【正文】 使用兩個或更多的控制來加強對功能、程序或操作的控制效果。訪問控制是整體安全控制的一部分 。 管理通過計劃 、 組織和指導一系列有效的活動為目的和目標的達成提供保障 。 通過本章的學習 ， 學生應該掌握以下內(nèi)容： (1)理解訪問控制技術的定義 、 分類 、 手段 、 模型； (2)理解防火墻基本概念 、 作用 、 分類 、 基本原理 、組成； (3)掌握防火墻基本實現(xiàn)技術； (4)掌握網(wǎng)絡隔離基本原理及實現(xiàn)技術； (5)掌握簡單防火墻軟件的使用 。 對客體的訪問意味著對其中所包含信息的訪問 。 “ 保護資產(chǎn) ” 是內(nèi)部控制和訪問控制的共同目標 。 （ 5） 技術型控制 是用于為信息技術系統(tǒng)和應用提供自動保護的硬件和軟件控制手段 。規(guī)避型控制的目的是將兩個實體彼此分開以保證實體的安全和可靠。 操作是主體和對象的交互 。它是基于安全標識和信息分級等信息敏感性的訪問控制 。角色包括職務特征、任務、責任、義務和資格。訪問控制是由訪問者在機構中的角色決定的。 訪問控制技術 主機訪問控制的基本方案 User A Own R W O User B R O User C R W O Object1 維護訪問控表和實施訪問控制本質(zhì)上是系統(tǒng)和圍繞目標的環(huán)境的責任。 這種方法的優(yōu)缺點與直 ACL相反 。每個關系表示一個主 體對一個客體的訪問權限，并使用關系式數(shù)據(jù)庫來存放 這個 訪問矩陣 。 訪問控制決定需要考慮機構的策略 、 員工的職務描述 、 信息的敏感性 、用戶的職務需求等因素 。但是，當需要快速而大量修改訪問權限時，管理者的工作負擔和壓力就會很大。 它的特點是由集中式管理負責整個機構中基本的訪問控制 ，而由職能管理者就其所負責的資源對用戶進行具體的訪問控制 。 它們充當訪問網(wǎng)絡的唯一入口點 ， 并且判斷是否接收某個連接請求 。 作為訪問的唯一點 ， 防火墻能在被保護的網(wǎng)絡和外部網(wǎng)絡之間進行記錄 ， 對網(wǎng)絡存取訪問進行和統(tǒng)計 。 SOCKS協(xié)議： IETF的 AFT（ Authenticated Firewall Traversal） 工作組開發(fā)了一種同時支持 TCP和 UDP應用 穿越防火墻的通用認證框架。 防火墻概述 防火墻技術 (3)防火墻不能防范病毒 一般防火墻不對專用網(wǎng)提供防護外部病毒的侵犯 。 它們被廣泛用于兩個或多個局域網(wǎng)的系統(tǒng)中 。防火墻內(nèi)部的系統(tǒng)能與雙宿主機通信，同時防火墻外部的系統(tǒng)（在 Inter上）能與雙宿主機通信，但是這些系統(tǒng)不能直接互相通信。 使用一個單獨的路由器控制所有出入內(nèi)部網(wǎng)的訪問， 并將所有的請求傳送給堡壘主機 。 屏蔽子網(wǎng)中的主機是內(nèi)部網(wǎng)和 Inter都能訪問唯一系統(tǒng) ， 他支持網(wǎng)絡層和應用層安全功能 。 ? 每個代理在堡壘主機上都以非特權用戶的身份運行在其自己的并且是安全的目錄中。 限制堡壘主機和內(nèi)部網(wǎng)之間服務的理由是減少由此而導致的受到來自堡壘主機侵襲的機器的數(shù)量 。 采用哪種技術主要取決于經(jīng)費 ， 投資的大小或技術人員的技術 、 時間等因素 。 防火墻技術 欲保護網(wǎng)絡的一種辦法是正確配置過濾器 ， 路由能夠區(qū)分網(wǎng)絡流量 、 協(xié)議特寫的標準 ， 路由在其端口具有區(qū)分分組和限制分組的能力叫作 分組過濾 。如圖 513所示數(shù)據(jù)包過濾路由器用于 OSI七層模型中的例子。在每個集合中，規(guī)則是自頂向下應用的。 這條規(guī)則的問題在于使用端口 25作為 SMTP接收者只是默認的；外部的機器可能配置成將某個其他應用連接到端口 25。大多數(shù)服務器，因此也是大多數(shù)的攻擊目標，存在于低編號的端口；大多數(shù)的輸出調(diào)用傾向于使用更高編號的端口，典型 1023以上。 攻擊者希望只有第一個分片被過濾路由器檢查 ， 剩余的分片就會被傳遞過去 。 它擔任應用級通信量的中繼 ， 應用網(wǎng)關與 ISO七層模型如圖 514所示 ， 其核心是運行于防火墻主機上的代理服務器進程 ， 代理網(wǎng)絡用戶完成 TCP/IP功能 。 防火墻技術 （ 2） 代理服務器特點 優(yōu)點： 代理服務器比分組過濾器更安全 。 不過 ， 特殊的端系統(tǒng)軟件可以讓用戶在 Tel命令中指定目標主機而不是應用層網(wǎng)關來應用層網(wǎng)關透明 。 防火墻技術 在同一結構的兩個部分之間，或者在同一內(nèi)部網(wǎng)的兩個不同組織結構之間建立的防火墻 ,被稱為內(nèi)部防火墻。 ? 包過濾系統(tǒng)向著更具柔性和多功能的方向發(fā)展 。 這種實施方案存在成本高和效率低兩個問題 ， 不能被多數(shù)用戶接受 。 ?基于雙網(wǎng)線的安全隔離卡技術階段。 但是 ， 這一代產(chǎn)品仍然要求網(wǎng)絡布線采用雙網(wǎng)線結構 。 ?安全集線器技術 。 連接到公共網(wǎng)絡時必須進行操作： ① 按正常方式退出操作系統(tǒng)； ② 關閉計算機； ③ 將安全硬盤轉換為公共硬盤；④ 切換 S1／ S2轉換開關到公共網(wǎng)絡； ⑤ 啟動計算機 ， 在公共區(qū)內(nèi)繼續(xù)工作 。 主要包括： ①對軟驅、光驅限制功能。根據(jù)網(wǎng)絡的不同，該方案又可以分為單網(wǎng)方案和雙網(wǎng)方案。這樣可以在需要接入 Inter的工作站節(jié)點計算機上安裝物理隔離產(chǎn)品 (如網(wǎng)絡安全隔離卡 )，讓其能夠在與網(wǎng)絡隔離的狀態(tài)下?lián)芴柹暇W(wǎng)，確保內(nèi)部網(wǎng)絡的安全。必須具備下述環(huán)境： 本機運行 Windows 2020 Server。還有一些機構的網(wǎng)絡，由于內(nèi)部功能的劃分，本身就有幾個分離的網(wǎng)絡，該物理隔離方案將把這些網(wǎng)絡整合在一起，變?yōu)橐粋€全范圍公共網(wǎng)加上幾個內(nèi)部安全子網(wǎng)的多網(wǎng)互動的有效網(wǎng)絡格局。 好像用戶在河的兩岸 ， 通過一只船來回傳遞兩岸的貨物 ， 而不會存在直接連接兩岸的橋梁或者船同時?？吭趦砂兜膯栴} ， 這樣既保證了對外服務需求 ， 又保證了網(wǎng)絡安全 。雙網(wǎng)計算機提供軟驅關閉 /禁用功能。 網(wǎng)絡安全隔離集線器是一種多路開關切換設備，它與網(wǎng)絡安全隔離卡配合使用。 網(wǎng)絡隔離技術 網(wǎng)絡隔離的基本技術 功能 ：以物理方式將一臺工作站或 PC虛擬為兩部計算機，實現(xiàn)工作站的 雙重狀態(tài)（安全狀態(tài) 、 公共狀態(tài)） ，這兩種狀態(tài)是完全隔離的，從而使一部工作站可在完全狀態(tài)下連接內(nèi)外網(wǎng)。 網(wǎng)絡隔離技術 物理隔離技術的發(fā)展 階段 。 網(wǎng)絡隔離技術 物理隔離技術的發(fā)展 工作原理：在一個機箱內(nèi) ， 設有兩塊主板 、 兩套內(nèi)存 、 兩塊硬盤 ， 相當于兩臺機器共用一臺顯示器 。網(wǎng)絡物理隔離主要有以下幾種方式： 網(wǎng)絡隔離技術 這種方案用于解決網(wǎng)絡的客戶端的信息安全問題。 一個輸出的 UDP 數(shù)據(jù)包可以引起對應的允許應答UDP創(chuàng)立一個臨時的包過濾規(guī)則 ， 允許其對應的 UDP包進入內(nèi)部網(wǎng) 。 例如 ， 財務部門與其它部門分開 ， 人事部門與辦公管理部門分開等 。 防火墻技術 Inter 內(nèi)部網(wǎng)絡 傳輸層 網(wǎng)絡層 鏈路層 物理層 傳輸層 網(wǎng)絡層 鏈路層 物理層 電路層網(wǎng)關 網(wǎng)關建立了兩個 TCP連接，一個是在網(wǎng)關本身和內(nèi)部主機上的一個 TCP用戶之間，一個是在網(wǎng)關和外部主機上的一個 TCP用戶之間。 ①在應用層對所有進入的通信量記錄日志和審計也很容易。 這樣作為代理的堡壘主機就不必處理內(nèi)部別名和內(nèi)部郵件配置 ， 簡化了堡壘主機的配置工作 。 防火墻技術 （ 3） 特點 分組過濾路由器優(yōu)點： 簡單、方便、速度快、透明性好，成本較低，對網(wǎng)絡性能影響不大。 攻擊者希望使用欺騙地址將允許其滲透到配置了簡單的源地址安全性的系統(tǒng)里 ， 其中來自指定的可信任的內(nèi)部主機的分組將被接受 。 防火墻技術 動作 我們的 主機 端口 他們的 主機 端口 注釋 允許 ＊ ＊ ＊ 25 連接到我們的 SMTP端口 （ 1） 過濾規(guī)則 表 58 表中規(guī)則說明 ， 允許源 IP地址是指定的內(nèi)部主機中的一個 ,并且目的 TCP 端口號為 25的 IP分組進入；并允許源端口號為 25且 TCP報文段的 ACK標記被置位的分組進入 。 表 55 防火墻技術 動作 我們的主機 端口 他們的主機 端口 注釋 阻塞 ＊ ＊ SPIGOT * 我們不相信這些人 允許 OURGW 25 ＊ ＊ 連接到我們的 SMTP端口 （ 1） 過濾規(guī)則 表 55 表 55所示的規(guī)則是，允許的來自其它主機的郵件進入端口 25（用于 SMTP輸入），但只是到網(wǎng)關主機 OURGW。這些規(guī)則基于與 IP或 TCP首部中字段的匹配。 分組過濾器安裝在路由器上 ， 當然 PC機上也可以安裝包過濾軟件 。 防火墻系統(tǒng)的體系結構 防火墻技術 防火墻系統(tǒng)是外部網(wǎng)絡與內(nèi)部網(wǎng)絡之間的物理與邏輯界面。 實際上 ， 外部路由器傾向于允許幾乎任何信息從周邊網(wǎng)出站 ， 并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾 。 一般采用以下幾種技術： ① 動態(tài)包過濾； ② 內(nèi)核透明技術； ③ 用戶認證機制； ④ 內(nèi)容和策略感知能力； ⑤ 內(nèi)部信息隱藏； ⑥ 智能日志 、 審計和實時報警； ⑦ 防火墻的交互操作性等 。 如果侵襲者成功地侵入用戶的防火墻的外層領域 ， 周邊網(wǎng)絡在那個侵襲者與用戶的內(nèi)部系統(tǒng)之間提供一個附加的保護層 。 代理服務將通過防火墻的通信鏈路分為兩段：防火墻內(nèi)外的計算機系統(tǒng)的應用層鏈路優(yōu)先兩個終止于Proxy Server的 “ 鏈路 ” 來實現(xiàn)：外部計算機的網(wǎng)絡鏈路只能達到 Proxy Server， 從而內(nèi)網(wǎng)與外網(wǎng)計算機系統(tǒng)實現(xiàn)隔離 。 雙宿主機的防火墻體系結構很簡單 ， 雙宿主機位于兩者之間 ， 并且被連接到 Inter和內(nèi)部的網(wǎng)絡 。然而，實現(xiàn)雙宿主機的作為防火墻的雙宿主機體系結構禁止這種發(fā)送 IP數(shù)據(jù)包功能。 如果要實現(xiàn)這種防護 ， 防火墻中應設置檢測病毒的邏輯 。 防火墻概述 防火墻技術 (1)不能防范來自內(nèi)部惡意的知情者的攻擊 防火墻不能防止專用網(wǎng)中內(nèi)部用戶對資源的攻擊 。這樣 ， 能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡傳播 。 防火墻概述 防火墻技術 防火墻概述 防火墻技術 ? 把安全網(wǎng)絡連接到不安全全網(wǎng)上 。 訪問控制技術 防火墻技術 防火墻是一種安全有效的防范技術，是訪問控制機制、安全策略和防入侵措施。 這就等于把控制權交給了對信息負有直接責任 、 對信息的使用最熟悉 、 最有資格判斷誰需要信息的管理者的手中 。應該根據(jù)機構的實際情況選擇合適的管理模式。直接地圍繞一個目標的安全區(qū)域，通常立即需要一個關于該目標的訪問決策的表達。 訪問控制技術 主機訪問控制的基本方案 Obj2 Own R W O Obj2 R O Obj2 R W O User A 網(wǎng)絡中通常包括多種安全區(qū)域。因此，基于身份的訪問控制策略包括基于個人的、基于組的和基于角色的多重策略，可以用很簡單地應用訪問控制列表來實現(xiàn)。訪問者在系統(tǒng)