的代理服务器，这是允许代理行为 默认规则设置 允许从出站HTTP堡垒主机到Internet的WWW外出，允许外来WWW从Internet到达入站HTTP堡垒主机，这是允许WWW的访问。 规则的冗余与处理 对于冗余的规则的处理： 从规则库中删除，减少规则库的规模，可以提高防火墙的速度，还可以减少内存的需求。 复习 根据控制的粒度将网络访问控制分为几类？ 简述设计防火墙的基本原则 包过滤技术通常设置的过滤字段有哪些？ 过滤路由器结构 角色继承原则 有的角色拥有自己的权限，还可以继承其他角色的权限 作用：提高效率，避免相同权限的重复设置 最小权限原则 最小权限：用户所拥有的权利不能超过他执行工作时所需的权限，即每个主体在完成某种操作时所赋予网络中必不可少的特权。 保证所有主体都能在所赋予的特权之下完成所需完成的任务和操作 限制每个主体所能进行的操作，杜绝可能的操作漏洞 最小权限原则 最小权限原则在保持完整性方面起重要作用。 实现最小权限原则，需分清用户工作的内容，确定执行该项工作的最小权限集，然后将用户限制在这些权限范围内。 职责分离原则 对某些特定的操作集，某一个角色或用户不可能同时独立地完成所有这些操作，这时需要遵守“职责分离”原则 静态职责分离 动态职责分离 职责分离原则 静态职责分离：只有当一个角色与用户的其他角色彼此不互斥时，这个角色才能授权给该用户。 动态职责分离：只有当一个角色与一个主体的任何一个当前活跃角色都不互斥时，该角色才能成为该用户的另一个活跃角色。 角色容量原则 角色容量原则：在创建新的角色时，要指定角色的容量，在一个特定的时间段内，有一些角色只能由一定人数的用户占用。 登录口令的安全保存 对口令进行加密或变形保存 给口令加盐处理 对网络服务器的安全控制 网络服务器上的软件只能从系统目录上装载，只有网络管理员才具有访问系统目录的权限。系统可授权控制台操作人员具有操作服务器的权利，控制台操作员可通过控制台装载和卸载功能模块、安装和删除软件。 复习 防火墙的体系结构包括？ 访问控制的过程包括？ 访问控制机制按照访问的方式分为？ 访问控制机制按照访问的主体分为？ 自主访问控制的实施方法？ 基于角色的访问控制的原则有哪些？ 强制访问控制基于____、______来保障数据的机秘度与敏感度 入侵检测 计算机安全的三大中心目标：必威体育官网网址性、完整性、可用性 人们在实现这些目标的过程中不断进行着探索和研究。其中比较突出的技术有：身份认证与识别、访问控制机制、加密技术、防火墙技术等。 这些技术的共同特征是：集中在系统的自身加固和防护上，属于静态的安全防护技术，它对于网络环境下日新月异的攻击手段缺乏主动的反应。 动态安全模型：P2DR P2DR模型 6.4 基于入侵检测技术的网络访问控制机制与评价 6.4.1 入侵检测概述 为什么进行入侵检测？ 复杂多变的攻击、威胁不仅来自外部、入侵网络相对容易、网络攻击的自动化程度高 入侵检测 定义：对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。 是一种入侵行为的发觉 是主动保护自己免受攻击的网络技术 通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测的