【正文】 在計算機網絡安全技術性保護措施中，訪問控制是針對越權使用資源的防御措施，是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。 （ 2）系統(tǒng)管理工具： 分布式防火墻服務器的系統(tǒng)管理工具用于將形成的策略文件分發(fā)給被防火墻保護的所有主機，應該注意的是這里所指的防火墻并不是傳統(tǒng)意義上的物理防火墻，而是邏輯上的分布式防火墻。 因此，透明代理與透明模式都可以簡化防火墻的設置，提高系統(tǒng)安全性。 4． 抗網絡安全性分析 ： 抗網絡安全性分析工具本是供管理人員分析網絡安全性之用的，一旦這類工具用作攻擊網絡的手段，則能較方便地探測到內部網絡的安全缺陷和弱點所在。如果某一用戶需要建立一個數據庫的代理，便可利用這些支持，方便設置。獲得安全操作系統(tǒng)的辦法有兩種：一種是通過許可證方式獲得操作系統(tǒng)的源碼；另一種是通過固化操作系統(tǒng)內核來提高可靠性。如果不這樣做，會導致防火墻不能達到要求。 ?網關的基本控制策略由安裝在上面的軟件決定。主要的安全優(yōu)點在基于代理服務的防火墻設計上，即使一個基于代理的防火墻遭到破壞，還是沒有直接傳到防火墻后面的網絡上；而包過濾防火墻上，如一個過濾規(guī)則被修改或破壞了，防火墻還繼續(xù)為包路由。 ?下圖是應用層網關的結構示意圖，其中內部網的一個 Tel客戶通過代理訪問外部網的一個Tel服務器的情況。 ?數據包過濾技術，顧名思義是在網絡中適當的位置對數據包實施有選擇的通過規(guī)則，選擇依據，即為系統(tǒng)內設置的過濾規(guī)則（即訪問控制表），只有滿足過濾規(guī)則的數據包才被轉發(fā)至相應的網絡接口，其余數據包則被從數據流中刪除。 2． 防火墻的優(yōu)點 （ 1）防火墻對企業(yè)內部網實現了集中的安全管理，可以強化網絡安全策略，比分散的主機管理更經濟易行。 1. 自主訪問控制 自主訪問控制 (DAC)也稱基于身份的訪問控制 (IBAC)，是針對訪問資源的用戶或者應用設置訪問控制權限；根據主體的身份及允許訪問的權限進行決策；自主是指具有某種訪問能力的主體能夠自主地將訪問權的某個子集授予其它主體，訪問信息的決定權在于信息的創(chuàng)建者。 3. 基于角色的訪問控制 基于角色的訪問控制（ RBAC）是與現代的商業(yè)環(huán)境相結合后的產物，同時具有基于身份策略的特征，也具有基于規(guī)則的策略的特征，可以看作是基于組的策略的變種，根據用戶所屬的角色作出授權決定。 （ 6）由于所有的訪問都經過防火墻，防火墻是審計和記錄網絡的訪問和使用的最佳地方。 下圖是一個包過濾模型原理圖： IP 1 物理層 3 網絡層 2 數據鏈路層 TCP Session App li ca ti on Data 與過濾規(guī) 則匹配嗎？ 還有另外 的規(guī)則嗎？ 轉發(fā)包嗎？ 審計 / 報警 發(fā)送 NACK 丟棄包 結束 防火墻檢查模塊 4 傳輸層 5 會話層 6 表示層 7 應用層 ?通過檢查模塊，防火墻能攔截和檢查所有出站的數據。 ② 用于應用層的過濾規(guī)則相對于包過濾路由器來說更容易配置和測試。 ?電路級網關防火墻特點：電路級網關是一個通用代理服務器，它工作于 OSI互聯模型的會話層或是TCP/IP協(xié)議的 TCP層。 網絡服務訪問策略不但應該是一個站點安全策略的延伸，而且對于機構內部資源的保護也應起到全局的作用。通過使用加密技術，大多數防火墻現在能夠用作 VPN的網關，在有些時候通過對在互聯網上的端對端通訊信息進行保護還可作為 VPN服務器。 3． 靈活的代理系統(tǒng) ： 第四代防火墻采用了兩種代理機制：一種用于代理從內部網絡到外部網絡的連接，采用網絡地址轉換（ NAT）技術來解決；另一種用于代理從外部網絡到內部網絡的連接，采用非保密的用戶定制代理或保密的代理系統(tǒng)技術來解決。 2． 代理系統(tǒng)的建立 ： 防火墻不允許任何信息直接穿過它，對所有的內外連接均要通過代理系統(tǒng)來實現，為保證整個防火墻的安全，所有的代理都應采用改變根目錄的方式存在一個相對獨立的區(qū)域以作安全隔離。 透明模式的防火墻就好象是一臺網橋 (非透明的防火墻好象一臺路由器 )，網絡設備 (包括主機、路由器、工作站等 )和所有計算機的設置（包括 IP地址和網關）無須改變，同時解析所有通過它的數據包，既增加了網絡的安全性，又降低了用戶管理的復雜程度。 主機防火墻對分布式防火墻體系結構的突出貢獻是，使安全策略不僅僅停留在網絡與網絡之間，而是把安全策略推廣延伸到每個網絡末端。 ? 誤區(qū)：什么樣的防火墻是安全的防火墻、單靠防火墻是否能否保證網絡的安全、如何構建以防火墻為核心的網絡安全體系等，下面就針對這些問題做簡要的分析和介紹。 實現防火墻的主要技術有：數據包過濾路由器、應用雙宿主網關的代理服務、主機屏蔽防火墻和子網屏蔽防火墻等。 （ 4） CiscoPIXFirewall： PIX的處理性能是最好的 ， 而且使用 NAT時不影響其性能 。 （ 4）實施主機策略： 對網絡中的各節(jié)點可以起到更安全的防護。從用戶的角度看， A和 B的連接是直接的，而實際上 A是通過代理服務器 C和 B建立連接的。 2． 抗特洛伊木馬攻擊 ： 第四代防火墻是建立在安全的操作系統(tǒng)之上的，其安全內核中不能執(zhí)行下載的程序，故而可防止特洛伊木馬的發(fā)生。 7． 安全服務器網絡（ SSN） ： 第四代防火墻采用分別保護的策略保護對外服務器。這種攻擊難度比較大，可是破壞性很大。 ?兩種基本設計策略： 第一種，除非明確不允許，否則允許某種服務。路由器上可以安裝基于 IP層的報文過濾軟件，實現報文過濾功能。 ② 有限的技術。 （ 2）數據包過濾特性分析 ?主要優(yōu)點：是僅一個關健位置設置一個數據包過濾路由器就可以保護整個網絡，而且數據包過濾對用戶是透明的，不必在用戶機上再安裝特定的軟件 ?缺點和局限性：包過濾規(guī)則配置比較復雜，而且?guī)缀鯖]有什么工具能對過濾規(guī)則的正確性進行測試；包過濾也沒法查出具有數據驅動攻擊這一類潛在危險的數據包；由于 數據包過濾是通過源地址來做判斷的，但 IP地址是很容易改變的，所以源地址欺騙用數據包過濾的方法不能查出來。 （ 6）不能防備新的網絡安全問題。 2. 訪問能力表 授權機構針對每個限制區(qū)域，都為用戶維護它的訪問控制能力。退出 網絡安全技術 ?學習目的： ? 了解 訪問控制技術 的基本概念 ? 熟悉 防火墻技術基礎 ? 初步掌握 防火墻安全設計策略 ? 了解防火墻攻擊策略 ? 了解 第四代防火墻的主要技術 ? 了解 防火墻發(fā)展的新方向 ? 了解防火墻選擇原則與常見產品 ?學習重點： ? Windows NT/2K安全訪問控制手段 ? 防火墻安全設計策略 ? 防火墻攻擊策略 ? 防火墻選擇原則 3． 1 訪問控制技術 3． 1． 1 訪問控制技術概述 1. 訪問控制的定義 訪問控制是針對越權使用資源的防御措施，是網絡安全防范和保護的主要策略，主要任務是保證網絡