2014软考网络工程师考点:访问控制

 访问控制是指确定可给予哪些主体访问的权力、确定以及实施访问权限的过程。被访问的数据统称为客体。

　　1、访问矩阵是表示安全政策的最常用的访问控制安全模型。访问者对访问对象的权限就存放在矩阵中对应的交叉点上。

　　2、访问控制表(ACL)每个访问者存储有访问权力表，该表包括了他能够访问的特定对象和操作权限。引用监视器根据验证访问表提供的权力表和访问者的身份来决定是否授予访问者相应的操作权限。

　　3、粗粒度访问控制：能够控制到主机对象的访问控制

　　细粒度访问控制：能够控制到文件甚至记录的访问控制

　　4、防火墙作用：防止不希望、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。

　　防火墙的分类：IP过滤、线过滤和应用层代理

　　路由器过滤方式防火墙、双穴信关方式防火墙、主机过滤式防火墙、子网过滤方式防火墙

　　5、过滤路由器的优点：结构简单，使用硬件来降低成本;对上层协议和应用透明，无需要修改已经有的应用。缺点：在认证和控制方面粒度太粗，无法做到用户级别的身份认证，只有针对主机IP地址，存在着假冒IP攻击的隐患;访问控制也只有控制到IP地址端口一级，不能细化到文件等具体对象;从系统管理角度来看人工负担很重。

　　6、代理服务器的优点：是其用户级身份认证、日志记录和帐号管理。缺点：要想提供全面的安全保证，就要对每一项服务都建立对应的应用层网关，这就极大限制了新应用的采纳。

　　7、VPN：虚拟专用网，是将物理分布在不同地点的网络通过公共骨干网，尤其是internet联接而成的逻辑上的虚拟子网。

　　8、VPN的模式：直接模式VPN使用IP和编址来建立对VPN上传输数据的直接控制。对数据加密，采用基于用户身份的鉴别，而不是基于IP地址。隧道模式VPN是使用IP帧作为隧道的发送分组。

　　9、IPSEC是由IETF制订的用于VPN的协议。由三个部分组成：封装安全负载ESP主要用来处理对IP数据包的加密并对鉴别提供某种程序的支持。，鉴别报头(AP)只涉及到鉴别不涉及到加密，internet密钥交换IKE主要是对密钥交换进行管理