用%安改小 删与是米 回出
退出 网络安全技术
学习目的 ■了解访问控制技术的基本概念 ■熟悉防火墙技术基础 初步掌握防火墙安全设计策略 ■了解防火墙攻击策略 ■了解第四代防火墙的主要技术 ■了解防火墙发展的新方向 ■了解防火墙选择原则与常见产品 今学习重点 ■ Windows NT/2K安全访问控制手段 防火墙安全设计策略 防火墙攻击策略 防火墙选择原则
❖学习目的: ▪ 了解访问控制技术的基本概念 ▪ 熟悉防火墙技术基础 ▪ 初步掌握防火墙安全设计策略 ▪ 了解防火墙攻击策略 ▪ 了解第四代防火墙的主要技术 ▪ 了解防火墙发展的新方向 ▪ 了解防火墙选择原则与常见产品 ❖学习重点: ▪ Windows NT/2K安全访问控制手段 ▪ 防火墙安全设计策略 ▪ 防火墙攻击策略 ▪ 防火墙选择原则
访问控制技术
3.1 访问控制技术
3.1.1访问控制技术概述 1.访问控制的定义 访问控制是针对越权使用资源的防御措施, 是网络安全防范和保护的主要策略,主要任务是 保证网络资源不被非法使用和非常访问。 也是保证网络安全的核心策略之
3.1.1 访问控制技术概述 1. 访问控制的定义 访问控制是针对越权使用资源的防御措施, 是网络安全防范和保护的主要策略,主要任务是 保证网络资源不被非法使用和非常访问。 也是保证网络安全的核心策略之一
2.基本目标 防止对任何资源进行未授权的访问,从而使 计算机系统在合法范围内使用;决定用户能做什 3.访问控制的作用 (1)访问控制对机密性、完整性起直接 的作用 (2)对于可用性的有效控制
2. 基本目标 防止对任何资源进行未授权的访问,从而使 计算机系统在合法范围内使用;决定用户能做什 么。 3. 访问控制的作用 (1)访问控制对机密性、完整性起直接 的作用。 (2)对于可用性的有效控制
3.1.2访问控制策略 访问控制策略( Access Control Policy)是 在系统安全策略级上表示授权,是对访问如何控 制、如何作出访问决定的高层指南。 1.自主访问控制 自主访问控制①DAC)也称基于身份的访问控 制(IBAC),是针对访问资源的用户或者应用设 置访问控制权限;根据主体的身份及允许访问的 权限进行决策;自主是指具有某种访问能力的主 体能够自主地将访问权的某个子集授予其它主体 访问信息的决定权在于信息的创建者
3.1.2 访问控制策略 访问控制策略(Access Control Policy)是 在系统安全策略级上表示授权,是对访问如何控 制、如何作出访问决定的高层指南。 1. 自主访问控制 自主访问控制(DAC)也称基于身份的访问控 制 (IBAC),是针对访问资源的用户或者应用设 置访问控制权限;根据主体的身份及允许访问的 权限进行决策;自主是指具有某种访问能力的主 体能够自主地将访问权的某个子集授予其它主体 ,访问信息的决定权在于信息的创建者
特点:灵活性高,被大量采用 缺点:安全性最低 ■自主访问控制可以分为以下两类: (1)基于个人的策略 (2)基于组的策略 自主访问控制存在的问题:配置的粒度小, 配置的工作量大,效率低。 2.强制访问控制 强制访问控制(MAC)也称基于规则的访问控 制(RBAC),在自主访问控制的基础上,增加了 对资源的属性(安全属性)划分,规定不同属性下 的访问权限
◼自主访问控制可以分为以下两类: (1) 基于个人的策略 (2) 基于组的策略 • 自主访问控制存在的问题:配置的粒度小, 配置的工作量大,效率低。 • 特点:灵活性高,被大量采用。 • 缺点:安全性最低。 2. 强制访问控制 强制访问控制(MAC)也称基于规则的访问控 制(RBAC),在自主访问控制的基础上,增加了 对资源的属性(安全属性)划分,规定不同属性下 的访问权限
3.基于角色的访问控制 基于角色的访问控制(RBAC)是与现代的商 业环境相结合后的产物,同时具有基于身份策略 的特征,也具有基于规则的策略的特征,可以看 作是基于组的策略的变种,根据用户所属的角色 作出授权决定。 4.多级策略法 多级策略给每个目标分配一个密级,一般安 全属性可分为四个级别:最高秘密级(Top Secret)、秘密级( Secret)、机密级 Confidene)以及无级别级( Unclassified)
3. 基于角色的访问控制 基于角色的访问控制(RBAC)是与现代的商 业环境相结合后的产物,同时具有基于身份策略 的特征,也具有基于规则的策略的特征,可以看 作是基于组的策略的变种,根据用户所属的角色 作出授权决定。 4.多级策略法 多级策略给每个目标分配一个密级,一般安 全属性可分为四个级别:最高秘密级(Top Secret)、秘密级(Secret)、机密级( Confidene)以及无级别级(Unclassified )
3.1.3访间控制的常用实现方法 访问控制的常用实现方法是指访问控制策略 的软硬件低层实现。访问控制机制与策略独立, 可允许安全机制的重用。安全策略之间没有更好 的说法,应根据应用环境灵活使用。 1.访问控制表(ACL) 优点: 控制粒度比较小,适用于被区分的用户数比 较小的情况,并且这些用户的授权情况相对比较 稳定的情形
3.1.3 访问控制的常用实现方法 访问控制的常用实现方法是指访问控制策略 的软硬件低层实现。访问控制机制与策略独立, 可允许安全机制的重用。安全策略之间没有更好 的说法,应根据应用环境灵活使用。 1. 访问控制表(ACL) •优点: 控制粒度比较小,适用于被区分的用户数比 较小的情况,并且这些用户的授权情况相对比较 稳定的情形
2.访问能力表 授权机构针对每个限制区域,都为用户维护 它的访问控制能力。 3.安全标签 发起请求的时候,附属一个安全标签,在目 标的属性中,也有一个相应的安全标签。在做出 授权决定时,目标环境根据这两个标签决定是允 许还是拒绝访问,常常用于多级访问策略。 4.基于口令的机制 (1)与目标的内容相关的访问控制 (2)多用户访问控制 (3)基于上下文的控制
2. 访问能力表 授权机构针对每个限制区域,都为用户维护 它的访问控制能力。 3. 安全标签 发起请求的时候,附属一个安全标签,在目 标的属性中,也有一个相应的安全标签。在做出 授权决定时,目标环境根据这两个标签决定是允 许还是拒绝访问,常常用于多级访问策略。 4. 基于口令的机制 (1)与目标的内容相关的访问控制 (2)多用户访问控制 (3)基于上下文的控制