『壹』 訪問控制技術的概念原理
訪問控制(Access Control)指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段。通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。訪問控制是系統保密性、完整性、可用性和合法使用性的重要基礎,是網路安全防範和資源保護的關鍵策略之一,也是主體依據某些控制策略或許可權對客體本身或其資源進行的不同授權訪問。
訪問控制的主要目的是限制訪問主體對客體的訪問,從而保障數據資源在合法范圍內得以有效使用和管理。為了達到上述目的,訪問控制需要完成兩個任務:識別和確認訪問系統的用戶、決定該用戶可以對某一系統資源進行何種類型的訪問。
訪問控制包括三個要素:主體、客體和控制策略。
(1)主體S(Subject)。是指提出訪問資源具體請求。是某一操作動作的發起者,但不一定是動作的執行者,可能是某一用戶,也可以是用戶啟動的進程、服務和設備等。
(2)客體O(Object)。是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體。客體可以是信息、文件、記錄等集合體,也可以是網路上硬體設施、無限通信中的終端,甚至可以包含另外一個客體。
(3)控制策略A(Attribution)。是主體對客體的相關訪問規則集合,即屬性集合。訪問策略體現了一種授權行為,也是客體對主體某些操作行為的默認。 訪問控制的主要功能包括:保證合法用戶訪問受權保護的網路資源,防止非法的主體進入受保護的網路資源,或防止合法用戶對受保護的網路資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證,同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後,還需要對越權操作進行監控。因此,訪問控制的內容包括認證、控制策略實現和安全審計,其功能及原理如圖1所示。
(1)認證。包括主體對客體的識別及客體對主體的檢驗確認。
(2)控制策略。通過合理地設定控制規則集合,確保用戶對信息資源在授權范圍內的合法使用。既要確保授權用戶的合理使用,又要防止非法用戶侵權進入系統,使重要信息資源泄露。同時對合法用戶,也不能越權行使許可權以外的功能及訪問范圍。
(3)安全審計。系統可以自動根據用戶的訪問許可權,對計算機網路環境下的有關活動或行為進行系統的、獨立的檢查驗證,並做出相應評價與審計。 圖1 訪問控制功能及原理
『貳』 防火牆在設置訪問控制時需考慮哪三方面因素
目前主流防火牆的包過濾規則依然是依據五元組,也就是原目地址、原目埠、協議。當然了也是有很多其他選項可選配的,比如時間、策略、介面等等。
截個圖給你看
『叄』 什麼是ACL,它的五要素是
ACL(Access Control Lists,縮寫ACL),存取控制列表。ACL是一套與文件相關的用戶、組和模式項,此文件為所有可能的用戶 ID 或組 ID 組合指定了許可權。 ACL的作用 限制網路流量提高網路性能 通過設定埠上、下行流量的帶寬,ACL可以定製多種應用的帶寬管理,避免因為帶寬資源的浪費而影響網路的整體性能。如果能夠根據帶寬大小來制定收費標准,那麼運營商就可以根據客戶申請的帶寬,通過啟用ACL方式限定訪問者的上、下行帶寬,實現更好的管理,充分利用現有的網路資源,保證網路的使用性能。 有效的通信流量控制手段 ACL 可以限定或簡化路由選擇更新信息的長度,用來限制通過路由器的某一網段的流量。 提供網路訪問的基本安全手段 ACL 允許某一主機訪問一個網路,阻止另一主機訪問同樣的網路,這種功能可以有效防止未經授權用戶的非法接入。如果在邊緣接入層啟用二、三層網路訪問的基本安全策略,ACL能夠將用戶的MAC、IP地址、埠號與交換機的埠進行綁定,有效防止其他用戶訪問同樣的網路。 在交換機(路由器)介面處,ACL決定哪種類型的通信流量被轉發或被拒絕。根據數據包的協議(IP、IPX等),ACL指定某種類型的數據包具有更高的優先順序,在同等情況下優先被交換機(路由器)處理。這種功能保證交換機(路由器)丟棄不必要的數據包,通過不同的隊列來有效限制網路流量,減少網路擁塞。 在網路中,ACL不但可以讓網管員用來制定網路策略,對個別用戶或特定數據流進行控制;也可以用來加強網路的安全屏蔽作用。從簡單的Ping of Death攻擊、TCP Syn攻擊,到更多樣化更復雜的黑客攻擊,ACL都可以起到一定的屏蔽作用。如果從邊緣、二層到三層交換機都具備支持標准ACL及擴展ACL的能力,網路設備就可以將安全屏蔽及策略執行能力延伸到網路的邊緣。 ACL規則 網路中經常提到的acl規則是Cisco IOS所提供的一種訪問控制技術。 初期僅在路由器上支持,近些年來已經擴展到三層交換機,部分最新的二層交換機如2950之類也開始提供ACL的支持。只不過支持的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供類似的技術,不過名稱和配置方式都可能有細微的差別。本文所有的配置實例均基於Cisco IOS的ACL進行編寫。
『肆』 訪問控制
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。 用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的預設限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網路。 對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。 網路管理員可以控制和限制普通用戶的賬號使用、訪問網路的時間和方式。用戶賬號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。 用戶名和口令驗證有效之後,再進一步履行用戶賬號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時,網路還應能對用戶的賬號加以限制,用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽(irm)可作為兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器,可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類:特殊用戶(即系統管理員);一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用訪問控製表來描述。
目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權、讀許可權、寫許可權、創建許可權、刪除許可權、修改許可權、文件查找許可權、訪問控制許可權。用戶對文件或目標的有效許可權取決於以下兩個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問 ,從而加強了網路和伺服器的安全性。
屬性安全控制
當用文件、目錄和網路設備時,網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表,用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。
伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
是否可以解決您的問題?
『伍』 訪問控制系統的三要素不包括
訪問控制包括三個要素,即:主體、客體和控制策略。 主體:是可以對其它實體施加動作的主動實體,簡記為S。
客體:是接受其他實體訪問的被動實體, 簡記為O。
控制策略:是主體對客體的操作行為集和約束條件集, 簡記為KS。
『陸』 訪問控制的訪問控制的功能
主要有以下:一、 防止非法的主體進入受保護的網路資源。 二、允許合法用戶訪問受保護的網路資源。 三、防止合法的用戶對受保護的網路資源進行非授權的訪問。
『柒』 訪問控制不包括____。 A:網路訪問控制 B:主機、操作系統訪問控制 C:應用程序訪問控制 D:IP訪問控制
訪問控制不包括iP訪問控制。
訪問控制是幾乎所有系統(包括計算機系統和非計算機系統)都需要用到的一種技術。訪問控制是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問。
或限制對某些控制功能的使用的一種技術,如UniNAC網路准入控制系統的原理就是基於此技術之上。訪問控制通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。
訪問控制的主要目的是限制訪問主體對客體的訪問,從而保障數據資源在合法范圍內得以有效使用和管理。為了達到上述目的,訪問控制需要完成兩個任務:識別和確認訪問系統的用戶、決定該用戶可以對某一系統資源進行何種類型的訪問。
(7)訪問控制要素有擴展閱讀:
訪問控制包括三個要素:主體、客體和控制策略。
1、主體S(Subject)。是指提出訪問資源具體請求。是某一操作動作的發起者,但不一定是動作的執行者,可能是某一用戶,也可以是用戶啟動的進程、服務和設備等。
2、客體O(Object)。是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體。客體可以是信息、文件、記錄等集合體,也可以是網路上硬體設施、無限通信中的終端,甚至可以包含另外一個客體。
3、控制策略A(Attribution)。是主體對客體的相關訪問規則集合,即屬性集合。訪問策略體現了一種授權行為,也是客體對主體某些操作行為的默認。
『捌』 《網路信息安全》訪問控制技術概述是什麼
訪問控制是指主體依據某些控制策略或許可權對客體本身或其資源進行的不同授權訪問。
包括三個要素:
1,主體:提出請求或要求的實體,是動作的發起者。某個用戶,進程,服務和設備等。
2,客體:接受其他實體訪問的被動實體,例如信息,資源和對象都可以被認為是客體。
3,控制策略:主體對客體的訪問規則集。簡單地說就是客體對主體的許可權允許。
訪問控制的目的:控制主體對客體資源的訪問許可權。
訪問控制的任務:
識別和確認訪問系統的用戶,決定該用戶可以對某一系統資源進行何種類型的訪問。
『玖』 訪問控制列表有幾種類型說出不同訪問控制列表可控制訪問的元素有哪些
標准訪問控制列表,擴展訪問控制列表,命名訪問控制列表,定時訪問控制列表。
一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。
擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項,包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
(9)訪問控制要素有擴展閱讀:
訪問控制列表具有許多作用,如限制網路流量、提高網路性能;通信流量的控制,例如ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量;提供網路安全訪問的基本手段;在路由器埠處決定哪種類型的通信流量被轉發或被阻塞,例如,用戶可以允許E-mail通信流量被路由,拒絕所有的 Telnet通信流量等。