?
防火墙
访问控制
定义
访问控制(Access Control)指系统对用户身份及其所属的预先 定义的策略组限制其使用数据资源能力的手段。
两个任务
访问控制需要完成两个任务:识别和确认访问系统的用户、决定 该用户可以对某一系统资源进行何种类型的访问。
三要素
主体S(Subject)
提出访问资源具体请求。是某一操作动作的发起者,但不一定是动作的执行者,
客体O(Object)
被访问资源的实体
控制策略A(Attribution)
主体对客体的相关访问规则集合,即属性集合。
安全策略的实施原则
最小特权原则
按主体所需权力最小分配
最小泄露原则
按主体所需知道的信息最小化分配
多级安全策略
指主体和客体间的数据流向和权限控制按照安全级别的绝密(TS)、秘密(S)、机密(C)、限制(RS)和无级别(U)五级来划分。
访问控制模型
自主访问控制模型(DAC Model,Discretionary Access Control Model)
允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。
又称任意访问控制,数据访问方式灵活但安全防护较低
特点:授权的实施主体(1、可以授权的主体;2、管理授权的客体;3、授权组自主负责赋予和回收其他主体对客体资源的访问权限。
一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息,从而达到对主体访问权限的限制目的。
强制访问控制模型(MAC Model:Mandatory Access Control? Model)一种多级访问控制策略。
系统先对访问主体和受控对象的安全级别属性进行比较,再决定访 问主体能否访问该受控对象。
MAC对访问主体和受控对象标识两个安全标记:一个是具有偏序关系的安全等级标记;另一个是非等级分类标记。
主体对客体的访问主要有四种方式:向下读(主体安全级别高于客体信息资 源的安全级别时允许查阅的读操作)、向上读、向下写(主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作)、向上写
几种主要模型
Lattice模型:每个资源和用户都服从于一个安全类别(TS,S,C,R,U);信息资源对应一个安全类别,用户所对应的安全级别必须比可以使用的客体资源高才能进行访问。
Bell-LaPadula模型:无上读、无下写;主要应用于军事系统;是维护系统的保密性,有效地防止信息泄露,忽略了完整性指标,使非法、越权篡改成为可能。
Biba模型:禁止向上写,没有向下读;Biba模型改正了被BLP模型所忽略的信息完整性问题,但在一定程度上却忽视了保密性。
基于角色的访问控制模型(RBAC Model,Role-based Access Model)
将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。
根据管理中相对稳定的职权和责任来划分角色,将访问权限与角色相联系,这点与传统的MAC和DAC将权限直接授予用户的方式不同。
只有系统管理员有权定义和分配角色;用户与客体无直接联系,他只有通过角色才享有该角色所对应的权限。
与DAC区别:用户不能自主地将访问权限授给别的用户。 与MAC区别;MAC是基于多级安全需求的,而RBAC则不是。
RBAC1:在RBAC0基础上加入了角色继承的概念。角色层次(RH,Role Hierarchy)反应层次结构,支持成员和权限继承以方便权限管理。
RBAC2:在RBAC0基础上引入了约束(Constraints)的概念。约束是角色之间及角色与权限之间的一种限制关系。RBAC2定义了不同的约束规则来对各种关系进行限制:
互斥角色:角色静态互斥是限制某些角色不能同时分配给一个用 户,角色动态互斥是一个用户开始会话,不能同时激活某些角色。
基数约束:可以限制一个角色可以分配的最大和最小用户数。
先决角色:用户为获得某些高级角色必须先拥有低等级角色。
会话约束:限制仅在特定会话中才允许激活某个角色,还可以限 制一个用户在同一时间可以激活的会话数量
等级约束:限制角色的层次不能超过多少层。
RBC3:把RBAC1和RBAC2结合在了一起,既提供了角色的继承关系,又提供角色之间以及角色与权限之间的限制关系。
基于任务的访问控制模型(TBAC Model,Task-based Access Control? Model)
以面向任务的观点,从任务(活动)的角度来建立安全模型和实现安全机制。对象的访问权限控制并不是静止不变的,而是随着执行任务的上下文环境发生变化。
TBAC首要考虑的是在工作流的环境中对信息的保护问题
访问控制实现
访问控制表(ACLs:Access Control Lists)是以文件为中心建 立的访问权限表,简记为ACLs。权限表限定了用户UserA1的访问权限。
访问控制矩阵(ACM:Access Control Matrix)是通过矩阵形式 表示访问控制规则和授权用户权限的方法;
访问控制能力表(ACCLs:Access Control Capabilitis Lists)是以用户为中心建立访问权限表。表ACCLsF1表明了授权用户UserA对文件File1的访问权限
访问控制标签列表(ACSLLs: Access Control Security Labels Lists)是限定一个用户对一个客体目标访问的安全属性集合。
防火墙概述
防火墙定义
防火墙是位于两个(或多个)网络间实施网间访问控制的一组组件的集合。
满足以下条件
所有进出被保护网络的通信必须通过防火墙
所有通过防火墙的通信必须经过安全策略的过滤或者防火墙授权
防火墙自身应对渗透(peneration)免疫
防火墙必要性
保护内部网不受来自Internet的攻击
创建安全域
增强机构安全
防火墙实现层次
防火墙功能
防火墙访问控制方法
服务控制:确定可以访问的服务类型;
方向控制:确定特定的服务请求可以发起并允许通过防火 墙;
用户控制:不同的用户具有不同服务访问的权限;
行为控制:控制怎样使用特定服务。如过滤垃圾邮件
防火墙优点
强化安全策略
记录Internet上的活动
隔离不同网络,限制安全问题扩散
是安全策略的检查站
防火墙局限性
使用不便
对用户不完全透明可能带来传输延迟瓶颈及单点失效
无法做到绝对的安全: ?不能防范恶意的内部人员侵入 ? 不能防范不通过它的连接 ? 不能防范全新的威胁 ? 不能有效地防范数据驱动式的攻击 ? 当使用端-端加密时其作用会受到很大的限制
防火墙分类
防火墙技术
包过滤防火墙
概述
对接收的每个数据包做允许、拒绝的决定; 审查每个数据报以便确定其是否与某一条包过滤规则匹配; 过滤规则基于ip转发过程的包头信息;分为静态包过滤和动态包过滤; 动态包过滤对外出数据包的身份做一个标记,对相同连接的进入的数据包也被允许通过,也就是说,它捕获了一个“连接”,而不是单个数据包头中的信息。
判断依据:
原理
优缺点
电路级网关
概述
1、是一个通用代理服务器,它工作于OSI互联模型的会话层或是TCP/IP协议的TCP层。 2、它适用于多个协议,但它不能识别在同一个协议栈上运行的不同的应用,当然也就不需要对不同的应用设置不同的代理模块,但这种代理需要对客户端作适当修改。 3、它接受客户端的连接请求,代理客户端完成网络连接,建立起一个回路,对数据包起转发作用,数据包被提交给用户的应用层来处理。 4、通过电路级网关传递的数据似乎起源于防火墙,隐藏了被保护网络的信息。
原理
优缺点
应用网关防火墙
概述
应用网关防火墙(AGF,Application Gateway Firewall),又称代理防火墙或简称应用网关。? 应用网关在应用层处理信息 AGF可以支持多个应用,如E-mail,Web,DNS,Telnet,FTP等
应用代理可以对数据包的数据区进行分析,并以此判断数据是否允许通过
原理
优缺点
状态检测防火墙
概述
状态检测防火墙是在动态包过滤防火墙基础上,增加了状态检测机制而形成的。 具有连接的跟踪能力。 以TCP协议为例:所谓的状态检测机制关注的主要问题不再仅是SYN和ACK标志位,或者是来源端口和目标端口,还包括了序号、窗口大小等其它TCP协议信息。
状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过
优缺点
网络地址翻译NAT(Network Address Translation)
目的
解决IP地址空间不足的问题
向外界隐藏内部网结构
方式
M->1:多个内部网地址翻译到一个IP地址
1->1:简单的地址翻译
M->N:多个内部网地址翻译到N个IP地址池
应用场景
网络管理员希望隐藏内部网络的IP地址。这样互联网上的 主机无法判断内部网络的情况。
内部网络的IP地址是无效的IP地址。 因为现在的IP地址不够用,很难申请到足够多的合法IP地址。
实现原理
网络地址转就是在防火墙上装一个合法IP地址集 ? 当内部某一用户要访问Internet时,防火墙动态地从地址 集中选一个未分配的地址分配给该用户; ? 同时,对于内部的某些服务器如Web服务器,网络地址 转换器允许为其分配一个固定的合法地址。
三种类型
静态NAT
内部网络每个主机都永久映射成外部合法的地址
NAT池
在外部网络中定义了一系列合法地址,采用动态分配的方法映射到内部网络
端口NAT(PNAT)
把内部地址映射到外部网络的一个IP地址的不同端口上
防火墙体系架构
双重宿主主机体系结构
双重宿主主机概述
至少有两个网络接口
位于内部网络和外部网络之间; 这样的主机可以充当与这些接口相连的网络之间的路由器,它能从一个网络接收IP数据包并将之发往另一网络。
双重宿主主机的防火墙体系结构禁止这种发送功能,完 全阻止了内外网络之间的IP通信。
两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。
特性
安全至关重要(唯一通道),其用户口令控制安全是关键
必须支持很多用户的访问(中转站),其性能非常重要。
缺点
双重宿主主机是隔开内外网络的唯一屏障, 一旦它被入侵,内部网络便向入侵者敞开大门。
屏蔽主机体系结构
典型结构
包过滤路由器+堡垒主机;一般这种防火墙较简单,可能就是简单的路由器。
? 包过滤路由器配置在内部网和外部网之间,保证外部系 统对内部网络的操作只能经过堡垒主机。 ? 堡垒主机配置在内部网络上,是外部网络主机连接到内 部网络主机的桥梁,它需要拥有高等级的安全。
屏蔽路由器的配置
允许内部主机为了某些服务请求与外部网上的主机建立 直接连接(即允许那些经过过滤的服务)。
不允许所有来自外部主机的直接连接。
优缺点
优点:安全性更高,双重保护:实现了网络层安全(包过滤)和应用层安全(代理服务)。
缺点:过滤路由器能否正确配置是安全与否的关键。如果路由器被损害,堡垒主机将被穿过,整个网络对侵袭者是开放的。
屏蔽子网体系结构
结构
本质与屏蔽主机体系结构一样,但额外添加了一层保护体系--周边网络。 堡垒主机位于周边网络上,周边网络和内部网络被内部路由器分开。
堡垒主机是用户网络上最容易受侵袭的机器。 通过在周边网络上隔离堡垒主机,能减少在堡垒主机被侵入的影响。
周边网络是一个防护层,在其上可放置一些信息服务器,它们是牺牲主机,可能会受到攻击,因此又被称为非军事区(DMZ)。? 周边网络的作用:即使堡垒主机被入侵者控制,它仍可消除对内部网的侦听。例: netxray等的工作原理。
堡垒主机 ? 堡垒主机位于周边网络,是整个防御体系的核心。 ? 堡垒主机可被认为是应用层网关,可以运行各种代理服务程序。 ? 对于出站服务不一定要求所有的服务经过堡垒主机代理,但对于入站服务应要求所有服务都通过堡垒主机。
外部路由器(访问路由器) ? 作用:保护周边网络和内部网络不受外部网络的侵犯。 ? 它把入站的数据包路由到堡垒主机。 ? 防止部分IP欺骗,它可分辨出数据包是否真正来自周边网络,而内 部路由器不可。
内部路由器(阻塞路由器) ? 作用:保护内部网络不受外部网络和周边网络的侵害,它执行大部分过滤工作。 ? 外部路由器一般与内部路由器应用相同的规则。
优点
入侵者需突破3个不同的设备才能入侵内部网络; 只对外通告DMZ区的网络,保证内部网络不可见;? 内部网络用户通过堡垒主机或代理服务器访问外部网络
iptables
概述
Iptables是与Linux内核集成的IP信息包过滤系统, 它是一种功能强大的工具。
Iptables信息包过滤系统由两个组件netfilter和Iptables组成。
netfilter组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
规则表
mangle表:主要用来修改数据包,我们可以改变不同的包及包头的内容,比如TTL,TOS或MARK;
filter表:是专门过滤包的;
nat表:网络地址转换,做过NAT操作的数据包的地址就被改变了
raw表:主要用作数据跟踪处理。
规则链
INPUT——进来的数据包应用此规则链中的策略;
OUTPUT——外出的数据包应用此规则链中的策略;
FORWARD——转发数据包时应用此规则链中的策略;
PREROUTING——对数据包作路由选择前应用此链中的规则;
POSTROUTING——对数据包作路由选择后应用此链中的规则。
原理
参数说明
网络隔离技术
物理隔离概述
防火墙的思路是在保障互联互通的前提下,尽可能安全
物理隔离的思路是在保证必须安全的前提下,尽可能互联互通。
物理隔离技术实质就是一种将内外网络从物理上断开,但保持逻辑连接的信息安全技术。 物理断开表示任何时候内外网络都不存在连通的物理连接,逻辑连接表示能进行适度的数据交换。 “物理隔离”是指内部网不直接通过有线或无线等任何手段连接到公共网,从而使内部网络和外部公共网络在物理上处于隔离状态的一种物理安全技术。
物理隔离三点要求
物理传导上:确保外部网不能通过网络连接而侵入内部网:同时防止内部网信息通过网络连 接泄漏到外部网;
物理辐射上:确保内部网信息不会通过电磁辐射等方式泄漏到外部网
物理存储上:对于断电后会遗失信息的部件,要在网络转换时做清除处理,防止残留信息泄漏;对于断电非遗失性设备,内部网与外部网信息要分开存储
物理隔离原理
数据二极管技术:这种连接只在数据源计算机具有一个数据发送源,在数据目标计算机上具有一个数据接收器。这种设计也被人们称为对外部“完全不信任”设计。
存储池交换技术:存储池每次只能与内外网络的一方相连。这种技术实际上是一种数据镜像技术。这种技术在实现内外网络数据交换的同时,保持了内外网络的物理断开。