【文章內(nèi)容簡(jiǎn)介】 。 同樣 ， 客體也應(yīng)進(jìn)行分類(lèi) 。 比如 ， 一個(gè)職員一般需要對(duì)銀行賬戶進(jìn)行訪問(wèn) ， 而秘書(shū)則要對(duì)信件和備忘錄進(jìn)行訪問(wèn) ?？腕w可根據(jù)其類(lèi)型 (如信件 、 手冊(cè) )及其應(yīng)用領(lǐng)域 (如商業(yè)信件 、廣告信件 )進(jìn)行分類(lèi) 。 角色的訪問(wèn)授權(quán)就應(yīng)根據(jù)客體類(lèi)型而不是根據(jù)具體的客體來(lái)分類(lèi) 。 比如 ， 秘書(shū)的角色就可以被授權(quán)讀寫(xiě)所有的信件 ， 而不是為讀寫(xiě)每一封信件授權(quán) 。 這種方法的優(yōu)越性在于：它使授權(quán)的行政管理更容易控制 。 再有 ， 授權(quán)對(duì)每個(gè)客體進(jìn)行的訪問(wèn)是根據(jù)客體的種類(lèi)自動(dòng)分類(lèi)的 ， 而無(wú)需給每個(gè)客體授權(quán) 。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 4. 授權(quán)的行政管理 管理政策決定了誰(shuí)有權(quán)去修改已被許可的訪問(wèn) 。 這是訪問(wèn)控制最重要但也是最不受重視的一個(gè)方面 。 在強(qiáng)制性訪問(wèn)控制中，被許可的訪問(wèn)完全取決于主客體的安全級(jí)別。而安全級(jí)別則是由安全管理員分配的。客體的安全級(jí)別取決于建立系統(tǒng)的用戶級(jí)別。安全管理員一般只有一個(gè)，他可以更換主客體的安全級(jí)別。因此，行政管理的政策就非常簡(jiǎn)單。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 自由訪問(wèn)控制允許大量行政管理政策 ， 其中有： u 集中 —— 只有一個(gè)授權(quán)者 (或組 )允許對(duì)用戶許可或取消授權(quán)； u 分級(jí) —— 中央授權(quán)者將職責(zé)分配給其他管理員 ， 他們可對(duì)系統(tǒng)中的用戶許可或取消授權(quán)； u 合作 特定資源的行政管理不能只由單一的授權(quán)者許可 ， 而需幾個(gè)授權(quán)者的合作； u 所有權(quán) —— 用戶是他 /她所創(chuàng)造的客體的專(zhuān)有者 ， 所有者也可以許可或取消其他用戶對(duì)此客體的訪問(wèn)； u 分散 —— 在分散的行政管理中客體的所有者也可以許可其他用戶對(duì)此客體的許可特權(quán) 。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 角色訪問(wèn)控制同樣也有許多行政管理政策。在這種情況下，角色也可以用來(lái)管理和控制行政管理機(jī)制。 行政權(quán)的委任是一個(gè)重要領(lǐng)域，而現(xiàn)有的訪問(wèn)控制系統(tǒng)是遠(yuǎn)遠(yuǎn)不夠的。在大的分散系統(tǒng)中，訪問(wèn)權(quán)的集中管理是不可能的。一些現(xiàn)有的系統(tǒng)允許中央安全管理員向其他安全管理員委任對(duì)客體的管理權(quán)。例如，管理特別區(qū)域中客體的權(quán)利可以授權(quán)予此地區(qū)的安全管理員。這就允許以逐個(gè)選擇的方式委任行政管理權(quán)。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 總之，要實(shí)現(xiàn)保密性、完整性和可用性的目標(biāo)，就要求進(jìn)行訪問(wèn)控制。 ACL曾是在操作系統(tǒng)中實(shí)現(xiàn)訪問(wèn)矩陣模型的一種廣為使用的方法。 ACL在訪問(wèn)審閱與取消上按每個(gè)主體來(lái)進(jìn)行，這就造成了許多缺陷。如果按每個(gè)客體來(lái)進(jìn)行就好一些。由于授權(quán)表提供了對(duì)訪問(wèn)權(quán)的高級(jí)管理，因此一般只限于數(shù)據(jù)庫(kù)管理系統(tǒng)。在分散系統(tǒng)中，將性能表與 ACL或授權(quán)表結(jié)合起來(lái)則是非常有效的方法。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 強(qiáng)制性和自由訪問(wèn)控制策略都很有用 ， 但它們并不能滿足許多實(shí)際需要 。 角色訪問(wèn)策略成功地代替了嚴(yán)格的傳統(tǒng)強(qiáng)制性控制并提供了自由控制中的一些靈活性 。 有效的分散式授權(quán)行政管理還可以使用改進(jìn)的一些技術(shù) 。 將計(jì)算機(jī)和網(wǎng)絡(luò)安全更緊密地統(tǒng)一起來(lái)，發(fā)展信息安全是非常必需的。訪問(wèn)控制策略盡管在這方面已取得了很大進(jìn)步，卻還在發(fā)展之中。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 防火墻技術(shù) 我們知道 ， 在因特網(wǎng)上所發(fā)送的每一段數(shù)據(jù)都可以被偷竊和修改 。 因特網(wǎng)的組織方式是要每個(gè)站點(diǎn)都要為自身安全負(fù)責(zé) 。 如果黑客占領(lǐng)了一個(gè)用于通信的關(guān)鍵地方的站點(diǎn) ， 那么用戶發(fā)出的所有通過(guò)該站點(diǎn)的數(shù)據(jù)就完全由黑客隨意處置了 。 黑客可以截獲未加密的信用卡 、 Tel會(huì)話 、 FTP會(huì)話 ， 以及其他任何通過(guò)這條線路的信息 。 所以 ， 發(fā)信息時(shí)一定要仔細(xì)對(duì)待發(fā)往遠(yuǎn)程站點(diǎn)的信息 。 由誰(shuí)控制目的地系統(tǒng) ， 這是一個(gè)一直在討論的問(wèn)題 。 設(shè)計(jì)防火墻的目的就是不要讓那些來(lái)自不受保護(hù)的網(wǎng)絡(luò)，如因特網(wǎng)上的多余的未授權(quán)的信息進(jìn)入專(zhuān)用網(wǎng)絡(luò)，如 LAN或 WAN，而仍能允許本地網(wǎng)絡(luò)上的用戶以及其他用戶訪問(wèn)因特網(wǎng)服務(wù)。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 圖 。 過(guò)濾器因特網(wǎng) 防火墻網(wǎng)關(guān)過(guò)濾器因特網(wǎng)圖 防火墻基本功能 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 大多數(shù)防火墻就是一些路由器 ， 它們根據(jù)數(shù)據(jù)包的源地址 、目標(biāo)地址 、 更高級(jí)的協(xié)議 ， 或根據(jù)由專(zhuān)用網(wǎng)絡(luò)安全管理員制定的標(biāo)準(zhǔn)或安全策略 ， 過(guò)濾進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包 。 許多復(fù)雜的防火墻使用了代理服務(wù)器，也稱(chēng)作堡壘主機(jī)。堡壘主機(jī)可以防止內(nèi)部用戶直接訪問(wèn)因特網(wǎng)服務(wù)，其作用就像一個(gè)代理，能夠過(guò)濾掉未授權(quán)的要進(jìn)入因特網(wǎng)的流量。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 圖 代理服務(wù)器 (堡壘主機(jī) )防止來(lái)自因特網(wǎng)的直接訪問(wèn) 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 防火墻就像一扇安全門(mén) ， 它能夠保證門(mén)內(nèi)各組件的安全；此外 ， 它還控制著誰(shuí) (或什么 )可以進(jìn)入和誰(shuí) (或什么 )可以走出這個(gè)受保護(hù)的環(huán)境 。 防火墻的建立提供了對(duì)網(wǎng)絡(luò)流量的可控過(guò)濾，以限制訪問(wèn)特定的因特網(wǎng)端口號(hào)，而其余則被堵塞。為做到這一點(diǎn)，要求它必須是惟一的入口點(diǎn)，這就是用戶多次發(fā)現(xiàn)防火墻與路由器是一個(gè)整體的原因。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 因此 ， 選擇防火墻應(yīng)該根據(jù)裝在站點(diǎn)的硬件 、 本部門(mén)專(zhuān)業(yè)性的意見(jiàn)和可信任的銷(xiāo)售商 。 通常 ， 配置防火墻是用來(lái)阻止未經(jīng)認(rèn)證的外部登錄 。 用防火墻保護(hù)站點(diǎn)是一種最容易對(duì)安全和審計(jì)起作用的方法 。 利用防火墻，用戶可以防止站點(diǎn)的任意連接，并且還能建立跟蹤工具，它可以根據(jù)日志摘要幫助用戶，因?yàn)槿罩局杏涊d著連接的起點(diǎn)、服務(wù)器提供的服務(wù)量，甚至還包含是否有攻擊進(jìn)入等信息。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 防火墻的一個(gè)基本目的是保護(hù)站點(diǎn)不被黑客攻擊 ， 如前所述 ， 站點(diǎn)暴露于大量的威脅面前 ， 防火墻可為用戶提供保護(hù) ，但對(duì)那些繞過(guò)它的連接 ， 則無(wú)能為力 。 因此 ， 要警惕 “ 后門(mén) ” ，如調(diào)制解調(diào)器連到 LAN上時(shí) ， 特別是如果用戶的遠(yuǎn)程訪問(wèn)服務(wù)(RAS)處于受保護(hù)的 LAN內(nèi)時(shí) ， 這就是一個(gè)典型的例子 。 然而，防火墻并不是絕對(duì)有效的。它的目的是增強(qiáng)安全性，而不是保證安全。如果有很重要的信息在 LAN上，首先服務(wù)器就不應(yīng)該與它連接。必須注意那些允許用戶從機(jī)構(gòu)內(nèi)部進(jìn)入服務(wù)器的群件應(yīng)用程序。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 另外，如果在內(nèi)部 LAN上有 Web服務(wù)器，要警惕內(nèi)部攻擊，對(duì)企業(yè)服務(wù)器也是這樣。這是因?yàn)榉阑饓Σ荒軐?duì)付來(lái)自機(jī)構(gòu)內(nèi)的威脅，例如，一個(gè)搗亂的職員可以拔掉企業(yè)服務(wù)器上的插頭，使其暫時(shí)停止工作，對(duì)此，防火墻則無(wú)能為力。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 包過(guò)濾是一個(gè)簡(jiǎn)單有效的用于過(guò)濾多余信息包的方法，通過(guò)攔截信息包、讀信息包和拒絕那些與路由器中規(guī)則不匹配的信息包。遺憾的是，包過(guò)濾不足以保證站點(diǎn)的安全，因?yàn)樵S多威脅、許多新協(xié)議幾乎不費(fèi)勁就可以繞過(guò)這些過(guò)濾器。例如，包過(guò)濾用于 FTP協(xié)議并沒(méi)有效，因?yàn)樗试S用端口 20與外部服務(wù)器聯(lián)系以建立連接，從而完成數(shù)據(jù)的傳輸。即使在路由器上加一條規(guī)則，內(nèi)部網(wǎng)絡(luò)機(jī)器上的端口 20仍能在外界探查到。還有，如前所述，黑客可以很容易地“欺騙”這些路由器。今后，防火墻將會(huì)進(jìn)一步增強(qiáng)這方面的安全策略。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 防火墻技術(shù)已走過(guò)了很長(zhǎng)的路 ， 包括所謂傳統(tǒng)的 ， 或者說(shuō)是靜態(tài)的防火墻 ， 今天已經(jīng)有了動(dòng)態(tài)防火墻技術(shù) 。 動(dòng)態(tài)防火墻同靜態(tài)防火墻相比，主要區(qū)別在于，后者的目的是“許可任何服務(wù)，除非遭到明確拒絕”或“拒絕任何服務(wù)，除非有明確許可”，前者的主要目的是“許可 /拒絕任何服務(wù)，只要你需要”。動(dòng)態(tài)防火墻這種適應(yīng)網(wǎng)絡(luò)流量和設(shè)計(jì)結(jié)構(gòu)的能力，提供了比靜態(tài)包過(guò)濾模式更便利的特色。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 1. 防火墻的組成 防火墻可以理解為內(nèi)部服務(wù)配置的方式。防火墻只允許特定的服務(wù)被因特網(wǎng)上的用戶訪問(wèn)，但必須確保這些已知的服務(wù)是能夠得到的最新的、最安全的版本。這樣，就可以把我們的注意力從加固整個(gè)網(wǎng)絡(luò)轉(zhuǎn)移到僅僅加固幾個(gè)內(nèi)部的機(jī)器和服務(wù)上來(lái)。我們需要了解一些關(guān)于防火墻的組成部分。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 停火區(qū) (DMZ)用在這樣的位置：有少數(shù)機(jī)器服務(wù)于內(nèi)部網(wǎng)絡(luò) ， 且其余機(jī)器隔離于一些設(shè)備 (通常是防火墻 )之后 。 這些機(jī)器或者在公開(kāi)的地方 ， 或者由另外一個(gè)防火墻對(duì) DMZ進(jìn)行保護(hù) 。 從安全角度來(lái)看 ， 這是一個(gè)很好的安排 ， 因?yàn)橹挥薪邮芊祷剡B接的機(jī)器才是 “ 犧牲品 ” 。 如果機(jī)器能省去這些努力，有高風(fēng)險(xiǎn)目標(biāo)的機(jī)構(gòu)就可以從這個(gè)方案獲益。經(jīng)證明，它對(duì)保護(hù)內(nèi)部資源的安全是極其有效的。還有一個(gè)建議是改變機(jī)器的類(lèi)型和安全軟件的出版商，以保護(hù)在 DMZ內(nèi)部和外部的安全。例如，在一個(gè)性質(zhì)相同的社區(qū)中，采用這種方法是很有幫助的，如果使用兩個(gè)相同的防火墻，則它們可以被一個(gè)違法者同時(shí)破壞掉。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 建立 DMZ的惟一缺陷是機(jī)器的維護(hù) 。 為了使 Web服務(wù)器和FTP服務(wù)器容易更新 ， 大多數(shù)管理員喜歡在本地訪問(wèn)文件系統(tǒng) 。若在兩者之間加一個(gè)防火墻 ， 則使得實(shí)現(xiàn)維護(hù)有些難度 ， 特別是當(dāng)不止一人維護(hù)服務(wù)器時(shí) 。 總之 ， 外部信息的駐留還算穩(wěn)定 ，也很少有管理上的煩惱 。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 防火墻和過(guò)濾路由器的工作越來(lái)越趨于合二為一。是否允許連接進(jìn)入系統(tǒng)，認(rèn)證允許服務(wù)連接是建立在對(duì)用戶認(rèn)證的基礎(chǔ)上，而不是建立在它們的源地址和目的地址基礎(chǔ)上。利用一些軟件，用戶的認(rèn)證可以允許到達(dá)某些服務(wù)和機(jī)器，而另外的則只能訪問(wèn)基本系統(tǒng)。在基于用戶的服務(wù)認(rèn)證中，防火墻常扮演一個(gè)重要的角色，但也可以配置一些服務(wù)器去理解這些信息。當(dāng)前的 Web服務(wù)器經(jīng)配置也可用于控制允許哪個(gè)用戶訪問(wèn)哪棵子樹(shù)和把用戶限制于適當(dāng)?shù)陌踩燃?jí)。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 認(rèn)證有多種 ， 其形式有密碼令牌 、 一次性口令及 (最常用且安全性也最低的 )簡(jiǎn)單文本口令 。 由站點(diǎn)管理員決定哪個(gè)用戶用哪種認(rèn)證方式 ， 這也是得到公認(rèn)的 。 正確的認(rèn)證可允許國(guó)外站點(diǎn)的管理員進(jìn)入網(wǎng)絡(luò)改正錯(cuò)誤 ， 這類(lèi)連接是使用密碼令牌這種性能強(qiáng)的認(rèn)證方法的首選對(duì)象 。 今天，整體安全的焦點(diǎn)在周邊上。堅(jiān)固的外表和柔弱的中央是一種普遍存在的現(xiàn)象。堅(jiān)固外表的實(shí)現(xiàn)借助于防火墻、認(rèn)證設(shè)備、強(qiáng)固的撥號(hào)堤、虛擬專(zhuān)用通道、虛擬網(wǎng)絡(luò)以及許多隔離網(wǎng)絡(luò)的其他方法。而在內(nèi)部，則只有供人侵占的份了。內(nèi)部安全沒(méi)有被恰當(dāng)?shù)毓芾恚移毡榱钊藫?dān)心，因?yàn)槿绻腥嗽竭^(guò)了邊界，堡壘就失陷了。這是一個(gè)眾所周知的問(wèn)題，也是今后要繼續(xù)努力解決的問(wèn)題。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 關(guān)于這個(gè)問(wèn)題的解決方案無(wú)需多講 。 內(nèi)部安全問(wèn)題一直是一個(gè)敏感的麻煩事 ， 且各方都不情愿投資去尋求解決方案 。 解決它的惟一途徑是通過(guò)廣泛的宣傳和高度的熱情使這項(xiàng)工作進(jìn)行下去 。 快速或永久解決這個(gè)問(wèn)題是不現(xiàn)實(shí)的 ， 而事實(shí)上 ， 對(duì)周邊的信任最終還是靠不住的 。 有關(guān)破壞防火墻的問(wèn)題也一直在討論，且認(rèn)證方法也不是一點(diǎn)用沒(méi)有。對(duì)一個(gè)站點(diǎn)物理安全的信賴(lài)實(shí)在是一個(gè)災(zāi)難，對(duì)外部人員的鑒別水平還是不夠的。電話維修員常來(lái)檢修嗎？能讓維修員進(jìn)入一個(gè)機(jī)構(gòu)最敏感的區(qū)域嗎？從安全上講，周邊并不是惟一的底線。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 2. 防火墻的主要功能 (1) 防火墻是網(wǎng)絡(luò)安全的堅(jiān)固屏障 。 防火墻 (作為阻塞點(diǎn) 、控制點(diǎn) )可以極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性 ， 并通過(guò)過(guò)濾不安全的服務(wù)來(lái)降低風(fēng)險(xiǎn) 。 由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻 ， 因此網(wǎng)絡(luò)環(huán)境變得更安全 。 如防火墻可以禁止諸如眾所周知的不安全的 NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò) ， 這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò) 。 防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊 ， 如 IP選項(xiàng)中的源路由攻擊和 ICMP重定向中的重定向路徑 。 防火墻應(yīng)該可以拒絕所有以上類(lèi)型攻擊的報(bào)文并通知防火墻管 理員 。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (2) 防火墻能強(qiáng)化網(wǎng)絡(luò)安全策略。以防火墻為中心的安全方案配置，能將所有安全軟件 (如口令、加密、身份認(rèn)證、審計(jì)等 )配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密，口令系統(tǒng)和其他的身份認(rèn)證系統(tǒng)完全不必分散在各個(gè)主機(jī)上，而集中在防火墻上。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (3) 對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。假如所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首要的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (4) 防