访问控制与防火墙技术共33页文档

访问控制和防火墙技术Access Control and Firewall Technology嵩天songtian@计算机学院网络与分布式计算研究所本节大纲• 访问控制原理• 防火墙技术概述• 防火墙核心技术• 防火墙部署• 本节总结访问控制原理• 什么是访问控制？–访问控制在生活中经常遇到，例如：门锁、交通灯；–访问控制是允许或者禁止某人使用某项资源的能力。

–主体：提出资源访问请求–客体：被访问资源实体–访问：对资源的使用例如：读、写、删改等操作访问控制原理• 访问可以被描述为一个三元组（s, a, o）–主体：Subject–客体：Object–访问：Access访问控制原理• 访问控制模型访问控制原理• 基本的访问控制政策模型–自主访问控制（DAC）Discretionary Access Control –强制访问控制（MAC）Mandatory Access Control–基于角色的访问控制（RBAC）Role-Based Access Control• 基本的访问控制政策模型–自主访问控制（DAC）–每个客体有一个所有者，所有者可以按照自己的意愿把客体的访问控制权限授予其他主体–控制灵活，易于管理，是目前应用最为普遍的访问控制政策–DAC的有效性依赖于资源的所有者对安全政策的正确理解和有效落实• 基本的访问控制政策模型–自主访问控制（DAC）/bin/ls[root@acl tmp]# chown root ls[root@acl tmp]# ls -l-rw-r--r-- 1 nobody nobody 770 Oct 18 15:16 4011.tmp-rw------- 1 root users 48 Oct 28 11:41 lssrwxrwxrwx 1 root root 0 Aug 29 09:04 mysql.sock drwxrwxr-x 2 duan uan 4096 Oct 23 23:41 ssl[root@acl tmp]# chmod o+rw ls[root@acl tmp]# ls -l-rw-r--r-- 1 nobody nobody 770 Oct 18 15:16 4011.tmp-rw----rw- 1 root users 48 Oct 28 11:41 lssrwxrwxrwx 1 root root 0 Aug 29 09:04 mysql.sock drwxrwxr-x 2 duan duan 4096 Oct 23 23:41 ssl• 基本的访问控制政策模型–强制访问控制（MAC）–每个主体和客体分配一个固定的安全级别，只有系统管理员才可以修改–普密<秘密<机密<绝密–只有在主体和客体的安全级别满足一定规则时，才允许访问–MAC通过定义的安全级别，达到访问控制–常用于军队和政府机构• 基本的访问控制政策模型–强制访问控制（MAC）–例如：BLP模型是最早的一个安全模型，用于美国军方–BLP的特点：• 禁止向下写• 禁止向上读• 低安全级信息向上流动• 高读底合法，有安全漏洞基本的访问控制政策模型–基于角色的访问控制（RBAC）–用户组（Group）• 用户组：用户的集合，G={s1, s2, s3 …}–角色（Role）• 角色是完成一项任务必须访问的资源及相应操作权限的集合，R={(a1 ,o1 ), (a2 ,o2 ), (a3 ,o3)…}• 基本的访问控制政策模型–基于角色的访问控制（RBAC）–授权管理：• 根据任务需要定义角色• 为角色分配资源和操作权限• 给一个用户组指定一个角色–RBAC通过角色，隔离了主体和权限访问控制的设计原则• （1）最小特权原则• （2）开放式设计原则• （3）特权的分隔原则• （4）公共机制的最小化原则• （5）经济性原则• （6）心理可接受原则• （1）最小特权原则–每一用户和进程只应拥有最小访问权的集合，只能在为完成其任务所必须的那些权限所组成的最小保护域内执行。