资源描述
访问控制与审计监控谢丽萍提纲一、访问控制n1.访问控制目标、任务、措施 2.基本概念 3.访问控制的实施n4.访问控制内容 5.安全策略的实施原则n6.访问控制模型n6.1自主访问控制模型(DAC Model)-访问控制的实现机制:访问控制表、访问控制矩阵、访问控制能力列表、访问控制安全标签列表n6.2强制访问控制模型(MAC Model)-Bell-LaPadula模型、Biba模型n6.3 基于角色的访问控制模型(RBAC Model)二、安全审计n1 定义、目标 2 审计跟踪概述 3 安全审计的类型 4 审计内容n5 安全审计系统的基本结构6 日志审计三、防火墙技术防火墙定义、分类、体系结构、技术等访问控制目标 国际标准化组织(ISO)在网络安全标准中定义了5种层次型安全服务,即:身份认证服务、访问控制服务、数据保密服务、数据完整性服务和不可否认服务,因此,访问控制是信息安全的一个重要组成部分。n资源不是无限开放的,在一定约束条件下使用。n网络及信息具有价值,难免会受到各种意外的或者蓄意的未授权的使用和破坏。n这些资源必须授权才可以访问。n防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问。从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。访问控制的任务 访问控制的任务是在为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息系统的非授权篡改和滥用。访问控制对经过身份鉴别后的合法用户提供所需要的且经过授权的服务,拒绝用户越权的服务请求,保证用户在系统安全策略下有序工作。q未授权的访问包括:未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户进入系统。合法用户对系统资源的非法使用。n访问控制措施q识别和鉴定访问系统的用户的真实身份,防止非法访问;q确定用户对系统的资源的访问类型,授权用户访问操作n访问控制的主要类型有q物理访问控制q网络访问控制q操作系统访问控制q数据库访问控制q应用系统访问控制基本概念n访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。n访问是主体对客体实施操作的能力n授权是指主体经过系统鉴别后,系统根据主体的类型分配访问权限q例如:用户对文件的权限有读、写和执行。n访问控制包括三个要素,即:主体、客体和控制策略主体、客体和控制策略。n主体(主体(SubjectSubject):是指一个提出请求或要求的实体,是动作的发起者,但不一定是动作的执行者。主体可以对其它实体施加动作的主动实体,简记为S。主体可以是用户或其它任何代理用户行为的实体(如进程、作业和程序)。基本概念n客体客体(Object)(Object):是接受其他实体访问的被动实体,简记为O。客体的概念也很广泛,凡是可以被操作的信息、资源、对象都可以认为是客体。客体可以是信息、文件、记录等的集合体,也可以是网路上的硬件设施,无线通信中的终端,甚至一个客体可以包含另外一个客体。n控制策略控制策略(Control(Control strategystrategy):是主体对客体的操作行为集和约束条件集,简记为KS。简单讲,控制策略是主体对客体的访问规则集,这个规则集直接定义了主体对客体的作用行为和客体对主体的条件约束。访问策略体现了一种授权行为,也就是客体对主体的权限允许,这种允许不超越规则集。访问控制的实施Step1Step1:鉴别主体的合法身份:鉴别主体的合法身份Step2Step2:根据当前系统的访问控制规则授权用户相应的访问权。:根据当前系统的访问控制规则授权用户相应的访问权。访问控制过程:主 体客 体访问控制实施部件访问控制决策部件提交访问 请求请求决策决 策提出访问 请求访问控制内容n访问控制的实现首先要考虑对合法用户进行验证,然后是对控制策略的选用与管理,最后要对非法用户或是越权操作进行管理。所以,访问控制包括认证、控制策略实现和审计3方面的内容:(1)认证认证:主体对客体的识别认证和客体对主体检验认证。是 双向认证过程。(2)控制策略的具体实现控制策略的具体实现:体现在如何设定规则集合,从而确保正常用户对信息资源的合法使用,既要防止非法用户,也要考虑敏感资源的泄漏,对于合法用户而言,也不能越权行使控制策略所赋予其权利以外的功能。(3)审计审计:审计的重要意义在于,比如客体的管理者即管理员有操作赋予权,他有可能滥用这一权利,这是无法在策略中加以约束的。必须对这些行为进行记录,从而达到威慑和保证访问控制正常实现的目的。安全策略的实施原则n安全策略的制定实施也是围绕主体、客体和安全控制规则集三者之间的关系展开的。最小特权原则最小特权原则:最小特权原则是指主体执行操作时,按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大限度地限制了主体实施授权行为,可以避免来自突发事件、错误和未授权用主体的危险。也就是说,为了达到一定目的,主体必须执行一定操作,但他只能做他所被允许做的,其它除外。最小泄漏原则最小泄漏原则:最小泄漏原则是指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权力。多级安全策略多级安全策略:多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密级别(Top Secret,TS)、秘密级别(Secret,S)、机密级别(Confidential,C)、限制/受限级别(Restricted,RS)和公开/无级别级(Unclassified,U)5级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别的信息资源,只有安全级别比他高的主体才能够访问。访问控制模型分类访问控制模型强制访问控制模型(MAC)自主访问控制模型(DAC)访问矩阵模型访问控制列表(ACL)权能列表(Capacity List)Bell-Lapudula 模型Biba 模型Clark-Wilson 模型Chinese Wall 模型保密性 模型完整性 模型基于角色访问控制模型(RBAC)混合策略模型根据访问授权方式的不同,分为:自主访问控制,强制访问控制和基于角色的访问控制。自主访问控制模型(DAC Model)q自主访问控制模型自主访问控制模型(Discretionary Access Control Model,DAC Model):是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。自主访问控制又称为任意访问控制。q Linux,Unix、Windows NT或是Server版本的操作系统都提供自主访问控制的功能。在实现上,首先要对用户的身份进行鉴别,然后就可以按照访问控制列表所赋予用户的权限,允许和限制用户使用客体的资源。主体控制权限的修改通常由特权用户(管理员)或是特权用户组实现。自主访问控制模型(DAC Model)p 任意访问控制对用户提供的这种灵活的数据访问方式,使得DAC广泛应用在商业和工业环境中;由于用户可以任意传递权限,那么,没有访问某一文件权限的用户A就能够从有访问权限的用户B那里得到访问权限或是直接获得该文件;因此,DAC模型提供的安全防护还是相对比较低的,不能给系统提供充分的数据保护。p 自主访问控制模型的特点是授权的实施主体(可以授权的主体、管理授权的客体、授权组)自主负责赋予和回收其他主体对客体资源的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息,从而达到对主体访问权限的限制目的。访问控制的实现机制 建立访问控制模型和实现访问控制都是抽象和复杂的行为,实现访问的控制不仅要保证授权用户使用的权限与其所拥有的权限对应,制止非授权用户的非授权行为;还要保证敏感信息的交叉感染。为了便于讨论这一问题,以文件的访问控制为例对访问控制的实现做具体说明。通常用户访问信息资源(文件或是数据库),可能的行为有读、写和管理。为方便起见,用Read或是R表示读操作,Write或是W表示写操作,Own或是O表示管理操作。之所以将管理操作从读写中分离出来,是因为管理员也许会对控制规则本身或是文件的属性等做修改,也就是修改在下面提到的访问控制表。访问控制表访问控制表访问控制表(Access Control Lists,ACLs)是以文件为中心建立的访问权限表,简记为ACLs。目前,大多数PC、服务器和主机都使用ACLs作为访问控制的实现机制。访问控制表的优点在于实现简单,任何得到授权的主体都可以有一个访问表,例如授权用户A1的访问控制规则存储在文件File 1中,A1的访问规则可以由A1下面的权限表ACLs A1来确定,权限表限定了用户UserA1的访问权限。图1.访问控制表的实现示例访问控制矩阵u访问控制矩阵(Access Control Matrix,ACM)是通过矩阵形式表示访问控制规则和授权用户权限的方法;也就是说,对每个主体而言,都拥有对哪些客体的哪些访问权限;而对客体而言,又有哪些主体对他可以实施访问;将这种关联关系加以阐述,就形成了控制矩阵。其中,特权用户或特权用户组可以修改主体的访问控制权限。u访问控制矩阵的实现很易于理解,但是查找和实现起来有一定的难度,而且,如果用户和文件系统要管理的文件很多,那么控制矩阵将会成几何级数增长,这样对于增长的矩阵而言,会有大量的空余空间。图2.访问控制矩阵的表示访问控制能力列表n 能力能力是访问控制中的一个重要概念,它是指请求访问的发起者所拥有的一个有效标签(ticket),它授权标签表明的持有者可以按照何种访问方式访问特定的客体。访问控制能力表(Access Control Capabilitis Lists,ACCLs)是以用户为中心建立访问权限表。n 例如,访问控制权限表ACCLs F1表明了授权用户User A对文件File1的访问权限,User AF表明了User A对文件系统的访问控制规则集。因此,ACCLs的实现与ACLs正好相反。定义能力的重要作用在于能力的特殊性,如果赋予哪个主体具有一种能力,事实上是说明了这个主体具有了一定对应的权限。访问控制安全标签列表u安全标签是限制和附属在主体或客体上的一组安全属性信息。安全标签的含义比能力更为广泛和严格,因为它实际上还建立了一个严格的安全等级集合。访问控制安全标签列表(Access Control Security Labels Lists,ACSLLs)是限定一个用户对一个客体目标访问的安全属性集合。u左侧为用户对应的安全级别,右侧为文件系统对应的安全级别。假设请求访问的用户User A的安全级别为S,那么User A请求访问文件File 2时,由于SC,所以允许访问。u安全标签能对敏感信息加以区分,这样就可以对用户和客体资源强制执行安全策略,因此,强制访问控制经常会用到这种实现机制。自主访问控制模型(DAC Model)q小结:小结:在DAC中,客体的所有者按照自己的安全策略授予系统中的其他用户对客体的访问权。优点:灵活性高,被大量采用。缺点:安全性最低。信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标C的访问权限传递给用户B,从而使不具备对C访问权限的B可访问C。强制访问控制模型(MAC Model)n强制访问控制模型(Mandatory Access Control Model,MAC Model)最初是为了实现比DAC更为严格的访问控制策略,美国政府和军方开发了各种各样的控制模型,这些方案或模型都有比较完善的和详尽的定义。随后,逐渐形成强制访问控制模型,并得到广泛的商业关注和应用。n 在MAC访问控制中,用户和客体资源都被赋予一定的安全属性,用户不能改变自身和客体的安全属性,只有管理员才能够确定用户和组的访问权限。系统用该安全属性决定一个用户是否可以访问某个客体。nMAC的主要特点是系统对访问主体和受控对象实行强制访问控制,系统事先给访问主体和受控对象分配不同的安全级别属性,在实施访问控制时,系统先对访问主体和受控对象的安全级别属性进行比较,再决定访问主体能否访问该受控对象。主体对客体的访问强制访问控制将主体和客体分级,根据主体和客体的级别标记来决定访问强制访问控制将主体和客体分级,根据主体和客体的级别标记来决定访问模式。(绝密级,机密级,秘密级,受限、公开模式。(绝密级,机密级,秘密级,受限、公开/无密级)无密级)主体对客体的访问主要有4种方式:(1)向下读(向下读(rdrd,read downread down)主体安全级别高于客体信息资源的安全级别时允许查阅的读操作;(2)向上读(向上读(ruru,read upread up)主体安全级别低于客体信息资源的安全级别时允许的读操作;(3)向下写(向下写(wdwd,write downwrite down)主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作;(4)向上写(向上写(wuwu,write upwrite up)主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。(2)(2)其访问控制关系分为:上读其访问控制关系分为:上读/下写,下读下写,下读/上写上写 (完整性)(完整性)(机密性)(机密性)强制访问控制模型(MAC Model)n在在MACMAC中,系统根据主体和客体的安全属性,以中,系统根据主体和客体的安全属性,以强制的方式控制主体对客体的访问。强制的方式控制主体对客体的访问。q系统中的资源划分为不同的安全等级和类别(系统中的资源划分为不同的安全等级和类别(如,如,绝密级,机密级,秘密级,受限、公开绝密级,机密级,秘密级,受限、公开/无密级)无密级)n特点:强制访问控制比自主访问控制具有更高的安全性,特点:强制访问控制比自主访问控制具有更高的安全性,可以防止在用户无意或不负责任的操作时泄露机密信息,可以防止在用户无意或不负责任的操作时泄露机密信息,适用于专用或安全性要求较高的系统。但这种机制也使适用于专用或安全性要求较高的系统。但这种机制也使用户自己受到限制,如在共享数据方面不灵活。因此,用户自己受到限制,如在共享数据方面不灵活。因此,当需保护敏感信息时一般使用当需保护敏感信息时一般使用MACMAC,当更多地考虑共享,当更多地考虑共享信息时,使用信息时,使用DACDAC。Bell-LaPadula模型nBLP(Bell and LaPadula,1976)模型是典型的信息保密性多级安全模型,主要应用于军事系统。Bell-LaPadula模型通常是处理多级安全信息系统的设计基础,主体在处理绝密级数据和秘密级数据时,要防止处理绝密级数据的程序把信息泄露给处理秘密级数据的程序。BLP模型的出发点是维护系统的保密性,有效地防止信息泄露,这与后面讨论的维护信息系统数据完整性的Biba模型正好相反。nBLP模型可以有效防止低级用户和进程访问安全级别比他们高的信息资源(防止偷窥),此外,安全级别高的用户和进程也不能向比他安全级别低的用户和进程写入数据(防止泄密)。上述Bell-LaPadula模型建立的访问控制原则可以用以下两点简单表示:无向上读;无向下写。机密性安全策略Bell-LaPadula模型n不上读/不下写保证保密性允许写允许读禁止读允许读Top Secret主体SecretUnclassifiedTop Secret客体SecretUnclassified允许写禁止写Top Secret主体SecretUnclassifiedTop Secret客体SecretUnclassifiedBell-LaPadula模型nBLP模型的安全策略包括强制访问控制和自主访问控制两部分:强制访问控制中的安全特性要求对给定安全级别的主体,仅被允许对同一安全级别和较低安全级别上的客体进行“读”;对给定安全级别上的主体,仅被允许向相同安全级别或较高安全级别上的客体进行“写”;任意访问控制允许用户自行定义是否让个人或组织存取数据。BLP模型用偏序关系可以表示为:n rd,当且仅当SC(S)SC(O),允许读操作;n wu,当且仅当SC(S)SC(O),允许写操作。n显然BLP模型只能“向下读、向上写”的规则忽略了完整性的重要安全指标,使非法、越权篡改成为可能。例子n防火墙所实现的单向访问机制q不允许敏感数据从内部网络(安全级别为“机密”)流向Internet(安全级别为“公开”)q提供“不上读”功能来阻止Internet对内部网络的访问 q提供“不下写”功能来限制进入内部的数据流只能经由由内向外发起的连接流入(例如,允许HTTP的GET操作而拒绝POST操作,或阻止任何外发的邮件)Biba模型nBiba模型(Biba,1977)在研究BLP模型的特性时发现,BLP模型只解决了信息的保密问题,其在完整性定义存在方面有一定缺陷。BLP模型没有采取有效的措施来制约对信息的非授权修改,因此使非法、越权篡改成为可能。n考虑到上述因素,Biba模型模仿BLP模型的信息保密性级别,定义了信息完整性级别,在信息流向的定义方面不允许从级别低的进程到级别高的进程,也就是说用户只能向比自己安全级别低的客体写入信息,从而防止非法用户创建安全级别高的客体信息,避免越权、篡改等行为的产生。Biba模型nBiba模型的两个主要特征是q 禁止向上“写”,这样使得完整性级别高的文件是一定由完整性高的进程所产生的,从而保证了完整性级别高的文件不会被完整性低的文件或完整性低的进程中的信息所覆盖。q Biba模型没有下“读”。nBiba模型用偏序关系可以表示为:q ru,当且仅当SC(S)SC(O),允许读操作;q wd,当且仅当SC(S)SC(O),允许写操作。n Biba模型是和BLP模型相对立的模型,Biba模型改正了被BLP模型所忽略的信息完整性问题,但在一定程度上却忽视了保密性。完整性安全策略Biba模型不下读/不上写保证完整性。允许读禁止读High integrityMedium integrityLow integrity允许读禁止写允许写允许写High integrityMedium integrityLow integrityHigh integrityMedium integrityLow integrityHigh integrityMedium integrityLow integrity例子n对WEB服务器的访问过程q定义Web服务器上发布的资源安全级别为“秘密”,Internet上用户的安全级别为“公开”,依照Biba模型,Web服务器上数据的完整性将得到保障 qInternet上的用户只能读取服务器上的数据而不能更改它BLP与Biba模型由于MAC通过将安全级别进行排序实现了信息的单向流通,因此它一直被军方采用,主要有两种模型:BLP模型和 Biba模型。在这些模型中,信息的完整性和保密性是分别考虑的,对读、写的方向进行了反向规定,如图所示:绝密级机密级秘密级无密级保密性完整性写写BibaBiba模型模型无密级BLP 模型读读MAC与DAC的例子n自主访问控制,如主流操作系统(Windows NT Server,UNIX 系统),防火墙(ACLs)等n强制访问控制MAC与DACnMAC访问控制模型和DAC访问控制模型属于传统的访问控制模型,对这两种模型研究的也比较充分。在实现上,MAC和DAC通常为每个用户赋予对客体的访问权限规则集,考虑到管理的方便,在这一过程中还经常将具有相同职能的用户聚为组,然后再为每个组分配许可权。用户自主地把自己所拥有的客体的访问权限授予其它用户的这种做法,其优点是显而易见的,但是如果企业的组织结构或是系统的安全需求处于变化的过程中时,那么就需要进行大量繁琐的授权变动,系统管理员的工作将变得非常繁重,更主要的是容易发生错误造成一些意想不到的安全漏洞。考虑到上述因素,引入新的机制加以解决,即基于角色的访问控制模型。基于角色的访问控制模型n角色(Role)是指一个可以完成一定事务的命名组,不同的角色通过不同的事务来执行各自的功能。角色就是系统中岗位、职位或者分工n事务(Transaction)是指一个完成一定功能的过程,可以是一个程序或程序的一部分。n用户、角色、许可的关系 q一个用户可经授权而拥有多个角色q一个角色可由多个用户构成q每个角色可拥有多种许可q每个许可也可授权给多个不同的角色q每个操作可施加于多个客体(受控对象)q每个客体也可以接受多个操作。用户角色操作客体许可基于角色的访问控制模型u基于角色的访问控制模型(Role-based Access Model,RBAC Model)的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。这是因为在很多实际应用中,用户并不是可以访问的客体信息资源的所有者(这些信息属于企业或公司),这样的话,访问控制应该基于员工的职务而不是基于员工在哪个组或谁是信息的所有者,即访问控制是由各个用户在部门中所担任的角色来确定的,例如,一个学校可以有教工、老师、学生和其他管理人员等角色。uRBAC从控制主体的角度出发,根据管理中相对稳定的职权和责任来划分角色,将访问权限与角色相联系,这点与传统的MAC和DAC将权限直接授予用户的方式不同;通过给用户分配合适的角色,让用户与访问权限相联系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。基于角色的访问控制模型n角色可以看作是一组操作的集合,不同的角色具有不同的操作集,这些操作集由系统管理员分配给角色。n在下面的实例中,我们假设Tch 1,Tch 2,Tch 3,Tch i是对应的教师,Stud 1,Stud 2,Stud3,Stud j是相应的学生,Mng 1,Mng 2,Mng 3,Mng k是教务处管理人员,那么老师的权限为Tch MN=查询成绩、上传所教课程的成绩;学生的权限为Stud MN=查询成绩、反映意见;教务管理人员的权限为Mng MN=查询、修改成绩、打印成绩清单。那么,依据角色的不同,每个主体只能执行自己所规定的访问功能。n 用户在一定的部门中具有一定的角色,其所执行的操作与其所扮演的角色的职能相匹配,这正是基于角色的访问控制(RBAC)的根本特征,即:依据RBAC策略,系统定义了各种角色,每种角色可以完成一定的职能,不同的用户根据其职能和责任被赋予相应的角色,一旦某个用户成为某角色的成员,则此用户可以完成该角色所具有的职能。基于角色的访问控制模型n在该例中,系统管理员负责授予用户各种角色的成员资格或撤消某用户具有的某个角色。例如学校新进一名教师Tch x,那么系统管理员只需将Tch x添加到教师这一角色的成员中即可,而无需对访问控制列表做改动。n 同一个用户可以是多个角色的成员,即同一个用户可以扮演多种角色,比如一个用户可以是老师,同时也可以作为进修的学生。n 同样,一个角色可以拥有多个用户成员,这与现实是一致的,一个人可以在同一部门中担任多种职务,而且担任相同职务的可能不止一人。n RBAC中引进了角色的概念,用角色表示访问主体具有的职权和责任,灵活地表达和实现了企业的安全策略,使系统权限管理在企业的组织视图这个较高的抽象集上进行,从而简化了权限设置的管理,从这个角度看,RBAC很好地解决了企业管理信息系统中用户数量多、变动频繁的问题。基于角色的访问控制原理用户角色权限访问控制资源1.认证2.分派3.请求4.分派5.访问请求6.访问RBAC 模型基于角色的访问控制模型提供3种授权管理的控制途径q改变客体的访问权限q改变角色的访问权限q改变主体所担任的角色n系统中所有角色的关系结构可以使层次化的,便于管理。n具有较好的提供最小权利的能力,提高了安全性。n具有责任分离能力。基于角色的访问控制模型u相比较而言,RBAC是实施面向企业的安全策略的一种有效的访问控制方式,它具有灵活性、方便性和安全性的特点,目前在大型数据库系统的权限管理中得到普遍应用。角色由系统管理员定义,角色成员的增减也只能由系统管理员来执行,即只有系统管理员有权定义和分配角色。用户与客体无直接联系,他只有通过角色才享有该角色所对应的权限,从而访问相应的客体。因此用户不能自主地将访问权限授给别的用户,这是RBAC与DAC的根本区别所在。RBAC与MAC的区别在于:MAC是基于多级安全需求的,而RBAC则不是。Windows XP 的RBAC安全审计n安全审计的定义n通过记录和分析各种用户和系统活动操作记录和信息资料,发现系统漏洞、改进系统性能和安全。n系统活动:操作系统和应用程序的进程n用户活动:用户使用何种资源,使用的时间和执行何种操作n安全审计的目标:q对潜在的攻击者起到震慑和警告的作用;q为评估损失、灾难恢复提供依据;q为系统管理员提供有效的系统使用日志,及时发现入侵行为或潜在的系统漏洞。审计跟踪概述u审计是对访问控制的必要补充,是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间、以及如何使用(执行何种操作)进行记录与监控。审计和监控是实现系统安全的最后一道防线,处于系统的最高层。审计与监控能够再现原有的进程和问题,这对于责任追查和数据恢复非常有必要。u审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。审计跟踪通过书面方式提供应负责任人员的活动证据以支持访问控制职能的实现(职能是指记录系统活动并可以跟踪到对这些活动应负责任人员的能力)。u审计跟踪记录系统活动和用户活动。通过借助适当的工具和规程,审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。u审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害,同时还能提供对数据恢复的帮助。安全审计的类型n系统级审计q主要包括登录、登录识别号、每次登录尝试的日期和时间、所访问的资源等。n应用级审计q打开和关闭数据文件,读取、编辑和删除、修改等。n用户级审计q用户直接启动的所有命令、用户所有的鉴别和认证尝试、所访问的文件和资源等方面。审计内容n审计跟踪可以实现多种安全相关目标,包括个人职能、事件重建、入侵检测和故障分析。n(1)个人职能(Individual Accountability)审计跟踪是管理人员用来维护个人职能的技术手段。如果用户知道他们的行为活动被记录在审计日志中,相应的人员需要为自己的行为负责,他们就不太会违反安全策略和绕过安全控制措施。例如审计跟踪可以记录改动前和改动后的记录,以确定是哪个操作者在什么时候做了哪些实际的改动,这可以帮助管理层确定错误到底是由用户、操作系统、应用软件还是由其它因素造成的。允许用户访问特定资源意味着用户要通过访问控制和授权实现他们的访问,被授权的访问有可能会被滥用,导致敏感信息的扩散,当无法阻止用户通过其合法身份访问资源时,审计跟踪就能发挥作用。审计跟踪可以用于检查和检测他们的活动。审计内容(2)事件重建(Reconstruction of Events)在发生故障后,审计跟踪可以用于重建事件和数据恢复。通过审查系统活动的审计跟踪可以比较容易地评估故障损失,确定故障发生的时间、原因和过程。通过对审计跟踪的分析就可以重建系统和协助恢复数据文件;同时,还有可能避免下次发生此类故障的情况。(3)入侵检测(Intrusion Detection)审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析,就可以实时发现或是过后预防入侵检测活动。实时入侵检测可以及时发现非法授权者对系统的非法访问,也可以探测到病毒扩散和网络攻击。(4)故障分析(Problem Analysis)审计跟踪可以用于实时审计或监控。安全审计系统的基本结构系统事件安全事件应用事件网络事件其他事件审计发生器审计发生器审计发生器审计发生器审计发生器日志记录器日志分析器审计分析报告日志文件审计策略和规则日志审计n日志审计的内容:q记录每一个数据包,每一个命令显然不现实。(存储量太大)原则:q日志应该记录任何必要的事件,以检测已知的攻击模式。q日志应该记录任何必要的事件,以检测异常的攻击模式。q日志应该记录关于系统连续可靠的工作信息三、防火墙技术1.什么是防火墙2.防火墙主要功能3.防火墙分类4.防火墙的局限性5.防火墙的体系结构(重点)6.防火墙技术(重点)7.防火墙选型举例什么是防火墙n在内部网和Internet之间插入一个系统,即防火墙,用来防止各类黑客的破坏,阻断来自外部网络的威胁和入侵,扮演着防备潜在的恶意活动屏障。不可信网络可信网络路由器防火墙什么是防火墙什么是防火墙n定义1:网络防火墙是一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互连设备。n定义2:防火墙是保障网络安全的一个系统或一组系统,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取,即能根据网络安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。n核心思想:在不安全的网际环境中构造一个相对安全的子网环境。n目的:为了在被保护的内部网与步安全的非信任网络之间设立唯一的通道,一按照事先制定的策略控制信息流入和流出,监督和控制使用者的操作。什么是防火墙n防火墙至少提供两个基本的服务,即:1有选择的限制外部网用户对本地网的访问,保护本地网的特定资源。2有选择的限制本地网用户对外地网的访问。n 安全、管理、速度是防火墙的三大要素。n它可以嵌入到某种硬件产品中,以硬件设备形式出现,即硬件防火墙。它也可以是一种软件产品,即软件防火墙。n其功能的本质隔离内外网络和对进出信息流实施访问控制,隔离的方法可以是基于物理的,也可以是基于逻辑的。n从网络防御体系看,防火墙是一种被动防御的保护装置。防火墙主要功能n网络安全的屏障n过滤不安全的服务;(两层含义)内部提供的不安全服务和内部访问外部的不安全服务n提供网络地址翻译NAT功能n对网络存取和访问进行监控审计。n支持VPN技术。防火墙分类n个人防火墙q是在操作系统上运行的软件,可谓个人计算机提供简单的防火墙功能;q大家常用的个人防火墙由Norton personal Firewall、天网个人防火墙、瑞星个人防火墙等;q安装在个人PC上,而不是放置在网络边界,因此,个人防火墙关心的不是一个网络到另外一个网络的安全,而是单个主机与之相连接的主机或网络之间安全。防火墙分类n软件防火墙q个人防火墙也是一种纯软件防火墙,但其应用范围较小,且只支持Windows系统,功能相对来说要弱很多,并且安全性和并发连接处理能力较差;q作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。不仅支持Windows系统,并且多数都支持Unix或Linux系统。如著名的Check Point Firewall-1,Microsoft ISA Server 2000防火墙分类n一般硬件防火墙q不等同于采用专用芯片的纯硬件防火墙,但和纯软件防火墙有很大差异;q一般由小型的防火墙厂商开发,或者是大型厂商开发的中低端产品,应用于中小型企业,功能比较全,但性能一般;q一般都采用PC架构(就是一台嵌入式主机),但使用的各个配件都量身定制。防火墙分类n一般硬件防火墙q其操作系统一般都采用经过精简和修改过内核的Linux或Unix,安全性比使用通用操作系统的纯软件防火墙要好很多,并且不会在上面运行不必要的服务,这样的操作系统基本就没有什么漏洞。但是,这种防火墙使用的操作系统内核一般是固定的,是不可升级的,因此,新发现的漏洞对防火墙来说可能是致命的;q国内自主开发的防火墙大部分都属于这种类型。防火墙分类n纯硬件防火墙q采用专用芯片来处理防火墙核心策略的一种硬件防火墙,也称为芯片级防火墙。(专用集成电路(ASIC)芯片或者网络处理器(NP)芯片)q最大的亮点:高性能、非常高的并发连接数和吞吐量;q采用ASIC芯片的方法在国外比较流行,技术也比较成熟,如美国Netscreen公司的高端防火墙产品;国内芯片级防火墙大多还处于开发发展的阶段,采用的是NP技术。防火墙分类n分布式防火墙q前面提到的几种防火墙都属于边界防火墙(Perimeter Firewall),它无法对内部网络实现有效地保护q分布式防火墙由中心管理定义策略,由分布在网络中的各个端点执行这些策略。它负责网络边界、各子网和网络内部各阶段之间的安全防护。近几年,分布式防火墙技术逐渐兴起。防火墙的局限性局限性:n网络的安全性通常网络服务的开放性和灵活性为代价的。n防火墙的使用也会削弱网络的功能:1.起隔离作用的防火墙,在保护内部网络的同时使它与外部网络的信息交流受到阻碍;2.由于防火墙上附加各种信息服务的代理软件,增大了网络管理开销,还减慢了信息传输速率n不能防范内部攻击。n不能防范不通过防火墙的连接入侵。n不能自动防御所有新的威胁。n防火墙不能防止感染了病毒的软件或文件的传输n防火墙难于管理和配置,易造成安全漏洞n总之,一方面,防火墙在当今Internet世界中的存在是有生命力的;另一方面,防火墙不能替代内部谨慎的安全措施。因此,它不是解决所有网络安全问题的万能药方,而只是网络安全策略中的一个组成部分。防火墙的体系结构n防火墙体系结构:防火墙系统实现所采用的架构及其实现 所采用的方法,它决定着防火墙的功能、性能以及使用范围。n在防火墙和网络的配置上,有以下四种典型结构:包过滤路由器模式、双宿/多宿主机模式、屏蔽主机模式和屏蔽子网模式。n其中,堡垒主机是个很重要的概念。堡垒主机是指在极其关键的位置上用于安全防御的某个系统。对于此系统的安全要给予额外关注,还要进行理性的审计和安全检查。如果攻击者要攻击你的网络,那么他们只能攻击到这台主机。n堡垒主机起到一个“牺牲主机”的角色。它不是绝对安全的,它的存在是保护内部网络的需要,从网络安全上来看,堡垒主机是防火墙管理员认为最强壮的系统。通常情况下,堡垒主机可作为代理服务器的平台。网络层链路层物理层外部网络内部网络包过滤过滤路由器n包过滤路由器(也称屏蔽路由器Screening Router,SR)是防火墙最基本的构件。它一般作用在网络层(IP层),按照一定的安全策略,对进出内部网络的信息进行分析和限制,实现报文过滤功能。该防火墙优点在于速度快等,但安全性能差。这这种种防防火火墙墙的的最最大大弱弱点点是是依依靠靠一一个个单单一一的的部部件件来来保保护护系系统统,一一旦旦部部件件出出现现问问题题,会会使使网网络的大门敞开,而用户可能还不知道。络的大门敞开,而用户可能还不知道。包过滤路由器过滤规则举例第一条规则:主机10.1.1.1任何端口访问任何主机的任何端口,基于TCP协议的数据包都允许通过。第二条规则:任何主机的20端口访问主机10.1.1.1的任何端口,基于TCP协议的数据包允许通过。第三条规则:任何主机的20端口访问主机10.1.1.1小于1024的端口,如果基于TCP协议的数据包都禁止通过。组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1*TCP2允许*10.1.1.120*TCP3禁止*10.1.1.1201024TCP包过滤防火墙q在单机上实现,是网络中的“单失效点”作为内外网连接的唯一通道,要求所有的报文都必须在此通过检查。若路由器被破坏,内网就没有安全保障了。q不支持有效的用户认证、不提供有用的日志,安全性低。q不能防止IP地址欺骗,双宿/多宿主机模式n双宿/多宿主机防火墙又称为双宿/多宿网关防火墙,它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,通常用一台装有两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与受保护网和外部网相连。其体系结构图如图所示。这种防火墙的特点是主机的路由功能是被禁止的,两个网络之间的通信通过应用层代理服务来完成的。如果一旦黑客侵入堡垒主机并使其具有路由功能,那么防火墙将变得没用。双宿/多宿主机Internet内部网络1内部网络2双宿双宿/多宿主机模型的示意图多宿主机模型的示意图 双宿主机结构双宿主机结构n双宿主机结构是用一台装有两块网卡的堡垒机构成防火墙。堡垒机上运行着防火墙软件,可以转发应用程序,提供服务等。内外网络之间的IP数据流被双宿主机完全切断。用堡垒机取代路由器执行安全控制功能。双宿主机的优缺点双宿主机的优缺点n堡垒主机的系统软件可用于身份认证和维护系统日志,有利于进行安全审计n该方式的防火墙是网络的“单失效点”。n隔离了一切内部网与Internet的直接连接,不适合于一些高灵活性要求的场合。屏蔽主机模式n屏蔽主机型的典型构成是包过滤路由器堡垒主机。包过滤路由器配置在内部网和外部网之间,保证外部系统对内部网络的操作只能经过堡垒主机。防火墙防火墙 屏蔽主机网关结构中堡垒机与内部网相连,用筛选路由器连接到外部网上,筛选路由器作为第一道防线,堡垒机作为第二道防线。这确保了内部网络不受未被授权的外部用户的攻击。该防火墙系统提供的安全等级比双宿主机防火墙系统要高,主要用于企业小型或中型网络。屏蔽主机模式屏蔽主机模式n这种防火墙强迫所有的外部主机与堡垒主机相连接,而不让他们与内部主机直接连接。为了这个目的,专门设置了一个过滤路由器。在该路由器上设立过滤规则,通过它,把所有外部到内部的连接都路由到了堡垒主机。n这种防火墙系统提供的安全等级较高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务,这些服务装在堡垒主机)。n在这一方式下,过滤路由器是否配置正确是这种防火墙安全与否的关键。过滤路由器中的路由表应当受到严格保护,如果路由表遭到破坏,堡垒主机就可能被越过,使内部网络完全暴露。屏蔽主机模式屏蔽子网模式 屏蔽子网是最安全的防火墙系统,它在内部网络与外部网络者之间建立一个被隔离的子网(非军事区DMZ(Demilitarized Zone)。通常将堡垒主机、各种信息服务器的等公用服务器放于DMZ中。这个子网可有堡垒主机等公用服务器组成,用两台过滤路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问屏蔽子网,但禁止它们穿过屏蔽子网进行通信,从而进一步实现屏蔽主机的安全性。堡垒主机通常是黑客集中攻击的目标,如果没有DMZ,入侵者控制堡垒主机后就可以监听整个内部网络的会话。屏蔽子网模式屏蔽子网模式n屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层保护体系周边网络,如图所示。堡垒主机位于周边网络上,周边网络和内部网络被内部路由器分开。n增加一个周边网络的原因:堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机,能减少在堡垒主机被侵入的影响。并且万一堡垒主机被入侵者控制,入侵者仍不能直接侵袭内部网络,内部网络仍受到屏蔽路由器的保护。屏蔽子网结构图防火墙技术n包过滤技术(Packet Filtering)n代理技术(Proxy Service)n状态检查技术(Stateful Inspection)n地址转换/翻译技术(Network Address Translation)包过滤技术 包过滤技术是基于基于IPIP地址地址来监视并过滤网络上流入和流出的IP包,它只允许与指定的IP地址通信。它的作用是在可信任网络和不可信任网络之间有选择地安排数据包的去向。n1.基本原理基本原理 包过滤(Packet Filtering,PF)是防火墙为系统提供安全保障的主要技术,可在网络层对进出网络的数据包进行有选择的控制与操作。包过滤操作一般都是在选择路由的同时,在网络层网络层对数据包进行选择或过滤,故也称网络层防火墙。n安全策略选择的依据是系统内设置的信息过滤规则(过滤逻辑),即访访问问控控制制表表(Access Control Table,ACT)。由它指定允许哪些类型的数据包可以流入或流出内部网络。一般过滤规则是以IP数据包信息为基础,对IP数据包的源地址、目的地址、传输方向、分包、IP数据包封装协议、TCP/UDP目标端口号等进行筛选、过滤,当一个数据包满足过滤规则,则允许此数据包通过,否则拒绝此包通过,起到了保护内部网络的作用。包包过滤防火防火墙工作原理工作原理1.包过滤技术工作在网络层(而不是应用层)对数据包实施有选择的通过。但不能控制传输数据的内容。因为内容属于应用层的数据,而它只工作在网络层。2.它是一种简单、高效的安全控制技术,是防火墙发展初期普遍采用的技术。3.3.包过滤防火墙要遵循的一条基本原则就是“最小特权原则”,即明确允许管理员希望通过的那些数据包,禁止其他的数据包。包过滤技术 包过滤一般要检查(网络层的IP头和传输层的头)。nIP源地址、IP目的地址n协议类型(TCP包、UDP包、ICMP包)nTCP或UDP的源端口、TCP或UDP的目的端口nICMP(Internet控制报文协议)消息类型nTCP报头中ACK位包过滤技术优点:优点:n包过滤防火墙逻辑简单,价格低廉,易于安装和使用,网络包过滤防火墙逻辑简单,价格低廉,易于安装和使用,网络性能和透明性好。性能和透明性好。缺点缺点 (1 1)安全性较差)安全性较差 安全控制的力度只限于源地址、目的地址和端口号等,不能保安全控制的力度只限于源地址、目的地址和端口号等,不能保存与传输与应用相关的状态信息,因而只能进行较为初步的存与传输与应用相关的状态信息,因而只能进行较为初步的安全控制,安全性较差;安全控制,安全性较差;(2 2)正常的数据包过滤路由器无法执行某些安全策略)正常的数据包过滤路由器无法执行某些安全策略 (3 3)不能彻底防止地址欺骗)不能彻底防止地址欺骗 (4 4)数据包工具存在很多局限性)数据包工具存在很多局限性 它是第一代防火墙技术,本身存在较多缺陷,不能提供较它是第一代防火墙技术,本身存在较多缺陷,不能提供较高的安全性。因此,在实际应用中,很少把包过滤技术当作高的安全性。因此,在实际应用中,很少把包过滤技术当作单独的安全解决方案,通常是把它与应用网关配合使用或与单独的安全解决方案,通常是把它与应用网关配合使用或与其他防火墙技术揉合在一起使用,共同组成防火墙系统。其他防火墙技术揉合在一起使用,共同组成防火墙系统。代理技术代理技术n代理技术又称为应用层网关技术。代理防火墙工作于应用层,代理技术与包过滤技术完全不同,包过滤技术是在网络层拦截所有的信息流,代理技术是针对每一个特定应用都有一个程序。代理是企图在应用层实现防火墙的功能。代理能提供部分与传输有关的状态,能完全提供与应用相关的状态和部分传输方面的信息,代理也能处理和管理信息。n代理服务器是软件形式,比较灵活、安全性高,但比较慢。n 代理服务是运行在防火墙主机上的专门的应用程序,它位于内部网络上的用户和外部网上的服务之间,内部用户和外部网服务彼此不能直接通信,只能分别与代理打交道。代理负责接收外部网服务请求,再把它们转发到具体的服务中。n例如,一个公司决定将一个Telnet服务器作为主机,以使得远程的管理员能够对其执行某些特定的操作。它代理一个连接过程如下:(1)一个用户通过23端口Telnet到该代理服务器上。屏蔽设备检测这个连接的源IP地址是否在允许的源地址列表中。如果在的话,就对该连接进行下一步的处理;如果不在的话,则拒绝该次连接。(2)提示用户进行身份验证。(3)在通过了身份验证后,系统就会提示用户给用户一个系统菜单来允许用户连接到目的主机。(4)用户选择要连接的系统。(5)如果有要求,系统会提示用户再输入另外的身份验证信息。代理技术n 优点:1.内部网络拓扑结构等重要信息不易外泄.2.可以实施用户认证、详细日志、审计跟踪和数据加密等功能个对具体协议及应用的过滤,同时当发现被攻击迹象时会向网络管理员发出警告,并保留攻击痕迹,安全性较高。n缺点1.工作在最高层,性能有所下降;2.针对不同的应用层协议必须有单独的应用代理,不能自动支持新的网络应用;3.有些代理还需要相应的支持代理的客户和服务器软件;用户可能还需要专门学习程序的使用方法才能通过代理访问。代理技术状态检测技术n状态检测技术是防火墙近几年才应用的新技术。状态检测技术是包过滤技术的延伸,经常被称为“动态数据包过滤”。它是在动态包过滤的基础上,增加了状态检测机制而形成的。n传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝,基于状态检测技术的防火墙不仅仅对数据包进行检测,还对控制通信的基本因素状态信息(状态信息包括通信信息、通信状态、应用状态和信息操作性)进行检测。通过状态检测虚拟机维护一个动态的状态表,记录所有的连接通信信息、通信状态,以完成对数据包的检测和过滤。状态检测技术n状态检测技术防火墙是对包过滤技术和代理服务技术的折中,它的速度和灵活性没有包过滤机制好,但比代理服务技术好。它的应用级安全不如代理服务技术强,但又比包过滤的机制的高。这种结合是对包过滤技术和代理服务技术的折中。网络地址转换技术nNAT(Network Address Translation,网络地址转换/翻译)的最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到互联网上的IP地址编号问题。n主要作用:n隐藏内部网络的IP地址n解决地址紧缺问题基于防火墙的VPNn 基于防火墙的VPN很可能是VPN最常见的一种实现方式,许多厂商都提供这种配置类型。这并不是暗示与别的VPN相比,基于防火墙的VPN是一个较好的选择,它只是在已有的基础上再发展而已。如今很难找到一个连向因特网而不使用防火墙的公司。因为这些公司已经连到了因特网上,所需要的只是增加加密软件。很可能,如果公司刚购买了一个防火墙,往往它就有实现VPN机密技术的能力。防火墙的选购策略 首先,用户需要了解一个防火墙系统应具备的基本功能,这是用户选择防火墙产品的依据和前提;其次,选购防火墙时主要应该考虑安全性、高效性、适用性、可管理性和售后服务体系等因素。1防火墙的安全性 防火墙自身的安全性也很重要。防火墙也是网络上的主机之一,也可能存在安全问题,当防火墙主机上所运行的软件出现安全漏洞时,防火墙本身也将受到威胁,此时任何的防火墙控制机制都可能失效。2防火墙的高效性 用户的需求是选购何种性能防火墙的决定因素。3防火墙的适用性 适用性是指量力而行,还应该考虑用户自身的因素。4防火墙的可管理性 防火墙的管理是对安全性的一个补充。5完善、及时的售后服务体系。选购防火墙时还要注意其可靠性、防火墙的体系结构、技术指标、安装和配置、扩展性、可升级性、兼容性等。防火墙的选购策略 n目前没有一个防火墙的设计能够适用于所有的环境,所以用户在选购防火墙时不要把防火墙的等级看得过重,而应根据网络站点的特点来选择合适的防火墙,能够满足安全要求即可,不要盲目追求高性能。n 防火墙不是解决所有网络安全问题的万能药方,而只是网络安全策略中的一个组成部分,这是用户在决定购买防火墙产品之前就应该明确的问题。n 典型防火墙产品有:AXENT Raptor、Cisco PIX防火墙、Check Point FireWall-1、3Com Office Connect Firewall、东软NetEye、CyberGuard Firewall等。防火墙选型举例防火墙选型举例n1小型办公和家用网络 小型、家庭办公和家用网络(Small Office Home Office,SOHO)要管理的用户和机器比较少,而且只需要访问极少量的Internet服务,例如电子邮件、Web以及有时需要的流媒体。在这种情形下,简单的数据包过滤防火墙就足够了。现在大部分SOHO路由器都具有防火墙、VPN、地址映射、端口映射、DHCP服务、自动拨号、支持虚拟服务器以及支持动态DNS等功能。华为Quidway R1600,清华同方TFB-104R+、Linksys、Netgear、D-Link,3Com等公司出品的宽带路由器,WatchGuard的Firebox SOHO,Symantec的Norton Personal Firewall、NetScreen以及SonicWall SOHO完全适用于这种环境;Cisco和Check Point也提供小型办公室版本的PIX和FireWall-1,不过价格要高一点。n2中小
展开阅读全文