第一篇:浅谈访问控制策略
浅谈访问控制策略
身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而,对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。
在GB17859中.身份鉴别指的是用户身份的鉴别,包括用户标识和用户鉴别。在这里.用户标识解决注册用户在一个信息系统中的惟一性问题.用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下.当用户注册到一个系统时,系统应给出其惟一性的标识.并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的.一方面以一定方式提供给用户.另一方面由系统保存)。当用户登录到该系统时,用户应提供鉴别信息,系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。
其实.从更广义的范围来讲.信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别.用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下,又要确认对方身份的真实、可信.从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别.其实与注册用户的身份鉴别没有多大区别.只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别.同样要先对其进行注册,并在注册时确定鉴别信息(鉴别信息既与设备相关联.又由系统保留)。当需要将设备接入系统时.被接入设备需提供鉴别信息,经系统确认其身份的真实性后方可接入。
访问控制在GB17859中同样有其特定的含义.并对自主访问控制和强制访问控制的策略做了具体的说明。其实.访问控制在更广的范围有着更广泛的含义。在许多情况下.人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问.把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因 谈到访问控制.首先必须对访问控制的粒度有所了解。访问控制讲的是对主体访问客体的控制。粒度显然涉及主体和客体两个方面。主体一般是以用户为单位实施访问控制(划分用户组只是对相同访问权限用户的一种管理方法).网络用户也有以IP地址为单位实施访问控制的。客体的访问控制粒度由粗到细可以是整个应用系统 某个网络系统.某个服务器系统,某个操作系统.某个数据库管理系统、某个文件 某个数据库.数据库中的某个表 甚至库表中的某个记录或字段等。一般来讲 对整个系统(包括信息系统、网络系统、服务器系统、操作系统、数据库管理系统、应用系统等)的访问.通常是采用身份鉴别的方法进行控制.也就是相对的粗粒度访问控制。细粒度的访问控制,通常是指在操作系统、数据库管理系统中所提供的用户对文件或数据库表、记录/字段的访问所进行的控制.也就是GB17859中所描述的经典的访问控制。这类访问控制分为自主访问控制和强制访问控制两种。当然也可以在网关等处设置以服务器为对象的自主访问控制或强制访问控制机制,实现以服务器为粒度的访问控制。
所谓自主访问控制是指由系统提供用户有权对自身所创建的访问对象(文件、数据库表等)进行访问.并有权将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。访问对象的创建者还有权进行授权转让” 即将 授予其他用户访问权限 的权限转让给别的用户。需要特别指出的是,在一些系统中.往往是由系统管理员充当访问对象的创建者角色 并进行访问授权 而在其后通过”授权转让 将权限转让给指定用户.于是容易引起这种访问控制不是由用户自主决定访问权限的误会。
所谓强制访问控制是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制,按照确定的规则决定哪些用户可以对哪些对象进行哪些操作类型的访问,即使是创建者用户,在创建一个对象后.也可能无权访问该对象。强制访问控制常见的安全模型是Bell—La padula模型(也称多级安全模型)。该模型的安全策略分为强制访问和自主访问两部分。自主访问控制允许用户自行定义其所创建的数据.它以一个访问矩阵表示包括读、写、执行、附加以及控制等访问模式。由于它的自主访问控制策略已广为人们熟知。所以在提到多级安全模型时.往往重点探讨其强制访问控制策略。多级安全模型的强制访问控制策略以等级和范畴 作为其主、客体的敏感标记,并施以”从下读、向上写”的简单保密性规则。需要强调的是.作为敏感标记的等级和范畴.必须由专门设置的系统安全员,通过由系统提供的专门界面设置和维护.敏感标记的改变意味着访问权限的改变。因此可以说.所有用户的访问权限完全是由安全员根据需要决定的。强制访问控制还有其他安
全策略 比如 角色授权管理。该安全策略将系统中的访问操作按角色进行分组管理。一种角色执行一组操作.由系统安全员统一进行授权。当授予某个用户某一角色时,该用户就具有执行该角色所对应的一组操作的权限。当安全员撤销其授予用户的某一角色时,相应的操作权限也就被撤销。这完全类似于现实社会中对领导职务的任命和撤销。这一策略的访问权限也是通过安全员通过角色授权决定的。
与访问控制相关联的另一个十分重要的概念是 用户一主体绑定。这一概念的引入.对多用户环境、进程动态运行所实施的访问操作的控制提供了支持。作为动态运行的系统进程.它在不同时间段为不同的用户服务 因而无法为其设置固定的敏感标记。通过用户一主体绑定机制.可以将进程动态地与其所服务的用户相关联。于是.在任何时候.进程所实施的访问操作都能够通过这种关联找到其所服务的用户,也就能找到实施强制访问控制的主体。操作是由进程实施的.而确定是否允许进行此次访问的主体对象却是进程为其服务的用户
第二篇:访问控制策略配备管理制度
访问控制策略配备管理制度
[日期:2010-12-18] 作者: 浏览:367
第一章 总则
第一条 为加强对网络层和系统层的访问控制,对网络设备和安全专用设备,以及操作系统和数据库系统的安全配置和日常运行进行管理,保障信息网络的安全、稳定运行,特制订本制度。
第二条 本制度暂时适用于海南电网公司(以下简称公司)本部的信息系统的所有网络设备和安全专用设备,以及操作系统和数据库系统的访问控制策略配置管理。分公司、直属各单位及其他联网单位可参照执行。
第二章 访问控制策略的制定
第三条 公司本部的信息管理部门负责访问控制策略的制定和组织实施工作,并指定网络管理员协同系统管理员、数据库管理员负责有关工作。
第四条 在制定本单位的网络访问控制策略、操作系统访问控制策略和数据库系统访问控制策略前,应掌握以下已形成文档的资料,并必须根据变化作出即时的更新:
公司域网的详细网络结构; 各个业务应用系统的安全要求; 各个业务应用系统的数据流情况;
不同系统及网络之间的访问控制及数据传输要求; 各种连接的访问权限;
各个服务器系统及其承载应用服务的安全要求; 各个服务器操作系统的访问控制及安全要求; 各个服务器数据库系统的访问控制及安全要求; 各个终端计算机或各种用户群的访问控制及安全要求。
第五条 制定的访问控制策略要求体现以上文档的要求,并根据以上文档的更新作出相应的修改。制定的网络访问控制策略必须包含内部远程访问控制和外部远程访问控制两部分;制定的操作系统和数据库系统访问控制策略必须包含特权用户和普通用户两部分;还应制定对各种用户群的访问控制策略。第六条 内部远程访问是指公司内部人员通过拨号等方式远程接入本单位的内部公司域网。如用户确因工作需要要求内部远程访问,应填写《内部人员远程访问审批表》(参见附表1)。经被远程登录方信息管理部门负责人批准同意后,由被远程登录方网络管理员分配远程访问的用户名和口令。批准远程访问的时间结束后,网络管理员应及时变更远程访问的用户名和口令。
第七条 外部远程访问是指外单位人员因故需通过拨号方式对信息系统进行远程登录维护,或外单位因业务需要需通过拨号方式接入等。进行外部远程访问前,有关业务系统的系统管理员应填写《外部人员远程访问审批表》(参见附表2),并要得到信息管理部门负责人以及有关业务管理部门负责人批准。对于需进行远程登录维护的情况,有关系统的系统管理员应监控整个外部远程访问过程,确保系统安全,并且在外部远程访问结束后,应及时拔掉电话线,关闭调制解调器的电源,并更改用于外部远程访问的用户名和口令。
第八条 网络及安全专用设备访问控制。内部网络所使用的关键网络设备及安全专用设备的用户名和口令应由专人管理,并定期修改。用于管理有关设备的客户端软件应由专人管理,未经信息系统运行管理部门负责人同意,任何个人不得擅自安装或使用。第九条 不同网络之间的访问控制。公司本部以及直属供电公司的内部网络应根据各个生产业务系统的安全要求,采用物理分开或虚拟网等方式划分开不同的网络。不同网络之间应该有明确的边界,在边界应设置相应的网络安全设备,并根据不同网络的安全要求设置访问控制策略,在不同网络之间实现有效的流量和访问控制。
第十条 系统主机访问控制。系统主机操作系统和数据库系统的超级用户口令必须由专人保管、每月修改,注意保密。系统用户和一般用户的添加及权限的设定,需要按照系统运行安全管理制度要求填写《操作系统帐户授权审批表》或《数据库系统帐户授权审批表》,应经系统业务主管部门审批同意,由系统管理员统一处理,并建立用户资料档案。
第三章 访问控制策略的管理
第十一条 访问控制策略的制定、修改、审批管理。策略的制定、修改应提出申请,填写《访问策略变更审批表》(附表3),并经信息中心审批。审批同意后方可按照策略修改有关设备的配置,并要求做好相关的记录。
第十二条 网络管理员、系统管理员、数据库管理员和网络安全审计员原则上要求由不同的人专职或兼职担任。
网络安全审计员负责每月检查各种设备的配置及日志纪录,确定网络管理员、系统管理员、数据库管理员完全按照经过审批的网络访问控制策略配置有关设备且没有做过不正常的修改。
第十三条 网络管理人员、系统管理员、数据库管理员和网络安全审计员应分别每季度向信息中心的负责人报告有关设备的的运行情况及审计情况,以备检查。有关的文档应归档保存。第四章 附则
第十四条 本制度由海南电网公司信息中心负责解释。
第十五条 本规定自颁布之日起实行,有新的修改版本颁布后,本规定自行终止
(责任编辑:张丹)
第三篇:访问控制总结报告
1.访问控制概念
访问控制是计算机发展史上最重要的安全需求之一。美国国防部发布的可信计算机系统评测标准(Trusted Computer System Evaluation Criteria,TCSEC,即橘皮书),已成为目前公认的计算机系统安全级别的划分标准。访问控制在该标准中占有极其重要的地位。安全系统的设计,需要满足以下的要求:计算机系统必须设置一种定义清晰明确的安全授权策略;对每个客体设置一个访问标签,以标示其安全级别;主体访问客体前,必须经过严格的身份认证;审计信息必须独立保存,以使与安全相关的动作能够追踪到责任人。从上面可以看出来,访问控制常常与授权、身份鉴别和认证、审计相关联。
设计访问控制系统时,首先要考虑三个基本元素:访问控制策略、访问控制模型以及访问控制机制。其中,访问控制策略是定义如何管理访问控制,在什么情况下谁可以访问什么资源。访问控制策略是动态变化的。访问控制策略是通过访问机制来执行,访问控制机制有很多种,各有优劣。一般访问控制机制需要用户和资源的安全属性。用户安全属性包括用户名,组名以及用户所属的角色等,或者其他能反映用户信任级别的标志。资源属性包括标志、类型和访问控制列表等。为了判别用户是否有对资源的访问,访问控制机制对比用户和资源的安全属性。访问控制模型是从综合的角度提供实施选择和计算环境,提供一个概念性的框架结构。
目前人们提出的访问控制方式包括:自主性访问控制、强访问控制、基于角色的访问控制等。
2.访问控制方式分类
2.1 自主访问控制
美国国防部(Department of Defense,DoD)在1985年公布的“可信计算机系统评估标准(trusted computer system evaluation criteria,TCSEC)”中明确提出了访问控制在计算机安全系统中的重要作用,并指出一般的访问控制机制有两种:自主访问控制和强制访问控制。自主访问控制(DAC)根据访问请求者的身份以及规定谁能(或不能)在什么资源进行什么操作的访问规则来进行访问控制,即根据主体的标识或主体所属的组对主体访问客体的过程进行限制。在DAC系统中,访问权限的授予可以进行传递,即主体可以自主地将其拥有的对客体的访问权限(全部或部分地)授予其它主体。DAC根据主体的身份及允许访问的权限进行决策。自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。在DAC系统中,由于DAC可以将访问权限进行传递,对于被传递出去的访问权限,一般很难进行控制。比如,当某个进程获得了信息之后,该信息的流动过程就不再处于控制之中,就是说如果A可访问B,B可访问C,则A就可访问C,这就导致主体对客体的间接访问无法控制(典型如操作系统中文件系统)。这就造成资源管理分散,授权管理困难;用户间的关系不能在系统中体现出来;信息容易泄漏,无法抵御特洛伊木马的攻击;系统开销巨大,效率低下的缺点,不适合大型网络应用环境。2.2 强访问控制
强制访问控制(MAC)根据中央权威所确定的强制性规则来进行访问控制。和DAC不同,强制访问控制并不具备访问主体自主性,主体必须在由中央权威制定的策略规则约束下对系统资源进行访问。强制访问控制是一种不允许主体干涉的访问控制类型,是基于安全标识和信息分级等信息敏感性的访问控制。在MAC中,系统安全管理员强制分配给每个主/客体一个安全属性,强制访问控制根据安全属性来决定主体是否能访问客体。安全属性具有强制性,不能随意更改。
MAC最早出现在美国军方的安全体制中,并且被美国军方沿用至今。在MAC方案中,每个目标由安全标签分级,每个对象给予分级列表的权限。分级列表指定哪种类型的分级目标对象是可以访问的。典型安全策略就是“read-down”和“write-up”,指定对象权限低的可以对目标进行读操作,权限高的就可以对目标进行写操作。MAC通过基于格的非循环单向信息流政策来防止信息的扩散,抵御特洛伊木马对系统保密性的攻击。系统中,每个主体都被授予一个安全证书,而每个客体被指定为一定的敏感级别。MAC的两个关键规则是:不向上读和不向下写,即信息流只能从低安全级向高安全级流动。任何违反非循环信息流的行为都是被禁止的。MAC实现一般采用安全标签机制,由于安全标签的数量是非常有限的,因此在授权管理上体现为粒度很粗。但是由于MAC本身的严格性,授权管理方式上显得刻板,不灵活。如果主体和权限的数量庞大,授权管理的工作量非常大。在MAC中,允许的访问控制完全是根据主体和客体的安全级别决定。其中主体(用户、进程)的安全级别是由系统安全管理员赋予用户,而客体的安全级别则由系统根据创建它们的用户的安全级别决定。因此,强制访问控制的管理策略是比较简单的,只有安全管理员能够改变主体和客体的安全级别。MAC应用领域也比较窄,使用不灵活,一般只用于军方等具有明显等级观念的行业或领域;虽然MAC增强了机密性,但完整性实施不够,它重点强调信息向高安全级的方向流动,对高安全级信息的完整性保护强调不够。
2.3 基于角色访问控制
随着网络技术的迅速发展,对访问控制提出了更高的要求,传统的访问控制技术(DAC,MAC)已经很难满足这些需求,于是提出了新型的基于角色的访问控制(RBAC)。RBAC有效地克服了传统访问控制技术的不足,降低授权管理的复杂度,降低管理成本,提高系统安全性,成为近几年访问控制领域的研究热点。
最早使用RBAC这个术语,是在1992年Ferraiolo和Kuhn发表的文章中。提出了RBAC中的大部分术语,如,角色激活(Role Activation),角色继承(Role Hierarchy),角色分配时的约束(Constraints)等等。因为RBAC借鉴了较为人们熟知的用户组、权限组和职责分离(Separation of Duty)等概念,而且,以角色为中心的权限管理更为符合公司和企业的实际管理方式。Ferraiolo和Sandhu等人分别在1994年后提出了有关RBAC模型的早期形式化定义,其中,Sandhu等人定义了RBAC模型的一个比较完整的框架,即RBAC96模型。RBAC1和RBAC2都建立在RBAC0之上,RBAC1给出了角色继承的概念,RBAC2增加了约束的概念。在扩展研究中,RBAC管理方面,研究者试图采用RBAC本身来管理RBAC,于是,出现ARBAC97模型及其扩展,这些模型让管理角色及其权限独立于常规角色及其权限。第二是RBAC功能方面。研究者通过扩展RBAC的约束来增强它的表达能力,以适应不同情况下的权限管理。最初的约束是用来实现权责分离,后来又出现了其他的约束,如,约束角色的用户数目,增加了时间约束的TRBAC模型,增加了权限使用次数的UCRBAC模型,带有使用范围的灵活约束,采用形式化的语言来描述RBAC的约束,如RCL2000语言、对象约束语言(OCL, Object Constraint Language)和其他语言等。第三,是讨论RBAC与其他访问控制模型的关系。第四是RBAC在各个领域的应用。美国国家标准与技术研究院(The National Institute of Standards and Technology,NIST)制定的标准RBAC模型由4个部件模型组成,这4个部件模型包括RBAC的核心(Core RBAC),RBAC的继承(Hierarchal RBAC),RBAC的约束(Constraint RBAC)中的静态职权分离(SSD)和动态职权分离(DSD)两个责任分离部件模型。
RBAC的核心思想就是将访问权限与角色相联系,通过给用户分配合适的角色,让用户与访问权限相联系。角色是根据企业内为完成各种不同的任务需要而设置的,根据用户在企业中的职权和责任来设定它们的角色。用户可以在角色间进行转换,系统可以添加、删除角色,还可以对角色的权限进行添加、删除。这样通过应用RBAC将安全性放在一个接近组织结构的自然层面上进行管理。在DAC和MAC系统中,访问权限都是直接授予用户,而系统中的用户数量众多,且经常变动,这就增加了授权管理的复杂性。RBAC弥补了这方面的不足,简化了各种环境下的授权管理。RBAC模型引入了角色(role)这一中介,实现了用户(user)与访问许可权(permission)的逻辑分离。在RBAC系统模型中,用户是动态变化的,用户与特定的一个或多个角色相联系,担任一定的角色。角色是与特定工作岗位相关的一个权限集,角色与一个或多个访问许可权相联系,角色可以根据实际的工作需要生成或取消。用户可以根据自己的需要动态激活自己拥有的角色。与用户变化相比,角色变化比较稳定。系统将访问权限分配给角色,当用户权限发生变化时,只需要执行角色的撤消和重新分配即可。另外,通过角色继承的方法可以充分利用原来定义的角色,使得各个角色之间的逻辑关系清晰可见,同时又避免了重复工作,减小了出错几率。2.4 基于上下文的访问控制
CBAC是在RBAC研究的基础上产生的。CBAC是把请求人所处的上下文环境作为访问控制的依据。基于上下文的访问控制,可以识别上下文,同时,其策略管理能够根据上下文的变化,来实现动态的自适应。一般地,基于上下文的访问控制利用了语义技术,以此实现上下文和策略的更高层次的描述和推理。
2.5 基于任务的访问控制
随着数据库、网络和分布式计算的发展,组织任务进一步自动化,与服务相关的信息进一步计算机化,为了解决随着任务的执行而进行动态授权的安全保护问题,提出了基于任务的访问控制(Task-based Access Control,TBAC)模型。TBAC是从应用和企业层角度来解决安全问题(而非从系统角度)。TBAC采用“面向服务”的观点,从任务的角度,建立安全模型和实现安全机制,依据任务和任务状态的不同,在任务处理的过程中提供动态实时的安全管理。TBAC模型包括工作流(Work flow, Wf),授权结构体(Authorization unit, Au),受托人集(Trustee-Set, T),许可集(Permissions, P)四部分。其中,Wf是由一系列Au组成;Au之间存在{顺序依赖,失败依赖,分权依赖,代理依赖}的关系。在TBAC中,授权需用五元组(S,O,P,L,AS)来表示。
(1)S表示主体,O表示客体,P表示许可,L表示生命期(lifecycle);
(2)AS表示授权步(Authorization step),是指在一个工作流程中对处理对象(如办公流程中的原文档)的一次处理过程。授权步由受托人集(trustee-set)和多个许可集(permissions set)组成,其中,受托人集是可被授予执行授权步的用户的集合,许可集则是受托集的成员被授予授权步时拥有的访问许可。
(3)P是授权步AS所激活的权限,L则是授权步AS的存活期限。
L和AS是TBAC不同于其他访问控制模型的显著特点。在授权步AS被触发之前,它的保护态是无效的,其中包含的许可不可使用。当授权步AS被触发时,它的委托执行者开始拥有执行者许可集中的权限,同时它的生命期开始倒记时。在生命期期间,五元组(S,O,P,L,AS)有效。当生命期终止,即授权步AS被定为无效时,五元组(S,O,P,L,AS)无效,委托执行者所拥有的权限被回收。通过授权步的动态权限管理,TBAC可以支持最小权限和职责分离原则。
TBAC是一种主动安全模型,在这种模型中,对象的访问权限控制并不是静止不变的,而是随着执行任务的上下文环境发生变化。TBAC是从工作流的环境来考虑信息安全问题。在工作流环境中,每一步对数据的处理都与以前的处理相关,相应的访问控制也是这样,因此,TBAC是一种上下文相关的访问控制模型。TBAC不仅能对不同工作流实行不同的访问控制策略,而且还能对同一工作流的不同任务实例(instance)实行不同的访问控制策略,所以,TBAC又是一种基于实例的访问控制模型。在TBAC中,用户对于授予的权限的使用具有时效性的。TBAC比较适合分布式计算和多点访问控制的信息处理控制以及在工作流、分布式处理和事务管理系统中的决策指定。T-RBAC模型把任务和角色置于同等重要的地位,它们是两个独立而又相互关联的重要概念。任务是RBAC和TBAC能结合的基础。
2.6 基于属性的访问控制
在开放环境下(如互联网)不同的客户端和服务器频繁交互,这些交互方有时处于不同的安全域之内,相互只能知道对方部分信息。传统的基于身份的访问控制(IBAC)已不能适用于这种环境,基于属性的访问控制(ABAC)能够很好地适应这种开放的网络环境。
基于属性的访问控制模型(ABAC)是根据参与决策的相关实体的属性来进行授权决策的。ABAC中的基本元素包括请求者,被访问资源,访问方法和条件,这些元素统一使用属性来描述,各个元素所关联的属性可以根据系统需要定义。属性概念将访问控制中对所有元素的描述统一起来,同时摆脱了基于身份的限制。在ABAC中,策略中的访问者是通过访问者属性来描述,同样,被访问资源、访问方法也是通过资源和方法的属性来描述,而条件用环境属性来描述。环境属性通常是一类不属于主体,资源和方法的动态属性,如访问时间,历史信息等。条件有时也会用来描述不同类型属主具有的属性之间的关系,如访问者的某一属性与资源的某一属性之间的关系。ABAC是否允许一个主体访问资源是根据请求者、被访问资源以及当前上下文环境的相关属性来决定的。这使得ABAC具有足够的灵活性和可扩展性,同时使得安全的匿名访问成为可能,这在大型分布式环境下是十分重要的[931。XACML集中体现了CBAC和ABAC的思想,利用上下文中包含的请求方的属性信息,与事前制定的策略进行匹配,来进行访问控制决策和授权。2.7 基于信誉的访问控制
1996年,M.Blaze等人为了解决Internet网络服务的安全问题,首次提出了“信任管理(Trust Management)”的概念,其基本思想是承认开放系统中安全信息的不完整性,提出系统的安全决策需要附加的安全信息。与此同时,A.Adul-Rahman等学者则从信任的概念出发,对信任内容和信任程度进行划分,并从信任的主观性入手给出信任的数学模型用于信任评估。长期以来,信任管理技术演化发展为两个分支:基于凭证和策略的理性信任模型和基于信誉的感性信任模型。针对网格应用具体环境,这两种模型各有优缺点。对于理性信任模型而言,由于在广域网格环境下缺乏公共认可的权威机构,凭证并不完全可靠,也并不一定能通行无阻;而且完全依靠认证中心,弱化了个体的自我信任,而盲目信任大范围内的认证中心,往往会无法解决个体间的利益冲突。在基于信誉的感性信任模型中,也存在着很多问题:存在着评价空白时“信”与“不信”的临界两难状态;对恶意行为的免疫力不强,譬如对恶意推荐缺乏行之有效的过滤方法,对策略型欺骗行为缺乏有效的识别和抑制;对评价反馈行为缺乏激励,从而容易导致系统中信誉证据的不足;缺乏对多种上下文环境下的信誉评估进行综合集成的能力等。传统的访问控制实际上是基于信任管理中的理性信任模型。
基于信誉的访问控制,基于信任管理的感性信任模型,是将访问请求方的信誉度作为衡量是否授权的标准的访问控制技术,是一种比较新的访问控制技术。基于信誉的访问控制的核心目标是为了更好的实现预期收益,同时应对授权行为带给服务提供方的不确定性、脆弱性和风险性问题。其根据请求方的当前及历史状态,评估其信誉,并设置信任阈值是达到上述目标的有效手段。此外,基于信誉的访问控制可以实现提供方的其他目标:
1、根据必须满足的信任条件将权限分级。不同的权限对于实现提供方预期收益是不同的,所以不同的权限所要求的信任条件也是不同的;
2、利用信誉度对请求方进行筛选,选择合适的请求方进行授权,以尽可能的实现提供方的预期收益。目前该类访问控制的研究主要涉及以下问题:(1)信誉的表述和度量;(2)由经验推荐所引起的信誉度推导和综合计算。(3)信任阈值的动态衍生等。
3.总结
总之,根据以上访问控制分类,我们得知授权是根据实体所对应的特定身份或其他特征而赋予实体权限的过程,通常是以访问控制的形式实现的。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体,如用户、进程、服务等)对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么以及做到什么程度。访问控制依据特定的安全策略和执行机制以及架构模型保证对客体的所有访问都是被认可的,以保证资源的安全性和有效性。
第四篇:access-list(访问控制列表)总结
access-list(访问控制列表)总结
ACL的作用
ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。如图1所示,ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。ACL的配置
ACL的配置分为两个步骤:
第一步:在全局配置模式下,使用下列命令创建ACL:
Router(config)# access-list access-list-number {permit | deny } {test-conditions}
其中,access-list-number为ACL的表号。人们使用较频繁的表号是标准的IP ACL(1—99)和扩展的IP ACL(100-199)。
第二步:在接口配置模式下,使用access-group命令ACL应用到某一接口上:
Router(config-if)# {protocol} access-group access-list-number {in | out }
其中,in和out参数可以控制接口中不同方向的数据包,如果不配置该参数,缺省为out。ACL在一个接口可以进行双向控制,即配置两条命令,一条为in,一条为out,两条命令执行的ACL表号可以相同,也可以不同。但是,在一个接口的一个方向上,只能有一个ACL控制。
值得注意的是,在进行ACL配置时,网管员一定要先在全局状态配置ACL表,再在具体接口上进行配置,否则会造成网络的安全隐患。访问控制列表使用目的:
1、限制网络流量、提高网络性能。例如队列技术,不仅限制了网络流量,而且减少了拥塞
2、提供对通信流量的控制手段。例如可以用其控制通过某台路由器的某个网络的流量
3、提供了网络访问的一种基本安全手段。例如在公司中,允许财务部的员工计算机可以访问财务服务器而拒绝其他部门访问财务服务器
4、在路由器接口上,决定某些流量允许或拒绝被转发。例如,可以允许FTP的通信流量,而拒绝TELNET的通信流量。
工作原理:
ACL中规定了两种操作,所有的应用都是围绕这两种操作来完成的:允许、拒绝
注意:ACL是CISCO IOS中的一段程序,对于管理员输入的指令,有其自己的执行顺序,它执行指令的顺序是从上至下,一行行的执行,寻找匹配,一旦匹配则停止继续查找,如果到末尾还未找到匹配项,则执行一段隐含代码——丢弃DENY.所以在写ACL时,一定要注意先后顺序。ACL是一组判断语句的集合,它主要用于对如下数据进行控制:
1、入站数据;
2、出站数据;
3、被路由器中继的数据
因为标准的ACL只能针对源进行控制,如果把它放在离源最近的地方,那么就会造成不必要的数据包丢失的情况,一般将标准ACL放在离目标最近的位置.简单比较以下标准和扩展ACL
标准ACL仅仅只针对源进行控制
扩展ACL可以针对某种协议、源、目标、端口号来进行控制
从命令行就可看出
标准:
Router(config)#access-list list-number
扩展:
Router(config)#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]
Protocol—用来指定协议类型,如IP、TCP、UDP、ICMP以及IGRP等
Source and destination—源和目的,分别用来标示源地址及目的地址
Source-mask and destination-mask—源和目的的通配符掩码
Operator operand—It,gt,eq,neq(分别是小于、大于、等于、不等于)和一个端口号
Established—如果数据包使用一个已建连接(例如,具有ACK位组),就允许TCP信息通过 ACL不能对穿越路由器的广播流量作出有效控制。
ACL的另一个作用,那就是过滤穿越路由器的流量。这里要注意了,是“穿越”路由器的流量才能被ACL来作用,但是路由器本身产生的流量,比如路由更新报文等,ACL是不会对它起任何作用的:因为ACL不能过滤由路由器本身产生的流量.为了避免过多的查表,所以扩展ACL一般放置在离源最近的地方 PING使用的是ICMP协议
路由器常用命令大全 Access-enable允许路由器在动态访问列表中创建临时访问列表入口 Access-group把访问控制列表(ACL)应用到接口上 Access-list定义一个标准的IP ACL Access-template在连接的路由器上手动替换临时访问列表入口 Appn向APPN子系统发送命令 Atmsig 执行ATM信令命令 B 手动引导操作系统 Bandwidth 设置接口的带宽 Banner motd 指定日期信息标语 Bfe 设置突发事件手册模式
Boot system 指定路由器启动时加载的系统映像 Calendar 设置硬件日历 Cd 更改路径
Cdp enable 允许接口运行CDP协议 Clear 复位功能
Clear counters 清除接口计数器
Clear interface 重新启动接口上的件逻辑
Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率 Cmt 开启/关闭FDDI连接管理功能 Config-register 修改配置寄存器设置
Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息 Configure memory 从NVRAM加载配置信息 Configure terminal 从终端进行手动配置 Connect 打开一个终端连接 Copy 复制配置或映像数据
Copy flash tftp 备份系统映像文件到TFTP服务器
Copy running-config startup-config 将RAM中的当前配置存储到NVRAM Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上 Copy tftp flash 从TFTP服务器上下载新映像到Flash Copy tftp running-config 从TFTP服务器上下载配置文件 Debug 使用调试功能
Debug dialer 显示接口在拨什么号及诸如此类的信息 Debug ip rip 显示RIP路由选择更新数据
Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息 Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息
Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程 Debug ppp 显示在实施PPP中发生的业务和交换信息 Delete 删除文件
Deny 为一个已命名的IP ACL设置条件
Dialer idle-timeout 规定线路断开前的空闲时间的长度 Dialer map 设置一个串行接口来呼叫一个或多个地点
Dialer wait-for-carrier-time 规定花多长时间等待一个载体 Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制
Dialer-list protocol 定义一个数字数据接受器(DDR)拨号表以通过协议或ACL与协议的组合来控制控制拨号
Dir 显示给定设备上的文件 Disable 关闭特许模式 Disconnect 断开已建立的连接 Enable 打开特许模式
Enable password 确定一个密码以防止对路由器非授权的访问
Enable password 设置本地口令控制不同特权级别的访问
Enable secret 为enable password命令定义额外一层安全性(强制安全,密码非明文显示)Encapsulation frame-relay 启动帧中继封装
Encapsulation novell-ether 规定在网络段上使用的Novell独一无二的格式 Encapsulation PPP 把PPP设置为由串口或ISDN接口使用的封装方法
Encapsulation sap 规定在网络段上使用的以太网802.2格式Cisco的密码是sap End 退出配置模式
Erase 删除闪存或配置缓存
Erase startup-config 删除NVRAM中的内容
Exec-timeout 配置EXEC命令解释器在检测到用户输入前所等待的时间 Exit 退出所有配置模式或者关闭一个激活的终端会话和终止一个EXEC Exit 终止任何配置模式或关闭一个活动的对话和结束EXEC format 格式化设备
Frame-relay local-dlci 为使用帧中继封装的串行线路启动本地管理接口(LMI)Help 获得交互式帮助系统 History 查看历史记录
Hostname 使用一个主机名来配置路由器,该主机名以提示符或者缺省文件名的方式使用 Interface 设置接口类型并且输入接口配置模式 Interface 配置接口类型和进入接口配置模式 Interface serial 选择接口并且输入接口配置模式 Ip access-group 控制对一个接口的访问 Ip address 设定接口的网络逻辑地址
Ip address 设置一个接口地址和子网掩码并开始IP处理 Ip default-network 建立一条缺省路由 Ip domain-lookup 允许路由器缺省使用DNS Ip host 定义静态主机名到IP地址映射
Ip name-server 指定至多6个进行名字-地址解析的服务器地址 Ip route 建立一条静态路由
Ip unnumbered 在为给一个接口分配一个明确的IP地址情况下,在串口上启动互联网协议(IP)的处理过程
Ipx delay 设置点计数
Ipx ipxwan 在串口上启动IPXWAN协议
Ipx maximum-paths 当转发数据包时设置Cisco IOS软件使用的等价路径数量
Ipx network 在一个特定接口上启动互联网数据包交换(IPX)的路由选择并且选择封装的类型(用帧封装)Ipx router 规定使用的路由选择协议 Ipx routing 启动IPX路由选择
Ipx sap-interval 在较慢的链路上设置较不频繁的SAP(业务广告协议)更新 Ipx type-20-input-checks 限制对IPX20类数据包广播的传播的接受
Isdn spid1 在路由器上规定已经由ISDN业务供应商为B1信道分配的业务简介号(SPID)Isdn spid2 在路由器上规定已经由ISDN业务供应商为B2信道分配的业务简介号(SPID)Isdntch-type 规定了在ISDN接口上的中央办公区的交换机的类型 Keeplive 为使用帧中继封装的串行线路LMI(本地管理接口)机制 Lat 打开LAT连接
Line 确定一个特定的线路和开始线路配置 Line concole 设置控制台端口线路
Line vty 为远程控制台访问规定了一个虚拟终端 Lock 锁住终端控制台
Login 在终端会话登录过程中启动了密码检查 Login 以某用户身份登录,登录时允许口令验证 Logout 退出EXEC模式
Mbranch 向下跟踪组播地址路由至终端 Media-type 定义介质类型
Metric holddown 把新的IGRP路由选择信息与正在使用的IGRP路由选择信息隔离一段时间 Mrbranch 向上解析组播地址路由至枝端 Mrinfo 从组播路由器上获取邻居和版本信息 Mstat 对组播地址多次路由跟踪后显示统计数字 Mtrace 由源向目标跟踪解析组播地址路径 Name-connection 命名已存在的网络连接 Ncia 开启/关闭NCIA服务器
Network 把一个基于NIC的地址分配给一个与它直接相连的路由器把网络与一个IGRP的路由选择的过程联系起来在IPX路由器配置模式下,在网络上启动加强的IGRP Network 指定一个和路由器直接相连的网络地址段 Network-number 对一个直接连接的网络进行规定 No shutdown 打开一个关闭的接口 Pad 开启一个X.29 PAD连接
Permit 为一个已命名的IP ACL设置条件
Ping 把ICMP响应请求的数据包发送网络上的另一个节点检查主机的可达性和网络的连通性对网络的基本连通性进行诊断
Ping 发送回声请求,诊断基本的网络连通性 Ppp 开始IETF点到点协议
Ppp authentication 启动Challenge握手鉴权协议(CHAP)或者密码验证协议(PAP)或者将两者都启动,并且对在接口上选择的CHAP和PAP验证的顺序进行规定
Ppp chap hostname 当用CHAP进行身份验证时,创建一批好像是同一台主机的拨号路由器
Ppp chap password 设置一个密码,该密码被发送到对路由器进行身份验证的主机命令对进入路由器的用户名/密码的数量进行了限制
Ppp pap sent-username 对一个接口启动远程PAP支持,并且在PAP对同等层请求数据包验证过程中使用sent-username和password Protocol 对一个IP路由选择协议进行定义,该协议可以是RIP,内部网关路由选择协议(IGRP),开放最短路径优先(OSPF),还可以是加强的IGRP Pwd 显示当前设备名
Reload 关闭并执行冷启动;重启操作系统 Rlogin 打开一个活动的网络连接
Router 由第一项定义的IP路由协议作为路由进程,例如:router rip 选择RIP作为路由协议 Router igrp 启动一个IGRP的路由选择过程 Router rip 选择RIP作为路由选择协议 Rsh 执行一个远程命令 Sdlc 发送SDLC测试帧 Send 在tty线路上发送消息
Service password-encryption 对口令进行加密 Setup 运行Setup命令 Show 显示运行系统信息
Show access-lists 显示当前所有ACL的内容 Show buffers 显示缓存器统计信息 Show cdp entry 显示CDP表中所列相邻设备的信息 Show cdp interface 显示打开的CDP接口信息 Show cdp neighbors 显示CDP查找进程的结果
Show dialer 显示为DDR(数字数据接受器)设置的串行接口的一般诊断信息 Show flash 显示闪存的布局和内容信息
Show frame-relay lmi 显示关于本地管理接口(LMI)的统计信息 Show frame-relay map 显示关于连接的当前映射入口和信息
Show frame-relay pvc 显示关于帧中继接口的永久虚电路(pvc)的统计信息 Show hosts 显示主机名和地址的缓存列表
Show interfaces 显示设置在路由器和访问服务器上所有接口的统计信息 Show interfaces 显示路由器上配置的所有接口的状态 Show interfaces serial 显示关于一个串口的信息 Show ip interface 列出一个接口的IP信息和状态的小结 Show ip interface 列出接口的状态和全局参数
Show ip protocols 显示活动路由协议进程的参数和当前状态 Show ip route 显示路由选择表的当前状态 Show ip router 显示IP路由表信息
Show ipx interface 显示Cisco IOS软件设置的IPX接口的状态以及每个接口中的参数 Show ipx route 显示IPX路由选择表的内容 Show ipx servers 显示IPX服务器列表 Show ipx traffic 显示数据包的数量和类型
Show isdn active 显示当前呼叫的信息,包括被叫号码、建立连接前所花费的时间、在呼叫期间使用的自动化操作控制(AOC)收费单元以及是否在呼叫期间和呼叫结束时提供AOC信息
Show isdn ststus 显示所有isdn接口的状态、或者一个特定的数字信号链路(DSL)的状态或者一个特定isdn接口的状态
Show memory 显示路由器内存的大小,包括空闲内存的大小 Show processes 显示路由器的进程 Show protocols 显示设置的协议
Show protocols 显示配置的协议。这条命令显示任何配置了的第3层协议的状态 Show running-config 显示RAM中的当前配置信息
Show spantree 显示关于虚拟局域网(VLAN)的生成树信息
Show stacks 监控和中断程序对堆栈的使用,并显示系统上一次重启的原因 Show startup-config 显示NVRAM中的启动配置文件 Show ststus 显示ISDN线路和两个B信道的当前状态
Show version 显示系统硬件的配置,软件的版本,配置文件的名称和来源及引导映像 Shutdown 关闭一个接口 Telnet 开启一个telect连接
Term ip 指定当前会话的网络掩码的格式
Term ip netmask-format 规定了在show命令输出中网络掩码显示的格式 Timers basic 控制着IGRP以多少时间间隔发送更新信息 Trace 跟踪IP路由
Username password 规定了在CHAP和PAP呼叫者身份验证过程中使用的密码 Verify 检验flash文件 Where 显示活动连接
Which-route OSI路由表查找和显示结果 Write 运行的配置信息写入内存,网络或终端 Write erase 现在由copy startup-config命令替换 X3 在PAD上设置X.3参数 Xremote 进入XRemote模式
第五篇:防火墙访问控制规则配置--教案
访问控制规则配置
访问规则描述了网络卫士防火墙允许或禁止匹配访问控制规则的报文通过。防火墙接收到报文后,将顺序匹配访问规则表中所设定规则。一旦寻找到匹配的规则,则按照该策略所规定的操作(允许或丢弃)处理该报文,不再进行区域缺省属性的检查。如果不存在可匹配的访问策略,网络卫士防火墙将根据目的接口所在区域的缺省属性(允许访问或禁止访问),处理该报文。在进行访问控制规则查询之前,网络卫士防火墙将首先查询数据包是否符合目的地址转换规则。如果符合目的地址转换规则,网络卫士防火墙将把接收的报文的目的IP 地址转换为预先设置的IP 地址(一般为真实IP)。因此在进行访问规则设置时,系统一般采用的是真实的源和目的地址(转换后目的地址)来设置访问规则;同时,系统也支持按照转换前的目的地址设置访问规则,此时,报文将按照转换前的目的地址匹配访问控制规则。
根据源、目的配置访问控制规则
基本需求
系统可以从区域、VLAN、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配,访问控制规则的源和目的既可以是已经定义好的VLAN 或区域,也可以细化到一个或多个地址资源以及用户组资源。与包过滤策略相同,访问控制规则也是顺序匹配的,系统首先检查是否与包过滤策略匹配,如果匹配到包过滤策略后将停止访问控制规则检查。但与包过滤策略不同的是访问控制规则没有默认规则。也就是说,如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话,系统将根据目的接口所在区域的缺省属性(允许访问或禁止访问)处理该报文。
案例:某企业的网络结构示意图如下图所示,网络卫士防火墙工作在混合模式。Eth0 口属于内网区域(area_eth0),为交换trunk 接口,同时属于VLAN.0001 和VLAN.0002,vlan.0001 IP 地址为192.168.1.1,连接研发部门文档组所在的内网(192.168.1.0/24);vlan.0002 IP 地址为192.168.2.1,连接研发部门项目组所在的内网(192.168.2.0/24)。
图 25 根据源、目的进行访问控制示意图
Eth1 口IP 地址为192.168.100.140,属于外网area_eth1 区域,公司通过与防火墙Eth1口相连的路由器连接外网。Eth2 口属于area_eth2 区域,为路由接口,其IP 地址为172.16.1.1,为信息管理部所在区域,有多台服务器,其中Web 服务器的IP 地址:172.16.1.3。
用户要求如下:
内网文档组的机器可以上网,允许项目组领导上网,禁止项目组普通员工上网。
外网和area_eth2 区域的机器不能访问研发部门内网;
内外网用户均可以访问area_eth2 区域的WEB 服务器。
配置要点
设置区域对象的缺省访问权限:area_eth0、area_eth2 为禁止访问,area_eth1 为允许访问。
定义源地址转换规则,保证内网用户能够访问外网;定义目的地址转换规则,使得外网用户可以访问area_eth2 区域的WEB 服务器。
定义访问控制规则,禁止项目组除领导外的普通员工上网,允许内网和外网用户访问area_eth2 区域的WEB 服务器。
WebUI 配置步骤
1)设定物理接口eth1 和eth2 的IP 地址。
选择 网络管理 > 接口,激活“物理接口”页签,然后点击Eth1、Eth2 端口后的“设 置”字段图标,添加接口的IP 地址。如下图所示。
2)添加VLAN 虚接口,设定VLAN 的IP 地址,再选择相应的物理接口加入到已添 加的VLAN 中。
a)选择 网络管理 > 二层网络,激活“VLAN”页签,然后点击“添加/删除VLAN 范围”,如下图所示。
b)设定VLAN 虚接口的IP 地址。
点击VLAN 虚接口的“修改”字段图标,在弹出界面中设置VLAN.0001 的IP 为:
192.168.1.1,掩码为:255.255.255.0;VLAN.0002 的IP 为:192.168.2.1,掩码为:255.255.255.0。如下图所示。
c)设定VLAN 和物理接口的关系。
选择 网络管理 > 接口,激活“物理接口”页签,然后点击eth0 接口后的“设置” 字段图标,设置接口信息,如下图所示。3)定义主机、子网地址对象。
a)选择 资源管理 > 地址,选择“主机”页签,定义主机地址资源。定义WEB 服 务器主机名称设为172.16.1.3,IP 为172.16.1.3;定义虚拟WEB 服务器(即WEB 服务器 的在外网区域的虚拟IP 地址)主机名称设为192.168.100.143, IP 为192.168.100.143;定义 接口主机地址资源192.168.100.140(也可以是其他字符串),主机名称设为192.168.100.140, IP 为192.168.100.140;定义文档服务器,主机名称设为doc_server, IP 为10.10.10.3。定义 完成后的界面如下图所示:
b)选择 资源管理 > 地址,选择“子网”页签,点击“添加”定义子网地址资源。资源名称rd_group,以及网络地址192.168.2.0、子网掩码255.255.255.0 以及排除领导地 址:10.10.11.2 和10.10.11.3。
4)定义区域资源的访问权限(整个区域是否允许访问)。
选择 资源管理 > 区域,设定外网区域area_eth1 的缺省属性为“允许”访问,内网 区域area_eth0 和area_eth2 的缺省属性为“禁止”访问。以area_eth1 为例,设置界面如 下图所示。
设置完成后的界面如下图所示。5)选择 防火墙 > 地址转换,定义地址转换规则。a)定义源地址转换规则,使得内网用户能够访问外网: 选择“源转换”。
① 选择“源”页签,参数设置如下图所示。不设置参数,表示不对报文的源进行限 制。
② 选择“目的”页签,参数设置如下图所示。
③ 选择“服务”页签,参数设置如下图所示。
转换源地址对象为“192.168.100.140”。设置完成后的规则如下图所示。
b)定义目的地址转换规则,使得内网文档组以及外网用户都可以访问area_eth2 区域 的 WEB 服务器。选择“目的转换”
① 选择“源”页签,设置参数如下图所示。不设置参数,表示不对报文的源进行限 制。
② 选择“目的”页签,设置参数如下图所示。
③ 选择“服务”页签,设置参数如下图所示。“目的地址转换”为地址资源“172.16.1.3”。设置完成后的界面如下图所示。
6)选择菜单 防火墙 > 访问控制,定义访问控制规则。a)允许内网和外网用户均可以访问WEB 服务器
由于Web 服务器所在的area_eth2 区域禁止访问,所以要允许内网和外网用户均可以 访问Web 服务器,需要定义访问控制规则如下。① 选择“源”页签,参数设置如下图所示。
源VLAN 和源区域不选择,表示不对区域加以限制; ② 选择“目的”页签,参数设置如下图所示。③ 选择“服务”页签,参数设置如下图所示。
b)允许项目组领导访问外网,禁止项目组普通员工rd_group 访问外网。由于外网区域允许访问,所以需要添加禁止访问外网的规则如下: ① 选择“源”页签,参数设置如下图所示。
② 选择“目的”页签设置如下图所示。
③ 选择“服务”页签,参数设置如下图所示。
CLI 配置步骤
1)设定物理接口eth1 和eth2 的IP 地址。#network interface eth1 ip add 192.168.100.140 mask 255.255.255.0 #network interface eth2 ip add 172.16.1.1 mask 255.255.255.0 2)添加VLAN 虚接口,设定VLAN 的IP 地址,再选择相应的物理接口加入到已添 加的VLAN 中。
#network vlan add range 1,2 #network interface vlan.0001 ip add 192.168.1.1 mask 255.255.255.0 #network interface vlan.0002 ip add 192.168.2.1 mask 255.255.255.0 #network interface eth0 switchport trunk allowed-vlan 1,2 native-vlan 1 encapsulation dotlq 3)定义主机、子网地址资源。
#define host add name 172.16.1.3 ipaddr 172.16.1.3 #define host add name 192.168.100.143 ipaddr 192.168.100.143 #define host add name doc_server ipaddr 10.10.10.3 #define subnet add name rd_group ipaddr 192.168.2.0 mask 255.255.255.0 except ‘10.10.11.2 10.10.11.3’
4)设置区域资源的缺省访问权限:area_eth0、area_eth2 为禁止访问,area_eth1 为允 许访问(缺省权限,无需再设定)。
#define area add name area_eth0 access off attribute eth0(不允许访问内网)#define area add name area_eth2 access off attribute eth2(不允许访问内网)5)定义地址转换规则。
定义源地址转换规则,使得内网用户能够访问外网。
#nat policy add dstarea area_eth1 trans_src 192.168.100.140 定义目的地址转换规则,使得内网文档组以及外网用户都可以访问area_eth2 区域的 WEB 服务器。
#nat policy add orig_dst 192.168.100.143 orig_service HTTP trans_dst 172.16.1.3 6)定义访问控制规则。
允许内网和外网用户均可以访问WEB 服务器
#firewall policy add action accept dstarea area_eth2 dst 172.16.1.3 service HTTP 允许项目组领导访问外网,禁止项目组普通员工访问外网
#firewall policy add action deny srcarea area_eth0 srcvlan vlan.0002 src rd_group dstarea area_eth0 service HTTP 注意事项
1)目的地址需要选择WEB 服务器的真实IP 地址,因为防火墙要先对数据包进行目 的地址转换处理,当内网用户利用http://192.168.100.143 访问SSN 区域的Web 服务器时,由于符合NAT 目的地址转换规则,所以数据包的目的地址将被转换为172.16.1.3。然后才 进行访问规则查询,此时只有设定为WEB 服务器的真实IP 地址才能达到内网用户访问 SSN 区域WEB 服务器的目的。网络卫士系列防火墙处理数据包的流程请参考用户手册相 关章节。
2)定义目的地址转换规则时,不能选择目的区域与目的VLAN。
根据源端口配置访问控制规则
基本需求
案例:某银行系统应用软件使用特定的端口进行业务主机与服务器间的数据通信,为 了保证数据及设备的安全,禁止其他对于业务主机和服务器的访问。网络结构示意图如下所示。
图 26 根据源端口进行访问控制示意图
业务主机可以使用特殊端口访问服务器,不能使用其他端口。业务主机区域和服务器 区域禁止其他类型的访问。
配置要点
定义区域:area_eth1、area_eth2。
定义服务端口:FS_port
设置访问控制规则
WebUI 配置步骤
1)定义区域area_eth1 为禁止访问,并与属性eth1 绑定。选择 资源管理 > 区域,点击“添加”,如下图所示。
2)定义区域area_eth2 为禁止访问,并与属性eth2 绑定。
具体操作与area_eth1 相似,请参考area_eth1 的定义过程完成。3)定义服务端口
由于系统使用的通信端口是:4500,不是通常使用的协议端口,在设置规则前需要自 定义端口。
选择 资源管理 > 服务,激活“自定义服务”页签,进入自定义服务页面。点击右 侧“添加”,如下图所示。
选择类型:TCP,设置名称:FS_port,服务器实际使用的端口:4500。完成后点击“确 定”按钮。
4)定义访问控制规则
该规则为来自area_eth1 区域使用源端口为4500 的数据包允许通过防火墙访问 area_eth2 区域。
a)选择“源”页签,参数设置如下。
b)选择“目的”页签,参数设置如下图所示。
c)选择“服务”页签,参数设置如下图所示。
d)选择“选项”页签设置参数如下。由于所使用的软件系统所建立的连接需要长时期保持,在“连接选项”中选择“长连 接”,根据需要选择“日志记录”。点击“确定”完成ACL 规则设置。
CLI 配置步骤
1)定义区域:area_eth1、area_eth2 #define area add name area_eth1 access off attribute eth1 #define area add name area_eth2 access off attribute eth2 2)定义服务端口:FS_port #define service add name FS_port protocol 6 port 4500 3)设置访问控制规则
#firewall policy add action accept srcarea area_eth1 dstarea area_eth2 sport FS_port permanent yes log on enable yes
注意事项
由于环境所限此案例未能进行实际测试,仅供参考使用。
根据特定服务配置访问控制规则
基本需求
在进行访问控制规则的设置时,可以对用户所能访问的服务进行控制,系统预定义了
可控制的常见服务,可以实现二到七层的访问控制,用户也可以自定义服务进行访问控制。案例:某企业网络被防火墙化分为三个区域area_eth0、area_eth1 和area_eth2,三个
区域分别与接口Eth0、Eth1 和Eth2 绑定,area_eth0 连接外网,允许用户访问,area_eth1 和area_eth2 区域禁止用户访问。服务器位于area_eth1,IP 地址为192.168.100.140,内网 位于area_eth2,网络地址为192.168.101.0。企业的网络结构如下图所示。
要求:
允许内网用户访问服务器的TELNET、SSH、FTP 和Web_port 服务,其中Web_port 服务为自定义服务,端口号为8080;但不能访问Eth1 口的其他服务器和其他服务。不允许外网用户访问Eth1 口服务器的TELNET 和SSH 服务。图 27 根据服务设置访问控制规则示意图
配置要点
定义区域和地址资源
定义服务资源
定义服务组资源 设置访问控制规则
WebUI 配置步骤
1)定义区域和地址资源
a)定义区域资源area_eth0、area_eth1 和area_eth2,分别与Eth0、Eth1 和Eth2 绑定。区域权限均为“允许”。
选择 资源管理 > 区域,点击“添加”添加区域资源,界面如下图。① 添加区域area_eth0。② 添加区域area_eth1。③ 添加区域area_eth2。
服务热线:8008105119 183 设置完成后界面如下图所示。b)定义IP 地址资源
选择 资源管理 > 地址,选择“主机”页签,点击“添加”,如下图所示。c)定义子网资源
选择 资源管理 > 地址,选择“子网”页签,点击“添加”,如下图所示。
2)设置自定义服务
选择 资源管理 > 服务,激活“自定义服务”页签,配置自定义服务“Web_port” 如下图所示。
3)设置服务组资源
选择 资源管理 > 服务,激活“服务组”页签,配置服务组“内网访问服务”如下 图所示。
本例中服务组名称为“内网访问服务”,包括“Web_port、SSH、TELNET、FTP”。4)设置访问控制规则。由于服务器所在区域area_eth1 禁止访问,所以只要定义允许 访问的规则即可。
a)设置允许内网area_eth2 的网段为192.168.101.0/24 的用户访问area_eth1 的服务器(192.168.100.140)SSH、TELNET、FTP 以及8080 端口服务的访问控制规则 选择 防火墙 > 访问控制,点击“添加”按钮,设置访问控制规则。① 选择“源”页签,参数设置如下图所示。
② 选择“目的”页签,参数设置如下图所示。
服务热线:8008105119 187 ③ 选择“服务”页签,参数设置如下图所示。
服务热线:8008105119 188 设置完成的ACL 规则如下图所示。
b)设置仅允许外网区域(area_eth0)的用户访问服务器的8080 端口的服务访问控制 规则。
选择 防火墙 > 访问控制,点击“添加”按钮,设置访问控制规则。① 选择“源”页签,参数设置如下图所示。
服务热线:8008105119 189 ② 选择“目的”页签,参数设置如下图。
服务热线:8008105119 190 ③ 选择“服务”页签,参数设置如下图。
服务热线:8008105119 191 设置完成后的ACL 规则如下图所示。
CLI 配置步骤
1)定义区域资源
#define area add name area_eth0 access on attribute eth0 #define area add name area_eth1 access on attribute eth1 #define area add name area_eth2 access on attribute eth2 2)定义主机和子网地址资源
#define host add name 192.168.100.140 ipaddr 192.168.100.140 #define host subnet add name 内网 ipaddr 192.168.101.0 mask 255.255.255.0 3)设置自定义服务,服务名为Web_port,端口号为8080。#difine service add name Web_port protocol tcp port 8080 4)设置服务组资源,组名称为“内网访问服务”,包括Web_port、FTP、TELNET 和SSH 服务。
#difine group_service add name 内网访问服务 member Web_port,FTP,TELNET,SSH 5)设置访问控制规则
a)区域“area_eth2”的子网对象“内网”(192.168.101.0/24)允许访问区域“area_eth1” 的服务器的Web_port、FTP、TELNET 和SSH 服务(有自定义服务组“内网访问服务”绑 定),服务器的IP 地址为192.168.100.140。
#firewall policy add action accept srcarea area_eth2 dstarea area_eth1 src 内网dst 192.168.100.140 service 内网访问服务 enable yes
服务热线:8008105119 192 b)设置仅允许外网用户访问服务器192.168.100.140 的8080 端口的服务访问控制规 则。
#firewall policy add action accept srcarea area_eth0 dstarea area_eth1 dst 192.168.100.140 service Web_port enable yes 注意事项
如果只允许开放某些服务,其他服务均被禁止,可以设置目的区域的默认访问权限为 “禁止”,系统在匹配完访问控制规则后将自动匹配区域的默认访问权限。
根据转换前目的地址配置访问控制规则
基本需求
背景:某企业的WEB 服务器(IP:192.168.83.56)通过防火墙将其IP 地址MAP 为
202.45.56.5 对外提供WEB 服务。WEB 服务器连在防火墙的Eth1 口(IP:192.168.83.2),且防火墙通过Eth0 口(IP:202.45.56.3)与Internet 相连,如下图所示。
图 28 根据转换前目的进行访问控制示意图
需求:为了保护企业网络的安全,网关Eth1 接口所属的区域area_eth1 设置为禁止访 问,要求Internet 用户只可访问企业WEB 服务器的HTTP 服务,要求用WEB 服务器的 MAP 地址202.45.56.5 作访问控制。
服务热线:8008105119 193 配置要点
定义主机地址资源
定义地址转换策略
定义访问控制规则
WebUI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。选择 资源管理 > 区域,点击“添加”,如下图。
2)定义WEB 服务器主机地址资源R-WebServer 和虚拟主机对象V-WebServer。选择 资源管理 > 地址,激活“主机”页签,定义主机地址资源R-WebServer 和 V-WebServer。
定义R-WebServer 主机地址资源图。
服务热线:8008105119 194 定义V-WebServer 主机地址资源图。3)定义地址转换规则。
选择 防火墙 > 地址转换,并在右侧界面中点击“添加”定义目的地址转换规则。选择“目的转换”。
a)选择“源”页签,设置参数如下图。
服务热线:8008105119 195 b)选择“目的”页签,参数设置如下。
服务热线:8008105119 196 c)选择“服务”页签,参数设置如下。设置完成后的目的NAT 规则如下图所示。4)设置访问控制规则。
选择 防火墙 > 访问控制,并在右侧界面中点击“添加”定义访问控制规则。
服务热线:8008105119 197 a)选择“源”页签,参数设置如下。b)选择“目的”页签,设置根据转换前的目的地址进行访问控制。参数设置如下。
服务热线:8008105119 198 c)选择“服务”页签,参数设置如下。
服务热线:8008105119 199 设置完成后的ACL 规则如下图所示。至此,WEBUI 方式的配置完成。
CLI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。#define area add name area_eth1 access off attribute eth1 2)定义WEB 服务器主机地址资源R-WebServer 和虚拟主机地址资源V-WebServer。定义R-WebServer 主机地址资源
#define host add name R-WebServer ipaddr 192.168.83.56 mask 255.255.255.定义V-WebServer 主机地址资源
#define host add name V-WebServer ipaddr 202.45.56.5 mask 255.255.255.3)定义地址转换规则。
#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4)设置访问控制规则。
#firewall policy add src any orig_dst V-WebServer service HTTP action accept enable yes
注意事项
1)因为该案例要求internet 用户只可访问内网中WEB 服务器的HTTP 服务,因此需 要事先拒绝internet 用户的所有访问,再定义访问控制规则允许其访问HTTP 服务。2)对转换前的目的地址进行匹配时,只需在“转换前目的地址”中进行选择目的地 址,而无须在“目的地址”中再选择地址。
3)在配置过程中,请确保没有与该规则相冲突的地址转换策略和阻断策略。
根据转换后目的地址配置访问控制规则
基本需求
背景:某企业的WEB 服务器(IP:192.168.83.56)通过防火墙将其IP 地址MAP 为
202.45.56.5 对外提供WEB 服务。WEB 服务器连在防火墙的Eth1 口(IP:192.168.83.2),且防火墙通过Eth2 口(IP:202.45.56.3)与Internet 相连,如下图所示。
需求:为了保护企业网络的安全,要求Internet 用户只可访问企业WEB服务器的HTTP 服务,要求用WEB 服务器的IP 地址192.168.83.56 做访问控制。图 29 根据转换后目的进行访问控制示意图
配置要点
定义主机地址资源
定义地址转换策略
定义访问控制规则
WebUI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。选择 资源管理 > 区域,点击“添加”,如下图。
2)定义WEB 服务器主机地址资源R-WebServer 和虚拟主机地址资源V-WebServer。选择 资源管理 > 地址,激活“主机”页签,在右侧界面中点击“添加”定义主机 地址资源R-WebServer 和V-WebServer。定义R-WebServer 主机地址资源。定义V-WebServer 主机地址资源。3)定义地址转换规则。
选择 防火墙 > 地址转换,并在右侧界面中点击“添加”定义目的地址转换规则。选择“目的转换”。
a)选择“源”页签,设置参数如下图。
b)选择“目的”页签,参数设置如下。
c)选择“服务”页签,参数设置如下。设置完成后的目的NAT 规则如下图所示。4)设置访问控制规则。
a)选择“源”页签,参数设置如下。
b)选择“目的”页签,设置根据NAT 转换后的目的地址(R_WebServer)进行访问 控制。参数设置如下。
c)选择“服务”页签,参数设置如下。
设置完成后的ACL 规则如下图所示。至此,WEBUI 方式的配置完成。
CLI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。#define area add name area_eth1 access off attribute eth1 2)定义WEB 服务器主机对象R-WebServer 和虚拟主机对象V-WebServer。定义R-WebServer 主机地址资源
#define host add name R-WebServer ipaddr 192.168.83.56 定义V-WebServer 主机地址资源
#define host add name V-WebServer ipaddr 202.45.56.5 3)定义地址转换规则。
#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4)设置访问控制规则。
#firewall policy add src any dst R-WebServer service HTTP action accept enable yes 注意事项
1)因为该案例要求internet 用户只可访问内网中WEB 服务器的HTTP 服务,因此需 要事先拒绝internet 用户的所有访问,再定义访问控制规则允许其访问HTTP 服务。2)当TOS 设备处理经过地址转换的数据包时,匹配的是目的地址转换后的地址,故 一般不需要设置“转换前目的”中的地址。
3)在配置过程中请确保没有与该规则相冲突的地址转换策略和阻断策略。
基于认证用户的访问控制
用户认证的主要目的是为了对用户进行身份鉴别、授权以及进行细粒度的访问控制,用户认证的方式主要包括本地认证(密码和证书)和第三方认证(Radius、Tacacs、SecurID、LDAP 以及域认证等等),通过将认证用户设置为用户组,访问控制规则的源和目的即可 以是用户组对象,从而实现基于本地密码认证、OTP 认证以及第三方认证用户的细粒度 的访问控制。
基本需求
Area_eth2 区域为研发部门内网,禁止外网和其余部门访问,只允许内网area_eth1 区 域的某些用户通过TOPSEC 认证客户端访问内网主机10.10.10.22 的TELNET 服务。图 30 基于认证用户的访问控制示意图 配置要点
设置区域属性
设置NAT 地址转换规则
设置认证服务器和用户组
开放相关接口的认证服务
设置基于认证用户的访问控制规则。
设置用户认证客户端
WebUI 配置步骤
1)设置区域属性,添加主机地址资源。
a)选择 资源管理 > 区域,定义内网区域area_eth2 的缺省属性为禁止访问。外网区域area_eth1 为允许访问。
b)选择 资源管理 > 地址,激活“主机”页签,定义内网TELNET 服务器的真实IP 地址资源(10.10.10.22)。
定义虚拟IP 地址资源(192.168.83.223)。如下图所示。
2)选择 防火墙 > 地址转换,设置目的NAT 规则,使得用户能够访问内网TELNET 服务器。
选择“目的转换”。
a)选择“源”页签,设置参数如下图。
b)选__
点击咨询 