【正文】 內(nèi)部的Email服務器（ SMTP，端口 25），允許內(nèi)部主機訪問外部主機，實現(xiàn)這種的過濾的訪問控制規(guī)則類似下表。 ② 按地址過濾 ?比如說，認為網(wǎng)絡 ，那么就可以用源地址過濾禁止內(nèi)部主機和該網(wǎng)絡進行通信。 下圖是一個包過濾模型原理圖： IP 1 物理層 3 網(wǎng)絡層 2 數(shù)據(jù)鏈路層 TCP Session App li ca ti on Data 與過濾規(guī) 則匹配嗎？ 還有另外 的規(guī)則嗎？ 轉發(fā)包嗎？ 審計 / 報警 發(fā)送 NACK 丟棄包 結束 防火墻檢查模塊 4 傳輸層 5 會話層 6 表示層 7 應用層 ?通過檢查模塊，防火墻能攔截和檢查所有出站的數(shù)據(jù)。 ? 包過濾檢查模塊深入到系統(tǒng)的網(wǎng)絡層和數(shù)據(jù)鏈路層之間。 ? 數(shù)據(jù)包過濾可以控制站點與站點 、 站點與網(wǎng)絡和網(wǎng)絡與網(wǎng)絡之間的相互訪問 ， 但不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容 。 3． 2． 2 防火墻的類型 （ 1）數(shù)據(jù)包過濾原理 ?數(shù)據(jù)包過濾技術是防火墻最常用的技術。 防火墻系統(tǒng)決定了哪些內(nèi)部服務可以被外界訪問；外界的哪些人可以訪問內(nèi)部的哪些可以訪問的服務，以及哪些外部服務可以被內(nèi)部人訪問。 （ 6）不能防備新的網(wǎng)絡安全問題。 （ 4） Inter防火墻也不能完全防止傳送已感 染病毒的軟件或文件。 （ 2）無法防護內(nèi)部網(wǎng)絡用戶的攻擊。 （ 6）由于所有的訪問都經(jīng)過防火墻，防火墻是審計和記錄網(wǎng)絡的訪問和使用的最佳地方。 （ 4）可以作為部署網(wǎng)絡地址轉換（ Network Address Translation ）的地點，利用 NAT 技術，可以緩解地址空間的短缺，隱藏內(nèi)部網(wǎng)的結構。 （ 2）防火墻能防止非授權用戶進入內(nèi)部網(wǎng)絡。 3． 2． 1 防火墻概述 ?所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡（如Inter）分開的方法，它實際上是一種隔離技術，是在兩個網(wǎng)絡通信時執(zhí)行的一種訪問控制手段，它能允許用戶“同意”的人和數(shù)據(jù)進入網(wǎng)絡，同時將用戶“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡，防止他們更改、復制和毀壞自己的重要信息。在做出授權決定時，目標環(huán)境根據(jù)這兩個標簽決定是允許還是拒絕訪問，常常用于多級訪問策略。 2. 訪問能力表 授權機構針對每個限制區(qū)域，都為用戶維護它的訪問控制能力。安全策略之間沒有更好的說法，應根據(jù)應用環(huán)境靈活使用。 3． 1． 3 訪問控制的常用實現(xiàn)方法 訪問控制的常用實現(xiàn)方法是指訪問控制策略的軟硬件低層實現(xiàn)。 3. 基于角色的訪問控制 基于角色的訪問控制（ RBAC）是與現(xiàn)代的商業(yè)環(huán)境相結合后的產(chǎn)物，同時具有基于身份策略的特征，也具有基于規(guī)則的策略的特征，可以看作是基于組的策略的變種，根據(jù)用戶所屬的角色作出授權決定。 ? 缺點：安全性最低 。 ?自主訪問控制可以分為以下兩類： (1) 基于個人的策略 (2) 基于組的策略 ? 自主訪問控制存在的問題：配置的粒度小 ，配置的工作量大 ， 效率低 。 （ 2）對于可用性的有效控制 3． 1． 2 訪問控制策略 訪問控制策略 (Access Control Policy)是在系統(tǒng)安全策略級上表示授權，是對訪問如何控制、如何作出訪問決定的高層指南。 2. 基本目標 防止對任何資源進行未授權的訪問，從而使計算機系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么。退出 網(wǎng)絡安全技術 ?學習目的： ? 了解 訪問控制技術 的基本概念 ? 熟悉 防火墻技術基礎 ? 初步掌握 防火墻安全設計策略 ? 了解防火墻攻擊策略 ? 了解 第四代防火墻的主要技術 ? 了解 防火墻發(fā)展的新方向 ? 了解防火墻選擇原則與常見產(chǎn)品 ?學習重點： ? Windows NT/2K安全訪問控制手段 ? 防火墻安全設計策略 ? 防火墻攻擊策略 ? 防火墻選擇原則 3． 1 訪問控制技術 3． 1． 1 訪問控制技術概述 1. 訪問控制的定義 訪問控制是針對越權使用資源的防御措施，是網(wǎng)絡安全防范和保護的主要策略，主要任務是保證網(wǎng)絡資源不被非法使用和非常訪問。 也是保證網(wǎng)絡安全的核心策略之一。 3. 訪問控制的作用 （ 1）訪問控制對機密性、完整性起直接 的作用。 1. 自主訪問控制 自主訪問控制 (DAC)也稱基于身份的訪問控制 (IBAC)，是針對訪問資源的用戶或者應用設置訪問控制權限；根據(jù)主體的身份及允許訪問的權限進行決策；自主是指具有某種訪問能力的主體能夠自主地將訪問權的某個子集授予其它主體，訪問信息的決定權在于信息的創(chuàng)建者。 ? 特點：靈活性高 ， 被大量采用 。 2. 強制訪問控制 強制訪問控制（ MAC）也稱基于規(guī)則的訪問控制（ RBAC），在自主訪問控制的基礎上，增加了對資源的屬性 (安全屬性 )劃分，規(guī)定不同屬性下的訪問權限。 多級策略給每個目標分配一個密級，一般安全屬性可分為四個級別：最高秘密級（ Top Secret）、秘密級（ Secret）、機密級（Confidene）以及無級別級（ Unclassified ）。訪問控制機制與策略獨立，可允許安全機制的重用。 1. 訪問控制表 (ACL) ?優(yōu)點： 控制粒度比較小，適用于被區(qū)分的用戶數(shù)比較小的情況，并且這些用戶的授權情況相對比較穩(wěn)定的情形。 3. 安全標簽 發(fā)起請求的時候，附屬一個安全標簽，在目標的屬性中，也有一個相應的安全標簽。 4． 基于口令的機制 （ 1）與目標的內(nèi)容相關的訪問控制 （ 2）多用戶訪問控制 （ 3）基于上下文的控制 對于用戶而言， Windows NT/2K有以下幾種管理手段： 1． 用戶帳號和用戶密碼 3． 1． 4 Windows NT/2K 安全訪問控制手段 2． 域名管理 3． 用戶組權限 4． 共享資源權限 3． 2 防火墻技術 基礎 1． 防火墻（ FireWall） ?一個防火墻的基本目標為： 1）對于一個網(wǎng)絡來說，所有通過“內(nèi)部”和“外部”的網(wǎng)絡流量都要經(jīng)過防火墻； 2）通過一些安全策略，來保證只有經(jīng)過授權的流量才可以通過防火墻； 3）防火墻本身必須建立在安全操作系統(tǒng)的基礎上。 2． 防火墻的優(yōu)點 （ 1）防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)了集中的安全管理，可以強化網(wǎng)絡安全策略，比分散的主機管理更經(jīng)濟易行。 （ 3）防火墻可以方便地監(jiān)視網(wǎng)絡的安全性并報警。 （ 5）利用防火墻對內(nèi)部網(wǎng)絡的劃分，可以實現(xiàn)重點網(wǎng)段的分離，從而限制問題的擴散。 3． 防火墻的局限性 （ 1）限制有用的網(wǎng)絡服務。