第四章-訪問控制技術與防火墻課件

訪問控制與審計監(jiān)控

謝麗萍提綱一、訪問控制1.訪問控制目標、任務、措施2.基本概念3.訪問控制的實施4.訪問控制內容5.安全策略的實施原則6.訪問控制模型6.1自主訪問控制模型（）訪問控制的實現(xiàn)機制：訪問控制表、訪問控制矩陣、訪問控制能力列表、訪問控制安全標簽列表6.2強制訪問控制模型（）模型、模型6.3基于角色的訪問控制模型（）二、安全審計1定義、目標2審計跟蹤概述3安全審計的類型4審計內容5安全審計系統(tǒng)的基本結構6日志審計三、防火墻技術防火墻定義、分類、體系結構、技術等訪問控制目標國際標準化組織（）在網絡安全標準中定義了5種層次型安全服務，即：身份認證服務、訪問控制服務、數據保密服務、數據完整性服務和不可否認服務，因此，訪問控制是信息安全的一個重要組成部分。資源不是無限開放的，在一定約束條件下使用。網絡及信息具有價值，難免會受到各種意外的或者蓄意的未授權的使用和破壞。這些資源必須授權才可以訪問。防止對任何資源（如計算資源、通信資源或信息資源）進行未授權的訪問。從而使計算機系統(tǒng)在合法范圍內使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。訪問控制的任務訪問控制的任務是在為用戶對系統(tǒng)資源提供最大限度共享的基礎上，對用戶的訪問權進行管理，防止對信息系統(tǒng)的非授權篡改和濫用。訪問控制對經過身份鑒別后的合法用戶提供所需要的且經過授權的服務，拒絕用戶越權的服務請求，保證用戶在系統(tǒng)安全策略下有序工作。未授權的訪問包括：未經授權的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶進入系統(tǒng)。合法用戶對系統(tǒng)資源的非法使用。訪問控制措施識別和鑒定訪問系統(tǒng)的用戶的真實身份，防止非法訪問；確定用戶對系統(tǒng)的資源的訪問類型，授權用戶訪問操作訪問控制的主要類型有物理訪問控制網絡訪問控制操作系統(tǒng)訪問控制數據庫訪問控制應用系統(tǒng)訪問控制基本概念訪問控制是指主體依據某些控制策略或權限對客體本身或是其資源進行的不同授權訪問。訪問是主體對客體實施操作的能力授權是指主體經過系統(tǒng)鑒別后，系統(tǒng)根據主體的類型分配訪問權限例如：用戶對文件的權限有讀、寫和執(zhí)行。訪問控制包括三個要素，即：主體、客體和控制策略。主體（）：是指一個提出請求或要求的實體，是動作的發(fā)起者，但不一定是動作的執(zhí)行者。主體可以對其它實體施加動作的主動實體，簡記為S。主體可以是用戶或其它任何代理用戶行為的實體（如進程、作業(yè)和程序）?；靖拍羁腕w()：是接受其他實體訪問的被動實體,簡記為O?？腕w的概念也很廣泛，凡是可以被操作的信息、資源、對象都可以認為是客體。客體可以是信息、文件、記錄等的集合體，也可以是網路上的硬件設施，無線通信中的終端，甚至一個客體可以包含另外一個客體?？刂撇呗?)：是主體對客體的操作行為集和約束條件集,簡記為。簡單講，控制策略是主體對客體的訪問規(guī)則集，這個規(guī)則集直接定義了主體對客體的作用行為和客體對主體的條件約束。訪問策略體現(xiàn)了一種授權行為，也就是客體對主體的權限允許，這種允許不超越規(guī)則集。訪問控制的實施1：鑒別主體的合法身份2：根據當前系統(tǒng)的訪問控制規(guī)則授權用戶相應的訪問權。訪問控制過程：主體客體訪問控制實施部件訪問控制決策部件提交訪問

請求請求決策決策提出訪問

請求訪問控制內容訪問控制的實現(xiàn)首先要考慮對合法用戶進行驗證，然后是對控制策略的選用與管理，最后要對非法用戶或是越權操作進行管理。所以，訪問控制包括認證、控制策略實現(xiàn)和審計3方面的內容：(1)認證：主體對客體的識別認證和客體對主體檢驗認證。是雙向認證過程。(2)控制策略的具體實現(xiàn)：體現(xiàn)在如何設定規(guī)則集合，從而確保正常用戶對信息資源的合法使用，既要防止非法用戶，也要考慮敏感資源的泄漏，對于合法用戶而言，也不能越權行使控制策略所賦予其權利以外的功能。(3)審計：審計的重要意義在于，比如客體的管理者即管理員有操作賦予權，他有可能濫用這一權利，這是無法在策略中加以約束的。必須對這些行為進行記錄，從而達到威懾和保證訪問控制正常實現(xiàn)的目的。安全策略的實施原則安全策略的制定實施也是圍繞主體、客體和安全控制規(guī)則集三者之間的關系展開的。①最小特權原則：最小特權原則是指主體執(zhí)行操作時，按照主體所需權利的最小化原則分配給主體權力。最小特權原則的優(yōu)點是最大限度地限制了主體實施授權行為，可以避免來自突發(fā)事件、錯誤和未授權用主體的危險。也就是說，為了達到一定目的，主體必須執(zhí)行一定操作，但他只能做他所被允許做的，其它除外。②最小泄漏原則：最小泄漏原則是指主體執(zhí)行任務時，按照主體所需要知道的信息最小化的原則分配給主體權力。③多級安全策略：多級安全策略是指主體和客體間的數據流向和權限控制按照安全級別的絕密級別（，）、秘密級別（，S）、機密級別（，C）、限制/受限級別（，）和公開/無級別級（，U）5級來劃分。多級安全策略的優(yōu)點是避免敏感信息的擴散。具有安全級別的信息資源，只有安全級別比他高的主體才能夠訪問。訪問控制模型分類訪問控制模型強制訪問控制模型（）自主訪問控制模型（）訪問矩陣模型訪問控制列表（）權能列表（）模型模型模型模型保密性模型完整性模型基于角色訪問控制模型（）混合策略模型根據訪問授權方式的不同，分為:自主訪問控制，強制訪問控制和基于角色的訪問控制。自主訪問控制模型（）自主訪問控制模型（，）：是根據自主訪問控制策略建立的一種模型，允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體，同時阻止非授權用戶訪問客體，某些用戶還可以自主地把自己所擁有的客體的訪問權限授予其它用戶。自主訪問控制又稱為任意訪問控制。，、或是版本的操作系統(tǒng)都提供自主訪問控制的功能。在實現(xiàn)上，首先要對用戶的身份進行鑒別，然后就可以按照訪問控制列表所賦予用戶的權限，允許和限制用戶使用客體的資源。主體控制權限的修改通常由特權用戶（管理員）或是特權用戶組實現(xiàn)。自主訪問控制模型（）任意訪問控制對用戶提供的這種靈活的數據訪問方式，使得廣泛應用在商業(yè)和工業(yè)環(huán)境中；由于用戶可以任意傳遞權限，那么，沒有訪問某一文件權限的用戶A就能夠從有訪問權限的用戶B那里得到訪問權限或是直接獲得該文件；因此，模型提供的安全防護還是相對比較低的，不能給系統(tǒng)提供充分的數據保護。自主訪問控制模型的特點是授權的實施主體（可以授權的主體、管理授權的客體、授權組）自主負責賦予和回收其他主體對客體資源的訪問權限。模型一般采用訪問控制矩陣和訪問控制列表來存放不同主體的訪問控制信息，從而達到對主體訪問權限的限制目的。訪問控制的實現(xiàn)機制建立訪問控制模型和實現(xiàn)訪問控制都是抽象和復雜的行為，實現(xiàn)訪問的控制不僅要保證授權用戶使用的權限與其所擁有的權限對應，制止非授權用戶的非授權行為；還要保證敏感信息的交叉感染。為了便于討論這一問題，以文件的訪問控制為例對訪問控制的實現(xiàn)做具體說明。通常用戶訪問信息資源（文件或是數據庫），可能的行為有讀、寫和管理。為方便起見，用或是R表示讀操作，或是W表示寫操作，或是O表示管理操作。之所以將管理操作從讀寫中分離出來，是因為管理員也許會對控制規(guī)則本身或是文件的屬性等做修改，也就是修改在下面提到的訪問控制表。訪問控制表訪問控制表（,）是以文件為中心建立的訪問權限表，簡記為。目前，大多數、服務器和主機都使用作為訪問控制的實現(xiàn)機制。訪問控制表的優(yōu)點在于實現(xiàn)簡單，任何得到授權的主體都可以有一個訪問表，例如授權用戶A1的訪問控制規(guī)則存儲在文件1中，A1的訪問規(guī)則可以由A1下面的權限表A1來確定，權限表限定了用戶1的訪問權限。圖1.訪問控制表的實現(xiàn)示例訪問控制矩陣訪問控制矩陣（,）是通過矩陣形式表示訪問控制規(guī)則和授權用戶權限的方法；也就是說，對每個主體而言，都擁有對哪些客體的哪些訪問權限；而對客體而言，又有哪些主體對他可以實施訪問；將這種關聯(lián)關系加以闡述，就形成了控制矩陣。其中，特權用戶或特權用戶組可以修改主體的訪問控制權限。訪問控制矩陣的實現(xiàn)很易于理解，但是查找和實現(xiàn)起來有一定的難度，而且，如果用戶和文件系統(tǒng)要管理的文件很多，那么控制矩陣將會成幾何級數增長，這樣對于增長的矩陣而言，會有大量的空余空間。圖2.訪問控制矩陣的表示訪問控制能力列表能力是訪問控制中的一個重要概念，它是指請求訪問的發(fā)起者所擁有的一個有效標簽（），它授權標簽表明的持有者可以按照何種訪問方式訪問特定的客體。訪問控制能力表（,）是以用戶為中心建立訪問權限表。

例如，訪問控制權限表F1表明了授權用戶A對文件1的訪問權限，表明了A對文件系統(tǒng)的訪問控制規(guī)則集。因此，的實現(xiàn)與正好相反。定義能力的重要作用在于能力的特殊性，如果賦予哪個主體具有一種能力，事實上是說明了這個主體具有了一定對應的權限。訪問控制安全標簽列表安全標簽是限制和附屬在主體或客體上的一組安全屬性信息。安全標簽的含義比能力更為廣泛和嚴格，因為它實際上還建立了一個嚴格的安全等級集合。訪問控制安全標簽列表（,）是限定一個用戶對一個客體目標訪問的安全屬性集合。左側為用戶對應的安全級別，右側為文件系統(tǒng)對應的安全級別。假設請求訪問的用戶A的安全級別為S，那么A請求訪問文件2時，由于S<，訪問會被拒絕；當A請求訪問文件N時，因為S>C，所以允許訪問。安全標簽能對敏感信息加以區(qū)分，這樣就可以對用戶和客體資源強制執(zhí)行安全策略，因此，強制訪問控制經常會用到這種實現(xiàn)機制。自主訪問控制模型（）小結：在中，客體的所有者按照自己的安全策略授予系統(tǒng)中的其他用戶對客體的訪問權。優(yōu)點：靈活性高，被大量采用。缺點：安全性最低。信息在移動過程中其訪問權限關系會被改變。如用戶A可將其對目標C的訪問權限傳遞給用戶B,從而使不具備對C訪問權限的B可訪問C。強制訪問控制模型（）強制訪問控制模型（,）最初是為了實現(xiàn)比更為嚴格的訪問控制策略，美國政府和軍方開發(fā)了各種各樣的控制模型，這些方案或模型都有比較完善的和詳盡的定義。隨后，逐漸形成強制訪問控制模型，并得到廣泛的商業(yè)關注和應用。在訪問控制中，用戶和客體資源都被賦予一定的安全屬性，用戶不能改變自身和客體的安全屬性，只有管理員才能夠確定用戶和組的訪問權限。系統(tǒng)用該安全屬性決定一個用戶是否可以訪問某個客體。的主要特點是系統(tǒng)對訪問主體和受控對象實行強制訪問控制，系統(tǒng)事先給訪問主體和受控對象分配不同的安全級別屬性，在實施訪問控制時，系統(tǒng)先對訪問主體和受控對象的安全級別屬性進行比較，再決定訪問主體能否訪問該受控對象。主體對客體的訪問強制訪問控制將主體和客體分級，根據主體和客體的級別標記來決定訪問模式。（絕密級，機密級，秘密級，受限、公開/無密級）主體對客體的訪問主要有4種方式：（1）向下讀（，）主體安全級別高于客體信息資源的安全級別時允許查閱的讀操作；（2）向上讀（，）主體安全級別低于客體信息資源的安全級別時允許的讀操作；（3）向下寫（，）主體安全級別高于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作；（4）向上寫（，）主體安全級別低于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作。

(2)其訪問控制關系分為：上讀/下寫，下讀/上寫（完整性）（機密性）強制訪問控制模型（）在中，系統(tǒng)根據主體和客體的安全屬性，以強制的方式控制主體對客體的訪問。系統(tǒng)中的資源劃分為不同的安全等級和類別（如，絕密級，機密級，秘密級，受限、公開/無密級）特點：強制訪問控制比自主訪問控制具有更高的安全性，可以防止在用戶無意或不負責任的操作時泄露機密信息，適用于專用或安全性要求較高的系統(tǒng)。但這種機制也使用戶自己受到限制，如在共享數據方面不靈活。因此，當需保護敏感信息時一般使用，當更多地考慮共享信息時，使用。模型（[，1976）模型是典型的信息保密性多級安全模型，主要應用于軍事系統(tǒng)。模型通常是處理多級安全信息系統(tǒng)的設計基礎，主體在處理絕密級數據和秘密級數據時，要防止處理絕密級數據的程序把信息泄露給處理秘密級數據的程序。模型的出發(fā)點是維護系統(tǒng)的保密性，有效地防止信息泄露，這與后面討論的維護信息系統(tǒng)數據完整性的模型正好相反。模型可以有效防止低級用戶和進程訪問安全級別比他們高的信息資源（防止偷窺），此外，安全級別高的用戶和進程也不能向比他安全級別低的用戶和進程寫入數據（防止泄密）。上述模型建立的訪問控制原則可以用以下兩點簡單表示：①無向上讀；②無向下寫。機密性安全策略模型不上讀/不下寫保證保密性允許寫允許讀禁止讀允許讀TopSecret主體SecretUnclassifiedTopSecret客體SecretUnclassified允許寫禁止寫TopSecret主體SecretUnclassifiedTopSecret客體SecretUnclassified模型模型的安全策略包括強制訪問控制和自主訪問控制兩部分：強制訪問控制中的安全特性要求對給定安全級別的主體，僅被允許對同一安全級別和較低安全級別上的客體進行“讀”；對給定安全級別上的主體，僅被允許向相同安全級別或較高安全級別上的客體進行“寫”；任意訪問控制允許用戶自行定義是否讓個人或組織存取數據。模型用偏序關系可以表示為：①，當且僅當(S)≥(O)，允許讀操作；②，當且僅當(S)≤(O)，允許寫操作。顯然模型只能“向下讀、向上寫”的規(guī)則忽略了完整性的重要安全指標，使非法、越權篡改成為可能。例子防火墻所實現(xiàn)的單向訪問機制不允許敏感數據從內部網絡（安全級別為“機密”）流向（安全級別為“公開”）提供“不上讀”功能來阻止對內部網絡的訪問提供“不下寫”功能來限制進入內部的數據流只能經由由內向外發(fā)起的連接流入(例如，允許的""操作而拒絕""操作，或阻止任何外發(fā)的郵件)模型模型（,1977）在研究模型的特性時發(fā)現(xiàn)，模型只解決了信息的保密問題，其在完整性定義存在方面有一定缺陷。模型沒有采取有效的措施來制約對信息的非授權修改，因此使非法、越權篡改成為可能?？紤]到上述因素，模型模仿模型的信息保密性級別，定義了信息完整性級別，在信息流向的定義方面不允許從級別低的進程到級別高的進程，也就是說用戶只能向比自己安全級別低的客體寫入信息，從而防止非法用戶創(chuàng)建安全級別高的客體信息，避免越權、篡改等行為的產生。模型模型的兩個主要特征是①禁止向上“寫”，這樣使得完整性級別高的文件是一定由完整性高的進程所產生的，從而保證了完整性級別高的文件不會被完整性低的文件或完整性低的進程中的信息所覆蓋。②模型沒有下“讀”。模型用偏序關系可以表示為：①，當且僅當(S)≤(O)，允許讀操作；②，當且僅當(S)≥(O)，允許寫操作。模型是和模型相對立的模型，模型改正了被模型所忽略的信息完整性問題，但在一定程度上卻忽視了保密性。。完整性安全策略模型不下讀/不上寫保證完整性。允許讀禁止讀HighintegrityMediumintegrityLowintegrity允許讀禁止寫允許寫允許寫HighintegrityMediumintegrityLowintegrityHighintegrityMediumintegrityLowintegrityHighintegrityMediumintegrityLowintegrity例子對服務器的訪問過程定義服務器上發(fā)布的資源安全級別為“秘密”，上用戶的安全級別為“公開”，依照模型，服務器上數據的完整性將得到保障上的用戶只能讀取服務器上的數據而不能更改它與模型由于通過將安全級別進行排序實現(xiàn)了信息的單向流通，因此它一直被軍方采用，主要有兩種模型:模型和模型。在這些模型中，信息的完整性和保密性是分別考慮的，對讀、寫的方向進行了反向規(guī)定，如圖所示：絕密級機密級秘密級無密級保密性完整性寫寫模型無密級模型讀讀與的例子自主訪問控制，如主流操作系統(tǒng)(,系統(tǒng))，防火墻（）等強制訪問控制與訪問控制模型和訪問控制模型屬于傳統(tǒng)的訪問控制模型，對這兩種模型研究的也比較充分。在實現(xiàn)上，和通常為每個用戶賦予對客體的訪問權限規(guī)則集，考慮到管理的方便，在這一過程中還經常將具有相同職能的用戶聚為組，然后再為每個組分配許可權。用戶自主地把自己所擁有的客體的訪問權限授予其它用戶的這種做法，其優(yōu)點是顯而易見的，但是如果企業(yè)的組織結構或是系統(tǒng)的安全需求處于變化的過程中時，那么就需要進行大量繁瑣的授權變動，系統(tǒng)管理員的工作將變得非常繁重，更主要的是容易發(fā)生錯誤造成一些意想不到的安全漏洞?？紤]到上述因素，引入新的機制加以解決，即基于角色的訪問控制模型?；诮巧脑L問控制模型角色（）是指一個可以完成一定事務的命名組，不同的角色通過不同的事務來執(zhí)行各自的功能。角色就是系統(tǒng)中崗位、職位或者分工事務（）是指一個完成一定功能的過程，可以是一個程序或程序的一部分。用戶、角色、許可的關系一個用戶可經授權而擁有多個角色一個角色可由多個用戶構成每個角色可擁有多種許可每個許可也可授權給多個不同的角色每個操作可施加于多個客體（受控對象）每個客體也可以接受多個操作。用戶角色操作客體許可基于角色的訪問控制模型基于角色的訪問控制模型（，）的基本思想是將訪問許可權分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權。這是因為在很多實際應用中，用戶并不是可以訪問的客體信息資源的所有者（這些信息屬于企業(yè)或公司），這樣的話，訪問控制應該基于員工的職務而不是基于員工在哪個組或誰是信息的所有者，即訪問控制是由各個用戶在部門中所擔任的角色來確定的，例如，一個學校可以有教工、老師、學生和其他管理人員等角色。從控制主體的角度出發(fā)，根據管理中相對穩(wěn)定的職權和責任來劃分角色，將訪問權限與角色相聯(lián)系，這點與傳統(tǒng)的和將權限直接授予用戶的方式不同；通過給用戶分配合適的角色，讓用戶與訪問權限相聯(lián)系。角色成為訪問控制中訪問主體和受控對象之間的一座橋梁?；诮巧脑L問控制模型角色可以看作是一組操作的集合，不同的角色具有不同的操作集，這些操作集由系統(tǒng)管理員分配給角色。在下面的實例中，我們假設1，2，3,…,i是對應的教師，1,2,3,…,j是相應的學生，1,2,3,…,k是教務處管理人員，那么老師的權限為{查詢成績、上傳所教課程的成績}；學生的權限為{查詢成績、反映意見}；教務管理人員的權限為{查詢、修改成績、打印成績清單}。那么，依據角色的不同，每個主體只能執(zhí)行自己所規(guī)定的訪問功能。用戶在一定的部門中具有一定的角色，其所執(zhí)行的操作與其所扮演的角色的職能相匹配，這正是基于角色的訪問控制（）的根本特征，即：依據策略，系統(tǒng)定義了各種角色，每種角色可以完成一定的職能，不同的用戶根據其職能和責任被賦予相應的角色，一旦某個用戶成為某角色的成員，則此用戶可以完成該角色所具有的職能?；诮巧脑L問控制模型在該例中，系統(tǒng)管理員負責授予用戶各種角色的成員資格或撤消某用戶具有的某個角色。例如學校新進一名教師x，那么系統(tǒng)管理員只需將x添加到教師這一角色的成員中即可，而無需對訪問控制列表做改動。同一個用戶可以是多個角色的成員，即同一個用戶可以扮演多種角色，比如一個用戶可以是老師，同時也可以作為進修的學生。同樣，一個角色可以擁有多個用戶成員，這與現(xiàn)實是一致的，一個人可以在同一部門中擔任多種職務，而且擔任相同職務的可能不止一人。中引進了角色的概念，用角色表示訪問主體具有的職權和責任，靈活地表達和實現(xiàn)了企業(yè)的安全策略，使系統(tǒng)權限管理在企業(yè)的組織視圖這個較高的抽象集上進行，從而簡化了權限設置的管理，從這個角度看，很好地解決了企業(yè)管理信息系統(tǒng)中用戶數量多、變動頻繁的問題?；诮巧脑L問控制原理用戶角色權限訪問控制資源1.認證2.分派3.請求4.分派5.訪問請求6.訪問模型基于角色的訪問控制模型提供3種授權管理的控制途徑改變客體的訪問權限改變角色的訪問權限改變主體所擔任的角色系統(tǒng)中所有角色的關系結構可以使層次化的，便于管理。具有較好的提供最小權利的能力，提高了安全性。具有責任分離能力?；诮巧脑L問控制模型相比較而言，是實施面向企業(yè)的安全策略的一種有效的訪問控制方式，它具有靈活性、方便性和安全性的特點，目前在大型數據庫系統(tǒng)的權限管理中得到普遍應用。角色由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員來執(zhí)行，即只有系統(tǒng)管理員有權定義和分配角色。用戶與客體無直接聯(lián)系，他只有通過角色才享有該角色所對應的權限，從而訪問相應的客體。因此用戶不能自主地將訪問權限授給別的用戶，這是與的根本區(qū)別所在。與的區(qū)別在于：是基于多級安全需求的，而則不是。的安全審計安全審計的定義通過記錄和分析各種用戶和系統(tǒng)活動操作記錄和信息資料，發(fā)現(xiàn)系統(tǒng)漏洞、改進系統(tǒng)性能和安全。系統(tǒng)活動：操作系統(tǒng)和應用程序的進程用戶活動：用戶使用何種資源，使用的時間和執(zhí)行何種操作安全審計的目標：對潛在的攻擊者起到震懾和警告的作用；為評估損失、災難恢復提供依據；為系統(tǒng)管理員提供有效的系統(tǒng)使用日志，及時發(fā)現(xiàn)入侵行為或潛在的系統(tǒng)漏洞。審計跟蹤概述審計是對訪問控制的必要補充，是訪問控制的一個重要內容。審計會對用戶使用何種信息資源、使用的時間、以及如何使用（執(zhí)行何種操作）進行記錄與監(jiān)控。審計和監(jiān)控是實現(xiàn)系統(tǒng)安全的最后一道防線，處于系統(tǒng)的最高層。審計與監(jiān)控能夠再現(xiàn)原有的進程和問題，這對于責任追查和數據恢復非常有必要。審計跟蹤是系統(tǒng)活動的流水記錄。該記錄按事件從始至終的途徑，順序檢查、審查和檢驗每個事件的環(huán)境及活動。審計跟蹤通過書面方式提供應負責任人員的活動證據以支持訪問控制職能的實現(xiàn)（職能是指記錄系統(tǒng)活動并可以跟蹤到對這些活動應負責任人員的能力）。審計跟蹤記錄系統(tǒng)活動和用戶活動。通過借助適當的工具和規(guī)程，審計跟蹤可以發(fā)現(xiàn)違反安全策略的活動、影響運行效率的問題以及程序中的錯誤。審計跟蹤不但有助于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭非法授權用戶的侵害，同時還能提供對數據恢復的幫助。安全審計的類型系統(tǒng)級審計主要包括登錄、登錄識別號、每次登錄嘗試的日期和時間、所訪問的資源等。應用級審計打開和關閉數據文件，讀取、編輯和刪除、修改等。用戶級審計用戶直接啟動的所有命令、用戶所有的鑒別和認證嘗試、所訪問的文件和資源等方面。審計內容審計跟蹤可以實現(xiàn)多種安全相關目標，包括個人職能、事件重建、入侵檢測和故障分析。(1)個人職能（）審計跟蹤是管理人員用來維護個人職能的技術手段。如果用戶知道他們的行為活動被記錄在審計日志中，相應的人員需要為自己的行為負責，他們就不太會違反安全策略和繞過安全控制措施。例如審計跟蹤可以記錄改動前和改動后的記錄，以確定是哪個操作者在什么時候做了哪些實際的改動，這可以幫助管理層確定錯誤到底是由用戶、操作系統(tǒng)、應用軟件還是由其它因素造成的。允許用戶訪問特定資源意味著用戶要通過訪問控制和授權實現(xiàn)他們的訪問，被授權的訪問有可能會被濫用，導致敏感信息的擴散，當無法阻止用戶通過其合法身份訪問資源時，審計跟蹤就能發(fā)揮作用。審計跟蹤可以用于檢查和檢測他們的活動。審計內容(2)事件重建（）在發(fā)生故障后，審計跟蹤可以用于重建事件和數據恢復。通過審查系統(tǒng)活動的審計跟蹤可以比較容易地評估故障損失，確定故障發(fā)生的時間、原因和過程。通過對審計跟蹤的分析就可以重建系統(tǒng)和協(xié)助恢復數據文件；同時，還有可能避免下次發(fā)生此類故障的情況。(3)入侵檢測（）審計跟蹤記錄可以用來協(xié)助入侵檢測工作。如果將審計的每一筆記錄都進行上下文分析，就可以實時發(fā)現(xiàn)或是過后預防入侵檢測活動。實時入侵檢測可以及時發(fā)現(xiàn)非法授權者對系統(tǒng)的非法訪問，也可以探測到病毒擴散和網絡攻擊。(4)故障分析（）審計跟蹤可以用于實時審計或監(jiān)控。安全審計系統(tǒng)的基本結構系統(tǒng)事件安全事件應用事件網絡事件其他事件審計發(fā)生器審計發(fā)生器審計發(fā)生器審計發(fā)生器審計發(fā)生器日志記錄器日志分析器審計分析報告日志文件審計策略和規(guī)則日志審計日志審計的內容：記錄每一個數據包，每一個命令顯然不現(xiàn)實。（存儲量太大）原則：日志應該記錄任何必要的事件，以檢測已知的攻擊模式。日志應該記錄任何必要的事件，以檢測異常的攻擊模式。日志應該記錄關于系統(tǒng)連續(xù)可靠的工作信息三、防火墻技術1.什么是防火墻2.防火墻主要功能3.防火墻分類4.防火墻的局限性5.防火墻的體系結構(重點)6.防火墻技術(重點)7.防火墻選型舉例什么是防火墻在內部網和之間插入一個系統(tǒng)，即防火墻，用來防止各類黑客的破壞，阻斷來自外部網絡的威脅和入侵，扮演著防備潛在的惡意活動屏障。不可信網絡可信網絡路由器防火墻什么是防火墻什么是防火墻定義1：網絡防火墻是一種用來加強網絡之間訪問控制、防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環(huán)境的特殊網絡互連設備。定義2：防火墻是保障網絡安全的一個系統(tǒng)或一組系統(tǒng)，用于加強網絡間的訪問控制，防止外部用戶非法使用內部網的資源，保護內部網絡的設備不被破壞，防止內部網絡的敏感數據被竊取，即能根據網絡安全策略控制（允許、拒絕、監(jiān)測）出入網絡的信息流，且本身具有較強的抗攻擊能力。核心思想：在不安全的網際環(huán)境中構造一個相對安全的子網環(huán)境。目的：為了在被保護的內部網與步安全的非信任網絡之間設立唯一的通道，一按照事先制定的策略控制信息流入和流出，監(jiān)督和控制使用者的操作。什么是防火墻防火墻至少提供兩個基本的服務，即：1．有選擇的限制外部網用戶對本地網的訪問，保護本地網的特定資源。2．有選擇的限制本地網用戶對外地網的訪問。安全、管理、速度是防火墻的三大要素。它可以嵌入到某種硬件產品中，以硬件設備形式出現(xiàn)，即硬件防火墻。它也可以是一種軟件產品，即軟件防火墻。其功能的本質隔離內外網絡和對進出信息流實施訪問控制，隔離的方法可以是基于物理的，也可以是基于邏輯的。從網絡防御體系看，防火墻是一種被動防御的保護裝置。防火墻主要功能網絡安全的屏障過濾不安全的服務；（兩層含義）內部提供的不安全服務和內部訪問外部的不安全服務提供網絡地址翻譯功能對網絡存取和訪問進行監(jiān)控審計。支持技術。防火墻分類個人防火墻是在操作系統(tǒng)上運行的軟件，可謂個人計算機提供簡單的防火墻功能；大家常用的個人防火墻由、天網個人防火墻、瑞星個人防火墻等；安裝在個人上，而不是放置在網絡邊界，因此，個人防火墻關心的不是一個網絡到另外一個網絡的安全，而是單個主機與之相連接的主機或網絡之間安全。防火墻分類軟件防火墻個人防火墻也是一種純軟件防火墻，但其應用范圍較小，且只支持系統(tǒng)，功能相對來說要弱很多，并且安全性和并發(fā)連接處理能力較差；作為網絡防火墻的軟件防火墻具有比個人防火墻更強的控制功能和更高的性能。不僅支持系統(tǒng)，并且多數都支持或系統(tǒng)。如著名的1，2000防火墻分類一般硬件防火墻不等同于采用專用芯片的純硬件防火墻，但和純軟件防火墻有很大差異；一般由小型的防火墻廠商開發(fā)，或者是大型廠商開發(fā)的中低端產品，應用于中小型企業(yè)，功能比較全，但性能一般；一般都采用架構（就是一臺嵌入式主機），但使用的各個配件都量身定制。防火墻分類一般硬件防火墻其操作系統(tǒng)一般都采用經過精簡和修改過內核的或，安全性比使用通用操作系統(tǒng)的純軟件防火墻要好很多，并且不會在上面運行不必要的服務，這樣的操作系統(tǒng)基本就沒有什么漏洞。但是，這種防火墻使用的操作系統(tǒng)內核一般是固定的，是不可升級的，因此，新發(fā)現(xiàn)的漏洞對防火墻來說可能是致命的；國內自主開發(fā)的防火墻大部分都屬于這種類型。防火墻分類純硬件防火墻采用專用芯片來處理防火墻核心策略的一種硬件防火墻，也稱為芯片級防火墻。（專用集成電路（）芯片或者網絡處理器（）芯片）最大的亮點：高性能、非常高的并發(fā)連接數和吞吐量；采用芯片的方法在國外比較流行，技術也比較成熟，如美國公司的高端防火墻產品；國內芯片級防火墻大多還處于開發(fā)發(fā)展的階段，采用的是技術。防火墻分類分布式防火墻前面提到的幾種防火墻都屬于邊界防火墻（）,它無法對內部網絡實現(xiàn)有效地保護分布式防火墻由中心管理定義策略，由分布在網絡中的各個端點執(zhí)行這些策略。它負責網絡邊界、各子網和網絡內部各階段之間的安全防護。近幾年，分布式防火墻技術逐漸興起。防火墻的局限性局限性：網絡的安全性通常網絡服務的開放性和靈活性為代價的。防火墻的使用也會削弱網絡的功能：1.起隔離作用的防火墻，在保護內部網絡的同時使它與外部網絡的信息交流受到阻礙；2.由于防火墻上附加各種信息服務的代理軟件，增大了網絡管理開銷，還減慢了信息傳輸速率不能防范內部攻擊。不能防范不通過防火墻的連接入侵。不能自動防御所有新的威脅。防火墻不能防止感染了病毒的軟件或文件的傳輸防火墻難于管理和配置，易造成安全漏洞總之，一方面，防火墻在當今世界中的存在是有生命力的；另一方面，防火墻不能替代內部謹慎的安全措施。因此，它不是解決所有網絡安全問題的萬能藥方，而只是網絡安全策略中的一個組成部分。防火墻的體系結構防火墻體系結構：防火墻系統(tǒng)實現(xiàn)所采用的架構及其實現(xiàn)所采用的方法，它決定著防火墻的功能、性能以及使用范圍。在防火墻和網絡的配置上，有以下四種典型結構：包過濾路由器模式、雙宿/多宿主機模式、屏蔽主機模式和屏蔽子網模式。其中，堡壘主機是個很重要的概念。堡壘主機是指在極其關鍵的位置上用于安全防御的某個系統(tǒng)。對于此系統(tǒng)的安全要給予額外關注，還要進行理性的審計和安全檢查。如果攻擊者要攻擊你的網絡，那么他們只能攻擊到這臺主機。堡壘主機起到一個“犧牲主機”的角色。它不是絕對安全的，它的存在是保護內部網絡的需要，從網絡安全上來看，堡壘主機是防火墻管理員認為最強壯的系統(tǒng)。通常情況下，堡壘主機可作為代理服務器的平臺。網絡層鏈路層物理層外部網絡內部網絡包過濾過濾路由器包過濾路由器（也稱屏蔽路由器，）是防火墻最基本的構件。它一般作用在網絡層（層），按照一定的安全策略，對進出內部網絡的信息進行分析和限制，實現(xiàn)報文過濾功能。該防火墻優(yōu)點在于速度快等，但安全性能差。這種防火墻的最大弱點是依靠一個單一的部件來保護系統(tǒng)，一旦部件出現(xiàn)問題，會使網絡的大門敞開，而用戶可能還不知道。包過濾路由器過濾規(guī)則舉例第一條規(guī)則：主機10.1.1.1任何端口訪問任何主機的任何端口，基于協(xié)議的數據包都允許通過。第二條規(guī)則：任何主機的20端口訪問主機10.1.1.1的任何端口，基于協(xié)議的數據包允許通過。第三條規(guī)則：任何主機的20端口訪問主機10.1.1.1小于1024的端口，如果基于協(xié)議的數據包都禁止通過。組序號動作源目的源端口目的端口協(xié)議類型1允許10.1.1.1***2允許*10.1.1.120*3禁止*10.1.1.120<1024包過濾防火墻在單機上實現(xiàn)，是網絡中的“單失效點”作為內外網連接的唯一通道，要求所有的報文都必須在此通過檢查。若路由器被破壞，內網就沒有安全保障了。不支持有效的用戶認證、不提供有用的日志，安全性低。不能防止地址欺騙，雙宿/多宿主機模式雙宿/多宿主機防火墻又稱為雙宿/多宿網關防火墻，它是一種擁有兩個或多個連接到不同網絡上的網絡接口的防火墻，通常用一臺裝有兩塊或多塊網卡的堡壘主機做防火墻，兩塊或多塊網卡各自與受保護網和外部網相連。其體系結構圖如圖所示。這種防火墻的特點是主機的路由功能是被禁止的，兩個網絡之間的通信通過應用層代理服務來完成的。如果一旦黑客侵入堡壘主機并使其具有路由功能，那么防火墻將變得沒用。雙宿/多宿主機Internet內部網絡1內部網絡2雙宿/多宿主機模型的示意圖雙宿主機結構雙宿主機結構是用一臺裝有兩塊網卡的堡壘機構成防火墻。堡壘機上運行著防火墻軟件，可以轉發(fā)應用程序，提供服務等。內外網絡之間的數據流被雙宿主機完全切斷。用堡壘機取代路由器執(zhí)行安全控制功能。雙宿主機的優(yōu)缺點堡壘主機的系統(tǒng)軟件可用于身份認證和維護系統(tǒng)日志，有利于進行安全審計該方式的防火墻是網絡的“單失效點”。隔離了一切內部網與的直接連接，不適合于一些高靈活性要求的場合。屏蔽主機模式屏蔽主機型的典型構成是包過濾路由器＋堡壘主機。包過濾路由器配置在內部網和外部網之間，保證外部系統(tǒng)對內部網絡的操作只能經過堡壘主機。防火墻屏蔽主機網關結構中堡壘機與內部網相連，用篩選路由器連接到外部網上，篩選路由器作為第一道防線，堡壘機作為第二道防線。這確保了內部網絡不受未被授權的外部用戶的攻擊。該防火墻系統(tǒng)提供的安全等級比雙宿主機防火墻系統(tǒng)要高，主要用于企業(yè)小型或中型網絡。屏蔽主機模式屏蔽主機模式這種防火墻強迫所有的外部主機與堡壘主機相連接，而不讓他們與內部主機直接連接。為了這個目的，專門設置了一個過濾路由器。在該路由器上設立過濾規(guī)則，通過它，把所有外部到內部的連接都路由到了堡壘主機。這種防火墻系統(tǒng)提供的安全等級較高，因為它實現(xiàn)了網絡層安全（包過濾）和應用層安全（代理服務，這些服務裝在堡壘主機）。在這一方式下，過濾路由器是否配置正確是這種防火墻安全與否的關鍵。過濾路由器中的路由表應當受到嚴格保護，如果路由表遭到破壞，堡壘主機就可能被越過，使內部網絡完全暴露。屏蔽主機模式屏蔽子網模式屏蔽子網是最安全的防火墻系統(tǒng)，它在內部網絡與外部網絡者之間建立一個被隔離的子網（非軍事區(qū)（））。通常將堡壘主機、各種信息服務器的等公用服務器放于中。這個子網可有堡壘主機等公用服務器組成，用兩臺過濾路由器將這一子網分別與內部網絡和外部網絡分開。內部網絡和外部網絡均可訪問屏蔽子網，但禁止它們穿過屏蔽子網進行通信，從而進一步實現(xiàn)屏蔽主機的安全性。堡壘主機通常是黑客集中攻擊的目標，如果沒有，入侵者控制堡壘主機后就可以監(jiān)聽整個內部網絡的會話。屏蔽子網模式屏蔽子網模式屏蔽子網體系結構在本質上與屏蔽主機體系結構一樣，但添加了額外的一層保護體系——周邊網絡，如圖所示。堡壘主機位于周邊網絡上，周邊網絡和內部網絡被內部路由器分開。增加一個周邊網絡的原因：堡壘主機是用戶網絡上最容易受侵襲的機器。通過在周邊網絡上隔離堡壘主機，能減少在堡壘主機被侵入的影響。并且萬一堡壘主機被入侵者控制，入侵者仍不能直接侵襲內部網絡，內部網絡仍受到屏蔽路由器的保護。屏蔽子網結構圖防火墻技術包過濾技術()代理技術()狀態(tài)檢查技術()地址轉換/翻譯技術()包過濾技術包過濾技術是基于地址來監(jiān)視并過濾網絡上流入和流出的包，它只允許與指定的地址通信。它的作用是在可信任網絡和不可信任網絡之間有選擇地安排數據包的去向。1.基本原理包過濾（，）是防火墻為系統(tǒng)提供安全保障的主要技術，可在網絡層對進出網絡的數據包進行有選擇的控制與操作。包過濾操作一般都是在選擇路由的同時，在網絡層對數據包進行選擇或過濾，故也稱網絡層防火墻。安全策略選擇的依據是系統(tǒng)內設置的信息過濾規(guī)則（過濾邏輯），即訪問控制表（，）。由它指定允許哪些類型的數據包可以流入或流出內部網絡。一般過濾規(guī)則是以數據包信息為基礎，對數據包的源地址、目的地址、傳輸方向、分包、數據包封裝協(xié)議、目標端口號等進行篩選、過濾，當一個數據包滿足過濾規(guī)則，則允許此數據包通過，否則拒絕此包通過，起到了保護內部網絡的作用。包過濾防火墻工作原理1.包過濾技術工作在網絡層（而不是應用層）對數據包實施有選擇的通過。但不能控制傳輸數據的內容。因為內容屬于應用層的數據，而它只工作在網絡層。2.它是一種簡單、高效的安全控制技術，是防火墻發(fā)展初期普遍采用的技術。3.包過濾防火墻要遵循的一條基本原則就是“最小特權原則”，即明確允許管理員希望通過的那些數據包，禁止其他的數據包。包過濾技術包過濾一般要檢查（網絡層的頭和傳輸層的頭）。源地址、目的地址協(xié)議類型（包、包、包）或的源端口、或的目的端口（控制報文協(xié)議）消息類型報頭中位包過濾技術優(yōu)點：包過濾防火墻邏輯簡單，價格低廉，易于安裝和使用，網絡性能和透明性好。缺點（1）安全性較差安全控制的力度只限于源地址、目的地址和端口號等，不能保存與傳輸與應用相關的狀態(tài)信息，因而只能進行較為初步的安全控制，安全性較差；（2）正常的數據包過濾路由器無法執(zhí)行某些安全策略（3）不能徹底防止地址欺騙（4）數據包工具存在很多局限性它是第一代防火墻技術，本身存在較多缺陷，不能提供較高的安全性。因此，在實際應用中，很少把包過濾技術當作單獨的安全解決方案，通常是把它與應用網關配合使用或與其他防火墻技術揉合在一起使用，共同組成防火墻系統(tǒng)。代理技術代理技術代理技術又稱為應用層網關技術。代理防火墻工作于應用層，代理技術與包過濾技術完全不同，包過濾技術是在網絡層攔截所有的信息流，代理技術是針對每一個特定應用都有一個程序。代理是企圖在應用層實現(xiàn)防火墻的功能。代理能提供部分與傳輸有關的狀態(tài)，能完全提供與應用相關的狀態(tài)和部分傳輸方面的信息，代理也能處理和管理信息。代理服務器是軟件形式，比較靈活、安全性高，但比較慢。代理服務是運行在防火墻主機上的專門的應用程序，它位于內部網絡上的用戶和外部網上的服務之間，內部用戶和外部網服務彼此不能直接通信，只能分別與代理打交道。代理負責接收外部網服務請求，再把它們轉發(fā)到具體的服務中。例如，一個公司決定將一個服務器作為主機，以使得遠程的管理員能夠對其執(zhí)行某些特定的操作。它代理一個連接過程如下：（1）一個用戶通過23端口到該代理服務器上。屏蔽設備檢測這個連接的源地址是否在允許的源地址列表中。如果在的話，就對該連接進行下一步的處理；如果不在的話，則拒絕該次連接。（2）提示用戶進行身份驗證。（3）在通過了身份驗證后，系統(tǒng)就會提示用戶給用戶一個系統(tǒng)菜單來允許用戶連接到目的主機。（4）用戶選擇要連接的系統(tǒng)。（5）如果有要求，系統(tǒng)會提示用戶再輸入另外的身份驗證信息。代理技術優(yōu)點：1.內部網絡拓撲結構等重要信息不易外泄.2.可以實施用戶認證、詳細日志、審計跟蹤和數據加密等功能個對具體協(xié)議及應用的過濾，同時當發(fā)現(xiàn)被攻擊跡象時會向網絡管理員發(fā)出警告，并保留攻擊痕跡，安全性較高。缺點1.工作在最高層，性能有所下降；2.針對不同的應用層協(xié)議必須有單獨的應用代理，不能自動支持新的網絡應用；3.有些代理還需要相應的支持代理的客戶和服務器軟件；用戶可能還需要專門學習程序的使用方法才能通過代理訪問。代理技術狀態(tài)檢測技術狀態(tài)檢測技術是防火墻近幾年才應用的新技術。狀態(tài)檢測技術是包過濾技術的延伸，經常被稱為“動態(tài)數據包過濾”。它是在動態(tài)包過濾的基礎上，增加了狀態(tài)檢測機制而形成的。傳統(tǒng)的包過濾防火墻只是通過檢測包頭的相關信息來決定數據流的通過還是拒絕，基于狀態(tài)檢測技術的防火墻不僅僅對數據包進行檢測，還對控制通信的基本因素狀態(tài)信息（狀態(tài)信息包括通信信息、通信狀態(tài)、應用狀態(tài)和信息操作性）進行檢測。通過狀態(tài)檢測虛擬機維護一個動態(tài)的狀態(tài)表，記錄所有的連接通信信息、通信狀態(tài)，以完成對數據包的檢測和過濾。狀態(tài)檢測技術狀