[理学]第2章 网络安全防护1.ppt

网络安全基础 访问控制 访问控制技术就是通过不同的手段和策略实现网络上主体对客体的访问权限。 访问控制 在访问控制中，对其访问必须进行控制的资源称为客体， 同理，控制它对客体的访问的活动资源，称为主体。 主体即访问的发起者，通常为进程、程序或用户。客体包括各种资源，如文件、设备、信号量等。 访问控制中第三个元素是保护规则，它定义了主体与客体可能的相互作用途径。 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。 网络的权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类：特殊用户（即系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。 目录、文件、设备的访问控制 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。 自主访问控制 访问控制分为“自主访问控制”和“强制访问控制”两种。 自主访问控制（DAC：discretionary access control）是一种最为普遍的访问控制手段，用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的文件，亦即一个用户可以有选择地与其他用户共享他的文件，用户有自主的决定权。 自主访问控制的一个最大问题是主体权限太大，无意间就可能泄露信息，而且不能防备特洛伊木马的攻击。 强制访问控制 强制访问控制（DMC：mandatory access control）就是指用户与文件都有一个固定的安全属性。 系统用该安全属性来决定一个用户是否可以访问某个文件。安全属性是强制性的规定，它是由安全管理员，或者是操作系统根据限定的规则确定的，用户或用户的程序不能加以修改。 强制访问控制可以防范特洛伊木马和用户滥用权限，具有更高的安全性。 访问控制的目的 访问控制的目的是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用，决定用户能做什么，也决定代表一定用户利益的程序能做什么。 防火墙示意图 防火墙的核心技术 简单包过滤技术 　 包过滤工作在网络层，对数据包的源及目地IP具有识别和控制用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息，由于只对数据包的IP地址、TCP/UDP协议和端口进行分析. 包过滤防火墙的处理速度较快，并且易于配置。 在互联网上提供某些特定服务的服务器一般都使用相对固定的端口号。因此路由器在设置包过滤规则时指定：对于某些端口号允许数据包与该端口交换，或者阻断数据包与它们的连接。 防火墙的核心技术 代理技术 应用代理彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。 优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。 防火墙的核心技术 状态检测包过滤技术 状态检测摒弃了包过滤仅考查数据包的IP地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。 优 点：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。