信息系統(tǒng)安全第3章-1-課件

第3章訪問控制身份認(rèn)證訪問控制資源用戶訪問請(qǐng)求權(quán)限系統(tǒng)訪問控制

——授權(quán)（authorization）控制網(wǎng)絡(luò)訪問控制：邏輯隔離物理隔離第3章訪問控制身份認(rèn)證訪問控制資源用戶13.1系統(tǒng)訪問控制基本概念

——二元關(guān)系描述訪問控制矩陣授權(quán)關(guān)系表訪問控制策略自主強(qiáng)制訪問控制策略基于角色的訪問控制策略3.1系統(tǒng)訪問控制基本概念訪問控制策略23.1.1訪問控制的二元關(guān)系描述訪問控制用一個(gè)二元組（控制對(duì)象，訪問類型）來表示。其中的控制對(duì)象表示系統(tǒng)中一切需要進(jìn)行訪問控制的資源，訪問類型是指對(duì)于相應(yīng)的受控對(duì)象的訪問控制，如：讀取、修改、刪除等等。幾種常用的描述形式1.訪問控制矩陣2.授權(quán)關(guān)系表3.訪問能力表4.訪問控制列表3.1.1訪問控制的二元關(guān)系描述訪問控制用一個(gè)二元組（控制31.訪問控制矩陣訪問控制矩陣也稱訪問許可矩陣，它用行表示客體，列表示主體，在行和列的交叉點(diǎn)上設(shè)定訪問權(quán)限。表3.1一個(gè)訪問控制矩陣的例子。表中，一個(gè)文件的Own權(quán)限的含義是可以授予（Authorize）或者撤銷（Revoke）其他用戶對(duì)該文件的訪問控制權(quán)限。例如，張三對(duì)File1具有Own權(quán)限，所以張三可以授予或撤銷李四和王五對(duì)File1的讀（R）寫（W）權(quán)限。主體（subjects）客體（objects）File1File2File3File4張三Own,R,WOwn,R,W李四ROwn,R,WWR王五R,WROwn,R,W1.訪問控制矩陣訪問控制矩陣也稱訪問許可矩陣，它用行表示客42.授權(quán)關(guān)系表授權(quán)關(guān)系表（AuthorizationRelations）描述了主體和客體之間各種授權(quán)關(guān)系的組合。主體訪問權(quán)限客體張三OwnFile1張三RFile1張三WFile1張三OwnFile3張三RFile3張三WFile3李四RFile1李四OwnFile2李四RFile2李四WFile2李四WFile3李四RFile4王五RFile1王五WFile1王五RFile2王五OwnFile4王五RFile4王五WFile42.授權(quán)關(guān)系表授權(quán)關(guān)系表（AuthorizationRe5能力（Capability）也稱權(quán)能，是受一定機(jī)制保護(hù)的客體標(biāo)志，標(biāo)記了某一主體對(duì)客體的訪問權(quán)限：某一主體對(duì)某一客體有無訪問能力，表示了該主體能不能訪問那個(gè)客體；而具有什么樣的能力，表示能對(duì)那個(gè)客體進(jìn)行一些什么樣的訪問。它也是一種基于行的自主訪問控制策略。張三File1OwnRWFile3OwnRW李四File1RFile2OwnRWFile3WFile4R王五File1RWFile3RFile4OwnRW3.訪問能力表能力（Capability）也稱權(quán)能，是受一定機(jī)制保護(hù)的客體6訪問控制列表（AccessControlList，ACL）與訪問能力表正好相反，是從客體出發(fā)描述控制信息，可以用來對(duì)某一資源指定任意一個(gè)用戶的訪問權(quán)限。File1張三OwnRW李四RFile2李四OwnRW王五RFile3張三OwnRW李四W王五RWFile4李四R王五OwnRW4.訪問控制列表訪問控制列表（AccessControlList，ACL73.1.2（1）自主訪問控制基本思想是：資源的所有者可以對(duì)資源的訪問進(jìn)行控制，任意規(guī)定誰(shuí)可以訪問其資源，自主地直接或間接地將權(quán)限傳給（分發(fā)給）主體。優(yōu)點(diǎn)：應(yīng)用靈活與可擴(kuò)展性，經(jīng)常被用于商業(yè)系統(tǒng)。缺點(diǎn)：權(quán)限傳遞很容易造成漏洞，安全級(jí)別比較低，不太適合網(wǎng)絡(luò)環(huán)境，主要用于單個(gè)主機(jī)上。3.1.2（1）自主訪問控制基本思想是：資源的所有者可以對(duì)83.1.2（2）強(qiáng)制訪問控制基本思想：不允許單個(gè)用戶確定訪問權(quán)限，只有系統(tǒng)管理員才可以確定用戶或用戶組的訪問權(quán)限。MAC主要用于多層次安全級(jí)別的系統(tǒng)（如軍事系統(tǒng)）中。（1）下讀（ReadDown）（2）上讀（ReadUp）（3）下寫（WriteDown）（2）上寫（WriteUp）3.1.2（2）強(qiáng)制訪問控制基本思想：不允許單個(gè)用戶確定訪93.1.3基于角色的訪問控制策略基于角色的訪問控制（Role-BaseAccessControl，RBAC）比針對(duì)個(gè)體的授權(quán)管理，在可操作性和可管理性方面都要強(qiáng)得多。3.1.3基于角色的訪問控制策略基于角色的訪問控制（Rol103.2網(wǎng)絡(luò)的邏輯隔離（1）數(shù)據(jù)包過濾技術(shù)；（2）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)；（3）代理技術(shù).3.2網(wǎng)絡(luò)的邏輯隔離（1）數(shù)據(jù)包過濾技術(shù)；113.2.1數(shù)據(jù)包過濾地址過濾技術(shù)服務(wù)過濾技術(shù)狀態(tài)檢測(cè)過濾技術(shù)內(nèi)容過濾技術(shù)3.2.1數(shù)據(jù)包過濾地址過濾技術(shù)12數(shù)據(jù)包及其結(jié)構(gòu)（1）源地址（SourceAddress）和目的地址（DestinationAddress）（2）標(biāo)識(shí)符（3）標(biāo)志F（Flag)（4）片偏移量FO（FragmentOffset)（5）源端口（SourcePort）和目的端口（DestinationPort)（6）協(xié)議Prot（Protocol）。高層協(xié)議號(hào)由TCP/IP協(xié)議中央權(quán)威機(jī)構(gòu)NIC（NetworkInformationCenter）分配，如:1——控制報(bào)文協(xié)議ICMP，6——傳輸控制協(xié)議TCP，8——外部網(wǎng)關(guān)協(xié)議EGP，17——用戶數(shù)據(jù)抱協(xié)議UDP，29——傳輸層協(xié)議第4類ISO-TP4。（7）服務(wù)類型ToS（TypeofService）（8）數(shù)據(jù)包內(nèi)容。數(shù)據(jù)包及其結(jié)構(gòu)（1）源地址（SourceAddress）和13數(shù)據(jù)包過濾規(guī)則與策略（1）默認(rèn)接受：一切未被禁止的，就是允許的。即除明確指定禁止的數(shù)據(jù)包，其他都是允許通過的。這也稱為“黑名單”策略。（2）默認(rèn)拒絕：一切未被允許的，就是禁止的。即除明確指定通過的數(shù)據(jù)包，其他都是被禁止的。這也稱為“白名單”策略。數(shù)據(jù)包過濾規(guī)則與策略（1）默認(rèn)接受：一切未被禁止的，就是允許143.地址過濾技術(shù)地址過濾規(guī)則的配置鑰考慮的因素（1）IP源地址欺騙攻擊。（2）源路由攻擊。（3）小分段攻擊。3.地址過濾技術(shù)地址過濾規(guī)則的配置鑰考慮的因素15地址過濾規(guī)則配置舉例

例3.4某公司有一B類網(wǎng)（123.45）。該網(wǎng)的子網(wǎng)（/24）有一合作網(wǎng)絡(luò)（135.79）。管理員希望：·禁止一切來自Internet的對(duì)公司內(nèi)網(wǎng)的訪問；·允許來自合作網(wǎng)絡(luò)的所有子網(wǎng)（/16）訪問公司的子網(wǎng)（/24）；·禁止對(duì)合作網(wǎng)絡(luò)的子網(wǎng)（/24）的訪問權(quán)（對(duì)全網(wǎng)開放的特定子網(wǎng)除外）。規(guī)則源地址目的地址過濾操作A/16/24允許B/24/16拒絕C/0/0拒絕數(shù)據(jù)包源地址目的地址目標(biāo)行為操作AC行為操作1拒絕拒絕(C)2允許允許(A)3允許允許(A)4拒絕拒絕(C)地址過濾規(guī)則配置舉例例3.4某公司有一B類網(wǎng)（164.服務(wù)過濾技術(shù)按服務(wù)進(jìn)行過濾，就是根據(jù)TCP/UDP的端口號(hào)制定過濾規(guī)則。規(guī)則方向類型源地址目的地址目的端口行為操作A入TCP外內(nèi)25允許B出TCP內(nèi)外>=1024允許C出TCP內(nèi)外25允許D入TCP外內(nèi)>=1024允許E出/入任何任何任何任何禁止由于未考慮到數(shù)據(jù)包的源端口，出現(xiàn)了兩端所有端口號(hào)大于1024的端口上的非預(yù)期的作用?？紤]到數(shù)據(jù)包的源端口，所有規(guī)則限定在25號(hào)端口上，故不可能出現(xiàn)兩端端口號(hào)均在1024以上的端口上連接的交互。規(guī)則方向類型源地址目的地址源端口目的端口行為操作A入TCP外內(nèi)>=102425允許B出TCP內(nèi)外25>=1024允許C出TCP內(nèi)外>=102425允許D入TCP外內(nèi)25>=1024允許E出/入任何任何任何任何任何禁止4.服務(wù)過濾技術(shù)按服務(wù)進(jìn)行過濾，就是根據(jù)TCP/UDP的端175.狀態(tài)檢測(cè)過濾技術(shù)CLOSEDLISTENESTABLISHEDCLOSINGTIME_WAITFIN_WAIT_1CLOSE_WAITLAST_ACKSYN_SENTSYN_RCVDFIN_WAIT_2關(guān)閉主動(dòng)打開發(fā)送SYN關(guān)閉/超時(shí)/復(fù)位deleteTCBSENDsendSYNrcvSYNsendSYN,ACKrcvSYN/sendACK同時(shí)打開rcvSYN,ACKsendACKrcvACKofSYNxCLOSEsendFINCLOSEsendFINrcvFINsendACKCLOSEsendFINrcvFINsendACKrcvACKofFINxrcvFINsendACKrcvACKofFINxrcvACKofFINxTimeout=2MSLdeleteTCBrcvFINsendACK主動(dòng)關(guān)閉被動(dòng)關(guān)閉被動(dòng)打開同時(shí)關(guān)閉數(shù)據(jù)傳輸階段被動(dòng)打開rcvACKofFINxCLOSEtdeleteTCBconnectcreateTCB(listen)createTCB客戶進(jìn)程正常狀態(tài)轉(zhuǎn)換服務(wù)器進(jìn)程正常狀態(tài)轉(zhuǎn)換非正常狀態(tài)轉(zhuǎn)換上段：轉(zhuǎn)換條件下段：轉(zhuǎn)換操作5.狀態(tài)檢測(cè)過濾技術(shù)CLOSEDLISTENESTABLI18TCP連接狀態(tài)有如下特征：TCP連接是有狀態(tài)的，連接進(jìn)入不同的階段具有不同的狀態(tài)；TCP連接狀態(tài)的轉(zhuǎn)換要按一定的順序進(jìn)行，不可隨意改變；在TCP連接中客戶機(jī)與服務(wù)器的狀態(tài)不相同，如客戶機(jī)不能進(jìn)入LISTEN狀態(tài)，服務(wù)器不可能進(jìn)入SYN_SEND狀態(tài)；TCP包中有6個(gè)標(biāo)志位：FIN、SYS、RST、PSH、ACK、URG，其中一些不能同時(shí)存在，如SYS不能和FIN、RST、PSH同時(shí)存在。TCP連接狀態(tài)有如下特征：196.內(nèi)容過濾技術(shù)（1）違禁內(nèi)容的傳播禁止違禁內(nèi)容的傳播的技術(shù)措施有下列兩種：·對(duì)違禁內(nèi)容進(jìn)行內(nèi)容過濾，如基于關(guān)鍵詞的內(nèi)容過濾，基于語(yǔ)意的內(nèi)容過濾。前者在技術(shù)上很成熟，準(zhǔn)確度很高，漏報(bào)率低，但誤報(bào)率高。·對(duì)違禁內(nèi)容的來源進(jìn)行訪問控制，這種方式對(duì)已經(jīng)知道惡意傳播的對(duì)象非常有效。（2）基于內(nèi)容的破壞。內(nèi)容破壞的典型是帶有病毒的文件，是被篡改了的正常文件上帶有病毒特征代碼。（3）基于內(nèi)容的攻擊?；趦?nèi)容的攻擊，以內(nèi)容為載體容，以應(yīng)用程序?yàn)楣魧?duì)象，目標(biāo)是取得對(duì)應(yīng)用主機(jī)的控制權(quán)。例如，在web上表格填寫數(shù)據(jù)時(shí)，填寫惡意格式，導(dǎo)致CGI程序執(zhí)行錯(cuò)誤，引發(fā)應(yīng)用程序出錯(cuò)。6.內(nèi)容過濾技術(shù)（1）違禁內(nèi)容的傳播203.2.2網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddressTranslation，NAT)就是使用使用兩套IP地址——內(nèi)部IP地址（也稱私有IP地址）和外部IP地址（也稱公共IP地址）。當(dāng)受保護(hù)的內(nèi)部網(wǎng)連接到Internet并且有用戶要訪問Internet時(shí)，它首先使用自己網(wǎng)絡(luò)的內(nèi)部IP地址，到了NAT后，NAT就會(huì)從公共IP地址集中選一個(gè)未分配的地址分配給該用戶，該用戶即可使用這個(gè)合法的IP地址進(jìn)行通信。3.2.2網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAdd211.NAT的工作過程N(yùn)AT源地址目的地址源地址目的地址源地址目的地址123.456.111.3源地址123.456.111.3目的地址Internet被保護(hù)內(nèi)部網(wǎng)源IP包目的IP包1.NAT的工作過程源地址目的地址23222.NAT的類型（1）靜態(tài)NAT（2）動(dòng)態(tài)地址NAT（3）網(wǎng)絡(luò)地址端口轉(zhuǎn)換（networkaddressporttranslation，NAPT）2.NAT的類型（1）靜態(tài)NAT23NAT的優(yōu)點(diǎn)和缺點(diǎn)NAT的優(yōu)點(diǎn):

(1)對(duì)于那些家庭用戶或者小型的商業(yè)機(jī)構(gòu)來說，使用NAT可以更便宜，更有效率地接入Internet。

(2)使用NAT可以緩解目前全球IP地址不足的問題。

(3)在很多情況下，NAT能夠滿足安全性的需要。

(4)使用NAT可以方便網(wǎng)絡(luò)的管理，并大大提高了網(wǎng)絡(luò)的適應(yīng)性。

NAT的缺點(diǎn):

(1)NAT會(huì)增加延遲,因?yàn)橐D(zhuǎn)換每個(gè)數(shù)據(jù)包包頭的IP地址,自然要增加延遲.

(2)NAT會(huì)使某些要使用內(nèi)嵌地址的應(yīng)用不能正常工作.

NAT的優(yōu)點(diǎn)和缺點(diǎn)NAT的優(yōu)點(diǎn):

(1)對(duì)于那些家庭用243.2.3代理技術(shù)應(yīng)用于網(wǎng)絡(luò)安全的代理（Proxy）技術(shù)，來自代理服務(wù)器（ProxyServer）技術(shù)。在客戶/服務(wù)器工作模式中，代理服務(wù)器位于客戶與Internet上的服務(wù)器之間。請(qǐng)求由客戶端向服務(wù)器發(fā)起，但是這個(gè)請(qǐng)求要首先被送到代理服務(wù)器；代理服務(wù)器分析請(qǐng)求，確定其是合法的以后，首先查看自己的緩存中有無要請(qǐng)求的數(shù)據(jù)，有就直接傳送給客戶端，否則再以代理服務(wù)器作為客戶端向遠(yuǎn)程的服務(wù)器發(fā)出請(qǐng)求；遠(yuǎn)程服務(wù)器的響應(yīng)也要由代理服務(wù)器轉(zhuǎn)交給客戶端，同時(shí)代理服務(wù)器還將響應(yīng)數(shù)據(jù)在自己的緩存中保留一份拷貝，以被客戶端下次請(qǐng)求時(shí)使用。3.2.3代理技術(shù)應(yīng)用于網(wǎng)絡(luò)安全的代理（Proxy）技術(shù)，251.應(yīng)用級(jí)代理FTP代理TELNET代理HTTP代理POP代理SMTP代理DNS代理outininoutinoutoutininoutinout…外部客戶內(nèi)部服務(wù)器客戶—代理連接代理—服務(wù)器連接外部?jī)?nèi)部1.應(yīng)用級(jí)代理outininoutinoutoutinin26應(yīng)用級(jí)代理的基本工作過程內(nèi)部接口外部接口客戶公共服務(wù)時(shí)間請(qǐng)求頁(yè)URL檢查請(qǐng)求頁(yè)返回頁(yè)返回頁(yè)內(nèi)容過濾應(yīng)用級(jí)代理的基本工作過程內(nèi)部外部客戶公共服務(wù)時(shí)請(qǐng)求頁(yè)URL27應(yīng)用級(jí)代理的功能（1）阻斷路由與URL（2）隱藏客戶（3）安全監(jiān)控應(yīng)用級(jí)代理的功能（1）阻斷路由與URL282.電路級(jí)代理傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路/物理層電路級(jí)網(wǎng)關(guān)TCP端口TCP端口2.電路級(jí)代理網(wǎng)絡(luò)層數(shù)據(jù)鏈路/物理層電路級(jí)網(wǎng)關(guān)TCP端口T29SOCKS協(xié)議（套接字協(xié)議）SOCKS協(xié)議（套接字協(xié)議）是一個(gè)電路級(jí)網(wǎng)關(guān)協(xié)議，主要由兩部分組成：（1）SOCKS客戶程序：經(jīng)過修改的Internet客戶程序，改造的目的是使運(yùn)行客戶程序的主機(jī)從與Internet通信改為與運(yùn)行SOCKS代理的主機(jī)通信。（2）SOCKS服務(wù)程序：既可以Internet通信又可以和內(nèi)部網(wǎng)絡(luò)通信的程序。SOCKS代理的工作過程如下：1當(dāng)一個(gè)經(jīng)過SOCKS化的客戶程序要連接到Internet時(shí)，SOCKS就會(huì)截獲這個(gè)這個(gè)連接，將之連接到運(yùn)行SOCKS服務(wù)器的主機(jī)上。2連接建立后，SOCKS客戶程序發(fā)送如下信息：·版本號(hào)·連接請(qǐng)求命令·客戶端端口號(hào)·發(fā)起連接的用戶名3經(jīng)過確認(rèn)后，SOCKS服務(wù)器才與外部的服務(wù)器建立連接。SOCKS協(xié)議（套接字協(xié)議）SOCKS協(xié)議（套接字協(xié)議）是303.3網(wǎng)絡(luò)的物理隔離（1）在物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)不能通過網(wǎng)絡(luò)連接而侵入內(nèi)部網(wǎng)；同時(shí)防止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄漏到外部網(wǎng)。（2）在物理輻射上隔斷內(nèi)部網(wǎng)與外部網(wǎng)，確保內(nèi)部網(wǎng)信息不會(huì)通過電磁輻射或耦合方式泄漏到外部網(wǎng)。（3）在物理存儲(chǔ)上隔斷兩個(gè)網(wǎng)絡(luò)環(huán)境，對(duì)于斷電后會(huì)逸失信息的部件，如內(nèi)存、處理器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時(shí)作清除處理，防止殘留信息串網(wǎng)；對(duì)于斷電非逸失性設(shè)備如磁帶機(jī)、硬盤等存儲(chǔ)設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)信息要分開存儲(chǔ)。公網(wǎng)內(nèi)部網(wǎng)外網(wǎng)邏輯隔離物理隔離公網(wǎng)3.3網(wǎng)絡(luò)的物理隔離（1）在物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確313.3.2網(wǎng)絡(luò)物理隔離技術(shù)1.網(wǎng)絡(luò)安全隔離卡內(nèi)部網(wǎng)絡(luò)連接外部網(wǎng)絡(luò)安全區(qū)公共區(qū)SP網(wǎng)絡(luò)安全隔離卡·在安全狀態(tài)時(shí)，主機(jī)只能使用硬盤的安全區(qū)與內(nèi)部網(wǎng)連接，此時(shí)外部網(wǎng)是斷開的，硬盤的公共區(qū)也是封閉的；·在公共狀態(tài)時(shí)，主機(jī)只能使用硬盤的公共區(qū)與外網(wǎng)連接，此時(shí)與內(nèi)網(wǎng)是斷開的，且硬盤的安全區(qū)是封閉的。3.3.2網(wǎng)絡(luò)物理隔離技術(shù)1.網(wǎng)絡(luò)安全隔離卡內(nèi)部網(wǎng)絡(luò)連接322.網(wǎng)絡(luò)安全隔離集線器內(nèi)網(wǎng)HUB外網(wǎng)HUB隔離集線器網(wǎng)絡(luò)安全隔離卡安全區(qū)公共區(qū)控制信號(hào)2.網(wǎng)絡(luò)安全隔離集線器內(nèi)網(wǎng)HUB外網(wǎng)HUB隔離集線器網(wǎng)絡(luò)安333.網(wǎng)閘控制開關(guān)存儲(chǔ)介質(zhì)外網(wǎng)服務(wù)器內(nèi)網(wǎng)服務(wù)器內(nèi)網(wǎng)專網(wǎng)3.網(wǎng)閘控制開關(guān)存儲(chǔ)介質(zhì)外網(wǎng)服務(wù)器內(nèi)網(wǎng)服務(wù)器內(nèi)網(wǎng)專網(wǎng)34第3章訪問控制身份認(rèn)證訪問控制資源用戶訪問請(qǐng)求權(quán)限系統(tǒng)訪問控制

——授權(quán)（authorization）控制網(wǎng)絡(luò)訪問控制：邏輯隔離物理隔離第3章訪問控制身份認(rèn)證訪問控制資源用戶353.1系統(tǒng)訪問控制基本概念

——二元關(guān)系描述訪問控制矩陣授權(quán)關(guān)系表訪問控制策略自主強(qiáng)制訪問控制策略基于角色的訪問控制策略3.1系統(tǒng)訪問控制基本概念訪問控制策略363.1.1訪問控制的二元關(guān)系描述訪問控制用一個(gè)二元組（控制對(duì)象，訪問類型）來表示。其中的控制對(duì)象表示系統(tǒng)中一切需要進(jìn)行訪問控制的資源，訪問類型是指對(duì)于相應(yīng)的受控對(duì)象的訪問控制，如：讀取、修改、刪除等等。幾種常用的描述形式1.訪問控制矩陣2.授權(quán)關(guān)系表3.訪問能力表4.訪問控制列表3.1.1訪問控制的二元關(guān)系描述訪問控制用一個(gè)二元組（控制371.訪問控制矩陣訪問控制矩陣也稱訪問許可矩陣，它用行表示客體，列表示主體，在行和列的交叉點(diǎn)上設(shè)定訪問權(quán)限。表3.1一個(gè)訪問控制矩陣的例子。表中，一個(gè)文件的Own權(quán)限的含義是可以授予（Authorize）或者撤銷（Revoke）其他用戶對(duì)該文件的訪問控制權(quán)限。例如，張三對(duì)File1具有Own權(quán)限，所以張三可以授予或撤銷李四和王五對(duì)File1的讀（R）寫（W）權(quán)限。主體（subjects）客體（objects）File1File2File3File4張三Own,R,WOwn,R,W李四ROwn,R,WWR王五R,WROwn,R,W1.訪問控制矩陣訪問控制矩陣也稱訪問許可矩陣，它用行表示客382.授權(quán)關(guān)系表授權(quán)關(guān)系表（AuthorizationRelations）描述了主體和客體之間各種授權(quán)關(guān)系的組合。主體訪問權(quán)限客體張三OwnFile1張三RFile1張三WFile1張三OwnFile3張三RFile3張三WFile3李四RFile1李四OwnFile2李四RFile2李四WFile2李四WFile3李四RFile4王五RFile1王五WFile1王五RFile2王五OwnFile4王五RFile4王五WFile42.授權(quán)關(guān)系表授權(quán)關(guān)系表（AuthorizationRe39能力（Capability）也稱權(quán)能，是受一定機(jī)制保護(hù)的客體標(biāo)志，標(biāo)記了某一主體對(duì)客體的訪問權(quán)限：某一主體對(duì)某一客體有無訪問能力，表示了該主體能不能訪問那個(gè)客體；而具有什么樣的能力，表示能對(duì)那個(gè)客體進(jìn)行一些什么樣的訪問。它也是一種基于行的自主訪問控制策略。張三File1OwnRWFile3OwnRW李四File1RFile2OwnRWFile3WFile4R王五File1RWFile3RFile4OwnRW3.訪問能力表能力（Capability）也稱權(quán)能，是受一定機(jī)制保護(hù)的客體40訪問控制列表（AccessControlList，ACL）與訪問能力表正好相反，是從客體出發(fā)描述控制信息，可以用來對(duì)某一資源指定任意一個(gè)用戶的訪問權(quán)限。File1張三OwnRW李四RFile2李四OwnRW王五RFile3張三OwnRW李四W王五RWFile4李四R王五OwnRW4.訪問控制列表訪問控制列表（AccessControlList，ACL413.1.2（1）自主訪問控制基本思想是：資源的所有者可以對(duì)資源的訪問進(jìn)行控制，任意規(guī)定誰(shuí)可以訪問其資源，自主地直接或間接地將權(quán)限傳給（分發(fā)給）主體。優(yōu)點(diǎn)：應(yīng)用靈活與可擴(kuò)展性，經(jīng)常被用于商業(yè)系統(tǒng)。缺點(diǎn)：權(quán)限傳遞很容易造成漏洞，安全級(jí)別比較低，不太適合網(wǎng)絡(luò)環(huán)境，主要用于單個(gè)主機(jī)上。3.1.2（1）自主訪問控制基本思想是：資源的所有者可以對(duì)423.1.2（2）強(qiáng)制訪問控制基本思想：不允許單個(gè)用戶確定訪問權(quán)限，只有系統(tǒng)管理員才可以確定用戶或用戶組的訪問權(quán)限。MAC主要用于多層次安全級(jí)別的系統(tǒng)（如軍事系統(tǒng)）中。（1）下讀（ReadDown）（2）上讀（ReadUp）（3）下寫（WriteDown）（2）上寫（WriteUp）3.1.2（2）強(qiáng)制訪問控制基本思想：不允許單個(gè)用戶確定訪433.1.3基于角色的訪問控制策略基于角色的訪問控制（Role-BaseAccessControl，RBAC）比針對(duì)個(gè)體的授權(quán)管理，在可操作性和可管理性方面都要強(qiáng)得多。3.1.3基于角色的訪問控制策略基于角色的訪問控制（Rol443.2網(wǎng)絡(luò)的邏輯隔離（1）數(shù)據(jù)包過濾技術(shù)；（2）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)；（3）代理技術(shù).3.2網(wǎng)絡(luò)的邏輯隔離（1）數(shù)據(jù)包過濾技術(shù)；453.2.1數(shù)據(jù)包過濾地址過濾技術(shù)服務(wù)過濾技術(shù)狀態(tài)檢測(cè)過濾技術(shù)內(nèi)容過濾技術(shù)3.2.1數(shù)據(jù)包過濾地址過濾技術(shù)46數(shù)據(jù)包及其結(jié)構(gòu)（1）源地址（SourceAddress）和目的地址（DestinationAddress）（2）標(biāo)識(shí)符（3）標(biāo)志F（Flag)（4）片偏移量FO（FragmentOffset)（5）源端口（SourcePort）和目的端口（DestinationPort)（6）協(xié)議Prot（Protocol）。高層協(xié)議號(hào)由TCP/IP協(xié)議中央權(quán)威機(jī)構(gòu)NIC（NetworkInformationCenter）分配，如:1——控制報(bào)文協(xié)議ICMP，6——傳輸控制協(xié)議TCP，8——外部網(wǎng)關(guān)協(xié)議EGP，17——用戶數(shù)據(jù)抱協(xié)議UDP，29——傳輸層協(xié)議第4類ISO-TP4。（7）服務(wù)類型ToS（TypeofService）（8）數(shù)據(jù)包內(nèi)容。數(shù)據(jù)包及其結(jié)構(gòu)（1）源地址（SourceAddress）和47數(shù)據(jù)包過濾規(guī)則與策略（1）默認(rèn)接受：一切未被禁止的，就是允許的。即除明確指定禁止的數(shù)據(jù)包，其他都是允許通過的。這也稱為“黑名單”策略。（2）默認(rèn)拒絕：一切未被允許的，就是禁止的。即除明確指定通過的數(shù)據(jù)包，其他都是被禁止的。這也稱為“白名單”策略。數(shù)據(jù)包過濾規(guī)則與策略（1）默認(rèn)接受：一切未被禁止的，就是允許483.地址過濾技術(shù)地址過濾規(guī)則的配置鑰考慮的因素（1）IP源地址欺騙攻擊。（2）源路由攻擊。（3）小分段攻擊。3.地址過濾技術(shù)地址過濾規(guī)則的配置鑰考慮的因素49地址過濾規(guī)則配置舉例

例3.4某公司有一B類網(wǎng)（123.45）。該網(wǎng)的子網(wǎng)（/24）有一合作網(wǎng)絡(luò)（135.79）。管理員希望：·禁止一切來自Internet的對(duì)公司內(nèi)網(wǎng)的訪問；·允許來自合作網(wǎng)絡(luò)的所有子網(wǎng)（/16）訪問公司的子網(wǎng)（/24）；·禁止對(duì)合作網(wǎng)絡(luò)的子網(wǎng)（/24）的訪問權(quán)（對(duì)全網(wǎng)開放的特定子網(wǎng)除外）。規(guī)則源地址目的地址過濾操作A/16/24允許B/24/16拒絕C/0/0拒絕數(shù)據(jù)包源地址目的地址目標(biāo)行為操作AC行為操作1拒絕拒絕(C)2允許允許(A)3允許允許(A)4拒絕拒絕(C)地址過濾規(guī)則配置舉例例3.4某公司有一B類網(wǎng)（504.服務(wù)過濾技術(shù)按服務(wù)進(jìn)行過濾，就是根據(jù)TCP/UDP的端口號(hào)制定過濾規(guī)則。規(guī)則方向類型源地址目的地址目的端口行為操作A入TCP外內(nèi)25允許B出TCP內(nèi)外>=1024允許C出TCP內(nèi)外25允許D入TCP外內(nèi)>=1024允許E出/入任何任何任何任何禁止由于未考慮到數(shù)據(jù)包的源端口，出現(xiàn)了兩端所有端口號(hào)大于1024的端口上的非預(yù)期的作用?？紤]到數(shù)據(jù)包的源端口，所有規(guī)則限定在25號(hào)端口上，故不可能出現(xiàn)兩端端口號(hào)均在1024以上的端口上連接的交互。規(guī)則方向類型源地址目的地址源端口目的端口行為操作A入TCP外內(nèi)>=102425允許B出TCP內(nèi)外25>=1024允許C出TCP內(nèi)外>=102425允許D入TCP外內(nèi)25>=1024允許E出/入任何任何任何任何任何禁止4.服務(wù)過濾技術(shù)按服務(wù)進(jìn)行過濾，就是根據(jù)TCP/UDP的端515.狀態(tài)檢測(cè)過濾技術(shù)CLOSEDLISTENESTABLISHEDCLOSINGTIME_WAITFIN_WAIT_1CLOSE_WAITLAST_ACKSYN_SENTSYN_RCVDFIN_WAIT_2關(guān)閉主動(dòng)打開發(fā)送SYN關(guān)閉/超時(shí)/復(fù)位deleteTCBSENDsendSYNrcvSYNsendSYN,ACKrcvSYN/sendACK同時(shí)打開rcvSYN,ACKsendACKrcvACKofSYNxCLOSEsendFINCLOSEsendFINrcvFINsendACKCLOSEsendFINrcvFINsendACKrcvACKofFINxrcvFINsendACKrcvACKofFINxrcvACKofFINxTimeout=2MSLdeleteTCBrcvFINsendACK主動(dòng)關(guān)閉被動(dòng)關(guān)閉被動(dòng)打開同時(shí)關(guān)閉數(shù)據(jù)傳輸階段被動(dòng)打開rcvACKofFINxCLOSEtdeleteTCBconnectcreateTCB(listen)createTCB客戶進(jìn)程正常狀態(tài)轉(zhuǎn)換服務(wù)器進(jìn)程正常狀態(tài)轉(zhuǎn)換非正常狀態(tài)轉(zhuǎn)換上段：轉(zhuǎn)換條件下段：轉(zhuǎn)換操作5.狀態(tài)檢測(cè)過濾技術(shù)CLOSEDLISTENESTABLI52TCP連接狀態(tài)有如下特征：TCP連接是有狀態(tài)的，連接進(jìn)入不同的階段具有不同的狀態(tài)；TCP連接狀態(tài)的轉(zhuǎn)換要按一定的順序進(jìn)行，不可隨意改變；在TCP連接中客戶機(jī)與服務(wù)器的狀態(tài)不相同，如客戶機(jī)不能進(jìn)入LISTEN狀態(tài)，服務(wù)器不可能進(jìn)入SYN_SEND狀態(tài)；TCP包中有6個(gè)標(biāo)志位：FIN、SYS、RST、PSH、ACK、URG，其中一些不能同時(shí)存在，如SYS不能和FIN、RST、PSH同時(shí)存在。TCP連接狀態(tài)有如下特征：536.內(nèi)容過濾技術(shù)（1）違禁內(nèi)容的傳播禁止違禁內(nèi)容的傳播的技術(shù)措施有下列兩種：·對(duì)違禁內(nèi)容進(jìn)行內(nèi)容過濾，如基于關(guān)鍵詞的內(nèi)容過濾，基于語(yǔ)意的內(nèi)容過濾。前者在技術(shù)上很成熟，準(zhǔn)確度很高，漏報(bào)率低，但誤報(bào)率高。·對(duì)違禁內(nèi)容的來源進(jìn)行訪問控制，這種方式對(duì)已經(jīng)知道惡意傳播的對(duì)象非常有效。（2）基于內(nèi)容的破壞。內(nèi)容破壞的典型是帶有病毒的文件，是被篡改了的正常文件上帶有病毒特征代碼。（3）基于內(nèi)容的攻擊?；趦?nèi)容的攻擊，以內(nèi)容為載體容，以應(yīng)用程序?yàn)楣魧?duì)象，目標(biāo)是取得對(duì)應(yīng)用主機(jī)的控制權(quán)。例如，在web上表格填寫數(shù)據(jù)時(shí)，填寫惡意格式，導(dǎo)致CGI程序執(zhí)行錯(cuò)誤，引發(fā)應(yīng)用程序出錯(cuò)。6.內(nèi)容過濾技術(shù)（1）違禁內(nèi)容的傳播543.2.2網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddressTranslation，NAT)就是使用使用兩套IP地址——內(nèi)部IP地址（也稱私有IP地址）和外部IP地址（也稱公共IP地址）。當(dāng)受保護(hù)的內(nèi)部網(wǎng)連接到Internet并且有用戶要訪問Internet時(shí)，它首先使用自己網(wǎng)絡(luò)的內(nèi)部IP地址，到了NAT后，NAT就會(huì)從公共IP地址集中選一個(gè)未分配的地址分配給該用戶，該用戶即可使用這個(gè)合法的IP地址進(jìn)行通信。3.2.2網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAdd551.NAT的工作過程N(yùn)AT源地址目的地址源地址目的地址源地址目的地址123.456.111.3源地址123.456.111.3目的地址Internet被保護(hù)內(nèi)部網(wǎng)源IP包目的IP包1.NAT的工作過程源地址目的地址23562.NAT的類型（1）靜態(tài)NAT（2）動(dòng)態(tài)地址NAT（3）網(wǎng)絡(luò)地址端口轉(zhuǎn)換（networkaddressporttranslation，NAPT）2.NAT的類型（1）靜態(tài)NAT57NAT的優(yōu)點(diǎn)和缺點(diǎn)NAT的優(yōu)點(diǎn):

(1)對(duì)于那些家庭用戶或者小型的商業(yè)機(jī)構(gòu)來說，使用NAT可以更便宜，更有效率地接入Internet。

(2)使用NAT可以緩解目前全球IP地址不足的問題。

(3)在很多情況下，NAT能夠滿足安全性的需要。

(4)使用NAT可以方便網(wǎng)絡(luò)的管理，并大大提高了網(wǎng)絡(luò)的適應(yīng)性。

NAT的缺點(diǎn):

(1)NAT會(huì)增加延遲,因?yàn)橐D(zhuǎn)換每個(gè)數(shù)據(jù)包包頭的IP地址,自然要增加延遲.

(2)NAT會(huì)使某些要使用內(nèi)嵌地址的應(yīng)用不能正常工作.

NAT的優(yōu)點(diǎn)和缺點(diǎn)NAT的優(yōu)點(diǎn):

(1)對(duì)于那些家庭用583.2.3代理技術(shù)應(yīng)用于網(wǎng)絡(luò)安全的代理（Proxy）技術(shù)，來自代理服務(wù)器（ProxyServer）技術(shù)。在客戶/服務(wù)器工作模式中，代理服務(wù)器位于客戶與Internet上的服務(wù)器之間。請(qǐng)求由客戶端向服務(wù)器發(fā)起，但是這個(gè)請(qǐng)求要首先被送到代理服務(wù)器；代理服務(wù)器分析請(qǐng)求，確定其是合法的以后，首先查看自己的緩存中有無要請(qǐng)求的數(shù)據(jù)，有就直接傳送給客戶端，否則再以代理服務(wù)器作為客戶端向遠(yuǎn)程的服務(wù)器發(fā)出請(qǐng)求；遠(yuǎn)程服務(wù)器的響應(yīng)也要由代理服務(wù)器轉(zhuǎn)交給客戶端，同時(shí)代理服務(wù)器還將響應(yīng)數(shù)據(jù)在自己的緩存中保留一份拷貝，以被客戶端