訪問控制與網(wǎng)絡(luò)隔離技術(shù)

訪問控制與網(wǎng)絡(luò)隔離技術(shù).本章簡介本章主要介紹了訪問控制的功能、原理、類型及機制，并對防火墻的定義和相關(guān)技術(shù)進行了較詳細(xì)的介紹，本章也對目前的各種物理隔離技術(shù)進行了比較和講解，并介紹了我國目前物理隔離技術(shù)的開展方向。通過本章的學(xué)習(xí)，使讀者：〔1〕了解訪問控制列表；〔2〕理解防火墻原理；〔3〕了解物理隔離的定義和原理；〔4〕掌握防火墻和物理隔離的根本配置。.5.1訪問控制訪問控制〔AccessControl〕指系統(tǒng)對用戶身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段。通常用于系統(tǒng)管理員控制用戶對效勞器、目錄、文件等網(wǎng)絡(luò)資源的訪問。訪問控制是系統(tǒng)保密性、完整性、可用性和合法使用性的重要根底，是網(wǎng)絡(luò)平安防范和資源保護的關(guān)鍵策略之一，也是主體依據(jù)某些控制策略或權(quán)限對客體本身或其資源進行的不同授權(quán)訪問。.5.1訪問控制訪問控制的主要目的是限制訪問主體對客體的訪問，從而保障數(shù)據(jù)資源在合法范圍內(nèi)得以有效使用和管理。為了到達(dá)上述目的，訪問控制需要完成兩個任務(wù)：識別和確認(rèn)訪問系統(tǒng)的用戶、決定該用戶可以對某一系統(tǒng)資源進行何種類型的訪問。訪問控制包括三個要素：主體、客體和控制策略。.5.1訪問控制訪問控制的功能及原理訪問控制的主要功能包括：保證合法用戶訪問受權(quán)保護的網(wǎng)絡(luò)資源，防止非法的主體進入受保護的網(wǎng)絡(luò)資源，或防止合法用戶對受保護的網(wǎng)絡(luò)資源進行非授權(quán)的訪問。訪問控制首先需要對用戶身份的合法性進行驗證，同時利用控制策略進行選用和管理工作。當(dāng)用戶身份和訪問權(quán)限驗證之后，還需要對越權(quán)操作進行監(jiān)控。因此，訪問控制的內(nèi)容包括認(rèn)證、控制策略實現(xiàn)和平安審計..5.1訪問控制訪問控制功能及原理.5.1訪問控制1〕認(rèn)證包括主體對客體的識別及客體對主體的檢驗確認(rèn)?！?〕控制策略通過合理地設(shè)定控制規(guī)那么集合，確保用戶對信息資源在授權(quán)范圍內(nèi)的合法使用。既要確保授權(quán)用戶的合理使用，又要防止非法用戶侵權(quán)進入系統(tǒng)，使重要信息資源泄露。同時對合法用戶，也不能越權(quán)行使權(quán)限以外的功能及訪問范圍?！?〕平安審計系統(tǒng)可以自動根據(jù)用戶的訪問權(quán)限，對計算機網(wǎng)絡(luò)環(huán)境下的有關(guān)活動或行為進行系統(tǒng)的、獨立的檢查驗證，并做出相應(yīng)評價與審計。.5.1訪問控制訪問控制的類型及機制訪問控制可以分為兩個層次：物理訪問控制和邏輯訪問控制。訪問控制的類型主要的訪問控制類型有3種模式：自主訪問控制〔DAC〕、強制訪問控制〔MAC〕和基于角色訪問控制〔RBAC〕。.5.1訪問控制自主訪問控制〔DiscretionaryAccessControl，DAC〕是一種接入控制效勞，通過執(zhí)行基于系統(tǒng)實體身份及其到系統(tǒng)資源的接入授權(quán)。.5.1訪問控制強制訪問控制〔MAC〕是系統(tǒng)強制主體服從訪問控制策略。是由系統(tǒng)對用戶所創(chuàng)立的對象，按照規(guī)定的規(guī)那么控制用戶權(quán)限及操作對象的訪問。.5.1訪問控制基于角色的訪問控制〔Role-BasedAccessControl，RBAC〕是通過對角色的訪問所進行的控制。使權(quán)限與角色相關(guān)聯(lián)，用戶通過成為適當(dāng)角色的成員而得到其角色的權(quán)限。.5.1訪問控制訪問控制機制訪問控制機制是檢測和防止系統(tǒng)未授權(quán)訪問，并對保護資源所采取的各種措施。是在文件系統(tǒng)中廣泛應(yīng)用的平安防護方法，一般在操作系統(tǒng)的控制下，按照事先確定的規(guī)那么決定是否允許主體訪問客體，貫穿于系統(tǒng)全過程。.5.1訪問控制訪問控制列表〔AccessControlList，ACL〕是應(yīng)用在路由器接口的指令列表，用于路由器利用源地址、目的地址、端口號等的特定指示條件對數(shù)據(jù)包的抉擇。能力關(guān)系表〔CapabilitiesList〕是以用戶為中心建立訪問權(quán)限表。.5.1訪問控制單點登入的訪問管理通過單點登入SSO的主要優(yōu)點是：可集中存儲用戶身份信息，用戶只需一次向效勞器驗證身份，即可使用多個系統(tǒng)的資源，無需再向各客戶機驗證身份，可提高網(wǎng)絡(luò)用戶的效率，減少網(wǎng)絡(luò)操作的本錢，增強網(wǎng)絡(luò)平安性。根據(jù)登入的應(yīng)用類型不同，可將SSO分為3種類型。.5.1訪問控制1.對桌面資源的統(tǒng)一訪問管理2.Web單點登入3.傳統(tǒng)C/S結(jié)構(gòu)應(yīng)用的統(tǒng)一訪問管理.5.1訪問控制訪問控制的平安策略訪問控制的平安策略是指在某個自治區(qū)域內(nèi)〔屬于某個組織的一系列處理和通信資源范疇〕，用于所有與平安相關(guān)活動的一套訪問控制規(guī)那么。由此平安區(qū)域中的平安權(quán)力機構(gòu)建立，并由此平安控制機構(gòu)來描述和實現(xiàn)。訪問控制的平安策略有三種類型：基于身份的平安策略、基于規(guī)那么的平安策略和綜合訪問控制方式。.5.1訪問控制1.平安策略實施原那么最小特權(quán)原那么。最小泄露原那么。多級平安策略。.5.1訪問控制基于身份和規(guī)那么的平安策略授權(quán)行為是建立身份平安策略和規(guī)那么平安策略的根底，兩種平安策略為：〔1〕基于身份的平安策略〔2〕基于規(guī)那么的平安策略.5.1訪問控制3.綜合訪問控制策略〔1〕入網(wǎng)訪問控制〔2〕網(wǎng)絡(luò)的權(quán)限控制〔3〕目錄級平安控制〔4〕屬性平安控制〔5〕網(wǎng)絡(luò)效勞器平安控制〔6〕網(wǎng)絡(luò)監(jiān)控和鎖定控制〔7〕網(wǎng)絡(luò)端口和結(jié)點的平安控制.5.2防火墻技術(shù)防火墻的概述防火墻是設(shè)置在不同網(wǎng)絡(luò)〔如可信任的企業(yè)內(nèi)部和不可信的公共網(wǎng)〕或網(wǎng)絡(luò)平安域之間的一系列部件的組合，是網(wǎng)或網(wǎng)絡(luò)平安域之間信息的唯一出入口，能根據(jù)用戶的平安策略控制〔允許、拒絕、監(jiān)測〕出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息平安效勞，實現(xiàn)網(wǎng)絡(luò)和信息平安的根底設(shè)施。在邏輯上，防火墻是一個別離器，一個限制器，也是一個分析器，能有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動，保證內(nèi)部網(wǎng)絡(luò)的平安，.5.2防火墻技術(shù).5.2防火墻技術(shù)防火墻的目的從理論上講，防火墻用來防止Internet上的各類危險傳播到內(nèi)部的網(wǎng)絡(luò)內(nèi)。事實上，防火墻效勞用于多個目的：限定人們從一個特別的節(jié)點進入；防止入侵者接近你的防御設(shè)施；限定人們從一個特別的節(jié)點離開；有效地阻止破壞者對正常用戶的計算機系統(tǒng)進行破壞。.5.2防火墻技術(shù)防火墻的位置.5.2防火墻技術(shù)防火墻應(yīng)當(dāng)根據(jù)平安方案和平安策略中的定義來保護網(wǎng)絡(luò)，并具有以下功能：〔1〕所有進出網(wǎng)絡(luò)的通信流應(yīng)該通過防火墻；〔2〕所有穿過防火墻的通信流都必須有平安策略和方案確實認(rèn)和授權(quán)；〔3〕理論上說，防火墻是穿不透的。.5.2防火墻技術(shù)需要防火墻防范的3種根本進攻：間諜：試圖偷走敏感信息的黑客、入侵者和闖入者。盜竊：盜竊對象包括數(shù)據(jù)、Web表格、磁盤空間、CPU資源、聯(lián)接等。破壞系統(tǒng)：通過路由器或主機/效勞器蓄意破壞文件系統(tǒng)或阻止授權(quán)用戶訪問內(nèi)部網(wǎng)〔外部網(wǎng)〕和效勞器。.5.2防火墻技術(shù)3．防火墻的特性一個好的防火墻系統(tǒng)應(yīng)具有以下3方面的特性：所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻；只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中平安策略允許的數(shù)據(jù)可以通過防火墻；防火墻本身不受各種攻擊的影響。.5.2防火墻技術(shù)防火墻具有的根本準(zhǔn)那么是：〔1〕過濾不平安效勞〔2〕過濾非法用戶和訪問特殊站點.5.2防火墻技術(shù)防火墻的優(yōu)點〔1〕防火墻能強化平安策略〔2〕防火墻能有效地記錄Internet上的活動〔3〕防火墻可以實現(xiàn)網(wǎng)段控制〔4〕防火墻是一個平安策略的檢查站.5.2防火墻技術(shù)防火墻的缺點防火墻技術(shù)是內(nèi)部網(wǎng)絡(luò)最重要的平安技術(shù)之一，但防火墻也有其明顯的局限性：〔1〕防火墻防外不防內(nèi)〔2〕防火墻難于管理和配置，易造成平安漏洞〔3〕很難為用戶在防火墻內(nèi)外提供一致的平安策略〔4〕防火墻只實現(xiàn)了粗粒度的訪問控制〔5〕防火墻不能防范病毒.5.2防火墻技術(shù)防火墻的類型1.包過濾防火墻2．代理防火墻3．混合型防火墻.5.2防火墻技術(shù)防火墻的平安策略1．網(wǎng)絡(luò)效勞訪問策略2．防火墻設(shè)計策略.5.2防火墻技術(shù)防火墻的技術(shù)防火墻的技術(shù)大體上可以包括：包過濾技術(shù)，代理技術(shù)，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，狀態(tài)檢查技術(shù)，加密技術(shù)，平安審記技術(shù)，平安內(nèi)核技術(shù)，身份認(rèn)證技術(shù)，負(fù)載均衡技術(shù)等方面。這里主要介紹包過濾技術(shù)、代理技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。.5.2防火墻技術(shù)包過濾術(shù)技術(shù).5.2防火墻技術(shù)代理防火墻.5.2防火墻技術(shù)NAT的工作過程.5.2防火墻技術(shù)防火墻技術(shù)趨勢1．高速的性能2．良好的可擴展性3．與其它網(wǎng)絡(luò)平安產(chǎn)品的協(xié)同互動4．簡化的安裝與管理.5.3物理隔離技術(shù)隔離技術(shù)的開展歷程第一代隔離技術(shù)——完全的隔離。第二代隔離技術(shù)——硬件卡隔離。第三代隔離技術(shù)—數(shù)據(jù)轉(zhuǎn)播隔離。第四代隔離技術(shù)—空氣開關(guān)隔離。第五代隔離技術(shù)—平安通道隔離。.5.3物理隔離技術(shù)物理隔離的定義所謂“物理隔離〞是指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。物理平安的目的是保護路由器、工作站、網(wǎng)絡(luò)效勞器等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。.5.3物理隔離技術(shù)物理隔離在平安上主要有以下3點要求：〔1〕在物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)絡(luò)不能通過網(wǎng)絡(luò)連接而侵入內(nèi)部網(wǎng)絡(luò)；同時防止內(nèi)部網(wǎng)絡(luò)信息通過網(wǎng)絡(luò)連接泄漏到外部網(wǎng)絡(luò)?！?〕在物理輻射上隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)，確保內(nèi)部網(wǎng)絡(luò)信息不會通過電磁輻射或耦合方式泄漏到外部網(wǎng)絡(luò)?！?〕在物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境，對于斷電后會遺失信息的部件，如內(nèi)存、處理器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時去除處理，防止殘留信息出網(wǎng)；對于斷電非遺失性設(shè)備如磁帶機、硬盤等存儲設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)要分開存儲。.5.3物理隔離技術(shù)物理隔離功能及實現(xiàn)技術(shù)分析1.物理隔離網(wǎng)閘的定位物理隔離技術(shù)，不是要替代防火墻，入侵檢測，漏洞掃描和防病毒系統(tǒng)，相反，它是用戶“深度防御〞的平安策略的另外一塊基石，一般用來保護為了的“核心〞。物理隔離技術(shù)，是絕對要解決互聯(lián)網(wǎng)的平安問題，而不是什么其它的問題。.5.3物理隔離技術(shù)2.物理隔離要解決的問題

解決目前防火墻存在的根本問題：

①防火墻對操作系統(tǒng)的依賴，因為操作系統(tǒng)也有漏洞。

②TCP/IP的協(xié)議漏洞：不用TCP/IP。

③防火墻、內(nèi)網(wǎng)和DMZ同時直接連接。

④應(yīng)用協(xié)議的漏洞，因為命令和指令可能是非法的。

⑤文件帶有病毒或惡意代碼：防火墻不支持MIME、殺病毒軟件或惡意代碼檢查軟件，只支持TXT文件。物理隔離的指導(dǎo)思想與防火墻有很大的不同：防火墻的思路是在保障互聯(lián)互通的前提下，盡可能平安，而物理隔離的思路是在保證必須平安的前提下，盡可能互聯(lián)互通.5.3物理隔離技術(shù)物理隔離的技術(shù)原理.5.3物理隔