第5章 身份認(rèn)證與訪問控制

第5章身份認(rèn)證與訪問控制主編賈鐵軍副主編陳國秦蘇慶剛沈?qū)W東編著王堅(jiān)王小剛宋少婷上海教育高地建設(shè)項(xiàng)目高等院校規(guī)劃教材網(wǎng)絡(luò)安全技術(shù)及應(yīng)用（第2版）上海市精品課程網(wǎng)絡(luò)安全技術(shù)目錄

5.3數(shù)字簽名技術(shù)3

5.4訪問控制技術(shù)45.6訪問列表與Tenet訪問控制實(shí)驗(yàn)

6

5.1身份認(rèn)證技術(shù)概述15.5安全審計(jì)技術(shù)55.2登錄認(rèn)證與授權(quán)管理

2

5.7本章小結(jié)7教學(xué)目標(biāo)教學(xué)目標(biāo)

●理解身份認(rèn)證技術(shù)的概念、種類和常用方法●了解網(wǎng)絡(luò)安全的登錄認(rèn)證與授權(quán)管理●

掌握數(shù)字簽名及訪問控制技術(shù)及應(yīng)用與實(shí)驗(yàn)●

掌握安全審計(jì)技術(shù)及應(yīng)用重點(diǎn)為了提醒學(xué)弟學(xué)妹珍惜大學(xué)時(shí)光,華中科技大學(xué)大四姜新花了數(shù)月時(shí)間寫成一份長達(dá)萬字的“悔過書”。文章在學(xué)校貼吧發(fā)出后，立刻引來了大量網(wǎng)友熱評，眾人紛紛表示絕不辜負(fù)“過來人”的忠告。姜新表示，希望看過的學(xué)弟學(xué)妹都能吸取自己教訓(xùn),切莫虛度光陰。

/s/2013-04-02/023626706684.shtml大學(xué)只有四年絕對經(jīng)不起揮霍,有學(xué)生看完帖子后馬上把電腦游戲刪了重點(diǎn)5.1身份認(rèn)證技術(shù)概述

5.1.1身份認(rèn)證的概念和方法

通常，身份認(rèn)證基本方法有三種：用戶物件認(rèn)證；有關(guān)信息確認(rèn)或體貌特征識別。

認(rèn)證（Authentication）是指對主客體身份進(jìn)行確認(rèn)的過程。網(wǎng)絡(luò)中的身份認(rèn)證（IdentityAuthentication）是指網(wǎng)絡(luò)用戶在進(jìn)入系統(tǒng)或訪問受限系統(tǒng)資源時(shí),系統(tǒng)對用戶身份的鑒別過程。1.身份認(rèn)證的概念你有什么？你知道什么？你是誰？

多數(shù)銀行的網(wǎng)銀服務(wù)，除了向客戶提供U盾證書保護(hù)模式外，還推出了動態(tài)口令方式，可免除攜帶U盾的不便。動態(tài)口令是一種動態(tài)密碼技術(shù)，在使用網(wǎng)銀過程中，輸入用戶名后，即可通過綁定的手機(jī)一次性收到本次操作的密碼,此密碼只可使用一次,便利安全。案例5-15.1身份認(rèn)證技術(shù)概述

5.1.1身份認(rèn)證的概念和方法

身份認(rèn)證與鑒別是信息安全中的第一道防線，對信息系統(tǒng)的安全有著重要的意義。身份認(rèn)證可以確保用戶身份的真實(shí)、合法和唯一性。因此，可以防止非法人員進(jìn)入系統(tǒng)，防止非法人員通過各種違法操作獲取不正當(dāng)利益、非法訪問受控信息、惡意破壞系統(tǒng)數(shù)據(jù)的完整性的情況的發(fā)生，嚴(yán)防“病從口入”關(guān)口。2.身份認(rèn)證的作用3.身份認(rèn)證的種類和方法

認(rèn)證技術(shù)是用戶身份認(rèn)證與鑒別的重要手段，也是計(jì)算機(jī)系統(tǒng)安全中一項(xiàng)重要內(nèi)容.從鑒別對象上,分為消息認(rèn)證和用戶身份認(rèn)證:（1）消息認(rèn)證：用于保證信息的完整性和不可否認(rèn)性。（2）身份認(rèn)證：鑒別用戶身份。包括識別和驗(yàn)證兩部分。識別是鑒別訪問者的身份，驗(yàn)證是對訪問者身份的合法性進(jìn)行確認(rèn)。從認(rèn)證關(guān)系上，身份認(rèn)證也可分為用戶與主機(jī)間的認(rèn)證和主機(jī)之間的認(rèn)證，

5.1身份認(rèn)證技術(shù)概述5.1.2身份認(rèn)證系統(tǒng)及認(rèn)證方式

身份認(rèn)證是系統(tǒng)安全的第一道關(guān)卡。用戶在訪問系統(tǒng)前，先要經(jīng)過身份認(rèn)證系統(tǒng)識別身份，通過訪問監(jiān)控設(shè)備，根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫，決定所訪問資源的權(quán)限。授權(quán)數(shù)據(jù)庫由安全管理員按照需要配置。審計(jì)系統(tǒng)根據(jù)設(shè)置記載用戶的請求和行為，同時(shí)入侵檢測系統(tǒng)檢測異常行為。訪問控制和審計(jì)系統(tǒng)都依賴于身份認(rèn)證系統(tǒng)提供的“認(rèn)證信息”鑒別和審計(jì)，如圖5-1所示。

圖5-l身份認(rèn)證和訪問控制過程5.1身份認(rèn)證技術(shù)概述5.1.2身份認(rèn)證系統(tǒng)及認(rèn)證方式

1.用戶名及密碼方式

用戶名/密碼方式是最簡單、最常用的身份認(rèn)證方法，是基于“你知道什么”的驗(yàn)證手段。2.智能卡認(rèn)證

智能卡是一種內(nèi)置集成的電路芯片，存有與用戶身份相關(guān)的數(shù)據(jù)，由專門廠商通過專用設(shè)備生產(chǎn)。智能卡認(rèn)證是基于“你有什么”的認(rèn)證方式，由合法用戶隨身攜帶，硬件不可復(fù)制無法被仿冒，登錄時(shí)或同行時(shí)須將智能卡在專用讀卡器讀取身份驗(yàn)證信息。

3.動態(tài)令牌認(rèn)證

動態(tài)口令技術(shù)是一種讓用戶密碼按照時(shí)間或使用次數(shù)不斷變化、每個(gè)密碼只能使用一次的技術(shù)。它采用一種動態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運(yùn)行專門的密碼算法，根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。

5.1身份認(rèn)證技術(shù)概述5.1.2身份認(rèn)證系統(tǒng)及認(rèn)證方式

4.身份認(rèn)證系統(tǒng)的組成

包括：認(rèn)證服務(wù)器（AuthenticationServer）、認(rèn)證系統(tǒng)用戶端軟件（AuthenticationClientSoftware）、認(rèn)證設(shè)備（Authenticator）。身份認(rèn)證系統(tǒng)主要是通過身份認(rèn)證協(xié)議和有關(guān)軟硬件實(shí)現(xiàn)的。

5.USBKey認(rèn)證

采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因素(兩種認(rèn)證方法)認(rèn)證模式.其身份認(rèn)證系統(tǒng)有兩種認(rèn)證模式：基于沖擊/響應(yīng)模式和基于PKI體系的認(rèn)證模式.XX銀行的“USBKEY”是為了保障網(wǎng)上銀行“客戶證書”的安全性，推出了電子證書存儲器簡稱USBKEY即U盾，可將客戶的“證書”專門存放于盤中，即插即用，非常安全可靠。U盾只存放銀行的證書，不可導(dǎo)入或?qū)С銎渌麛?shù)據(jù)。只需先安裝其驅(qū)動程序，即可導(dǎo)入相應(yīng)的證書。網(wǎng)上銀行支持USBkey證書功能，U盾具有安全性、移動性、方便性特點(diǎn)。

案例5-25.1身份認(rèn)證技術(shù)概述

6.生物識別技術(shù)

是指通過可測量的身體或行為等生物特征進(jìn)行身份認(rèn)證的技術(shù)。1)指紋識別技術(shù)。2)視網(wǎng)膜識別技術(shù)。3)聲音識別技術(shù)。7.CA認(rèn)證系統(tǒng)

CA(CertificationAuthority)認(rèn)證是對網(wǎng)絡(luò)用戶身份證的發(fā)放、管理和認(rèn)證的過程。

討論思考：（1）身份認(rèn)證的概念、種類和方法有哪些？（2）常見的身份認(rèn)證系統(tǒng)的認(rèn)證方式有哪些？5.2登錄認(rèn)證與授權(quán)管理

1.固定口令安全問題

固定口令認(rèn)證方式簡單，易受攻擊： （1）網(wǎng)絡(luò)數(shù)據(jù)流竊聽（Sniffer）。（2）認(rèn)證信息截取/重放。（3）字典攻擊。（4）窮舉嘗試（BruteForce）。（5）窺探密碼。（6）社會工程攻擊(冒充)。（7）垃圾搜索。2.一次性口令密碼體制

一次性口令認(rèn)證系統(tǒng)組成：（1）生成不確定因子。（2）生成一次性口令。

5.2.1常用登錄認(rèn)證方式

3.雙因素安全令牌及認(rèn)證系統(tǒng)

E-Securer安全身份認(rèn)證系統(tǒng)是面向安全領(lǐng)域開發(fā)的AAA（認(rèn)證、授權(quán)、審計(jì)）系統(tǒng)，提供了雙因素（TwoFactor）身份認(rèn)證、統(tǒng)一授權(quán)、集中審計(jì)等功能，可以為網(wǎng)絡(luò)設(shè)備、VPN、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、WEB服務(wù)器、應(yīng)用服務(wù)系統(tǒng)等提供集中的身份認(rèn)證和權(quán)限控制。(1)雙因素身份認(rèn)證系統(tǒng)組成1)身份認(rèn)證服務(wù)器提供數(shù)據(jù)存儲、AAA服務(wù)、管理等功能，是整個(gè)系統(tǒng)的核心部分。

2)雙因素安全令牌（SecureKey）用于生成用戶當(dāng)前登錄的動態(tài)口令，采用加密算法及可靠設(shè)計(jì)，可防止讀取密碼信息。3)認(rèn)證代理（AuthenticationAgent）安裝在被保護(hù)系統(tǒng)上，被保護(hù)系統(tǒng)通過認(rèn)證代理向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求，從而保證被保護(hù)系統(tǒng)身份認(rèn)證的安全。5.2登錄認(rèn)證與授權(quán)管理圖5-2RSA雙因素安全令牌案例5-3

(2)認(rèn)證系統(tǒng)功能(3)雙因素身份認(rèn)證系統(tǒng)的技術(shù)特點(diǎn)和優(yōu)勢

1)雙因素身份認(rèn)證.系統(tǒng)與安全令牌配合,為用戶提供雙因素認(rèn)證安全保護(hù)

2)基于角色的權(quán)限管理.通過用戶與角色的結(jié)合,角色與權(quán)限的配置,可有針對性的實(shí)現(xiàn)用戶的職責(zé)分擔(dān),方便靈活配置用戶對資源設(shè)備的訪問權(quán)限;

3)完善詳細(xì)的審計(jì)。系統(tǒng)提供用戶認(rèn)證、訪問的詳細(xì)記錄，提供詳細(xì)的審計(jì)跟蹤信息；

4)高通用性。采用RADIUS、Tacacs+、LDAP等國際標(biāo)準(zhǔn)協(xié)議，具有高度的通用性；5)高可靠性。多個(gè)協(xié)議模塊之間可以實(shí)現(xiàn)負(fù)載均衡，多臺統(tǒng)一認(rèn)證服務(wù)器之間實(shí)現(xiàn)熱備份，認(rèn)證客戶端可以在多臺服務(wù)器之間自動切換；6)E-Securer自動定時(shí)數(shù)據(jù)備份，防止關(guān)鍵數(shù)據(jù)丟失；采用高可用配置，保證持續(xù)穩(wěn)定工作；

7)高并發(fā)量。系統(tǒng)采用現(xiàn)今成熟技術(shù)設(shè)計(jì)，選用企業(yè)級數(shù)據(jù)庫系統(tǒng)，并且進(jìn)行了大量的性能優(yōu)化，保證系統(tǒng)提供實(shí)時(shí)認(rèn)證、高并發(fā)量運(yùn)行；

8)管理界面簡潔易用。采用基于WEB的圖形化管理界面，極大的方便了管理員對系統(tǒng)進(jìn)行集中的管理、維護(hù)、審計(jì)工作；

9)開放式體系，產(chǎn)品支持主流操作系統(tǒng)（UNIX、Windows）和網(wǎng)絡(luò)設(shè)備。5.2登錄認(rèn)證與授權(quán)管理

在某企業(yè)網(wǎng)絡(luò)系統(tǒng)使用的“VPN接入認(rèn)證”和“登錄認(rèn)證”的用戶身份認(rèn)證子系統(tǒng)中，VPN用戶、網(wǎng)絡(luò)資源訪問人員、應(yīng)用作業(yè)操作人員、網(wǎng)絡(luò)管理員和系統(tǒng)管理員的各類用戶身份認(rèn)證應(yīng)用。主要包括：VPN接入認(rèn)證、應(yīng)用軟件登錄認(rèn)證、主機(jī)系統(tǒng)登錄認(rèn)證、命令授權(quán)審計(jì)、網(wǎng)絡(luò)設(shè)備登錄認(rèn)證、命令授權(quán)審計(jì)、Windows域登錄認(rèn)證、LotusDomino登錄認(rèn)證。5.2登錄認(rèn)證與授權(quán)管理4.認(rèn)證系統(tǒng)的主要應(yīng)用案例5-3

在大型企業(yè)中，常用多種不同的應(yīng)用服務(wù)器，如ERP、Web服務(wù)系統(tǒng)、營銷管理系統(tǒng)、電子郵件系統(tǒng)等，員工經(jīng)常需要同時(shí)訪問多種應(yīng)用，不同的系統(tǒng)之間的賬戶和要求不同.如圖5-3所示

5.2登錄認(rèn)證與授權(quán)管理5.2.2用戶單次登錄認(rèn)證1．多次登錄的弊端案例5-3圖5-3不同應(yīng)用系統(tǒng)的多次登錄

2.單次登入面臨的挑戰(zhàn)

單次登錄（SingleSignOn，SSO）也稱單點(diǎn)登錄，是指用戶只向網(wǎng)絡(luò)進(jìn)行一次身份驗(yàn)證，以后再無需另外驗(yàn)證身份，便可訪問所有被授權(quán)的網(wǎng)絡(luò)資源。SSO面臨的挑戰(zhàn)包括3個(gè)方面：1)多種應(yīng)用平臺。2)不同的安全機(jī)制。

3)不同的賬戶服務(wù)系統(tǒng)。

3．單次登錄的優(yōu)點(diǎn)實(shí)現(xiàn)單次登錄優(yōu)點(diǎn)包括：

（1）管理更簡單。（2）管理控制更方便。（3）用戶使用更快捷。（4）網(wǎng)絡(luò)更安全。（5）合并異構(gòu)網(wǎng)絡(luò)。

5.2登錄認(rèn)證與授權(quán)管理

某銀行機(jī)構(gòu)的認(rèn)證與授權(quán)管理的目標(biāo)體系，如圖5-4所示。

5.2登錄認(rèn)證與授權(quán)管理5.2.3銀行認(rèn)證授權(quán)管理應(yīng)用1.認(rèn)證與授權(quán)管理目標(biāo)圖5-4認(rèn)證與授權(quán)管理目標(biāo)體系案例5-6

2.認(rèn)證授權(quán)管理的原則為實(shí)現(xiàn)上述的目標(biāo)，應(yīng)遵循以下的指導(dǎo)原則：統(tǒng)一規(guī)劃管理，分步部署實(shí)施

1)進(jìn)行認(rèn)證和授權(quán)管理的統(tǒng)一規(guī)劃，并制訂工作計(jì)劃；

2)制訂及維護(hù)認(rèn)證和授權(quán)相關(guān)業(yè)務(wù)流程；

3)統(tǒng)一用戶編碼規(guī)則，制訂及維護(hù)認(rèn)證憑證政策；

4)確定用戶身份信息的數(shù)據(jù)源和數(shù)據(jù)流，并進(jìn)行數(shù)據(jù)質(zhì)量管理；

5)認(rèn)證和授權(quán)分權(quán)管理委派；

6)對銀行認(rèn)證和授權(quán)的現(xiàn)狀進(jìn)行周期性的審計(jì)和跟蹤。(2)建立統(tǒng)一信息安全服務(wù)平臺,提供統(tǒng)一的身份認(rèn)證和訪問管理服務(wù)(3)保護(hù)現(xiàn)有IT投資，并便于未來擴(kuò)展5.2登錄認(rèn)證與授權(quán)管理討論思考：（1）雙因素身份認(rèn)證系統(tǒng)的技術(shù)特點(diǎn)和優(yōu)勢有呢些？（2）實(shí)現(xiàn)單次登錄SSO對于用戶的優(yōu)點(diǎn)是什么？（3）認(rèn)證授權(quán)管理的原則是什么？5.3數(shù)字簽名技術(shù)

數(shù)字簽名（DigitalSignature）又稱公鑰數(shù)字簽名或電子簽章，是以電子形式存儲于信息中或以附件或邏輯上與之有聯(lián)系的數(shù)據(jù)，用于辨識數(shù)據(jù)簽署人的身份，并表明簽署人對數(shù)據(jù)中所包含信息的認(rèn)可。

基于公鑰密碼體制和私鑰密碼體制都可獲得數(shù)字簽名，目前主要是基于公鑰密碼體制的數(shù)字簽名。包括普通數(shù)字簽名和特殊數(shù)字簽名兩種。

5.3.1數(shù)字簽名的概念及功能2.數(shù)字簽名的方法及功能

保證信息傳輸?shù)耐暾?、發(fā)送者的身份認(rèn)證、防止交易中的抵賴行為發(fā)生。數(shù)字簽名技術(shù)是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。最終目的是實(shí)現(xiàn)6種安全保障功能：（１）必須可信。（２）無法抵賴。（３）不可偽造。（４）不能重用。（５）不許變更。（６）處理快、應(yīng)用廣。

1.數(shù)字簽名的概念5.3.2數(shù)字簽名的種類1．手寫簽名或圖章識別

將手寫簽名或印章作為圖像，掃描后在數(shù)據(jù)庫中加以存儲，當(dāng)驗(yàn)證此人的手寫簽名或蓋印時(shí)，也用光掃描輸入，并將原數(shù)據(jù)庫中的對應(yīng)圖像調(diào)出，用模式識別的數(shù)學(xué)計(jì)算方法對將兩者進(jìn)行比對，以確認(rèn)該簽名或印章的真?zhèn)巍?/p>

2．生物識別技術(shù)

生物識別技術(shù)是利用人體生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。生物特征是一個(gè)人與他人不同的唯一表征，它是可以測量、自動識別和驗(yàn)證的。生物識別系統(tǒng)對生物特征進(jìn)行取樣，提取其唯一的特征進(jìn)行數(shù)字化處理，轉(zhuǎn)換成數(shù)字代碼，并進(jìn)一步將這些代碼組成特征模板存于數(shù)據(jù)庫中。

5.3數(shù)字簽名技術(shù)

3.密碼、密碼代號或個(gè)人識別碼

主要是指用一種傳統(tǒng)的對稱密鑰加/解密的身份識別和簽名方法。甲方需要乙方簽名一份電子文件，甲方可產(chǎn)生一個(gè)隨機(jī)碼傳送給乙方，乙方用事先雙方約定好的對稱密鑰加密該隨機(jī)碼和電子文件回送給甲方，甲方用同樣的對稱密鑰解密后得到電文并核對隨機(jī)碼，如隨機(jī)碼核對正確，甲方即可認(rèn)為該電文來自乙方。4．基于量子力學(xué)的計(jì)算機(jī)

基于量子力學(xué)的計(jì)算機(jī)被稱作量子計(jì)算機(jī)，是以量子力學(xué)原理直接進(jìn)行計(jì)算的計(jì)算機(jī)。它比傳統(tǒng)的圖靈計(jì)算機(jī)具有更強(qiáng)大的功能，它的計(jì)算速度要比現(xiàn)代的計(jì)算機(jī)快幾億倍。5．基于PKI的電子簽名

基于PKI的電子簽名被稱作數(shù)字簽名。有人稱“電子簽名”就是“數(shù)字簽名”，其實(shí)這是一般性說法，數(shù)字簽名只是電子簽名的一種特定形式。

5.3數(shù)字簽名技術(shù)

5.3.2數(shù)字簽名的種類5.3.3數(shù)字簽名過程及實(shí)現(xiàn)1.身份認(rèn)證的實(shí)現(xiàn)PKI提供的服務(wù)首先是認(rèn)證，即身份識別與鑒別，就是確認(rèn)實(shí)體即為自己所聲明的實(shí)體。認(rèn)證的前提是雙方都具有第三方CA所簽發(fā)的證書，認(rèn)證分單向認(rèn)證和雙向認(rèn)證。1)單向認(rèn)證。2)雙向認(rèn)證。2.數(shù)字簽名過程網(wǎng)上通信的雙方，在互相認(rèn)證身份之后，即可發(fā)送簽名的數(shù)據(jù)電文。數(shù)字簽名的全過程分兩大部分，即簽名與驗(yàn)證。數(shù)字簽名與驗(yàn)證的過程和技術(shù)實(shí)現(xiàn)的原理，如圖5-6所示。

5.3數(shù)字簽名技術(shù)

圖5-5雙向認(rèn)證過程

圖5-6數(shù)字簽名原理

5.3數(shù)字簽名技術(shù)

5.3.3數(shù)字簽名過程及實(shí)現(xiàn)圖5-8數(shù)字簽名驗(yàn)證過程3．?dāng)?shù)字簽名的操作過程

數(shù)字簽名的操作過程如圖5-7所示，需要有發(fā)方的簽名證書的私鑰及其驗(yàn)證公鑰。4．?dāng)?shù)字簽名的驗(yàn)證過程

收方收到發(fā)方的簽名后進(jìn)行簽名驗(yàn)證，其具體操作過程如圖5-8所示。圖5-7數(shù)字簽名操作過程5.3.2數(shù)字簽名過程及實(shí)現(xiàn)5．原文保密的數(shù)據(jù)簽名的實(shí)現(xiàn)方法

上述數(shù)字簽名原理中定義的對原文做數(shù)字摘要及簽名并傳輸原文，實(shí)際上在很多場合傳輸?shù)脑囊蟊Ｃ?，不許別人接觸。要求對原文進(jìn)行加密的數(shù)字簽名方法的實(shí)現(xiàn)涉及到“數(shù)字信封”的問題，此處理過程稍微復(fù)雜一些，但數(shù)字簽名的基本原理仍相同，其簽名過程如圖5-9所示。5.3數(shù)字簽名技術(shù)

圖5-9原文加密的數(shù)字簽名實(shí)現(xiàn)方法討論思考：（1）數(shù)字簽名的概念及方法是什么？（2）數(shù)字簽名的功能和種類有哪些？（3）數(shù)字簽名具體操作過程是什么？5.4訪問控制技術(shù)

1.訪問控制的概念及任務(wù)

訪問控制（AccessControl）指針對越權(quán)使用資源的防御措施，即判斷使用者是否有權(quán)限使用、或更改某一項(xiàng)資源，并且防止非授權(quán)的使用者濫用資源。目的是限制訪問主體對訪問客體的訪問權(quán)限。

訪問控制包含三方面含義：一是機(jī)密性控制，保證數(shù)據(jù)資源不被非法讀出；二是完整性控制，保證數(shù)據(jù)資源不被非法增加、改寫、刪除和生成；三是有效性控制，保證資源不被非法訪問主體使用和破壞。其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問，也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。訪問控制三個(gè)要素：（1）主體S（Subject）.是指提出訪問資源具體請求.（2）客體O（Object）.是指被訪問資源的實(shí)體。（3）控制策略A（Attribution）?？刂埔?guī)則。

5.4.1訪問控制的概念及內(nèi)容2.訪問控制的內(nèi)容訪問控制的實(shí)現(xiàn)首先要考慮對合法用戶進(jìn)行驗(yàn)證，然后是對控制策略的選用與管理，最后要對非法用戶或是越權(quán)操作進(jìn)行管理。

訪問控制的內(nèi)容包括三個(gè)方面：

(1)認(rèn)證：包括主體對客體的識別認(rèn)證和客體對主體檢驗(yàn)認(rèn)證。

(2)控制策略的具體實(shí)現(xiàn)：如何設(shè)定規(guī)則集合從而確保正常用戶對信息資源的合法使用，既要防止非法用戶，也要考慮敏感資源的泄漏，對于合法用戶而言，更不能越權(quán)行使控制策略所賦予其權(quán)利以外的功能。

(3)安全審計(jì)：使系統(tǒng)自動記錄網(wǎng)絡(luò)中的“正?！辈僮?、“非正?！辈僮饕约笆褂脮r(shí)間、敏感信息等。

1.訪問控制的層次一般可以將訪問控制分為2個(gè)層次：物理訪問控制和邏輯訪問控制。通常，物理訪問控制包括標(biāo)準(zhǔn)的鑰匙、門鎖和設(shè)備標(biāo)簽等，而邏輯訪問控制則是在數(shù)據(jù)、應(yīng)用、系統(tǒng)和網(wǎng)絡(luò)等層面實(shí)現(xiàn)的。對于銀行、證券等重要金融機(jī)構(gòu)的網(wǎng)站，網(wǎng)絡(luò)信息安全重點(diǎn)關(guān)注的是邏輯訪問控制，物理訪問控制則主要由其他類型的安全部門完成。2.訪問控制的模式主要的訪問控制模式有三種：(1)自主訪問控制（DAC）(2)強(qiáng)制訪問控制（MAC）(3)基于角色的訪問控制（RBAC）

5.4.2訪問控制的模式及管理3.訪問控制規(guī)則(1)訪問者主體對客體訪問可以基于身份,也可基于角色。即“訪問者”可以是身份標(biāo)識，也可以是角色。從業(yè)務(wù)角度對系統(tǒng)進(jìn)行統(tǒng)一的角色定義是實(shí)現(xiàn)統(tǒng)一訪問管理的最佳實(shí)踐。(2)資源對資源的保護(hù)應(yīng)包括兩個(gè)層面：物理層和邏輯層。(3)訪問控制規(guī)則

四要素:訪問者(主體),資源(客體),訪問請求和訪問響應(yīng).

圖5-10基于角色的訪問控制某金融機(jī)構(gòu)訪問控制實(shí)例，給用戶1分配的角色為A（角色維度1）和B(角色維度2)。在訪問的過程中，訪問控制規(guī)則引擎查詢授權(quán)信息（如ACL），判斷用戶1所具有的訪問權(quán)限。當(dāng)用戶具有角色A的時(shí)候，將具有權(quán)限1、權(quán)限2和權(quán)限3；當(dāng)用戶具有角色B的時(shí)候，將具有權(quán)限4；當(dāng)用戶同時(shí)具有角色A和B的時(shí)候，將具有權(quán)限5和權(quán)限6。因此，用戶1具有的權(quán)限為權(quán)限1至權(quán)限8。訪問控制規(guī)則引擎返回授權(quán)信息，實(shí)現(xiàn)訪問控制。

案例5-7

4.單點(diǎn)登入的訪問管理

根據(jù)登入的應(yīng)用類型不同,可分為3種類型.1）對桌面資源的統(tǒng)一訪問管理對桌面資源的訪問管理，包括兩個(gè)方面：①登入Windows后統(tǒng)一訪問Microsoft應(yīng)用資源。②登入Windows后訪問其他應(yīng)用資源。2）Web單點(diǎn)登入由于Web技術(shù)體系架構(gòu)便捷，對Web資源的統(tǒng)一訪問管理易于實(shí)現(xiàn)，如圖5-8所示。

圖5-8Web單點(diǎn)登入訪問管理系統(tǒng)

3）傳統(tǒng)C/S結(jié)構(gòu)應(yīng)用的統(tǒng)一訪問管理在傳統(tǒng)C/S結(jié)構(gòu)應(yīng)用上,實(shí)現(xiàn)管理前臺的統(tǒng)一或統(tǒng)一入口是關(guān)鍵.采用Web客戶端作為前臺是企業(yè)最為常見的一種解決方案.單點(diǎn)登入5.4訪問控制技術(shù)

5.4.3訪問控制的安全策略

訪問控制的安全策略是指在某個(gè)自治區(qū)域內(nèi)（屬于某個(gè)組織的一系列處理和通信資源范疇）,用于所有與安全相關(guān)活動的一套訪問控制規(guī)則.其安全策略有三種類型：基于身份的安全策略、基于規(guī)則的安全策略和綜合訪問控制方式。1.安全策略實(shí)施原則

訪問控制安全策略原則集中在主體、客體和安全控制規(guī)則集三者之間的關(guān)系。

（1）最小特權(quán)原則。（2）最小泄露原則。（3）多級安全策略。

5.4訪問控制技術(shù)

2.基于身份和規(guī)則的安全策略

授權(quán)行為是建立身份安全策略和規(guī)則安全策略的基礎(chǔ)，兩種安全策略為：1）基于身份的安全策略

（1）基于個(gè)人的安全策略。 （2）基于組的安全策略。2）基于規(guī)則的安全策略在此安全策略系統(tǒng)中,所有數(shù)據(jù)和資源都標(biāo)注了安全標(biāo)記,用戶的活動進(jìn)程與其原發(fā)者具有相同的安全標(biāo)記.5.4訪問控制技術(shù)

2.基于身份和規(guī)則的安全策略

綜合訪問控制策略（HAC）繼承并吸取多種主流訪問控制技術(shù)優(yōu)點(diǎn),有效地解決了訪問控制問題,保護(hù)數(shù)據(jù)的保密性和完整性，保證授權(quán)主體能訪問客體和拒絕非授權(quán)訪問.具有良好靈活性、可維護(hù)性,可管理性、更細(xì)粒度的訪問控制性和更高安全性。HAC主要包括：（1）入網(wǎng)訪問控制。（2）網(wǎng)絡(luò)(資源-服務(wù))的權(quán)限控制。（3）目錄級安全控制。（4）屬性安全控制。（5）網(wǎng)絡(luò)服務(wù)器安全控制。（6）網(wǎng)絡(luò)監(jiān)控和鎖定控制。（7）網(wǎng)絡(luò)端口和結(jié)點(diǎn)的安全控制。

5.4訪問控制技術(shù)

3.綜合訪問控制策略

綜合訪問控制策略（HAC）繼承并吸取多種主流訪問控制技術(shù)優(yōu)點(diǎn),有效地解決了訪問控制問題,保護(hù)數(shù)據(jù)的保密性和完整性，保證授權(quán)主體能訪問客體和拒絕非授權(quán)訪問.具有良好靈活性、可維護(hù)性,可管理性、更細(xì)粒度的訪問控制性和更高安全性。HAC主要包括：（1）入網(wǎng)訪問控制。（2）網(wǎng)絡(luò)(資源-服務(wù))的權(quán)限控制。（3）目錄級安全控制。（4）屬性安全控制。（5）網(wǎng)絡(luò)服務(wù)器安全控制。（6）網(wǎng)絡(luò)監(jiān)控和鎖定控制。（7）網(wǎng)絡(luò)端口和結(jié)點(diǎn)的安全控制。（8）防火墻控制5.4訪問控制技術(shù)

4.網(wǎng)上銀行訪問控制的安全策略

為了讓用戶安全、放心地使用網(wǎng)上銀行，通常在網(wǎng)上銀行系統(tǒng)采取了八大安全策略，以全面保護(hù)的信息資料與資金的安全。（1）加強(qiáng)證書存貯安全。（2）動態(tài)口令卡。（3）先進(jìn)技術(shù)的保障。（4）雙密碼控制，并設(shè)定了密碼安全強(qiáng)度。（5）交易限額控制。（6）信息提示，增加透明度。（7）客戶端密碼安全檢測。（8）短信服務(wù)5.4訪問控制技術(shù)

5.4.4準(zhǔn)入控制與身份認(rèn)證管理1.準(zhǔn)入控制技術(shù)概述

思科公司和微軟的網(wǎng)絡(luò)準(zhǔn)入控制NAP其原理和本質(zhì)一致，不僅對用戶身份進(jìn)行認(rèn)證，還對用戶的接入設(shè)備進(jìn)行安全狀態(tài)評估（包括防病毒軟件、系統(tǒng)補(bǔ)丁等），使每個(gè)接入點(diǎn)AP都具有較高的可信度和健壯性，從而保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。華為2005年推出端點(diǎn)準(zhǔn)入防御產(chǎn)品。5.4訪問控制技術(shù)

2．身份認(rèn)證管理與準(zhǔn)入控制的結(jié)合

身份認(rèn)證技術(shù)的發(fā)展過程，從軟件到軟硬件結(jié)合，從單一因子認(rèn)證到雙因素認(rèn)證，從靜態(tài)認(rèn)證到動態(tài)認(rèn)證。目前常用的身份認(rèn)證方式包括：用戶名/密碼方式、公鑰證書方式、動態(tài)口令方式等。采用單獨(dú)方式都有優(yōu)劣。身份認(rèn)證技術(shù)的安全性，關(guān)鍵在于組織采取的安全策略。身份認(rèn)證是網(wǎng)絡(luò)準(zhǔn)入控制的基礎(chǔ)。

中國教育和科研計(jì)算機(jī)網(wǎng)緊急響應(yīng)組（CCERT）開發(fā)組，在開發(fā)“某大學(xué)校園網(wǎng)端口認(rèn)證系統(tǒng)”的基礎(chǔ)上，多年跟蹤研究準(zhǔn)入控制系統(tǒng)。在分析了思科的入控制研究方案后，認(rèn)為應(yīng)重點(diǎn)研究獨(dú)立于產(chǎn)品廠商的準(zhǔn)入控制方案和相關(guān)軟件系統(tǒng)。準(zhǔn)入控制系統(tǒng)的核心是從網(wǎng)絡(luò)接入端點(diǎn)的安全控制入手，結(jié)合認(rèn)證服務(wù)器，安全策略服務(wù)器和網(wǎng)絡(luò)設(shè)備，以及第三方的軟件系統(tǒng)（病毒和系統(tǒng)補(bǔ)丁服務(wù)器）,完成對接入終端用戶的強(qiáng)制認(rèn)證和安全策略應(yīng)用，保障網(wǎng)絡(luò)安全。某大學(xué)準(zhǔn)入控制系統(tǒng)，通過提供綜合管理平臺，對用戶和接入設(shè)備進(jìn)行集中管理,統(tǒng)一實(shí)施校園網(wǎng)的安全策略.5.4訪問控制技術(shù)

3.準(zhǔn)入控制技術(shù)方案比較不同廠商準(zhǔn)入控制方案在原理上類似，但實(shí)現(xiàn)方式各不相同。主要區(qū)別4個(gè)方面。1）選取協(xié)議2）身份認(rèn)證管理方式3）策略管理4）準(zhǔn)入控制

4.某大學(xué)準(zhǔn)入控制研發(fā)及應(yīng)用

案例5-8討論思考：（1）訪問控制的概念和內(nèi)容是什么？（2）訪問控制模式主要有哪幾種？（3）訪問控制的安全策略有哪幾種實(shí)現(xiàn)方式？

5.4訪問控制技術(shù)

5.準(zhǔn)入控制技術(shù)未來的發(fā)展準(zhǔn)入控制發(fā)展很快，并且出現(xiàn)各種方案整合的趨勢。一方面各主要廠商突出本身的準(zhǔn)入控制方案，廠商之間加大了合作力度。思科和微軟都承諾支持對方準(zhǔn)入控制計(jì)劃，并開放自己的API。另一方面，準(zhǔn)入控制標(biāo)準(zhǔn)化工作也在加快。5.5安全審計(jì)技術(shù)5.5.1安全審計(jì)概述

1.安全審計(jì)的概念及目的

計(jì)算機(jī)安全審計(jì)（Audit）是指按照一定的安全策略，利用記錄、系統(tǒng)活動和用戶活動等信息，檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動，發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過程。也是審查評估系統(tǒng)安全風(fēng)險(xiǎn)并采取相應(yīng)措施的一個(gè)過程。主要作用和目的包括5個(gè)方面：（1）對潛在攻擊者起到威懾和警示作用。（2）測試系統(tǒng)的控制情況，及時(shí)調(diào)整。（3）對已出現(xiàn)的破壞事件，做出評估并提供依據(jù)。（4）對系統(tǒng)控制、安全策略與規(guī)程中的變更進(jìn)行評價(jià)和反饋，以便修訂決策和部署。（5）協(xié)助發(fā)現(xiàn)入侵或潛在的系統(tǒng)漏洞及隱患。

5.4安全審計(jì)概述

2.安全審計(jì)的類型

從審計(jì)級別上可分為3種類型：（1）系統(tǒng)級審計(jì)。主要針對系統(tǒng)的登入情況、用戶識別號、登入嘗試的日期和具體時(shí)間、退出的日期和時(shí)間、所使用的設(shè)備、登入后運(yùn)行程序等事件信息進(jìn)行審查。（2）應(yīng)用級審計(jì)。主要針對的是應(yīng)用程序的活動信息。（3）用戶級審計(jì)。主要是審計(jì)用戶的操作活動信息。

5.4安全審計(jì)概述3.安全審計(jì)系統(tǒng)的基本結(jié)構(gòu)

安全審計(jì)是通過對所關(guān)心的事件進(jìn)行記錄和分析來實(shí)現(xiàn)的，因此審計(jì)過程包括審計(jì)發(fā)生器、日志記錄器、日志分析器和報(bào)告機(jī)制幾部分，如圖5-12所示。

圖5-12審計(jì)系統(tǒng)的基本結(jié)構(gòu)5.4安全審計(jì)概述5.5.2系統(tǒng)日記審計(jì)1.系統(tǒng)日志的內(nèi)容

系統(tǒng)日志主要根據(jù)網(wǎng)絡(luò)安全級別及強(qiáng)度要求，選擇記錄部分或全部的系統(tǒng)操作。對于單個(gè)事件行為，通常系統(tǒng)日志主要包括：事件發(fā)生的日期及時(shí)間、引發(fā)事件的用戶IP地址、事件源及目的地位置、事件類型等。2.安全審計(jì)的記錄機(jī)制

對各種網(wǎng)絡(luò)系統(tǒng)應(yīng)采用不同記錄日志機(jī)制。記錄方式有3種：由操作系統(tǒng)完成，也可以由應(yīng)用系統(tǒng)或其他專用記錄系統(tǒng)完成。圖5-13Syslog安全審計(jì)的記錄機(jī)制5.4安全審計(jì)概述

審計(jì)系統(tǒng)可成為追蹤入侵、恢復(fù)系統(tǒng)的直接證據(jù)，其自身的安全性更為重要。審計(jì)系統(tǒng)的安全主要包括審計(jì)事件查閱安全和存儲安全。保護(hù)查閱安全措施：

（1）審計(jì)查閱。 （2）有限審計(jì)查閱。（3）可選審計(jì)查閱。

審計(jì)事件的存儲安全要求：

（1）保護(hù)審計(jì)記錄的存儲。（2）保證審計(jì)數(shù)據(jù)的可用性。 （3）防止審計(jì)數(shù)據(jù)丟失。4.審計(jì)事件查閱與存儲

日志分析的主要目的是在大量的記錄日志信息中找到與系統(tǒng)安全相關(guān)的數(shù)據(jù),并分析系統(tǒng)運(yùn)行情況.主要任務(wù)包括:（1）潛在威脅分析。 （2）異常行為檢測。（3）簡單攻擊探測。 （4）復(fù)雜攻擊探測。3.日志分析5.4安全審計(jì)概述5.5.3審計(jì)跟蹤及應(yīng)用1.審計(jì)跟蹤的概念及意義

審計(jì)跟蹤（AuditTrail）指按事件順序檢查、審查、檢驗(yàn)其運(yùn)行環(huán)境及相關(guān)事件活動的過程。主要用于實(shí)現(xiàn)重現(xiàn)事件、評估損失、檢測系統(tǒng)產(chǎn)生的問題區(qū)域、提供有效的應(yīng)急災(zāi)難恢復(fù)、防止系統(tǒng)故障或使用不當(dāng)?shù)确矫妗?/p>

審計(jì)跟蹤作為一種安全機(jī)制，主要審計(jì)目標(biāo)：（1）審計(jì)系統(tǒng)記錄有利于迅速發(fā)現(xiàn)系統(tǒng)問題，及時(shí)處理事故，保障系統(tǒng)運(yùn)行。（2）可發(fā)現(xiàn)試圖繞過保護(hù)機(jī)制的入侵行為或其他操作。（3）能夠發(fā)現(xiàn)用戶的訪問權(quán)限轉(zhuǎn)移行為。（4）制止用戶企圖繞過系統(tǒng)保護(hù)機(jī)制的操作事件。5.4安全審計(jì)概述

審計(jì)跟蹤是提高系統(tǒng)安全性的重要工具.安全審計(jì)跟蹤的意義:

（1）利用系統(tǒng)的保護(hù)機(jī)制和策略，及時(shí)發(fā)現(xiàn)并解決系統(tǒng)問題，審計(jì)客戶行為。

（2）審計(jì)信息可以確定事件和攻擊源，用于檢查計(jì)算機(jī)犯罪。

（3）通過對安全事件的收集、積累和分析，可對其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，以提供發(fā)現(xiàn)可能產(chǎn)生破壞性行為的證據(jù)。（4）既能識別訪問系統(tǒng)的來源，又能指出系統(tǒng)狀態(tài)轉(zhuǎn)移過程。2.審計(jì)跟蹤的主要問題安全審計(jì)跟蹤重點(diǎn)考慮：

（1）選擇記錄信息內(nèi)容。

（2）確定審計(jì)跟蹤信息所采用的語法和語義定義。

審計(jì)是系統(tǒng)安全策略的一個(gè)重要組成部分，貫穿整個(gè)系統(tǒng)運(yùn)行過程中，覆蓋不同的安全機(jī)制，為其他安全策略的改進(jìn)和完善提供必要的信息。5.4安全審計(jì)概述5.5.4安全審計(jì)的實(shí)施為了確保審計(jì)實(shí)施的可用性和正確性，需要在保護(hù)和審查審計(jì)數(shù)據(jù)的同時(shí)，做好計(jì)劃分步實(shí)施.具體實(shí)施主要包括：保護(hù)審查審計(jì)數(shù)據(jù)及審計(jì)步驟。1.保護(hù)審計(jì)數(shù)據(jù)應(yīng)當(dāng)嚴(yán)格限制在線訪問審計(jì)日志。

審計(jì)數(shù)據(jù)保護(hù)常用方法:用數(shù)據(jù)簽名和只讀設(shè)備存儲數(shù)據(jù)。審計(jì)跟蹤信息的保密性也應(yīng)進(jìn)行嚴(yán)格保護(hù)。2.審查審計(jì)數(shù)據(jù)審計(jì)跟蹤的審查與分析可分為事后檢查、定期檢查和實(shí)時(shí)檢查3種。3.審查工具1）審計(jì)精選工具。2）趨勢/差別探測工具。3）攻擊特征探測工具。

5.4安全審計(jì)概述5.5.5金融機(jī)構(gòu)審計(jì)跟蹤的實(shí)施應(yīng)用1．審計(jì)跟蹤系統(tǒng)概述

審計(jì)跟蹤系統(tǒng)本身會執(zhí)行系統(tǒng)方面的策略，如對文件及系統(tǒng)的訪問。對實(shí)施這些策略的相關(guān)系統(tǒng)配置文件改動的監(jiān)控十分重要，系統(tǒng)須在相關(guān)訪問發(fā)生時(shí)生成審計(jì)記錄。審計(jì)跟蹤可提供更詳細(xì)記錄。對于重要應(yīng)用還需對使用者和使用細(xì)節(jié)進(jìn)行記錄。系統(tǒng)管理員不僅會對所有的系統(tǒng)和活動進(jìn)行監(jiān)控，同時(shí)也應(yīng)選擇記錄某個(gè)應(yīng)用在系統(tǒng)層面上的某個(gè)功能。包括審計(jì)跟蹤任何試圖登陸的情況，登陸ID、每次登陸嘗試時(shí)間和日期、終止登陸時(shí)間和日期、使用的設(shè)備、登陸成功后使用的功能。

案例5-95.4安全審計(jì)概述5.5.5金融機(jī)構(gòu)審計(jì)跟蹤的實(shí)施應(yīng)用2．系統(tǒng)安全審計(jì)跟蹤的實(shí)施1)不同系統(tǒng)在不同情況下審計(jì)跟蹤信息所記錄的內(nèi)容有一定差異2)對在線審計(jì)日志的訪問須嚴(yán)格控制。3)審計(jì)跟蹤信息在保留期限到期后應(yīng)立即予以刪除和銷毀。4)對于審計(jì)跟蹤可以進(jìn)行事后審核，階段性審核和實(shí)時(shí)的分析。5)審計(jì)跟蹤事后審核。6)審計(jì)跟蹤階段性審核。7)實(shí)時(shí)審計(jì)分析。8)審計(jì)跟蹤分析的工具。討論思考：（1）安全審計(jì)的概念、目的、內(nèi)容、類型和結(jié)構(gòu)是什么？（2）系統(tǒng)日志的內(nèi)容主要包括哪些？（3）安全審計(jì)跟蹤主要考慮哪幾個(gè)方面問題？5.6.1實(shí)驗(yàn)?zāi)康?/p>

5.6訪問列表與Telnet訪問控制實(shí)驗(yàn)通過對本章身份認(rèn)證原理與訪問控制技術(shù)的系統(tǒng)地學(xué)習(xí)。掌握在業(yè)界應(yīng)用最為廣泛訪問控制列表技術(shù)。為了更好地讓大家熟悉訪問控制列表技術(shù)的一般配置方式，本節(jié)實(shí)驗(yàn)的主要目的包括：（1）進(jìn)一步加深對訪問控制列表技術(shù)的理解與認(rèn)識；（2）熟悉CISCO路由器的設(shè)置與基本控制操作；（3）進(jìn)一步了解訪問控制策略的設(shè)計(jì)方式。5.6.2實(shí)驗(yàn)要求與方法1.實(shí)驗(yàn)環(huán)境使用一臺安裝了WindowsXP操作系統(tǒng)的臺式電腦、兩臺CISCO路由器和若干網(wǎng)線。2.注意事項(xiàng)(1)預(yù)習(xí)準(zhǔn)備由于本實(shí)驗(yàn)涉及的一些產(chǎn)品相關(guān)的技術(shù)概念，尤其是CISCO的IOS操作系統(tǒng)，應(yīng)當(dāng)提前做一些了解，以利于對于實(shí)驗(yàn)內(nèi)容的深刻理解。(2)注意弄懂實(shí)驗(yàn)原理、理解各步驟的含義對于操作的每一步要著重理解其原理，對于訪問控制列表配置過程中的各種命令、反饋及驗(yàn)證方法等要充分理解其作用和含義。實(shí)驗(yàn)用時(shí)：2學(xué)時(shí)（90-100分鐘）5.6訪問列表與Telnet訪問控制實(shí)驗(yàn)5.5.3實(shí)驗(yàn)內(nèi)容及步驟

本實(shí)驗(yàn)分為三個(gè)步驟完成：連通物理設(shè)備、配置路由器訪問控制策略、通過實(shí)驗(yàn)結(jié)果驗(yàn)證結(jié)論。（1）連通物理設(shè)備將兩臺路由器如圖5-14連通，其中S0與S1之間用串口線連通，只允許R1的loop1能通過ping命令連接R2的loop0；并且在R2上設(shè)置telnet訪問控制，只允許R1的loop0能夠遠(yuǎn)程登錄，不能使用deny語句。5.6訪問列表與Telnet訪問控制實(shí)驗(yàn)圖5-14訪問列表與telnet訪問實(shí)驗(yàn)拓?fù)鋱D5.5.3實(shí)驗(yàn)內(nèi)容及步驟

對R1與R2的配置如下：R1的配置：R1(config)#interfaceloopback0R1(config-if)#ipaddressR1(config-if)#interfaceloopback1R1(config-if)#ipadressR1(config-if)#interfaces0R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config)#iproute配置缺省路由

R2的配置：R2(config)#interfaceloopback0R2(config-if)#ipaddressR2(config-if)#interfaces1R2(config-if)#ipaddressR2(config-if)#clockrate64000R2(config-if)#noshutdownR2(config)#iproute

配置缺省路由5.6訪問列表與Telnet訪問控制實(shí)驗(yàn)測試網(wǎng)絡(luò)連通性：R1#pingProtocol[ip]:TargetIPaddress:Extendedcomm