【正文】 個域 ， 此時 ， 能夠訪問的對象集中的各訪問權(quán) ，取決于進程的身份 。 訪問控制表也可用于定義缺省的訪問權(quán)集 ， 即在該表中列出了各個域?qū)δ硨ο蟮娜笔≡L問權(quán)集 。 在系統(tǒng)中配置了這種表后 ， 當(dāng)某用戶 (進程 )要訪問某資源時 ， 通常是首先由系統(tǒng)到缺省的訪問控制表中 ， 去查找該用戶 (進程 )是否具有對指定資源進行訪問的權(quán)力 。 如果找不到 ， 再到相應(yīng)對象的訪問控制表中去查找 。 第九章 系統(tǒng)安全性 2. 訪問權(quán)限 (Capabilities)表 如果把訪問矩陣按行 (即域 )劃分 ， 便可由每一行構(gòu)成一張訪問權(quán)限表 。 換言之 ， 這是由一個域?qū)γ恳粋€對象可以執(zhí)行的一組操作所構(gòu)成的表 。 表中的每一項即為該域?qū)δ硨ο蟮脑L問權(quán)限 。 當(dāng)域為用戶 (進程 )、 對象為文件時 ， 訪問權(quán)限表便可用來描述一個用戶 (進程 )對每一個文件所能執(zhí)行的一組操作 。 圖 9 15 示出了對應(yīng)于圖 9 11 中域 D2的訪問權(quán)限表 。 在表中共有三個字段 。 其中類型字段用于說明對象的類型；權(quán)力字段是指域 D2對該對象所擁有的訪問權(quán)限；對象字段是一個指向相應(yīng)對象的指針 ， 對 UNIX系統(tǒng)來說 ， 它就是索引結(jié)點的編號 。 由該表可以看出 ， 域 D2可以訪問的對象有 4個 ， 即文件 5和打印機 ， 對文件 3的訪問權(quán)限是只讀；對文件 4的訪問權(quán)限是讀 、 寫和執(zhí)行等 。 第九章 系統(tǒng)安全性 圖 9 – 15 訪問權(quán)限表 第九章 系統(tǒng)安全性 訪問權(quán)限表不能允許直接被用戶 (進程 )所訪問 。 通常 ， 將訪問權(quán)限表存儲到系統(tǒng)區(qū)內(nèi)的一個專用區(qū)中 ， 只允許專用于進行訪問合法性檢查的程序?qū)υ摫磉M行訪問 ， 以實現(xiàn)對訪問控制表的保護 。 目前 ， 大多數(shù)系統(tǒng)都同時采用訪問控制表和訪問權(quán)限表 ， 在系統(tǒng)中為每個對象配置一張訪問控制表 。 當(dāng)一個進程第一次試圖去訪問一個對象時 ， 必須先檢查訪問控制表 ， 檢查進程是否具有對該對象的訪問權(quán) 。 如果無權(quán)訪問 ， 便由系統(tǒng)來拒絕進程的訪問 ， 并構(gòu)成一例外 (異常 )事件；否則 (有權(quán)訪問 )， 便允許進程對該對象進行訪問 ， 并為該進程建立一訪問權(quán)限 ， 將之連接到進程 。 以后 ， 該進程便可直接利用這一返回的權(quán)限去訪問該對象 ， 這樣 ， 便可快速地驗證其訪問的合法性 。 當(dāng)進程不再需要對該對象進行訪問時 ， 便可撤消該訪問權(quán)限 。 第九章 系統(tǒng)安全性 防 火 墻 技 術(shù) (1) 包過濾技術(shù) 。 基于該技術(shù)所構(gòu)建的防火墻簡單 、價廉 。 (2) 代理服務(wù)技術(shù) 。 基于該技術(shù)所構(gòu)建的防火墻安全可靠 。 上述兩者之間有很強的互補性 ， 因而在 Intra上經(jīng)常是同時采用這兩種防火墻技術(shù)來保障網(wǎng)絡(luò)的安全 。 第九章 系統(tǒng)安全性 包過濾防火墻 1. 所謂 “ 包過濾技術(shù) ” 是指：將一個包過濾防火墻軟件置于 Intra的適當(dāng)位置 ， 通常是在路由器或服務(wù)器中 ， 使之能對進出 Intra的所有數(shù)據(jù)包按照指定的過濾規(guī)則進行檢查 ， 僅對符合指定規(guī)則的數(shù)據(jù)包才準予通行 ， 否則將之拋棄 。 圖 9 16 中示出了基于包過濾技術(shù)的防火墻的位置 。 第九章 系統(tǒng)安全性 圖 9 – 16 包過濾防火墻 服務(wù)器以太網(wǎng)I n t r a n e tWSIP 數(shù)據(jù)包 IP 包過濾防為墻IP 數(shù)據(jù)包至 I n t e r n e tI n t e r n e t 第九章 系統(tǒng)安全性 包過濾防火墻是工作在網(wǎng)絡(luò)層 。 在 Inter和 Intra中 ， 由于網(wǎng)絡(luò)層所傳輸?shù)氖?IP數(shù)據(jù)包 ， 所以包過濾器就是對 IP數(shù)據(jù)包進行檢查并加以過濾 。 包過濾器在收到 IP數(shù)據(jù)包后 ， 先掃描該數(shù)據(jù)包的包頭 ， 對其中的某些字段進行檢查 ， 這些字段包括數(shù)據(jù)包的類型 (TCP或 UDP等 )、 源 IP地址 、 目標 IP地址 、 目標 TCP/IP端口等 。 然后利用系統(tǒng)中事先設(shè)置好的過濾規(guī)則 (或稱邏輯 )——通常是訪問控制表 ，來檢查數(shù)據(jù)包的有關(guān)字段 ， 把凡能滿足過濾規(guī)律的數(shù)據(jù)包都轉(zhuǎn)發(fā)到相應(yīng)的目標地址端口；否則 ， 便將該數(shù)據(jù)包從數(shù)據(jù)流中摘除掉 。 第九章 系統(tǒng)安全性 假設(shè)在某公司的網(wǎng)絡(luò) (Intra)中 ， 有一個 B類地址為, 該地址不允許 Inter上的無關(guān)網(wǎng)絡(luò)對它訪問 。但在該公司網(wǎng)中 ， 有一個地址為 科研機構(gòu)合作 ， 這個科研機構(gòu)網(wǎng)絡(luò)的 B類地址為 ，該公司只允許其內(nèi)部的指定地址為 、 及地址為 ， 能訪問上述的地址為. 0的子網(wǎng) ， 但不允許上述三個子網(wǎng)去訪問在 。 在圖 9 17 中列出了上述的過濾規(guī)則集 ， 其中的 ， 規(guī)則 E是最后的規(guī)則 ，僅當(dāng)沒有其它規(guī)則可滿足時 ， 才用此規(guī)則 。 第九章 系統(tǒng)安全性 圖 9 – 17 過濾規(guī)則集 第九章 系統(tǒng)安全性 圖 9 – 18 利用過濾規(guī)則對數(shù)據(jù)進行檢查 第九章 系統(tǒng)安全性 從圖 9 18 可以看出 ， 當(dāng)?shù)谝粋€數(shù)據(jù)包進入包過濾器時 ，由于該包是要訪問公司網(wǎng)絡(luò)中的 1號子網(wǎng) ， 根據(jù)規(guī)則 D而被拒絕；數(shù)據(jù)包 2是要訪問公司網(wǎng)中的 6號子網(wǎng) ， 根據(jù)規(guī)則 C而被允許訪問；數(shù)據(jù)包 3同樣要訪問 6號子網(wǎng) ， 根據(jù)規(guī)則 B也被允許訪問；而數(shù)據(jù)包 4根據(jù)規(guī)則 D被拒絕；此外 ， 第 5個數(shù)據(jù)包的報文是來自于 ， 根據(jù)規(guī)則 E也被拒絕 。 注意 ， 在利用過濾規(guī)則對數(shù)據(jù)包進行檢查時 ， 應(yīng)按先 A、 B、 C后 D的次序 ， 依次用各規(guī)則進行檢查 ， 次序顛倒將會出現(xiàn)錯誤 。 這是因為規(guī)則 D和 E本身是有前提的 ， 只有在依次用 A、B、 C規(guī)則檢查之后 ， 亦即先將 3 36號子網(wǎng)排除在外 ， 再執(zhí)行規(guī)則 D檢查 (這時因為第 4包中的源子網(wǎng)地址 D規(guī)則中的其余子網(wǎng)的 ， 因而是不被允許通行的 )才不會出錯 。 同樣 ， 也應(yīng)當(dāng)在執(zhí)行 A、 B、 C、 D的檢查之后 ， 再執(zhí)行 E規(guī)則 。 第九章 系統(tǒng)安全性 2. (1) 有效靈活。 (2) (2) 簡單易行。 (3) 防火墻機制本身存在固有的缺陷： (4) 不能防止假冒。 (5) (2) 只在網(wǎng)絡(luò)層和傳輸層實現(xiàn)。 (6) (3) 缺乏可審核性。 (7) (4) 不能防止來自內(nèi)部人員造成的威脅。 第九章 系統(tǒng)安全性 1. 代理服務(wù)的基本原理 為了防止在 Inter上的其他用戶能直接獲得 Intra中的信息 ， 在Intra中設(shè)置了一個代理服務(wù)器 ， 并將外部網(wǎng) (Inter)與內(nèi)部網(wǎng)之間的連接分為兩段 ， 一段是從 Inter上的主機引到代理服務(wù)器；另一段是由代理服務(wù)器連到內(nèi)部網(wǎng)中的某一個主機 (服務(wù)器 )。 每當(dāng)有 Inter的主機請求訪問 Intra的某個應(yīng)用服務(wù)器時 ， 該請求總被送到代理服務(wù)器 ， 并在其中通過安全檢查后 ， 再由代理服務(wù)器與內(nèi)部網(wǎng)中的應(yīng)用服務(wù)器建立鏈接 。 以后 ， 所有的 Inter上的主機對內(nèi)部網(wǎng)中應(yīng)用服務(wù)器的訪問 ， 都被送到代理服務(wù)器 ， 由后者去代替在 Inter上的相應(yīng)主機 ， 對 Intra的應(yīng)用服務(wù)器進行訪問 。 這樣就把 Inter主機對 Intra應(yīng)用服務(wù)器的訪問 ， 置于代理服務(wù)器的安全控制之下 ， 從而使訪問者無法了解到 Intra的結(jié)構(gòu)和運行情況 。 第九章 系統(tǒng)安全性 2. 代理服務(wù)技術(shù)是利用一個應(yīng)用層網(wǎng)關(guān)作為代理服務(wù)器的 。 應(yīng)用層網(wǎng)關(guān)可分三種類型： ① 雙穴主機網(wǎng)關(guān)； ② 屏蔽主機網(wǎng)關(guān)； ③ 屏蔽子網(wǎng)網(wǎng)關(guān) 。 這三種網(wǎng)關(guān)都要求有一臺主機 ， 通常稱為 “ 橋頭堡主機 ” (Bastion Host)， 它起著防火墻的作用 ， 也起著 Inter與 Intra之間的隔離作用 。 第九章 系統(tǒng)安全性 1) 雙穴主機網(wǎng)關(guān) (DualHomed Gateway) 圖 9 19(a)示出了雙穴主機網(wǎng)關(guān)的結(jié)構(gòu) 。 其中 ， 橋頭堡主機充當(dāng)應(yīng)用層網(wǎng)關(guān) 。 在主機中需要插入兩塊網(wǎng)卡 ， 用于將主機連接到被保護網(wǎng)和 Inter上 。 在主機上運行防火墻軟件 ， 被保護網(wǎng)與 Inter間的通信必須通過主機 ， 因而可以將被保護網(wǎng)很好地屏蔽起來 。 Intra可以通過橋頭堡主機獲得 Inter提供的服務(wù) 。 這種應(yīng)用層網(wǎng)關(guān)能有效地保護和屏蔽 Intra， 且要求的硬件較少 ， 因而是目前應(yīng)用較多的一種防火墻；但橋頭堡主機本身缺乏保護 ， 容易受到攻擊 。 第九章 系統(tǒng)安全性 圖 9 – 19 應(yīng)用層網(wǎng)關(guān) 橋頭堡主機I n t r a n e t I n t e r n e t屏幕路由器( a )橋頭堡主機I n t r a n e tI n t e r n e t( b )I n t r a n e t 橋頭堡主機 內(nèi)部路由器外部路由器公用信息服務(wù)器I n t e r n e t( c ) 第九章 系統(tǒng)安全性 2) 屏蔽主機網(wǎng)關(guān) (Screened Host Gateway) 為了保護橋頭堡主機而將它置入被保護網(wǎng)的范圍中 ， 在被保護網(wǎng)與 Inter之間設(shè)置一個屏蔽路由器 (Screened Router)。 它不允許 Inter對被保護網(wǎng)進行直接訪問 ， 只允許對橋頭堡主機進行訪問 ， 屏蔽路由器也只接收來自橋頭堡主機的數(shù)據(jù) 。 與前述的雙穴主機網(wǎng)關(guān)類似 ， 也在橋頭堡主機上運行防火墻軟件 。 圖 9 19(b)示出了屏蔽主機網(wǎng)關(guān)的結(jié)構(gòu) 。 屏蔽主機網(wǎng)關(guān)是一種更為靈活的防火墻軟件 ，它可以利用屏蔽路由器來做更進一步的安全保護 。 但此時的路由器又處于易受攻擊的地位 。 此外 ， 網(wǎng)絡(luò)管理員應(yīng)該管理在路由器和橋頭堡主機中的訪問控制表 ， 使兩者協(xié)調(diào)一致 ， 避免出現(xiàn)矛盾 。 第九章 系統(tǒng)安全性 3) 屏蔽子網(wǎng)網(wǎng)關(guān) (Screened Sub Gateway) 不少被保護網(wǎng)有這樣一種要求 ， 即它能向 Inter上的用戶提供部分信息 。 這部分存放在公用信息服務(wù)器上的信息 ， 應(yīng)允許由 Inter上的用戶直接讀取 。 針對這種情況 ，應(yīng)當(dāng)在被保護網(wǎng)與 Inter之間 ， 建立一個小型的獨立子網(wǎng) ，同時再增加一個外部路由器來對該子網(wǎng)進行保護 。 這樣 ，Inter上的用戶要訪問公共信息服務(wù)器時 ， 只須通過外部路由器 。 但若該用戶要訪問 Intra中的信息時 ， 則須通過外部和內(nèi)部路由器先去訪問橋頭堡主機 ， 然后再通過主機訪問 Intra。 圖 9 19(c)示出了屏蔽子網(wǎng)網(wǎng)關(guān)的結(jié)構(gòu) 。 第九章 系統(tǒng)安全性 3. 代理服務(wù)技術(shù)的優(yōu)缺點 (1) 屏蔽被保護網(wǎng)。 (2) (2) 對數(shù)據(jù)流的監(jiān)控。 (3) (4) 實現(xiàn)起來比較復(fù)雜。 (5) (2) 需要特定的硬件支持。 (6) (3) 增加了服務(wù)的延遲。 第九章 系統(tǒng)安全性 規(guī)則檢查防火墻 1. 包過濾防火墻和應(yīng)用級網(wǎng)關(guān)分別工作在 OSI/RM的不同層次上 ， 且采用了不同的方法來保障網(wǎng)絡(luò)的安全 。 這兩種方法各有自己的優(yōu)點 ， 但也都存在某些不足之處 。 而規(guī)則檢查防火墻(Stateful Inspection Firewall)則是集這兩種防火墻技術(shù)的優(yōu)點所形成的另一種防火墻 。 它能像包過濾防火墻一樣 ， 在網(wǎng)絡(luò)層上通過檢查 IP地址等手段 ， 過濾掉對 Intra進行訪問的非法數(shù)據(jù)包；它也能像應(yīng)用級網(wǎng)關(guān)一樣 ， 對服務(wù)的類型和服務(wù)信息的內(nèi)容進行檢查 ， 過濾掉其中的非法訪問 。 僅此 ， 即可見規(guī)則檢查防火墻已是一種性能更好的防火墻 。 為了進一步提高防火墻的性能 ， 在規(guī)則檢查防火墻中又增加了用于保障網(wǎng)絡(luò)安全的新功能 。 第九章 系統(tǒng)安全性 2. 規(guī)則檢查防火墻新增加的功能 (1) 認證 。 在防火墻中增加了三種認證方法：第一種是用戶認證 ， 用于對用戶的訪問權(quán)限進行認證；第二種是客戶認證 ， 是對用戶客戶機 IP地址進行認證；第三種是會晤認證 ， 是審查是否允許在訪問者和被訪問服務(wù)器之間建立直接的連接 。 第九章 系統(tǒng)安全性 (2) 內(nèi)容安全檢查 。 內(nèi)容安全檢查包括：為網(wǎng)絡(luò)中的每個計算機站點進行病毒檢查 ， 為電子郵件服務(wù)提供安全控制的機制 ， 該機制可以隱藏 Intra的結(jié)構(gòu)和用戶的真實身份等；此外 ，還可以進行基于 FTP命令的內(nèi)容安全控制 ， 以禁止用戶使