【正文】 1) 數(shù)據(jù)包過濾型防火墻 數(shù)據(jù)包過濾 (Packet Filtering)技術是指在網(wǎng)絡層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設置的過濾邏輯，被稱為訪問控制表 ACL。通過 VPN，將企事業(yè)單位在地域上分布在全世界各地的 LAN或專用子網(wǎng)有機地聯(lián)成一個整體，不僅省去了專用通信線路，而且為信息共享提供了技術保障。防火墻可以同樣阻塞有關內(nèi)部網(wǎng)絡中的 DNS信息，這樣一臺主機的域名和 IP地址就不會被外界所了解。但是 Finger顯示的信息非常容易被攻擊者所獲悉。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如 Finger、 DNS等服務。借助于利用防火墻對內(nèi)部網(wǎng)絡的劃分，可以實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。另外，收集一個網(wǎng)絡的使用和誤用情況也是非常重要的。假如所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。例如在網(wǎng)絡訪問時，一次一密，口令系統(tǒng)和其他的身份認證系統(tǒng)完全不必分散在各個主機上，而集中在防火墻上。以防火墻為中心的安全方案配置，能將所有安全軟件 (如口令、加密、身份認證、審計等 )配置在防火墻上。 防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管 理員 。 如防火墻可以禁止諸如眾所周知的不安全的 NFS協(xié)議進出受保護網(wǎng)絡 ， 這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡 。 防火墻 (作為阻塞點 、控制點 )可以極大地提高一個內(nèi)部網(wǎng)絡的安全性 ， 并通過過濾不安全的服務來降低風險 。電話維修員常來檢修嗎？能讓維修員進入一個機構最敏感的區(qū)域嗎？從安全上講，周邊并不是惟一的底線。 有關破壞防火墻的問題也一直在討論，且認證方法也不是一點用沒有。 解決它的惟一途徑是通過廣泛的宣傳和高度的熱情使這項工作進行下去 。 第 10章 網(wǎng)絡安全技術設計 關于這個問題的解決方案無需多講 。內(nèi)部安全沒有被恰當?shù)毓芾?，且普遍令人擔心，因為如果有人越過了邊界，堡壘就失陷了。堅固外表的實現(xiàn)借助于防火墻、認證設備、強固的撥號堤、虛擬專用通道、虛擬網(wǎng)絡以及許多隔離網(wǎng)絡的其他方法。 今天，整體安全的焦點在周邊上。 由站點管理員決定哪個用戶用哪種認證方式 ， 這也是得到公認的 。當前的 Web服務器經(jīng)配置也可用于控制允許哪個用戶訪問哪棵子樹和把用戶限制于適當?shù)陌踩燃墶＠靡恍┸浖?，用戶的認證可以允許到達某些服務和機器，而另外的則只能訪問基本系統(tǒng)。 第 10章 網(wǎng)絡安全技術設計 防火墻和過濾路由器的工作越來越趨于合二為一。若在兩者之間加一個防火墻 ， 則使得實現(xiàn)維護有些難度 ， 特別是當不止一人維護服務器時 。 第 10章 網(wǎng)絡安全技術設計 建立 DMZ的惟一缺陷是機器的維護 。還有一個建議是改變機器的類型和安全軟件的出版商，以保護在 DMZ內(nèi)部和外部的安全。 如果機器能省去這些努力，有高風險目標的機構就可以從這個方案獲益。 這些機器或者在公開的地方 ， 或者由另外一個防火墻對 DMZ進行保護 。我們需要了解一些關于防火墻的組成部分。防火墻只允許特定的服務被因特網(wǎng)上的用戶訪問，但必須確保這些已知的服務是能夠得到的最新的、最安全的版本。動態(tài)防火墻這種適應網(wǎng)絡流量和設計結構的能力，提供了比靜態(tài)包過濾模式更便利的特色。 第 10章 網(wǎng)絡安全技術設計 防火墻技術已走過了很長的路 ， 包括所謂傳統(tǒng)的 ， 或者說是靜態(tài)的防火墻 ， 今天已經(jīng)有了動態(tài)防火墻技術 。還有，如前所述，黑客可以很容易地“欺騙”這些路由器。例如，包過濾用于 FTP協(xié)議并沒有效，因為它允許用端口 20與外部服務器聯(lián)系以建立連接，從而完成數(shù)據(jù)的傳輸。 第 10章 網(wǎng)絡安全技術設計 包過濾是一個簡單有效的用于過濾多余信息包的方法，通過攔截信息包、讀信息包和拒絕那些與路由器中規(guī)則不匹配的信息包。 第 10章 網(wǎng)絡安全技術設計 另外，如果在內(nèi)部 LAN上有 Web服務器，要警惕內(nèi)部攻擊，對企業(yè)服務器也是這樣。如果有很重要的信息在 LAN上，首先服務器就不應該與它連接。 然而，防火墻并不是絕對有效的。 第 10章 網(wǎng)絡安全技術設計 防火墻的一個基本目的是保護站點不被黑客攻擊 ， 如前所述 ， 站點暴露于大量的威脅面前 ， 防火墻可為用戶提供保護 ，但對那些繞過它的連接 ， 則無能為力 。 用防火墻保護站點是一種最容易對安全和審計起作用的方法 。 第 10章 網(wǎng)絡安全技術設計 因此 ， 選擇防火墻應該根據(jù)裝在站點的硬件 、 本部門專業(yè)性的意見和可信任的銷售商 。 防火墻的建立提供了對網(wǎng)絡流量的可控過濾，以限制訪問特定的因特網(wǎng)端口號，而其余則被堵塞。堡壘主機可以防止內(nèi)部用戶直接訪問因特網(wǎng)服務，其作用就像一個代理，能夠過濾掉未授權的要進入因特網(wǎng)的流量。 過濾器因特網(wǎng) 防火墻網(wǎng)關過濾器因特網(wǎng)圖 防火墻基本功能 第 10章 網(wǎng)絡安全技術設計 大多數(shù)防火墻就是一些路由器 ， 它們根據(jù)數(shù)據(jù)包的源地址 、目標地址 、 更高級的協(xié)議 ， 或根據(jù)由專用網(wǎng)絡安全管理員制定的標準或安全策略 ， 過濾進入網(wǎng)絡的數(shù)據(jù)包 。 設計防火墻的目的就是不要讓那些來自不受保護的網(wǎng)絡，如因特網(wǎng)上的多余的未授權的信息進入專用網(wǎng)絡，如 LAN或 WAN，而仍能允許本地網(wǎng)絡上的用戶以及其他用戶訪問因特網(wǎng)服務。 所以 ， 發(fā)信息時一定要仔細對待發(fā)往遠程站點的信息 。 如果黑客占領了一個用于通信的關鍵地方的站點 ， 那么用戶發(fā)出的所有通過該站點的數(shù)據(jù)就完全由黑客隨意處置了 。 第 10章 網(wǎng)絡安全技術設計 防火墻技術 我們知道 ， 在因特網(wǎng)上所發(fā)送的每一段數(shù)據(jù)都可以被偷竊和修改 。 將計算機和網(wǎng)絡安全更緊密地統(tǒng)一起來，發(fā)展信息安全是非常必需的。 角色訪問策略成功地代替了嚴格的傳統(tǒng)強制性控制并提供了自由控制中的一些靈活性 。在分散系統(tǒng)中，將性能表與 ACL或授權表結合起來則是非常有效的方法。如果按每個客體來進行就好一些。 ACL曾是在操作系統(tǒng)中實現(xiàn)訪問矩陣模型的一種廣為使用的方法。這就允許以逐個選擇的方式委任行政管理權。一些現(xiàn)有的系統(tǒng)允許中央安全管理員向其他安全管理員委任對客體的管理權。 行政權的委任是一個重要領域，而現(xiàn)有的訪問控制系統(tǒng)是遠遠不夠的。 第 10章 網(wǎng)絡安全技術設計 角色訪問控制同樣也有許多行政管理政策。因此，行政管理的政策就非常簡單?？腕w的安全級別取決于建立系統(tǒng)的用戶級別。 在強制性訪問控制中，被許可的訪問完全取決于主客體的安全級別。 第 10章 網(wǎng)絡安全技術設計 4. 授權的行政管理 管理政策決定了誰有權去修改已被許可的訪問 。 這種方法的優(yōu)越性在于：它使授權的行政管理更容易控制 。 角色的訪問授權就應根據(jù)客體類型而不是根據(jù)具體的客體來分類 。 比如 ， 一個職員一般需要對銀行賬戶進行訪問 ， 而秘書則要對信件和備忘錄進行訪問 。 第 10章 網(wǎng)絡安全技術設計 u客體分類 —— 角色策略根據(jù)用戶的行為對用戶進行了分類 。職責分離可以固定地 (通過定義不能由同一用戶執(zhí)行的角色 )或能動地 (在訪問時強行控制 )實施。 第 10章 網(wǎng)絡安全技術設計 u職責分離 —— 職責分離的原則是：不能給用戶太多的特權，而使他們可以濫用系統(tǒng)。權力很大的用戶只在需要這些特權時才使用它們。 分級角色更簡化了授權管理 。 一個擔任軟件 (或硬件 )工程師的用戶 ， 還會接受更大范圍的特權與許可 。 第 10章 網(wǎng)絡安全技術設計 u 分級角色 —— 在許多應用中 ， 都有自然形成的角色級別 ，是建立在統(tǒng)一化和專門化的一般原則上的 。例如，假如某用戶的責任因提升而改變，那么用戶就不擔任現(xiàn)在的角色，而是分配以適合新責任的角色。一部分是將用戶分配到各個角色中，而另一部分則是將對客體的訪問權分配到角色中。 一般來說 ， 用戶可在不同情況下選取不同的角色 ， 也可由不同的用戶擔任同一角色 ， 甚至是同時的 。 NIST最近的研究確認了角色對于許多商業(yè)和政府組織都是一種行之有效的方法。所以，訪問授權就是對各個角色規(guī)定，而非對每個用戶規(guī)定。角色策略要求確定每一位用戶在系統(tǒng)中的角色。 其中一個引起人們廣泛關注的就是角色訪問控制 。 第 10章 網(wǎng)絡安全技術設計 現(xiàn)已提出了幾種代替?zhèn)鹘y(tǒng)自由和強制策略的方案 。但它們都不能滿足許多商業(yè)企業(yè)的需求。強制性策略產(chǎn)生于紀律嚴格的環(huán)境，如軍事環(huán)境。 第 10章 網(wǎng)絡安全技術設計 3) 角色策略 上述自由訪問控制和強制性訪問控制策略已被官方標準所認可 ， 特別是被美國國防部桔皮書認可 。 滿足這些原則，就防止了低層客體中的信息 (可靠性較低 )流入高層客體中，從而保障了其完整性。 客體的完整性級別反映了用戶插入 、 修改或刪除該級數(shù)據(jù)和程序的可靠性 。 第 10章 網(wǎng)絡安全技術設計 強制性訪問控制也適用于信息完整性的保護 。主體只能進行實施其職責的訪問。在這種情況下，每個主體和客體的分類標簽是由安全級別和一套目錄組成的。而向上寫入規(guī)則也使用戶不可能無意將信息從高級泄露給低級。用戶雖不會泄露這些信息，但不能保證他們執(zhí)行的程序也不泄露。 第 10章 網(wǎng)絡安全技術設計 換而言之，用戶可以作為其安全級別或該級別以下的任何級別的主體在系統(tǒng)中進行登記。這種看似矛盾的問題實際上也很好解決，只要允許 Jane在系統(tǒng)中作為 U主體進行登記就行了。這就意味著， Jane不能向 U用戶發(fā)送 Email。同時，向上寫入允許 Jane的 S主體向 TS或 C主體發(fā)送 Email并獲得收益。特別是它們能改寫現(xiàn)有的 TS和 C數(shù)據(jù)從而進行毀壞。 而向上寫入規(guī)則初看起來似乎有兩個地方也與常規(guī)相背 。 假設用戶 Jane的安全級別為 S， 并假設她一直作為 S主體在系統(tǒng)登記 。在這樣的系統(tǒng)中，信息只能向上或在同等安全級中流動。 特別是要滿足以下兩個原則： u 向下取讀 —— 主體的安全級別必須高于所讀客體的安全級別； u 向上寫入 —— 主體的安全級別必須低于所寫客體的安全級別 。在軍隊、民間以及政府中，這個等級組一般包括絕密 (TS)、機密 (C)、秘密 (S)和非保密 (U)，每一個保密級別都控制本級及其以下的級別。用戶的安全級別還反映了用戶的可靠性，憑借這種可靠性該用戶不會把敏感信息泄露給不允許獲得該信息的用戶。系統(tǒng)中的每位用戶和客體都屬于某一安全級別?？隙ê头穸ㄊ跈嗟氖褂眠€可以結合起來，既規(guī)定用戶許可的訪問，也規(guī)定用戶不能進行的訪問。在這種情況下，對系統(tǒng)中的每個用戶和客體，都規(guī)定了用戶禁止采用的訪問方式。 第 10章 網(wǎng)絡安全技術設計 建立在明確規(guī)定的授權之上的自由訪問控制策略稱為是“關閉”的，其中參考監(jiān)視器做出的違約判斷是否定的。主要原因是該策略在用戶接收信息時并不對信息的使用施加任何限制，即信息傳播不受限制。因為要繞過授權中的訪問限制是輕而易舉的。因此它們被廣泛使用，尤其是在商業(yè)和工業(yè)環(huán)境中。 如果授權中允許用戶以這種方式訪問客體 ， 則訪問就可以得到許可；否則就不予許可 。 其依據(jù)是用戶的身份和授權 (或規(guī)則 )， 并為系統(tǒng)中每位用戶 (或用戶組 )和客體規(guī)定了用戶允許對客體進行訪問的方式 (如讀 、 寫或執(zhí)行 )。有聯(lián)系的數(shù)據(jù)管理系統(tǒng)通常使用這種表示法。而有些訪問矩陣的表示則不偏向于任何一種方法。接著，服務器再用 ACL來提供更細致的訪問控制。在一個分散系統(tǒng)中，這種方式的優(yōu)越性是不要求對主體進行重復鑒別。 第 10章 網(wǎng)絡安全技術設計 將 ACL與性能表結合起來也是可能的。但是，要確定訪問某客體的所有主體則需要察看每個主體的性能單。這種方法表示以行來存儲訪問矩陣。 第 10章 網(wǎng)絡安全技術設計 2) 性能表 性能表是與 ACL相對的另一種方法。另一個極端就是有許多訪問控制組，允許 ACL中有復雜的規(guī)則來限制何時、如何進行訪問。幾個常用的操作系統(tǒng)，如 UNIX和 VMS，對 ACL進行了簡化，使其中只有少數(shù)的，一般只有一個或兩個集團的名稱，而個人主體的名稱是不允許的。 第 10章 網(wǎng)絡安全技術設計 許多系統(tǒng)允許集團的名稱出現(xiàn)在 ACL中。必須檢驗系統(tǒng)中每個客體的 ACL，主體才能訪問。而要取消對客體的訪問權也很容易，只需用空白的 ACL代替現(xiàn)有的 ACL。這種方法表示將矩陣以列的方式存儲。 第 10章 網(wǎng)絡安全技術設計 2. 訪問控制的實施 1) 訪問控制單 實現(xiàn)訪問矩陣最廣泛使用的一種方法就是訪問控制單 (ACL，Access Control Table，亦稱訪問控制表 )。進行這些操作就要求對賬目數(shù)據(jù)的讀寫訪問。“詢問”類似于讀的過程，在這個過程中它可以檢索信息但無法改變信息。 訪問矩陣模型對鑒別和授權的問題進行了嚴格的區(qū)分 。 訪問控制的主旨就是保證只有