第一篇:淺談訪問控制策略
淺談訪問控制策略
身份鑒別與訪問控制是信息安全領域的兩個十分重要的概念。然而,對這兩個概念的含義往往有不同的理解。希望通過本文所引發的討論能對統一這兩個概念的理解有所幫助。
在GB17859中.身份鑒別指的是用戶身份的鑒別,包括用戶標識和用戶鑒別。在這里.用戶標識解決注冊用戶在一個信息系統中的惟一性問題.用戶鑒別則解決用戶在登錄一個信息系統時的真實性問題。一般情況下.當用戶注冊到一個系統時,系統應給出其惟一性的標識.并確定對其進行鑒別使用的信息(該信息應是保密的、并且是難以仿造的.一方面以一定方式提供給用戶.另一方面由系統保存)。當用戶登錄到該系統時,用戶應提供鑒別信息,系統則根據注冊時所保留的鑒別信息對用戶所提供的鑒別信息的真實性進行鑒別。
其實.從更廣義的范圍來講.信息系統中的身份鑒別應包括用戶身份鑒別和設備身份鑒別.用戶身份鑒別又分為注冊用戶的身份鑒別和網上數據交換用戶的身份鑒別。上述GB17859中的身份鑒別主要指的是注冊用戶的身份鑒別。網上數據交換時用戶的身份鑒別是指非注冊用戶間進行數據交換時的身份鑒別。也就是通常所說的在相互不知道對方身份的情況下,又要確認對方身份的真實、可信.從而確認數據交換的可信賴性。這就需要通過所謂的可信第三方(如由CA系統提供的認證機制)實現數據交換雙方身份的真實性認證。關于設備的身份鑒別.其實與注冊用戶的身份鑒別沒有多大區別.只是鑒別的對象是接入系統的設備而已。對接入系統的設備進行身份鑒別.同樣要先對其進行注冊,并在注冊時確定鑒別信息(鑒別信息既與設備相關聯.又由系統保留)。當需要將設備接入系統時.被接入設備需提供鑒別信息,經系統確認其身份的真實性后方可接入。
訪問控制在GB17859中同樣有其特定的含義.并對自主訪問控制和強制訪問控制的策略做了具體的說明。其實.訪問控制在更廣的范圍有著更廣泛的含義。在許多情況下.人們往往把身份鑒別也稱作是一種訪問控制。如果我們把是否允許登錄系統看作是是否允許對系統進行訪問.把身份鑒別稱為訪問控制也未嘗不可。問題是需要對其具體含義做清晰的描述。這也是我們為什么把身份鑒別與訪問控制這兩個概念一起進行討論的原因 談到訪問控制.首先必須對訪問控制的粒度有所了解。訪問控制講的是對主體訪問客體的控制。粒度顯然涉及主體和客體兩個方面。主體一般是以用戶為單位實施訪問控制(劃分用戶組只是對相同訪問權限用戶的一種管理方法).網絡用戶也有以IP地址為單位實施訪問控制的。客體的訪問控制粒度由粗到細可以是整個應用系統 某個網絡系統.某個服務器系統,某個操作系統.某個數據庫管理系統、某個文件 某個數據庫.數據庫中的某個表 甚至庫表中的某個記錄或字段等。一般來講 對整個系統(包括信息系統、網絡系統、服務器系統、操作系統、數據庫管理系統、應用系統等)的訪問.通常是采用身份鑒別的方法進行控制.也就是相對的粗粒度訪問控制。細粒度的訪問控制,通常是指在操作系統、數據庫管理系統中所提供的用戶對文件或數據庫表、記錄/字段的訪問所進行的控制.也就是GB17859中所描述的經典的訪問控制。這類訪問控制分為自主訪問控制和強制訪問控制兩種。當然也可以在網關等處設置以服務器為對象的自主訪問控制或強制訪問控制機制,實現以服務器為粒度的訪問控制。
所謂自主訪問控制是指由系統提供用戶有權對自身所創建的訪問對象(文件、數據庫表等)進行訪問.并有權將對這些對象的訪問權授予其他用戶和從授予權限的用戶收回其訪問權限。訪問對象的創建者還有權進行授權轉讓” 即將 授予其他用戶訪問權限 的權限轉讓給別的用戶。需要特別指出的是,在一些系統中.往往是由系統管理員充當訪問對象的創建者角色 并進行訪問授權 而在其后通過”授權轉讓 將權限轉讓給指定用戶.于是容易引起這種訪問控制不是由用戶自主決定訪問權限的誤會。
所謂強制訪問控制是指由系統(通過專門設置的系統安全員)對用戶所創建的對象進行統一的強制性控制,按照確定的規則決定哪些用戶可以對哪些對象進行哪些操作類型的訪問,即使是創建者用戶,在創建一個對象后.也可能無權訪問該對象。強制訪問控制常見的安全模型是Bell—La padula模型(也稱多級安全模型)。該模型的安全策略分為強制訪問和自主訪問兩部分。自主訪問控制允許用戶自行定義其所創建的數據.它以一個訪問矩陣表示包括讀、寫、執行、附加以及控制等訪問模式。由于它的自主訪問控制策略已廣為人們熟知。所以在提到多級安全模型時.往往重點探討其強制訪問控制策略。多級安全模型的強制訪問控制策略以等級和范疇 作為其主、客體的敏感標記,并施以”從下讀、向上寫”的簡單保密性規則。需要強調的是.作為敏感標記的等級和范疇.必須由專門設置的系統安全員,通過由系統提供的專門界面設置和維護.敏感標記的改變意味著訪問權限的改變。因此可以說.所有用戶的訪問權限完全是由安全員根據需要決定的。強制訪問控制還有其他安
全策略 比如 角色授權管理。該安全策略將系統中的訪問操作按角色進行分組管理。一種角色執行一組操作.由系統安全員統一進行授權。當授予某個用戶某一角色時,該用戶就具有執行該角色所對應的一組操作的權限。當安全員撤銷其授予用戶的某一角色時,相應的操作權限也就被撤銷。這完全類似于現實社會中對領導職務的任命和撤銷。這一策略的訪問權限也是通過安全員通過角色授權決定的。
與訪問控制相關聯的另一個十分重要的概念是 用戶一主體綁定。這一概念的引入.對多用戶環境、進程動態運行所實施的訪問操作的控制提供了支持。作為動態運行的系統進程.它在不同時間段為不同的用戶服務 因而無法為其設置固定的敏感標記。通過用戶一主體綁定機制.可以將進程動態地與其所服務的用戶相關聯。于是.在任何時候.進程所實施的訪問操作都能夠通過這種關聯找到其所服務的用戶,也就能找到實施強制訪問控制的主體。操作是由進程實施的.而確定是否允許進行此次訪問的主體對象卻是進程為其服務的用戶
第二篇:訪問控制策略配備管理制度
訪問控制策略配備管理制度
[日期:2010-12-18] 作者: 瀏覽:367
第一章 總則
第一條 為加強對網絡層和系統層的訪問控制,對網絡設備和安全專用設備,以及操作系統和數據庫系統的安全配置和日常運行進行管理,保障信息網絡的安全、穩定運行,特制訂本制度。
第二條 本制度暫時適用于海南電網公司(以下簡稱公司)本部的信息系統的所有網絡設備和安全專用設備,以及操作系統和數據庫系統的訪問控制策略配置管理。分公司、直屬各單位及其他聯網單位可參照執行。
第二章 訪問控制策略的制定
第三條 公司本部的信息管理部門負責訪問控制策略的制定和組織實施工作,并指定網絡管理員協同系統管理員、數據庫管理員負責有關工作。
第四條 在制定本單位的網絡訪問控制策略、操作系統訪問控制策略和數據庫系統訪問控制策略前,應掌握以下已形成文檔的資料,并必須根據變化作出即時的更新:
公司域網的詳細網絡結構; 各個業務應用系統的安全要求; 各個業務應用系統的數據流情況;
不同系統及網絡之間的訪問控制及數據傳輸要求; 各種連接的訪問權限;
各個服務器系統及其承載應用服務的安全要求; 各個服務器操作系統的訪問控制及安全要求; 各個服務器數據庫系統的訪問控制及安全要求; 各個終端計算機或各種用戶群的訪問控制及安全要求。
第五條 制定的訪問控制策略要求體現以上文檔的要求,并根據以上文檔的更新作出相應的修改。制定的網絡訪問控制策略必須包含內部遠程訪問控制和外部遠程訪問控制兩部分;制定的操作系統和數據庫系統訪問控制策略必須包含特權用戶和普通用戶兩部分;還應制定對各種用戶群的訪問控制策略。第六條 內部遠程訪問是指公司內部人員通過撥號等方式遠程接入本單位的內部公司域網。如用戶確因工作需要要求內部遠程訪問,應填寫《內部人員遠程訪問審批表》(參見附表1)。經被遠程登錄方信息管理部門負責人批準同意后,由被遠程登錄方網絡管理員分配遠程訪問的用戶名和口令。批準遠程訪問的時間結束后,網絡管理員應及時變更遠程訪問的用戶名和口令。
第七條 外部遠程訪問是指外單位人員因故需通過撥號方式對信息系統進行遠程登錄維護,或外單位因業務需要需通過撥號方式接入等。進行外部遠程訪問前,有關業務系統的系統管理員應填寫《外部人員遠程訪問審批表》(參見附表2),并要得到信息管理部門負責人以及有關業務管理部門負責人批準。對于需進行遠程登錄維護的情況,有關系統的系統管理員應監控整個外部遠程訪問過程,確保系統安全,并且在外部遠程訪問結束后,應及時拔掉電話線,關閉調制解調器的電源,并更改用于外部遠程訪問的用戶名和口令。
第八條 網絡及安全專用設備訪問控制。內部網絡所使用的關鍵網絡設備及安全專用設備的用戶名和口令應由專人管理,并定期修改。用于管理有關設備的客戶端軟件應由專人管理,未經信息系統運行管理部門負責人同意,任何個人不得擅自安裝或使用。第九條 不同網絡之間的訪問控制。公司本部以及直屬供電公司的內部網絡應根據各個生產業務系統的安全要求,采用物理分開或虛擬網等方式劃分開不同的網絡。不同網絡之間應該有明確的邊界,在邊界應設置相應的網絡安全設備,并根據不同網絡的安全要求設置訪問控制策略,在不同網絡之間實現有效的流量和訪問控制。
第十條 系統主機訪問控制。系統主機操作系統和數據庫系統的超級用戶口令必須由專人保管、每月修改,注意保密。系統用戶和一般用戶的添加及權限的設定,需要按照系統運行安全管理制度要求填寫《操作系統帳戶授權審批表》或《數據庫系統帳戶授權審批表》,應經系統業務主管部門審批同意,由系統管理員統一處理,并建立用戶資料檔案。
第三章 訪問控制策略的管理
第十一條 訪問控制策略的制定、修改、審批管理。策略的制定、修改應提出申請,填寫《訪問策略變更審批表》(附表3),并經信息中心審批。審批同意后方可按照策略修改有關設備的配置,并要求做好相關的記錄。
第十二條 網絡管理員、系統管理員、數據庫管理員和網絡安全審計員原則上要求由不同的人專職或兼職擔任。
網絡安全審計員負責每月檢查各種設備的配置及日志紀錄,確定網絡管理員、系統管理員、數據庫管理員完全按照經過審批的網絡訪問控制策略配置有關設備且沒有做過不正常的修改。
第十三條 網絡管理人員、系統管理員、數據庫管理員和網絡安全審計員應分別每季度向信息中心的負責人報告有關設備的的運行情況及審計情況,以備檢查。有關的文檔應歸檔保存。第四章 附則
第十四條 本制度由海南電網公司信息中心負責解釋。
第十五條 本規定自頒布之日起實行,有新的修改版本頒布后,本規定自行終止
(責任編輯:張丹)
第三篇:訪問控制總結報告
1.訪問控制概念
訪問控制是計算機發展史上最重要的安全需求之一。美國國防部發布的可信計算機系統評測標準(Trusted Computer System Evaluation Criteria,TCSEC,即橘皮書),已成為目前公認的計算機系統安全級別的劃分標準。訪問控制在該標準中占有極其重要的地位。安全系統的設計,需要滿足以下的要求:計算機系統必須設置一種定義清晰明確的安全授權策略;對每個客體設置一個訪問標簽,以標示其安全級別;主體訪問客體前,必須經過嚴格的身份認證;審計信息必須獨立保存,以使與安全相關的動作能夠追蹤到責任人。從上面可以看出來,訪問控制常常與授權、身份鑒別和認證、審計相關聯。
設計訪問控制系統時,首先要考慮三個基本元素:訪問控制策略、訪問控制模型以及訪問控制機制。其中,訪問控制策略是定義如何管理訪問控制,在什么情況下誰可以訪問什么資源。訪問控制策略是動態變化的。訪問控制策略是通過訪問機制來執行,訪問控制機制有很多種,各有優劣。一般訪問控制機制需要用戶和資源的安全屬性。用戶安全屬性包括用戶名,組名以及用戶所屬的角色等,或者其他能反映用戶信任級別的標志。資源屬性包括標志、類型和訪問控制列表等。為了判別用戶是否有對資源的訪問,訪問控制機制對比用戶和資源的安全屬性。訪問控制模型是從綜合的角度提供實施選擇和計算環境,提供一個概念性的框架結構。
目前人們提出的訪問控制方式包括:自主性訪問控制、強訪問控制、基于角色的訪問控制等。
2.訪問控制方式分類
2.1 自主訪問控制
美國國防部(Department of Defense,DoD)在1985年公布的“可信計算機系統評估標準(trusted computer system evaluation criteria,TCSEC)”中明確提出了訪問控制在計算機安全系統中的重要作用,并指出一般的訪問控制機制有兩種:自主訪問控制和強制訪問控制。自主訪問控制(DAC)根據訪問請求者的身份以及規定誰能(或不能)在什么資源進行什么操作的訪問規則來進行訪問控制,即根據主體的標識或主體所屬的組對主體訪問客體的過程進行限制。在DAC系統中,訪問權限的授予可以進行傳遞,即主體可以自主地將其擁有的對客體的訪問權限(全部或部分地)授予其它主體。DAC根據主體的身份及允許訪問的權限進行決策。自主是指具有某種訪問能力的主體能夠自主地將訪問權的某個子集授予其它主體。在DAC系統中,由于DAC可以將訪問權限進行傳遞,對于被傳遞出去的訪問權限,一般很難進行控制。比如,當某個進程獲得了信息之后,該信息的流動過程就不再處于控制之中,就是說如果A可訪問B,B可訪問C,則A就可訪問C,這就導致主體對客體的間接訪問無法控制(典型如操作系統中文件系統)。這就造成資源管理分散,授權管理困難;用戶間的關系不能在系統中體現出來;信息容易泄漏,無法抵御特洛伊木馬的攻擊;系統開銷巨大,效率低下的缺點,不適合大型網絡應用環境。2.2 強訪問控制
強制訪問控制(MAC)根據中央權威所確定的強制性規則來進行訪問控制。和DAC不同,強制訪問控制并不具備訪問主體自主性,主體必須在由中央權威制定的策略規則約束下對系統資源進行訪問。強制訪問控制是一種不允許主體干涉的訪問控制類型,是基于安全標識和信息分級等信息敏感性的訪問控制。在MAC中,系統安全管理員強制分配給每個主/客體一個安全屬性,強制訪問控制根據安全屬性來決定主體是否能訪問客體。安全屬性具有強制性,不能隨意更改。
MAC最早出現在美國軍方的安全體制中,并且被美國軍方沿用至今。在MAC方案中,每個目標由安全標簽分級,每個對象給予分級列表的權限。分級列表指定哪種類型的分級目標對象是可以訪問的。典型安全策略就是“read-down”和“write-up”,指定對象權限低的可以對目標進行讀操作,權限高的就可以對目標進行寫操作。MAC通過基于格的非循環單向信息流政策來防止信息的擴散,抵御特洛伊木馬對系統保密性的攻擊。系統中,每個主體都被授予一個安全證書,而每個客體被指定為一定的敏感級別。MAC的兩個關鍵規則是:不向上讀和不向下寫,即信息流只能從低安全級向高安全級流動。任何違反非循環信息流的行為都是被禁止的。MAC實現一般采用安全標簽機制,由于安全標簽的數量是非常有限的,因此在授權管理上體現為粒度很粗。但是由于MAC本身的嚴格性,授權管理方式上顯得刻板,不靈活。如果主體和權限的數量龐大,授權管理的工作量非常大。在MAC中,允許的訪問控制完全是根據主體和客體的安全級別決定。其中主體(用戶、進程)的安全級別是由系統安全管理員賦予用戶,而客體的安全級別則由系統根據創建它們的用戶的安全級別決定。因此,強制訪問控制的管理策略是比較簡單的,只有安全管理員能夠改變主體和客體的安全級別。MAC應用領域也比較窄,使用不靈活,一般只用于軍方等具有明顯等級觀念的行業或領域;雖然MAC增強了機密性,但完整性實施不夠,它重點強調信息向高安全級的方向流動,對高安全級信息的完整性保護強調不夠。
2.3 基于角色訪問控制
隨著網絡技術的迅速發展,對訪問控制提出了更高的要求,傳統的訪問控制技術(DAC,MAC)已經很難滿足這些需求,于是提出了新型的基于角色的訪問控制(RBAC)。RBAC有效地克服了傳統訪問控制技術的不足,降低授權管理的復雜度,降低管理成本,提高系統安全性,成為近幾年訪問控制領域的研究熱點。
最早使用RBAC這個術語,是在1992年Ferraiolo和Kuhn發表的文章中。提出了RBAC中的大部分術語,如,角色激活(Role Activation),角色繼承(Role Hierarchy),角色分配時的約束(Constraints)等等。因為RBAC借鑒了較為人們熟知的用戶組、權限組和職責分離(Separation of Duty)等概念,而且,以角色為中心的權限管理更為符合公司和企業的實際管理方式。Ferraiolo和Sandhu等人分別在1994年后提出了有關RBAC模型的早期形式化定義,其中,Sandhu等人定義了RBAC模型的一個比較完整的框架,即RBAC96模型。RBAC1和RBAC2都建立在RBAC0之上,RBAC1給出了角色繼承的概念,RBAC2增加了約束的概念。在擴展研究中,RBAC管理方面,研究者試圖采用RBAC本身來管理RBAC,于是,出現ARBAC97模型及其擴展,這些模型讓管理角色及其權限獨立于常規角色及其權限。第二是RBAC功能方面。研究者通過擴展RBAC的約束來增強它的表達能力,以適應不同情況下的權限管理。最初的約束是用來實現權責分離,后來又出現了其他的約束,如,約束角色的用戶數目,增加了時間約束的TRBAC模型,增加了權限使用次數的UCRBAC模型,帶有使用范圍的靈活約束,采用形式化的語言來描述RBAC的約束,如RCL2000語言、對象約束語言(OCL, Object Constraint Language)和其他語言等。第三,是討論RBAC與其他訪問控制模型的關系。第四是RBAC在各個領域的應用。美國國家標準與技術研究院(The National Institute of Standards and Technology,NIST)制定的標準RBAC模型由4個部件模型組成,這4個部件模型包括RBAC的核心(Core RBAC),RBAC的繼承(Hierarchal RBAC),RBAC的約束(Constraint RBAC)中的靜態職權分離(SSD)和動態職權分離(DSD)兩個責任分離部件模型。
RBAC的核心思想就是將訪問權限與角色相聯系,通過給用戶分配合適的角色,讓用戶與訪問權限相聯系。角色是根據企業內為完成各種不同的任務需要而設置的,根據用戶在企業中的職權和責任來設定它們的角色。用戶可以在角色間進行轉換,系統可以添加、刪除角色,還可以對角色的權限進行添加、刪除。這樣通過應用RBAC將安全性放在一個接近組織結構的自然層面上進行管理。在DAC和MAC系統中,訪問權限都是直接授予用戶,而系統中的用戶數量眾多,且經常變動,這就增加了授權管理的復雜性。RBAC彌補了這方面的不足,簡化了各種環境下的授權管理。RBAC模型引入了角色(role)這一中介,實現了用戶(user)與訪問許可權(permission)的邏輯分離。在RBAC系統模型中,用戶是動態變化的,用戶與特定的一個或多個角色相聯系,擔任一定的角色。角色是與特定工作崗位相關的一個權限集,角色與一個或多個訪問許可權相聯系,角色可以根據實際的工作需要生成或取消。用戶可以根據自己的需要動態激活自己擁有的角色。與用戶變化相比,角色變化比較穩定。系統將訪問權限分配給角色,當用戶權限發生變化時,只需要執行角色的撤消和重新分配即可。另外,通過角色繼承的方法可以充分利用原來定義的角色,使得各個角色之間的邏輯關系清晰可見,同時又避免了重復工作,減小了出錯幾率。2.4 基于上下文的訪問控制
CBAC是在RBAC研究的基礎上產生的。CBAC是把請求人所處的上下文環境作為訪問控制的依據。基于上下文的訪問控制,可以識別上下文,同時,其策略管理能夠根據上下文的變化,來實現動態的自適應。一般地,基于上下文的訪問控制利用了語義技術,以此實現上下文和策略的更高層次的描述和推理。
2.5 基于任務的訪問控制
隨著數據庫、網絡和分布式計算的發展,組織任務進一步自動化,與服務相關的信息進一步計算機化,為了解決隨著任務的執行而進行動態授權的安全保護問題,提出了基于任務的訪問控制(Task-based Access Control,TBAC)模型。TBAC是從應用和企業層角度來解決安全問題(而非從系統角度)。TBAC采用“面向服務”的觀點,從任務的角度,建立安全模型和實現安全機制,依據任務和任務狀態的不同,在任務處理的過程中提供動態實時的安全管理。TBAC模型包括工作流(Work flow, Wf),授權結構體(Authorization unit, Au),受托人集(Trustee-Set, T),許可集(Permissions, P)四部分。其中,Wf是由一系列Au組成;Au之間存在{順序依賴,失敗依賴,分權依賴,代理依賴}的關系。在TBAC中,授權需用五元組(S,O,P,L,AS)來表示。
(1)S表示主體,O表示客體,P表示許可,L表示生命期(lifecycle);
(2)AS表示授權步(Authorization step),是指在一個工作流程中對處理對象(如辦公流程中的原文檔)的一次處理過程。授權步由受托人集(trustee-set)和多個許可集(permissions set)組成,其中,受托人集是可被授予執行授權步的用戶的集合,許可集則是受托集的成員被授予授權步時擁有的訪問許可。
(3)P是授權步AS所激活的權限,L則是授權步AS的存活期限。
L和AS是TBAC不同于其他訪問控制模型的顯著特點。在授權步AS被觸發之前,它的保護態是無效的,其中包含的許可不可使用。當授權步AS被觸發時,它的委托執行者開始擁有執行者許可集中的權限,同時它的生命期開始倒記時。在生命期期間,五元組(S,O,P,L,AS)有效。當生命期終止,即授權步AS被定為無效時,五元組(S,O,P,L,AS)無效,委托執行者所擁有的權限被回收。通過授權步的動態權限管理,TBAC可以支持最小權限和職責分離原則。
TBAC是一種主動安全模型,在這種模型中,對象的訪問權限控制并不是靜止不變的,而是隨著執行任務的上下文環境發生變化。TBAC是從工作流的環境來考慮信息安全問題。在工作流環境中,每一步對數據的處理都與以前的處理相關,相應的訪問控制也是這樣,因此,TBAC是一種上下文相關的訪問控制模型。TBAC不僅能對不同工作流實行不同的訪問控制策略,而且還能對同一工作流的不同任務實例(instance)實行不同的訪問控制策略,所以,TBAC又是一種基于實例的訪問控制模型。在TBAC中,用戶對于授予的權限的使用具有時效性的。TBAC比較適合分布式計算和多點訪問控制的信息處理控制以及在工作流、分布式處理和事務管理系統中的決策指定。T-RBAC模型把任務和角色置于同等重要的地位,它們是兩個獨立而又相互關聯的重要概念。任務是RBAC和TBAC能結合的基礎。
2.6 基于屬性的訪問控制
在開放環境下(如互聯網)不同的客戶端和服務器頻繁交互,這些交互方有時處于不同的安全域之內,相互只能知道對方部分信息。傳統的基于身份的訪問控制(IBAC)已不能適用于這種環境,基于屬性的訪問控制(ABAC)能夠很好地適應這種開放的網絡環境。
基于屬性的訪問控制模型(ABAC)是根據參與決策的相關實體的屬性來進行授權決策的。ABAC中的基本元素包括請求者,被訪問資源,訪問方法和條件,這些元素統一使用屬性來描述,各個元素所關聯的屬性可以根據系統需要定義。屬性概念將訪問控制中對所有元素的描述統一起來,同時擺脫了基于身份的限制。在ABAC中,策略中的訪問者是通過訪問者屬性來描述,同樣,被訪問資源、訪問方法也是通過資源和方法的屬性來描述,而條件用環境屬性來描述。環境屬性通常是一類不屬于主體,資源和方法的動態屬性,如訪問時間,歷史信息等。條件有時也會用來描述不同類型屬主具有的屬性之間的關系,如訪問者的某一屬性與資源的某一屬性之間的關系。ABAC是否允許一個主體訪問資源是根據請求者、被訪問資源以及當前上下文環境的相關屬性來決定的。這使得ABAC具有足夠的靈活性和可擴展性,同時使得安全的匿名訪問成為可能,這在大型分布式環境下是十分重要的[931。XACML集中體現了CBAC和ABAC的思想,利用上下文中包含的請求方的屬性信息,與事前制定的策略進行匹配,來進行訪問控制決策和授權。2.7 基于信譽的訪問控制
1996年,M.Blaze等人為了解決Internet網絡服務的安全問題,首次提出了“信任管理(Trust Management)”的概念,其基本思想是承認開放系統中安全信息的不完整性,提出系統的安全決策需要附加的安全信息。與此同時,A.Adul-Rahman等學者則從信任的概念出發,對信任內容和信任程度進行劃分,并從信任的主觀性入手給出信任的數學模型用于信任評估。長期以來,信任管理技術演化發展為兩個分支:基于憑證和策略的理性信任模型和基于信譽的感性信任模型。針對網格應用具體環境,這兩種模型各有優缺點。對于理性信任模型而言,由于在廣域網格環境下缺乏公共認可的權威機構,憑證并不完全可靠,也并不一定能通行無阻;而且完全依靠認證中心,弱化了個體的自我信任,而盲目信任大范圍內的認證中心,往往會無法解決個體間的利益沖突。在基于信譽的感性信任模型中,也存在著很多問題:存在著評價空白時“信”與“不信”的臨界兩難狀態;對惡意行為的免疫力不強,譬如對惡意推薦缺乏行之有效的過濾方法,對策略型欺騙行為缺乏有效的識別和抑制;對評價反饋行為缺乏激勵,從而容易導致系統中信譽證據的不足;缺乏對多種上下文環境下的信譽評估進行綜合集成的能力等。傳統的訪問控制實際上是基于信任管理中的理性信任模型。
基于信譽的訪問控制,基于信任管理的感性信任模型,是將訪問請求方的信譽度作為衡量是否授權的標準的訪問控制技術,是一種比較新的訪問控制技術。基于信譽的訪問控制的核心目標是為了更好的實現預期收益,同時應對授權行為帶給服務提供方的不確定性、脆弱性和風險性問題。其根據請求方的當前及歷史狀態,評估其信譽,并設置信任閾值是達到上述目標的有效手段。此外,基于信譽的訪問控制可以實現提供方的其他目標:
1、根據必須滿足的信任條件將權限分級。不同的權限對于實現提供方預期收益是不同的,所以不同的權限所要求的信任條件也是不同的;
2、利用信譽度對請求方進行篩選,選擇合適的請求方進行授權,以盡可能的實現提供方的預期收益。目前該類訪問控制的研究主要涉及以下問題:(1)信譽的表述和度量;(2)由經驗推薦所引起的信譽度推導和綜合計算。(3)信任閾值的動態衍生等。
3.總結
總之,根據以上訪問控制分類,我們得知授權是根據實體所對應的特定身份或其他特征而賦予實體權限的過程,通常是以訪問控制的形式實現的。訪問控制是為了限制訪問主體(或稱為發起者,是一個主動的實體,如用戶、進程、服務等)對訪問客體(需要保護的資源)的訪問權限,從而使計算機系統在合法范圍內使用;訪問控制機制決定用戶及代表一定用戶利益的程序能做什么以及做到什么程度。訪問控制依據特定的安全策略和執行機制以及架構模型保證對客體的所有訪問都是被認可的,以保證資源的安全性和有效性。
第四篇:access-list(訪問控制列表)總結
access-list(訪問控制列表)總結
ACL的作用
ACL可以限制網絡流量、提高網絡性能。例如,ACL可以根據數據包的協議,指定數據包的優先級。
ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量。
ACL是提供網絡安全訪問的基本手段。如圖1所示,ACL允許主機A訪問人力資源網絡,而拒絕主機B訪問。
ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。ACL的配置
ACL的配置分為兩個步驟:
第一步:在全局配置模式下,使用下列命令創建ACL:
Router(config)# access-list access-list-number {permit | deny } {test-conditions}
其中,access-list-number為ACL的表號。人們使用較頻繁的表號是標準的IP ACL(1—99)和擴展的IP ACL(100-199)。
第二步:在接口配置模式下,使用access-group命令ACL應用到某一接口上:
Router(config-if)# {protocol} access-group access-list-number {in | out }
其中,in和out參數可以控制接口中不同方向的數據包,如果不配置該參數,缺省為out。ACL在一個接口可以進行雙向控制,即配置兩條命令,一條為in,一條為out,兩條命令執行的ACL表號可以相同,也可以不同。但是,在一個接口的一個方向上,只能有一個ACL控制。
值得注意的是,在進行ACL配置時,網管員一定要先在全局狀態配置ACL表,再在具體接口上進行配置,否則會造成網絡的安全隱患。訪問控制列表使用目的:
1、限制網絡流量、提高網絡性能。例如隊列技術,不僅限制了網絡流量,而且減少了擁塞
2、提供對通信流量的控制手段。例如可以用其控制通過某臺路由器的某個網絡的流量
3、提供了網絡訪問的一種基本安全手段。例如在公司中,允許財務部的員工計算機可以訪問財務服務器而拒絕其他部門訪問財務服務器
4、在路由器接口上,決定某些流量允許或拒絕被轉發。例如,可以允許FTP的通信流量,而拒絕TELNET的通信流量。
工作原理:
ACL中規定了兩種操作,所有的應用都是圍繞這兩種操作來完成的:允許、拒絕
注意:ACL是CISCO IOS中的一段程序,對于管理員輸入的指令,有其自己的執行順序,它執行指令的順序是從上至下,一行行的執行,尋找匹配,一旦匹配則停止繼續查找,如果到末尾還未找到匹配項,則執行一段隱含代碼——丟棄DENY.所以在寫ACL時,一定要注意先后順序。ACL是一組判斷語句的集合,它主要用于對如下數據進行控制:
1、入站數據;
2、出站數據;
3、被路由器中繼的數據
因為標準的ACL只能針對源進行控制,如果把它放在離源最近的地方,那么就會造成不必要的數據包丟失的情況,一般將標準ACL放在離目標最近的位置.簡單比較以下標準和擴展ACL
標準ACL僅僅只針對源進行控制
擴展ACL可以針對某種協議、源、目標、端口號來進行控制
從命令行就可看出
標準:
Router(config)#access-list list-number
擴展:
Router(config)#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]
Protocol—用來指定協議類型,如IP、TCP、UDP、ICMP以及IGRP等
Source and destination—源和目的,分別用來標示源地址及目的地址
Source-mask and destination-mask—源和目的的通配符掩碼
Operator operand—It,gt,eq,neq(分別是小于、大于、等于、不等于)和一個端口號
Established—如果數據包使用一個已建連接(例如,具有ACK位組),就允許TCP信息通過 ACL不能對穿越路由器的廣播流量作出有效控制。
ACL的另一個作用,那就是過濾穿越路由器的流量。這里要注意了,是“穿越”路由器的流量才能被ACL來作用,但是路由器本身產生的流量,比如路由更新報文等,ACL是不會對它起任何作用的:因為ACL不能過濾由路由器本身產生的流量.為了避免過多的查表,所以擴展ACL一般放置在離源最近的地方 PING使用的是ICMP協議
路由器常用命令大全 Access-enable允許路由器在動態訪問列表中創建臨時訪問列表入口 Access-group把訪問控制列表(ACL)應用到接口上 Access-list定義一個標準的IP ACL Access-template在連接的路由器上手動替換臨時訪問列表入口 Appn向APPN子系統發送命令 Atmsig 執行ATM信令命令 B 手動引導操作系統 Bandwidth 設置接口的帶寬 Banner motd 指定日期信息標語 Bfe 設置突發事件手冊模式
Boot system 指定路由器啟動時加載的系統映像 Calendar 設置硬件日歷 Cd 更改路徑
Cdp enable 允許接口運行CDP協議 Clear 復位功能
Clear counters 清除接口計數器
Clear interface 重新啟動接口上的件邏輯
Clockrate 設置串口硬件連接的時鐘速率,如網絡接口模塊和接口處理器能接受的速率 Cmt 開啟/關閉FDDI連接管理功能 Config-register 修改配置寄存器設置
Configure 允許進入存在的配置模式,在中心站點上維護并保存配置信息 Configure memory 從NVRAM加載配置信息 Configure terminal 從終端進行手動配置 Connect 打開一個終端連接 Copy 復制配置或映像數據
Copy flash tftp 備份系統映像文件到TFTP服務器
Copy running-config startup-config 將RAM中的當前配置存儲到NVRAM Copy running-config tftp 將RAM中的當前配置存儲到網絡TFTP服務器上 Copy tftp flash 從TFTP服務器上下載新映像到Flash Copy tftp running-config 從TFTP服務器上下載配置文件 Debug 使用調試功能
Debug dialer 顯示接口在撥什么號及諸如此類的信息 Debug ip rip 顯示RIP路由選擇更新數據
Debug ipx routing activity 顯示關于路由選擇協議(RIP)更新數據包的信息 Debug ipx sap 顯示關于SAP(業務通告協議)更新數據包信息
Debug isdn q921 顯示在路由器D通道ISDN接口上發生的數據鏈路層(第2層)的訪問過程 Debug ppp 顯示在實施PPP中發生的業務和交換信息 Delete 刪除文件
Deny 為一個已命名的IP ACL設置條件
Dialer idle-timeout 規定線路斷開前的空閑時間的長度 Dialer map 設置一個串行接口來呼叫一個或多個地點
Dialer wait-for-carrier-time 規定花多長時間等待一個載體 Dialer-group 通過對屬于一個特定撥號組的接口進行配置來訪問控制
Dialer-list protocol 定義一個數字數據接受器(DDR)撥號表以通過協議或ACL與協議的組合來控制控制撥號
Dir 顯示給定設備上的文件 Disable 關閉特許模式 Disconnect 斷開已建立的連接 Enable 打開特許模式
Enable password 確定一個密碼以防止對路由器非授權的訪問
Enable password 設置本地口令控制不同特權級別的訪問
Enable secret 為enable password命令定義額外一層安全性(強制安全,密碼非明文顯示)Encapsulation frame-relay 啟動幀中繼封裝
Encapsulation novell-ether 規定在網絡段上使用的Novell獨一無二的格式 Encapsulation PPP 把PPP設置為由串口或ISDN接口使用的封裝方法
Encapsulation sap 規定在網絡段上使用的以太網802.2格式Cisco的密碼是sap End 退出配置模式
Erase 刪除閃存或配置緩存
Erase startup-config 刪除NVRAM中的內容
Exec-timeout 配置EXEC命令解釋器在檢測到用戶輸入前所等待的時間 Exit 退出所有配置模式或者關閉一個激活的終端會話和終止一個EXEC Exit 終止任何配置模式或關閉一個活動的對話和結束EXEC format 格式化設備
Frame-relay local-dlci 為使用幀中繼封裝的串行線路啟動本地管理接口(LMI)Help 獲得交互式幫助系統 History 查看歷史記錄
Hostname 使用一個主機名來配置路由器,該主機名以提示符或者缺省文件名的方式使用 Interface 設置接口類型并且輸入接口配置模式 Interface 配置接口類型和進入接口配置模式 Interface serial 選擇接口并且輸入接口配置模式 Ip access-group 控制對一個接口的訪問 Ip address 設定接口的網絡邏輯地址
Ip address 設置一個接口地址和子網掩碼并開始IP處理 Ip default-network 建立一條缺省路由 Ip domain-lookup 允許路由器缺省使用DNS Ip host 定義靜態主機名到IP地址映射
Ip name-server 指定至多6個進行名字-地址解析的服務器地址 Ip route 建立一條靜態路由
Ip unnumbered 在為給一個接口分配一個明確的IP地址情況下,在串口上啟動互聯網協議(IP)的處理過程
Ipx delay 設置點計數
Ipx ipxwan 在串口上啟動IPXWAN協議
Ipx maximum-paths 當轉發數據包時設置Cisco IOS軟件使用的等價路徑數量
Ipx network 在一個特定接口上啟動互聯網數據包交換(IPX)的路由選擇并且選擇封裝的類型(用幀封裝)Ipx router 規定使用的路由選擇協議 Ipx routing 啟動IPX路由選擇
Ipx sap-interval 在較慢的鏈路上設置較不頻繁的SAP(業務廣告協議)更新 Ipx type-20-input-checks 限制對IPX20類數據包廣播的傳播的接受
Isdn spid1 在路由器上規定已經由ISDN業務供應商為B1信道分配的業務簡介號(SPID)Isdn spid2 在路由器上規定已經由ISDN業務供應商為B2信道分配的業務簡介號(SPID)Isdntch-type 規定了在ISDN接口上的中央辦公區的交換機的類型 Keeplive 為使用幀中繼封裝的串行線路LMI(本地管理接口)機制 Lat 打開LAT連接
Line 確定一個特定的線路和開始線路配置 Line concole 設置控制臺端口線路
Line vty 為遠程控制臺訪問規定了一個虛擬終端 Lock 鎖住終端控制臺
Login 在終端會話登錄過程中啟動了密碼檢查 Login 以某用戶身份登錄,登錄時允許口令驗證 Logout 退出EXEC模式
Mbranch 向下跟蹤組播地址路由至終端 Media-type 定義介質類型
Metric holddown 把新的IGRP路由選擇信息與正在使用的IGRP路由選擇信息隔離一段時間 Mrbranch 向上解析組播地址路由至枝端 Mrinfo 從組播路由器上獲取鄰居和版本信息 Mstat 對組播地址多次路由跟蹤后顯示統計數字 Mtrace 由源向目標跟蹤解析組播地址路徑 Name-connection 命名已存在的網絡連接 Ncia 開啟/關閉NCIA服務器
Network 把一個基于NIC的地址分配給一個與它直接相連的路由器把網絡與一個IGRP的路由選擇的過程聯系起來在IPX路由器配置模式下,在網絡上啟動加強的IGRP Network 指定一個和路由器直接相連的網絡地址段 Network-number 對一個直接連接的網絡進行規定 No shutdown 打開一個關閉的接口 Pad 開啟一個X.29 PAD連接
Permit 為一個已命名的IP ACL設置條件
Ping 把ICMP響應請求的數據包發送網絡上的另一個節點檢查主機的可達性和網絡的連通性對網絡的基本連通性進行診斷
Ping 發送回聲請求,診斷基本的網絡連通性 Ppp 開始IETF點到點協議
Ppp authentication 啟動Challenge握手鑒權協議(CHAP)或者密碼驗證協議(PAP)或者將兩者都啟動,并且對在接口上選擇的CHAP和PAP驗證的順序進行規定
Ppp chap hostname 當用CHAP進行身份驗證時,創建一批好像是同一臺主機的撥號路由器
Ppp chap password 設置一個密碼,該密碼被發送到對路由器進行身份驗證的主機命令對進入路由器的用戶名/密碼的數量進行了限制
Ppp pap sent-username 對一個接口啟動遠程PAP支持,并且在PAP對同等層請求數據包驗證過程中使用sent-username和password Protocol 對一個IP路由選擇協議進行定義,該協議可以是RIP,內部網關路由選擇協議(IGRP),開放最短路徑優先(OSPF),還可以是加強的IGRP Pwd 顯示當前設備名
Reload 關閉并執行冷啟動;重啟操作系統 Rlogin 打開一個活動的網絡連接
Router 由第一項定義的IP路由協議作為路由進程,例如:router rip 選擇RIP作為路由協議 Router igrp 啟動一個IGRP的路由選擇過程 Router rip 選擇RIP作為路由選擇協議 Rsh 執行一個遠程命令 Sdlc 發送SDLC測試幀 Send 在tty線路上發送消息
Service password-encryption 對口令進行加密 Setup 運行Setup命令 Show 顯示運行系統信息
Show access-lists 顯示當前所有ACL的內容 Show buffers 顯示緩存器統計信息 Show cdp entry 顯示CDP表中所列相鄰設備的信息 Show cdp interface 顯示打開的CDP接口信息 Show cdp neighbors 顯示CDP查找進程的結果
Show dialer 顯示為DDR(數字數據接受器)設置的串行接口的一般診斷信息 Show flash 顯示閃存的布局和內容信息
Show frame-relay lmi 顯示關于本地管理接口(LMI)的統計信息 Show frame-relay map 顯示關于連接的當前映射入口和信息
Show frame-relay pvc 顯示關于幀中繼接口的永久虛電路(pvc)的統計信息 Show hosts 顯示主機名和地址的緩存列表
Show interfaces 顯示設置在路由器和訪問服務器上所有接口的統計信息 Show interfaces 顯示路由器上配置的所有接口的狀態 Show interfaces serial 顯示關于一個串口的信息 Show ip interface 列出一個接口的IP信息和狀態的小結 Show ip interface 列出接口的狀態和全局參數
Show ip protocols 顯示活動路由協議進程的參數和當前狀態 Show ip route 顯示路由選擇表的當前狀態 Show ip router 顯示IP路由表信息
Show ipx interface 顯示Cisco IOS軟件設置的IPX接口的狀態以及每個接口中的參數 Show ipx route 顯示IPX路由選擇表的內容 Show ipx servers 顯示IPX服務器列表 Show ipx traffic 顯示數據包的數量和類型
Show isdn active 顯示當前呼叫的信息,包括被叫號碼、建立連接前所花費的時間、在呼叫期間使用的自動化操作控制(AOC)收費單元以及是否在呼叫期間和呼叫結束時提供AOC信息
Show isdn ststus 顯示所有isdn接口的狀態、或者一個特定的數字信號鏈路(DSL)的狀態或者一個特定isdn接口的狀態
Show memory 顯示路由器內存的大小,包括空閑內存的大小 Show processes 顯示路由器的進程 Show protocols 顯示設置的協議
Show protocols 顯示配置的協議。這條命令顯示任何配置了的第3層協議的狀態 Show running-config 顯示RAM中的當前配置信息
Show spantree 顯示關于虛擬局域網(VLAN)的生成樹信息
Show stacks 監控和中斷程序對堆棧的使用,并顯示系統上一次重啟的原因 Show startup-config 顯示NVRAM中的啟動配置文件 Show ststus 顯示ISDN線路和兩個B信道的當前狀態
Show version 顯示系統硬件的配置,軟件的版本,配置文件的名稱和來源及引導映像 Shutdown 關閉一個接口 Telnet 開啟一個telect連接
Term ip 指定當前會話的網絡掩碼的格式
Term ip netmask-format 規定了在show命令輸出中網絡掩碼顯示的格式 Timers basic 控制著IGRP以多少時間間隔發送更新信息 Trace 跟蹤IP路由
Username password 規定了在CHAP和PAP呼叫者身份驗證過程中使用的密碼 Verify 檢驗flash文件 Where 顯示活動連接
Which-route OSI路由表查找和顯示結果 Write 運行的配置信息寫入內存,網絡或終端 Write erase 現在由copy startup-config命令替換 X3 在PAD上設置X.3參數 Xremote 進入XRemote模式
第五篇:防火墻訪問控制規則配置--教案
訪問控制規則配置
訪問規則描述了網絡衛士防火墻允許或禁止匹配訪問控制規則的報文通過。防火墻接收到報文后,將順序匹配訪問規則表中所設定規則。一旦尋找到匹配的規則,則按照該策略所規定的操作(允許或丟棄)處理該報文,不再進行區域缺省屬性的檢查。如果不存在可匹配的訪問策略,網絡衛士防火墻將根據目的接口所在區域的缺省屬性(允許訪問或禁止訪問),處理該報文。在進行訪問控制規則查詢之前,網絡衛士防火墻將首先查詢數據包是否符合目的地址轉換規則。如果符合目的地址轉換規則,網絡衛士防火墻將把接收的報文的目的IP 地址轉換為預先設置的IP 地址(一般為真實IP)。因此在進行訪問規則設置時,系統一般采用的是真實的源和目的地址(轉換后目的地址)來設置訪問規則;同時,系統也支持按照轉換前的目的地址設置訪問規則,此時,報文將按照轉換前的目的地址匹配訪問控制規則。
根據源、目的配置訪問控制規則
基本需求
系統可以從區域、VLAN、地址、用戶、連接、時間等多個層面對數據報文進行判別和匹配,訪問控制規則的源和目的既可以是已經定義好的VLAN 或區域,也可以細化到一個或多個地址資源以及用戶組資源。與包過濾策略相同,訪問控制規則也是順序匹配的,系統首先檢查是否與包過濾策略匹配,如果匹配到包過濾策略后將停止訪問控制規則檢查。但與包過濾策略不同的是訪問控制規則沒有默認規則。也就是說,如果沒有在訪問控制規則列表的末尾添加一條全部拒絕的規則的話,系統將根據目的接口所在區域的缺省屬性(允許訪問或禁止訪問)處理該報文。
案例:某企業的網絡結構示意圖如下圖所示,網絡衛士防火墻工作在混合模式。Eth0 口屬于內網區域(area_eth0),為交換trunk 接口,同時屬于VLAN.0001 和VLAN.0002,vlan.0001 IP 地址為192.168.1.1,連接研發部門文檔組所在的內網(192.168.1.0/24);vlan.0002 IP 地址為192.168.2.1,連接研發部門項目組所在的內網(192.168.2.0/24)。
圖 25 根據源、目的進行訪問控制示意圖
Eth1 口IP 地址為192.168.100.140,屬于外網area_eth1 區域,公司通過與防火墻Eth1口相連的路由器連接外網。Eth2 口屬于area_eth2 區域,為路由接口,其IP 地址為172.16.1.1,為信息管理部所在區域,有多臺服務器,其中Web 服務器的IP 地址:172.16.1.3。
用戶要求如下:
內網文檔組的機器可以上網,允許項目組領導上網,禁止項目組普通員工上網。
外網和area_eth2 區域的機器不能訪問研發部門內網;
內外網用戶均可以訪問area_eth2 區域的WEB 服務器。
配置要點
設置區域對象的缺省訪問權限:area_eth0、area_eth2 為禁止訪問,area_eth1 為允許訪問。
定義源地址轉換規則,保證內網用戶能夠訪問外網;定義目的地址轉換規則,使得外網用戶可以訪問area_eth2 區域的WEB 服務器。
定義訪問控制規則,禁止項目組除領導外的普通員工上網,允許內網和外網用戶訪問area_eth2 區域的WEB 服務器。
WebUI 配置步驟
1)設定物理接口eth1 和eth2 的IP 地址。
選擇 網絡管理 > 接口,激活“物理接口”頁簽,然后點擊Eth1、Eth2 端口后的“設 置”字段圖標,添加接口的IP 地址。如下圖所示。
2)添加VLAN 虛接口,設定VLAN 的IP 地址,再選擇相應的物理接口加入到已添 加的VLAN 中。
a)選擇 網絡管理 > 二層網絡,激活“VLAN”頁簽,然后點擊“添加/刪除VLAN 范圍”,如下圖所示。
b)設定VLAN 虛接口的IP 地址。
點擊VLAN 虛接口的“修改”字段圖標,在彈出界面中設置VLAN.0001 的IP 為:
192.168.1.1,掩碼為:255.255.255.0;VLAN.0002 的IP 為:192.168.2.1,掩碼為:255.255.255.0。如下圖所示。
c)設定VLAN 和物理接口的關系。
選擇 網絡管理 > 接口,激活“物理接口”頁簽,然后點擊eth0 接口后的“設置” 字段圖標,設置接口信息,如下圖所示。3)定義主機、子網地址對象。
a)選擇 資源管理 > 地址,選擇“主機”頁簽,定義主機地址資源。定義WEB 服 務器主機名稱設為172.16.1.3,IP 為172.16.1.3;定義虛擬WEB 服務器(即WEB 服務器 的在外網區域的虛擬IP 地址)主機名稱設為192.168.100.143, IP 為192.168.100.143;定義 接口主機地址資源192.168.100.140(也可以是其他字符串),主機名稱設為192.168.100.140, IP 為192.168.100.140;定義文檔服務器,主機名稱設為doc_server, IP 為10.10.10.3。定義 完成后的界面如下圖所示:
b)選擇 資源管理 > 地址,選擇“子網”頁簽,點擊“添加”定義子網地址資源。資源名稱rd_group,以及網絡地址192.168.2.0、子網掩碼255.255.255.0 以及排除領導地 址:10.10.11.2 和10.10.11.3。
4)定義區域資源的訪問權限(整個區域是否允許訪問)。
選擇 資源管理 > 區域,設定外網區域area_eth1 的缺省屬性為“允許”訪問,內網 區域area_eth0 和area_eth2 的缺省屬性為“禁止”訪問。以area_eth1 為例,設置界面如 下圖所示。
設置完成后的界面如下圖所示。5)選擇 防火墻 > 地址轉換,定義地址轉換規則。a)定義源地址轉換規則,使得內網用戶能夠訪問外網: 選擇“源轉換”。
① 選擇“源”頁簽,參數設置如下圖所示。不設置參數,表示不對報文的源進行限 制。
② 選擇“目的”頁簽,參數設置如下圖所示。
③ 選擇“服務”頁簽,參數設置如下圖所示。
轉換源地址對象為“192.168.100.140”。設置完成后的規則如下圖所示。
b)定義目的地址轉換規則,使得內網文檔組以及外網用戶都可以訪問area_eth2 區域 的 WEB 服務器。選擇“目的轉換”
① 選擇“源”頁簽,設置參數如下圖所示。不設置參數,表示不對報文的源進行限 制。
② 選擇“目的”頁簽,設置參數如下圖所示。
③ 選擇“服務”頁簽,設置參數如下圖所示。“目的地址轉換”為地址資源“172.16.1.3”。設置完成后的界面如下圖所示。
6)選擇菜單 防火墻 > 訪問控制,定義訪問控制規則。a)允許內網和外網用戶均可以訪問WEB 服務器
由于Web 服務器所在的area_eth2 區域禁止訪問,所以要允許內網和外網用戶均可以 訪問Web 服務器,需要定義訪問控制規則如下。① 選擇“源”頁簽,參數設置如下圖所示。
源VLAN 和源區域不選擇,表示不對區域加以限制; ② 選擇“目的”頁簽,參數設置如下圖所示。③ 選擇“服務”頁簽,參數設置如下圖所示。
b)允許項目組領導訪問外網,禁止項目組普通員工rd_group 訪問外網。由于外網區域允許訪問,所以需要添加禁止訪問外網的規則如下: ① 選擇“源”頁簽,參數設置如下圖所示。
② 選擇“目的”頁簽設置如下圖所示。
③ 選擇“服務”頁簽,參數設置如下圖所示。
CLI 配置步驟
1)設定物理接口eth1 和eth2 的IP 地址。#network interface eth1 ip add 192.168.100.140 mask 255.255.255.0 #network interface eth2 ip add 172.16.1.1 mask 255.255.255.0 2)添加VLAN 虛接口,設定VLAN 的IP 地址,再選擇相應的物理接口加入到已添 加的VLAN 中。
#network vlan add range 1,2 #network interface vlan.0001 ip add 192.168.1.1 mask 255.255.255.0 #network interface vlan.0002 ip add 192.168.2.1 mask 255.255.255.0 #network interface eth0 switchport trunk allowed-vlan 1,2 native-vlan 1 encapsulation dotlq 3)定義主機、子網地址資源。
#define host add name 172.16.1.3 ipaddr 172.16.1.3 #define host add name 192.168.100.143 ipaddr 192.168.100.143 #define host add name doc_server ipaddr 10.10.10.3 #define subnet add name rd_group ipaddr 192.168.2.0 mask 255.255.255.0 except ‘10.10.11.2 10.10.11.3’
4)設置區域資源的缺省訪問權限:area_eth0、area_eth2 為禁止訪問,area_eth1 為允 許訪問(缺省權限,無需再設定)。
#define area add name area_eth0 access off attribute eth0(不允許訪問內網)#define area add name area_eth2 access off attribute eth2(不允許訪問內網)5)定義地址轉換規則。
定義源地址轉換規則,使得內網用戶能夠訪問外網。
#nat policy add dstarea area_eth1 trans_src 192.168.100.140 定義目的地址轉換規則,使得內網文檔組以及外網用戶都可以訪問area_eth2 區域的 WEB 服務器。
#nat policy add orig_dst 192.168.100.143 orig_service HTTP trans_dst 172.16.1.3 6)定義訪問控制規則。
允許內網和外網用戶均可以訪問WEB 服務器
#firewall policy add action accept dstarea area_eth2 dst 172.16.1.3 service HTTP 允許項目組領導訪問外網,禁止項目組普通員工訪問外網
#firewall policy add action deny srcarea area_eth0 srcvlan vlan.0002 src rd_group dstarea area_eth0 service HTTP 注意事項
1)目的地址需要選擇WEB 服務器的真實IP 地址,因為防火墻要先對數據包進行目 的地址轉換處理,當內網用戶利用http://192.168.100.143 訪問SSN 區域的Web 服務器時,由于符合NAT 目的地址轉換規則,所以數據包的目的地址將被轉換為172.16.1.3。然后才 進行訪問規則查詢,此時只有設定為WEB 服務器的真實IP 地址才能達到內網用戶訪問 SSN 區域WEB 服務器的目的。網絡衛士系列防火墻處理數據包的流程請參考用戶手冊相 關章節。
2)定義目的地址轉換規則時,不能選擇目的區域與目的VLAN。
根據源端口配置訪問控制規則
基本需求
案例:某銀行系統應用軟件使用特定的端口進行業務主機與服務器間的數據通信,為 了保證數據及設備的安全,禁止其他對于業務主機和服務器的訪問。網絡結構示意圖如下所示。
圖 26 根據源端口進行訪問控制示意圖
業務主機可以使用特殊端口訪問服務器,不能使用其他端口。業務主機區域和服務器 區域禁止其他類型的訪問。
配置要點
定義區域:area_eth1、area_eth2。
定義服務端口:FS_port
設置訪問控制規則
WebUI 配置步驟
1)定義區域area_eth1 為禁止訪問,并與屬性eth1 綁定。選擇 資源管理 > 區域,點擊“添加”,如下圖所示。
2)定義區域area_eth2 為禁止訪問,并與屬性eth2 綁定。
具體操作與area_eth1 相似,請參考area_eth1 的定義過程完成。3)定義服務端口
由于系統使用的通信端口是:4500,不是通常使用的協議端口,在設置規則前需要自 定義端口。
選擇 資源管理 > 服務,激活“自定義服務”頁簽,進入自定義服務頁面。點擊右 側“添加”,如下圖所示。
選擇類型:TCP,設置名稱:FS_port,服務器實際使用的端口:4500。完成后點擊“確 定”按鈕。
4)定義訪問控制規則
該規則為來自area_eth1 區域使用源端口為4500 的數據包允許通過防火墻訪問 area_eth2 區域。
a)選擇“源”頁簽,參數設置如下。
b)選擇“目的”頁簽,參數設置如下圖所示。
c)選擇“服務”頁簽,參數設置如下圖所示。
d)選擇“選項”頁簽設置參數如下。由于所使用的軟件系統所建立的連接需要長時期保持,在“連接選項”中選擇“長連 接”,根據需要選擇“日志記錄”。點擊“確定”完成ACL 規則設置。
CLI 配置步驟
1)定義區域:area_eth1、area_eth2 #define area add name area_eth1 access off attribute eth1 #define area add name area_eth2 access off attribute eth2 2)定義服務端口:FS_port #define service add name FS_port protocol 6 port 4500 3)設置訪問控制規則
#firewall policy add action accept srcarea area_eth1 dstarea area_eth2 sport FS_port permanent yes log on enable yes
注意事項
由于環境所限此案例未能進行實際測試,僅供參考使用。
根據特定服務配置訪問控制規則
基本需求
在進行訪問控制規則的設置時,可以對用戶所能訪問的服務進行控制,系統預定義了
可控制的常見服務,可以實現二到七層的訪問控制,用戶也可以自定義服務進行訪問控制。案例:某企業網絡被防火墻化分為三個區域area_eth0、area_eth1 和area_eth2,三個
區域分別與接口Eth0、Eth1 和Eth2 綁定,area_eth0 連接外網,允許用戶訪問,area_eth1 和area_eth2 區域禁止用戶訪問。服務器位于area_eth1,IP 地址為192.168.100.140,內網 位于area_eth2,網絡地址為192.168.101.0。企業的網絡結構如下圖所示。
要求:
允許內網用戶訪問服務器的TELNET、SSH、FTP 和Web_port 服務,其中Web_port 服務為自定義服務,端口號為8080;但不能訪問Eth1 口的其他服務器和其他服務。不允許外網用戶訪問Eth1 口服務器的TELNET 和SSH 服務。圖 27 根據服務設置訪問控制規則示意圖
配置要點
定義區域和地址資源
定義服務資源
定義服務組資源 設置訪問控制規則
WebUI 配置步驟
1)定義區域和地址資源
a)定義區域資源area_eth0、area_eth1 和area_eth2,分別與Eth0、Eth1 和Eth2 綁定。區域權限均為“允許”。
選擇 資源管理 > 區域,點擊“添加”添加區域資源,界面如下圖。① 添加區域area_eth0。② 添加區域area_eth1。③ 添加區域area_eth2。
服務熱線:8008105119 183 設置完成后界面如下圖所示。b)定義IP 地址資源
選擇 資源管理 > 地址,選擇“主機”頁簽,點擊“添加”,如下圖所示。c)定義子網資源
選擇 資源管理 > 地址,選擇“子網”頁簽,點擊“添加”,如下圖所示。
2)設置自定義服務
選擇 資源管理 > 服務,激活“自定義服務”頁簽,配置自定義服務“Web_port” 如下圖所示。
3)設置服務組資源
選擇 資源管理 > 服務,激活“服務組”頁簽,配置服務組“內網訪問服務”如下 圖所示。
本例中服務組名稱為“內網訪問服務”,包括“Web_port、SSH、TELNET、FTP”。4)設置訪問控制規則。由于服務器所在區域area_eth1 禁止訪問,所以只要定義允許 訪問的規則即可。
a)設置允許內網area_eth2 的網段為192.168.101.0/24 的用戶訪問area_eth1 的服務器(192.168.100.140)SSH、TELNET、FTP 以及8080 端口服務的訪問控制規則 選擇 防火墻 > 訪問控制,點擊“添加”按鈕,設置訪問控制規則。① 選擇“源”頁簽,參數設置如下圖所示。
② 選擇“目的”頁簽,參數設置如下圖所示。
服務熱線:8008105119 187 ③ 選擇“服務”頁簽,參數設置如下圖所示。
服務熱線:8008105119 188 設置完成的ACL 規則如下圖所示。
b)設置僅允許外網區域(area_eth0)的用戶訪問服務器的8080 端口的服務訪問控制 規則。
選擇 防火墻 > 訪問控制,點擊“添加”按鈕,設置訪問控制規則。① 選擇“源”頁簽,參數設置如下圖所示。
服務熱線:8008105119 189 ② 選擇“目的”頁簽,參數設置如下圖。
服務熱線:8008105119 190 ③ 選擇“服務”頁簽,參數設置如下圖。
服務熱線:8008105119 191 設置完成后的ACL 規則如下圖所示。
CLI 配置步驟
1)定義區域資源
#define area add name area_eth0 access on attribute eth0 #define area add name area_eth1 access on attribute eth1 #define area add name area_eth2 access on attribute eth2 2)定義主機和子網地址資源
#define host add name 192.168.100.140 ipaddr 192.168.100.140 #define host subnet add name 內網 ipaddr 192.168.101.0 mask 255.255.255.0 3)設置自定義服務,服務名為Web_port,端口號為8080。#difine service add name Web_port protocol tcp port 8080 4)設置服務組資源,組名稱為“內網訪問服務”,包括Web_port、FTP、TELNET 和SSH 服務。
#difine group_service add name 內網訪問服務 member Web_port,FTP,TELNET,SSH 5)設置訪問控制規則
a)區域“area_eth2”的子網對象“內網”(192.168.101.0/24)允許訪問區域“area_eth1” 的服務器的Web_port、FTP、TELNET 和SSH 服務(有自定義服務組“內網訪問服務”綁 定),服務器的IP 地址為192.168.100.140。
#firewall policy add action accept srcarea area_eth2 dstarea area_eth1 src 內網dst 192.168.100.140 service 內網訪問服務 enable yes
服務熱線:8008105119 192 b)設置僅允許外網用戶訪問服務器192.168.100.140 的8080 端口的服務訪問控制規 則。
#firewall policy add action accept srcarea area_eth0 dstarea area_eth1 dst 192.168.100.140 service Web_port enable yes 注意事項
如果只允許開放某些服務,其他服務均被禁止,可以設置目的區域的默認訪問權限為 “禁止”,系統在匹配完訪問控制規則后將自動匹配區域的默認訪問權限。
根據轉換前目的地址配置訪問控制規則
基本需求
背景:某企業的WEB 服務器(IP:192.168.83.56)通過防火墻將其IP 地址MAP 為
202.45.56.5 對外提供WEB 服務。WEB 服務器連在防火墻的Eth1 口(IP:192.168.83.2),且防火墻通過Eth0 口(IP:202.45.56.3)與Internet 相連,如下圖所示。
圖 28 根據轉換前目的進行訪問控制示意圖
需求:為了保護企業網絡的安全,網關Eth1 接口所屬的區域area_eth1 設置為禁止訪 問,要求Internet 用戶只可訪問企業WEB 服務器的HTTP 服務,要求用WEB 服務器的 MAP 地址202.45.56.5 作訪問控制。
服務熱線:8008105119 193 配置要點
定義主機地址資源
定義地址轉換策略
定義訪問控制規則
WebUI 配置步驟
1)將防火墻的Eth1 口所屬區域的默認訪問權限設置為“禁止”。選擇 資源管理 > 區域,點擊“添加”,如下圖。
2)定義WEB 服務器主機地址資源R-WebServer 和虛擬主機對象V-WebServer。選擇 資源管理 > 地址,激活“主機”頁簽,定義主機地址資源R-WebServer 和 V-WebServer。
定義R-WebServer 主機地址資源圖。
服務熱線:8008105119 194 定義V-WebServer 主機地址資源圖。3)定義地址轉換規則。
選擇 防火墻 > 地址轉換,并在右側界面中點擊“添加”定義目的地址轉換規則。選擇“目的轉換”。
a)選擇“源”頁簽,設置參數如下圖。
服務熱線:8008105119 195 b)選擇“目的”頁簽,參數設置如下。
服務熱線:8008105119 196 c)選擇“服務”頁簽,參數設置如下。設置完成后的目的NAT 規則如下圖所示。4)設置訪問控制規則。
選擇 防火墻 > 訪問控制,并在右側界面中點擊“添加”定義訪問控制規則。
服務熱線:8008105119 197 a)選擇“源”頁簽,參數設置如下。b)選擇“目的”頁簽,設置根據轉換前的目的地址進行訪問控制。參數設置如下。
服務熱線:8008105119 198 c)選擇“服務”頁簽,參數設置如下。
服務熱線:8008105119 199 設置完成后的ACL 規則如下圖所示。至此,WEBUI 方式的配置完成。
CLI 配置步驟
1)將防火墻的Eth1 口所屬區域的默認訪問權限設置為“禁止”。#define area add name area_eth1 access off attribute eth1 2)定義WEB 服務器主機地址資源R-WebServer 和虛擬主機地址資源V-WebServer。定義R-WebServer 主機地址資源
#define host add name R-WebServer ipaddr 192.168.83.56 mask 255.255.255.定義V-WebServer 主機地址資源
#define host add name V-WebServer ipaddr 202.45.56.5 mask 255.255.255.3)定義地址轉換規則。
#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4)設置訪問控制規則。
#firewall policy add src any orig_dst V-WebServer service HTTP action accept enable yes
注意事項
1)因為該案例要求internet 用戶只可訪問內網中WEB 服務器的HTTP 服務,因此需 要事先拒絕internet 用戶的所有訪問,再定義訪問控制規則允許其訪問HTTP 服務。2)對轉換前的目的地址進行匹配時,只需在“轉換前目的地址”中進行選擇目的地 址,而無須在“目的地址”中再選擇地址。
3)在配置過程中,請確保沒有與該規則相沖突的地址轉換策略和阻斷策略。
根據轉換后目的地址配置訪問控制規則
基本需求
背景:某企業的WEB 服務器(IP:192.168.83.56)通過防火墻將其IP 地址MAP 為
202.45.56.5 對外提供WEB 服務。WEB 服務器連在防火墻的Eth1 口(IP:192.168.83.2),且防火墻通過Eth2 口(IP:202.45.56.3)與Internet 相連,如下圖所示。
需求:為了保護企業網絡的安全,要求Internet 用戶只可訪問企業WEB服務器的HTTP 服務,要求用WEB 服務器的IP 地址192.168.83.56 做訪問控制。圖 29 根據轉換后目的進行訪問控制示意圖
配置要點
定義主機地址資源
定義地址轉換策略
定義訪問控制規則
WebUI 配置步驟
1)將防火墻的Eth1 口所屬區域的默認訪問權限設置為“禁止”。選擇 資源管理 > 區域,點擊“添加”,如下圖。
2)定義WEB 服務器主機地址資源R-WebServer 和虛擬主機地址資源V-WebServer。選擇 資源管理 > 地址,激活“主機”頁簽,在右側界面中點擊“添加”定義主機 地址資源R-WebServer 和V-WebServer。定義R-WebServer 主機地址資源。定義V-WebServer 主機地址資源。3)定義地址轉換規則。
選擇 防火墻 > 地址轉換,并在右側界面中點擊“添加”定義目的地址轉換規則。選擇“目的轉換”。
a)選擇“源”頁簽,設置參數如下圖。
b)選擇“目的”頁簽,參數設置如下。
c)選擇“服務”頁簽,參數設置如下。設置完成后的目的NAT 規則如下圖所示。4)設置訪問控制規則。
a)選擇“源”頁簽,參數設置如下。
b)選擇“目的”頁簽,設置根據NAT 轉換后的目的地址(R_WebServer)進行訪問 控制。參數設置如下。
c)選擇“服務”頁簽,參數設置如下。
設置完成后的ACL 規則如下圖所示。至此,WEBUI 方式的配置完成。
CLI 配置步驟
1)將防火墻的Eth1 口所屬區域的默認訪問權限設置為“禁止”。#define area add name area_eth1 access off attribute eth1 2)定義WEB 服務器主機對象R-WebServer 和虛擬主機對象V-WebServer。定義R-WebServer 主機地址資源
#define host add name R-WebServer ipaddr 192.168.83.56 定義V-WebServer 主機地址資源
#define host add name V-WebServer ipaddr 202.45.56.5 3)定義地址轉換規則。
#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4)設置訪問控制規則。
#firewall policy add src any dst R-WebServer service HTTP action accept enable yes 注意事項
1)因為該案例要求internet 用戶只可訪問內網中WEB 服務器的HTTP 服務,因此需 要事先拒絕internet 用戶的所有訪問,再定義訪問控制規則允許其訪問HTTP 服務。2)當TOS 設備處理經過地址轉換的數據包時,匹配的是目的地址轉換后的地址,故 一般不需要設置“轉換前目的”中的地址。
3)在配置過程中請確保沒有與該規則相沖突的地址轉換策略和阻斷策略。
基于認證用戶的訪問控制
用戶認證的主要目的是為了對用戶進行身份鑒別、授權以及進行細粒度的訪問控制,用戶認證的方式主要包括本地認證(密碼和證書)和第三方認證(Radius、Tacacs、SecurID、LDAP 以及域認證等等),通過將認證用戶設置為用戶組,訪問控制規則的源和目的即可 以是用戶組對象,從而實現基于本地密碼認證、OTP 認證以及第三方認證用戶的細粒度 的訪問控制。
基本需求
Area_eth2 區域為研發部門內網,禁止外網和其余部門訪問,只允許內網area_eth1 區 域的某些用戶通過TOPSEC 認證客戶端訪問內網主機10.10.10.22 的TELNET 服務。圖 30 基于認證用戶的訪問控制示意圖 配置要點
設置區域屬性
設置NAT 地址轉換規則
設置認證服務器和用戶組
開放相關接口的認證服務
設置基于認證用戶的訪問控制規則。
設置用戶認證客戶端
WebUI 配置步驟
1)設置區域屬性,添加主機地址資源。
a)選擇 資源管理 > 區域,定義內網區域area_eth2 的缺省屬性為禁止訪問。外網區域area_eth1 為允許訪問。
b)選擇 資源管理 > 地址,激活“主機”頁簽,定義內網TELNET 服務器的真實IP 地址資源(10.10.10.22)。
定義虛擬IP 地址資源(192.168.83.223)。如下圖所示。
2)選擇 防火墻 > 地址轉換,設置目的NAT 規則,使得用戶能夠訪問內網TELNET 服務器。
選擇“目的轉換”。
a)選擇“源”頁簽,設置參數如下圖。
b)選__
點擊咨詢 