第一篇：淺談訪問控制策略

淺談訪問控制策略

身份鑒別與訪問控制是信息安全領(lǐng)域的兩個(gè)十分重要的概念。然而，對(duì)這兩個(gè)概念的含義往往有不同的理解。希望通過本文所引發(fā)的討論能對(duì)統(tǒng)一這兩個(gè)概念的理解有所幫助。

在GB17859中．身份鑒別指的是用戶身份的鑒別，包括用戶標(biāo)識(shí)和用戶鑒別。在這里．用戶標(biāo)識(shí)解決注冊(cè)用戶在一個(gè)信息系統(tǒng)中的惟一性問題．用戶鑒別則解決用戶在登錄一個(gè)信息系統(tǒng)時(shí)的真實(shí)性問題。一般情況下．當(dāng)用戶注冊(cè)到一個(gè)系統(tǒng)時(shí)，系統(tǒng)應(yīng)給出其惟一性的標(biāo)識(shí)．并確定對(duì)其進(jìn)行鑒別使用的信息(該信息應(yīng)是保密的、并且是難以仿造的．一方面以一定方式提供給用戶．另一方面由系統(tǒng)保存)。當(dāng)用戶登錄到該系統(tǒng)時(shí)，用戶應(yīng)提供鑒別信息，系統(tǒng)則根據(jù)注冊(cè)時(shí)所保留的鑒別信息對(duì)用戶所提供的鑒別信息的真實(shí)性進(jìn)行鑒別。

其實(shí)．從更廣義的范圍來講．信息系統(tǒng)中的身份鑒別應(yīng)包括用戶身份鑒別和設(shè)備身份鑒別．用戶身份鑒別又分為注冊(cè)用戶的身份鑒別和網(wǎng)上數(shù)據(jù)交換用戶的身份鑒別。上述GB17859中的身份鑒別主要指的是注冊(cè)用戶的身份鑒別。網(wǎng)上數(shù)據(jù)交換時(shí)用戶的身份鑒別是指非注冊(cè)用戶間進(jìn)行數(shù)據(jù)交換時(shí)的身份鑒別。也就是通常所說的在相互不知道對(duì)方身份的情況下，又要確認(rèn)對(duì)方身份的真實(shí)、可信．從而確認(rèn)數(shù)據(jù)交換的可信賴性。這就需要通過所謂的可信第三方(如由CA系統(tǒng)提供的認(rèn)證機(jī)制)實(shí)現(xiàn)數(shù)據(jù)交換雙方身份的真實(shí)性認(rèn)證。關(guān)于設(shè)備的身份鑒別．其實(shí)與注冊(cè)用戶的身份鑒別沒有多大區(qū)別．只是鑒別的對(duì)象是接入系統(tǒng)的設(shè)備而已。對(duì)接入系統(tǒng)的設(shè)備進(jìn)行身份鑒別．同樣要先對(duì)其進(jìn)行注冊(cè)，并在注冊(cè)時(shí)確定鑒別信息(鑒別信息既與設(shè)備相關(guān)聯(lián)．又由系統(tǒng)保留)。當(dāng)需要將設(shè)備接入系統(tǒng)時(shí)．被接入設(shè)備需提供鑒別信息，經(jīng)系統(tǒng)確認(rèn)其身份的真實(shí)性后方可接入。

訪問控制在GB17859中同樣有其特定的含義．并對(duì)自主訪問控制和強(qiáng)制訪問控制的策略做了具體的說明。其實(shí)．訪問控制在更廣的范圍有著更廣泛的含義。在許多情況下．人們往往把身份鑒別也稱作是一種訪問控制。如果我們把是否允許登錄系統(tǒng)看作是是否允許對(duì)系統(tǒng)進(jìn)行訪問．把身份鑒別稱為訪問控制也未嘗不可。問題是需要對(duì)其具體含義做清晰的描述。這也是我們?yōu)槭裁窗焉矸蓁b別與訪問控制這兩個(gè)概念一起進(jìn)行討論的原因 談到訪問控制．首先必須對(duì)訪問控制的粒度有所了解。訪問控制講的是對(duì)主體訪問客體的控制。粒度顯然涉及主體和客體兩個(gè)方面。主體一般是以用戶為單位實(shí)施訪問控制(劃分用戶組只是對(duì)相同訪問權(quán)限用戶的一種管理方法)．網(wǎng)絡(luò)用戶也有以IP地址為單位實(shí)施訪問控制的?？腕w的訪問控制粒度由粗到細(xì)可以是整個(gè)應(yīng)用系統(tǒng) 某個(gè)網(wǎng)絡(luò)系統(tǒng)．某個(gè)服務(wù)器系統(tǒng)，某個(gè)操作系統(tǒng)．某個(gè)數(shù)據(jù)庫管理系統(tǒng)、某個(gè)文件 某個(gè)數(shù)據(jù)庫．?dāng)?shù)據(jù)庫中的某個(gè)表 甚至庫表中的某個(gè)記錄或字段等。一般來講 對(duì)整個(gè)系統(tǒng)(包括信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、服務(wù)器系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用系統(tǒng)等)的訪問．通常是采用身份鑒別的方法進(jìn)行控制．也就是相對(duì)的粗粒度訪問控制。細(xì)粒度的訪問控制，通常是指在操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)中所提供的用戶對(duì)文件或數(shù)據(jù)庫表、記錄／字段的訪問所進(jìn)行的控制．也就是GB17859中所描述的經(jīng)典的訪問控制。這類訪問控制分為自主訪問控制和強(qiáng)制訪問控制兩種。當(dāng)然也可以在網(wǎng)關(guān)等處設(shè)置以服務(wù)器為對(duì)象的自主訪問控制或強(qiáng)制訪問控制機(jī)制，實(shí)現(xiàn)以服務(wù)器為粒度的訪問控制。

所謂自主訪問控制是指由系統(tǒng)提供用戶有權(quán)對(duì)自身所創(chuàng)建的訪問對(duì)象(文件、數(shù)據(jù)庫表等)進(jìn)行訪問．并有權(quán)將對(duì)這些對(duì)象的訪問權(quán)授予其他用戶和從授予權(quán)限的用戶收回其訪問權(quán)限。訪問對(duì)象的創(chuàng)建者還有權(quán)進(jìn)行授權(quán)轉(zhuǎn)讓” 即將 授予其他用戶訪問權(quán)限 的權(quán)限轉(zhuǎn)讓給別的用戶。需要特別指出的是，在一些系統(tǒng)中．往往是由系統(tǒng)管理員充當(dāng)訪問對(duì)象的創(chuàng)建者角色 并進(jìn)行訪問授權(quán) 而在其后通過”授權(quán)轉(zhuǎn)讓 將權(quán)限轉(zhuǎn)讓給指定用戶．于是容易引起這種訪問控制不是由用戶自主決定訪問權(quán)限的誤會(huì)。

所謂強(qiáng)制訪問控制是指由系統(tǒng)(通過專門設(shè)置的系統(tǒng)安全員)對(duì)用戶所創(chuàng)建的對(duì)象進(jìn)行統(tǒng)一的強(qiáng)制性控制，按照確定的規(guī)則決定哪些用戶可以對(duì)哪些對(duì)象進(jìn)行哪些操作類型的訪問，即使是創(chuàng)建者用戶，在創(chuàng)建一個(gè)對(duì)象后．也可能無權(quán)訪問該對(duì)象。強(qiáng)制訪問控制常見的安全模型是Bell—La padula模型(也稱多級(jí)安全模型)。該模型的安全策略分為強(qiáng)制訪問和自主訪問兩部分。自主訪問控制允許用戶自行定義其所創(chuàng)建的數(shù)據(jù)．它以一個(gè)訪問矩陣表示包括讀、寫、執(zhí)行、附加以及控制等訪問模式。由于它的自主訪問控制策略已廣為人們熟知。所以在提到多級(jí)安全模型時(shí)．往往重點(diǎn)探討其強(qiáng)制訪問控制策略。多級(jí)安全模型的強(qiáng)制訪問控制策略以等級(jí)和范疇 作為其主、客體的敏感標(biāo)記，并施以”從下讀、向上寫”的簡單保密性規(guī)則。需要強(qiáng)調(diào)的是．作為敏感標(biāo)記的等級(jí)和范疇．必須由專門設(shè)置的系統(tǒng)安全員，通過由系統(tǒng)提供的專門界面設(shè)置和維護(hù)．敏感標(biāo)記的改變意味著訪問權(quán)限的改變。因此可以說．所有用戶的訪問權(quán)限完全是由安全員根據(jù)需要決定的。強(qiáng)制訪問控制還有其他安

全策略 比如 角色授權(quán)管理。該安全策略將系統(tǒng)中的訪問操作按角色進(jìn)行分組管理。一種角色執(zhí)行一組操作．由系統(tǒng)安全員統(tǒng)一進(jìn)行授權(quán)。當(dāng)授予某個(gè)用戶某一角色時(shí)，該用戶就具有執(zhí)行該角色所對(duì)應(yīng)的一組操作的權(quán)限。當(dāng)安全員撤銷其授予用戶的某一角色時(shí)，相應(yīng)的操作權(quán)限也就被撤銷。這完全類似于現(xiàn)實(shí)社會(huì)中對(duì)領(lǐng)導(dǎo)職務(wù)的任命和撤銷。這一策略的訪問權(quán)限也是通過安全員通過角色授權(quán)決定的。

與訪問控制相關(guān)聯(lián)的另一個(gè)十分重要的概念是 用戶一主體綁定。這一概念的引入．對(duì)多用戶環(huán)境、進(jìn)程動(dòng)態(tài)運(yùn)行所實(shí)施的訪問操作的控制提供了支持。作為動(dòng)態(tài)運(yùn)行的系統(tǒng)進(jìn)程．它在不同時(shí)間段為不同的用戶服務(wù) 因而無法為其設(shè)置固定的敏感標(biāo)記。通過用戶一主體綁定機(jī)制．可以將進(jìn)程動(dòng)態(tài)地與其所服務(wù)的用戶相關(guān)聯(lián)。于是．在任何時(shí)候．進(jìn)程所實(shí)施的訪問操作都能夠通過這種關(guān)聯(lián)找到其所服務(wù)的用戶，也就能找到實(shí)施強(qiáng)制訪問控制的主體。操作是由進(jìn)程實(shí)施的．而確定是否允許進(jìn)行此次訪問的主體對(duì)象卻是進(jìn)程為其服務(wù)的用戶

第二篇：訪問控制策略配備管理制度

訪問控制策略配備管理制度

[日期：2010-12-18] 作者： 瀏覽:367

第一章 總則

第一條 為加強(qiáng)對(duì)網(wǎng)絡(luò)層和系統(tǒng)層的訪問控制，對(duì)網(wǎng)絡(luò)設(shè)備和安全專用設(shè)備，以及操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全配置和日常運(yùn)行進(jìn)行管理，保障信息網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行，特制訂本制度。

第二條 本制度暫時(shí)適用于海南電網(wǎng)公司（以下簡稱公司）本部的信息系統(tǒng)的所有網(wǎng)絡(luò)設(shè)備和安全專用設(shè)備，以及操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的訪問控制策略配置管理。分公司、直屬各單位及其他聯(lián)網(wǎng)單位可參照?qǐng)?zhí)行。

第二章 訪問控制策略的制定

第三條 公司本部的信息管理部門負(fù)責(zé)訪問控制策略的制定和組織實(shí)施工作，并指定網(wǎng)絡(luò)管理員協(xié)同系統(tǒng)管理員、數(shù)據(jù)庫管理員負(fù)責(zé)有關(guān)工作。

第四條 在制定本單位的網(wǎng)絡(luò)訪問控制策略、操作系統(tǒng)訪問控制策略和數(shù)據(jù)庫系統(tǒng)訪問控制策略前，應(yīng)掌握以下已形成文檔的資料，并必須根據(jù)變化作出即時(shí)的更新：

公司域網(wǎng)的詳細(xì)網(wǎng)絡(luò)結(jié)構(gòu)； 各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的安全要求； 各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的數(shù)據(jù)流情況；

不同系統(tǒng)及網(wǎng)絡(luò)之間的訪問控制及數(shù)據(jù)傳輸要求； 各種連接的訪問權(quán)限；

各個(gè)服務(wù)器系統(tǒng)及其承載應(yīng)用服務(wù)的安全要求； 各個(gè)服務(wù)器操作系統(tǒng)的訪問控制及安全要求； 各個(gè)服務(wù)器數(shù)據(jù)庫系統(tǒng)的訪問控制及安全要求； 各個(gè)終端計(jì)算機(jī)或各種用戶群的訪問控制及安全要求。

第五條 制定的訪問控制策略要求體現(xiàn)以上文檔的要求，并根據(jù)以上文檔的更新作出相應(yīng)的修改。制定的網(wǎng)絡(luò)訪問控制策略必須包含內(nèi)部遠(yuǎn)程訪問控制和外部遠(yuǎn)程訪問控制兩部分；制定的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)訪問控制策略必須包含特權(quán)用戶和普通用戶兩部分；還應(yīng)制定對(duì)各種用戶群的訪問控制策略。第六條 內(nèi)部遠(yuǎn)程訪問是指公司內(nèi)部人員通過撥號(hào)等方式遠(yuǎn)程接入本單位的內(nèi)部公司域網(wǎng)。如用戶確因工作需要要求內(nèi)部遠(yuǎn)程訪問，應(yīng)填寫《內(nèi)部人員遠(yuǎn)程訪問審批表》（參見附表1）。經(jīng)被遠(yuǎn)程登錄方信息管理部門負(fù)責(zé)人批準(zhǔn)同意后，由被遠(yuǎn)程登錄方網(wǎng)絡(luò)管理員分配遠(yuǎn)程訪問的用戶名和口令。批準(zhǔn)遠(yuǎn)程訪問的時(shí)間結(jié)束后，網(wǎng)絡(luò)管理員應(yīng)及時(shí)變更遠(yuǎn)程訪問的用戶名和口令。

第七條 外部遠(yuǎn)程訪問是指外單位人員因故需通過撥號(hào)方式對(duì)信息系統(tǒng)進(jìn)行遠(yuǎn)程登錄維護(hù)，或外單位因業(yè)務(wù)需要需通過撥號(hào)方式接入等。進(jìn)行外部遠(yuǎn)程訪問前，有關(guān)業(yè)務(wù)系統(tǒng)的系統(tǒng)管理員應(yīng)填寫《外部人員遠(yuǎn)程訪問審批表》（參見附表2），并要得到信息管理部門負(fù)責(zé)人以及有關(guān)業(yè)務(wù)管理部門負(fù)責(zé)人批準(zhǔn)。對(duì)于需進(jìn)行遠(yuǎn)程登錄維護(hù)的情況，有關(guān)系統(tǒng)的系統(tǒng)管理員應(yīng)監(jiān)控整個(gè)外部遠(yuǎn)程訪問過程，確保系統(tǒng)安全，并且在外部遠(yuǎn)程訪問結(jié)束后，應(yīng)及時(shí)拔掉電話線，關(guān)閉調(diào)制解調(diào)器的電源，并更改用于外部遠(yuǎn)程訪問的用戶名和口令。

第八條 網(wǎng)絡(luò)及安全專用設(shè)備訪問控制。內(nèi)部網(wǎng)絡(luò)所使用的關(guān)鍵網(wǎng)絡(luò)設(shè)備及安全專用設(shè)備的用戶名和口令應(yīng)由專人管理，并定期修改。用于管理有關(guān)設(shè)備的客戶端軟件應(yīng)由專人管理，未經(jīng)信息系統(tǒng)運(yùn)行管理部門負(fù)責(zé)人同意，任何個(gè)人不得擅自安裝或使用。第九條 不同網(wǎng)絡(luò)之間的訪問控制。公司本部以及直屬供電公司的內(nèi)部網(wǎng)絡(luò)應(yīng)根據(jù)各個(gè)生產(chǎn)業(yè)務(wù)系統(tǒng)的安全要求，采用物理分開或虛擬網(wǎng)等方式劃分開不同的網(wǎng)絡(luò)。不同網(wǎng)絡(luò)之間應(yīng)該有明確的邊界，在邊界應(yīng)設(shè)置相應(yīng)的網(wǎng)絡(luò)安全設(shè)備，并根據(jù)不同網(wǎng)絡(luò)的安全要求設(shè)置訪問控制策略，在不同網(wǎng)絡(luò)之間實(shí)現(xiàn)有效的流量和訪問控制。

第十條 系統(tǒng)主機(jī)訪問控制。系統(tǒng)主機(jī)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的超級(jí)用戶口令必須由專人保管、每月修改，注意保密。系統(tǒng)用戶和一般用戶的添加及權(quán)限的設(shè)定，需要按照系統(tǒng)運(yùn)行安全管理制度要求填寫《操作系統(tǒng)帳戶授權(quán)審批表》或《數(shù)據(jù)庫系統(tǒng)帳戶授權(quán)審批表》，應(yīng)經(jīng)系統(tǒng)業(yè)務(wù)主管部門審批同意，由系統(tǒng)管理員統(tǒng)一處理，并建立用戶資料檔案。

第三章 訪問控制策略的管理

第十一條 訪問控制策略的制定、修改、審批管理。策略的制定、修改應(yīng)提出申請(qǐng)，填寫《訪問策略變更審批表》（附表3），并經(jīng)信息中心審批。審批同意后方可按照策略修改有關(guān)設(shè)備的配置，并要求做好相關(guān)的記錄。

第十二條 網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)安全審計(jì)員原則上要求由不同的人專職或兼職擔(dān)任。

網(wǎng)絡(luò)安全審計(jì)員負(fù)責(zé)每月檢查各種設(shè)備的配置及日志紀(jì)錄，確定網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員完全按照經(jīng)過審批的網(wǎng)絡(luò)訪問控制策略配置有關(guān)設(shè)備且沒有做過不正常的修改。

第十三條 網(wǎng)絡(luò)管理人員、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)安全審計(jì)員應(yīng)分別每季度向信息中心的負(fù)責(zé)人報(bào)告有關(guān)設(shè)備的的運(yùn)行情況及審計(jì)情況，以備檢查。有關(guān)的文檔應(yīng)歸檔保存。第四章 附則

第十四條 本制度由海南電網(wǎng)公司信息中心負(fù)責(zé)解釋。

第十五條 本規(guī)定自頒布之日起實(shí)行，有新的修改版本頒布后，本規(guī)定自行終止

(責(zé)任編輯：張丹)

第三篇：訪問控制總結(jié)報(bào)告

1.訪問控制概念

訪問控制是計(jì)算機(jī)發(fā)展史上最重要的安全需求之一。美國國防部發(fā)布的可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)（Trusted Computer System Evaluation Criteria，TCSEC，即橘皮書），已成為目前公認(rèn)的計(jì)算機(jī)系統(tǒng)安全級(jí)別的劃分標(biāo)準(zhǔn)。訪問控制在該標(biāo)準(zhǔn)中占有極其重要的地位。安全系統(tǒng)的設(shè)計(jì)，需要滿足以下的要求：計(jì)算機(jī)系統(tǒng)必須設(shè)置一種定義清晰明確的安全授權(quán)策略；對(duì)每個(gè)客體設(shè)置一個(gè)訪問標(biāo)簽，以標(biāo)示其安全級(jí)別；主體訪問客體前，必須經(jīng)過嚴(yán)格的身份認(rèn)證；審計(jì)信息必須獨(dú)立保存，以使與安全相關(guān)的動(dòng)作能夠追蹤到責(zé)任人。從上面可以看出來，訪問控制常常與授權(quán)、身份鑒別和認(rèn)證、審計(jì)相關(guān)聯(lián)。

設(shè)計(jì)訪問控制系統(tǒng)時(shí)，首先要考慮三個(gè)基本元素：訪問控制策略、訪問控制模型以及訪問控制機(jī)制。其中，訪問控制策略是定義如何管理訪問控制，在什么情況下誰可以訪問什么資源。訪問控制策略是動(dòng)態(tài)變化的。訪問控制策略是通過訪問機(jī)制來執(zhí)行，訪問控制機(jī)制有很多種，各有優(yōu)劣。一般訪問控制機(jī)制需要用戶和資源的安全屬性。用戶安全屬性包括用戶名，組名以及用戶所屬的角色等，或者其他能反映用戶信任級(jí)別的標(biāo)志。資源屬性包括標(biāo)志、類型和訪問控制列表等。為了判別用戶是否有對(duì)資源的訪問，訪問控制機(jī)制對(duì)比用戶和資源的安全屬性。訪問控制模型是從綜合的角度提供實(shí)施選擇和計(jì)算環(huán)境，提供一個(gè)概念性的框架結(jié)構(gòu)。

目前人們提出的訪問控制方式包括：自主性訪問控制、強(qiáng)訪問控制、基于角色的訪問控制等。

2.訪問控制方式分類

2.1 自主訪問控制

美國國防部(Department of Defense，DoD)在1985年公布的“可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)(trusted computer system evaluation criteria，TCSEC)”中明確提出了訪問控制在計(jì)算機(jī)安全系統(tǒng)中的重要作用，并指出一般的訪問控制機(jī)制有兩種：自主訪問控制和強(qiáng)制訪問控制。自主訪問控制(DAC)根據(jù)訪問請(qǐng)求者的身份以及規(guī)定誰能（或不能）在什么資源進(jìn)行什么操作的訪問規(guī)則來進(jìn)行訪問控制，即根據(jù)主體的標(biāo)識(shí)或主體所屬的組對(duì)主體訪問客體的過程進(jìn)行限制。在DAC系統(tǒng)中，訪問權(quán)限的授予可以進(jìn)行傳遞，即主體可以自主地將其擁有的對(duì)客體的訪問權(quán)限（全部或部分地）授予其它主體。DAC根據(jù)主體的身份及允許訪問的權(quán)限進(jìn)行決策。自主是指具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個(gè)子集授予其它主體。在DAC系統(tǒng)中，由于DAC可以將訪問權(quán)限進(jìn)行傳遞，對(duì)于被傳遞出去的訪問權(quán)限，一般很難進(jìn)行控制。比如，當(dāng)某個(gè)進(jìn)程獲得了信息之后，該信息的流動(dòng)過程就不再處于控制之中，就是說如果A可訪問B，B可訪問C，則A就可訪問C，這就導(dǎo)致主體對(duì)客體的間接訪問無法控制（典型如操作系統(tǒng)中文件系統(tǒng)）。這就造成資源管理分散，授權(quán)管理困難；用戶間的關(guān)系不能在系統(tǒng)中體現(xiàn)出來；信息容易泄漏，無法抵御特洛伊木馬的攻擊；系統(tǒng)開銷巨大，效率低下的缺點(diǎn)，不適合大型網(wǎng)絡(luò)應(yīng)用環(huán)境。2.2 強(qiáng)訪問控制

強(qiáng)制訪問控制(MAC)根據(jù)中央權(quán)威所確定的強(qiáng)制性規(guī)則來進(jìn)行訪問控制。和DAC不同，強(qiáng)制訪問控制并不具備訪問主體自主性，主體必須在由中央權(quán)威制定的策略規(guī)則約束下對(duì)系統(tǒng)資源進(jìn)行訪問。強(qiáng)制訪問控制是一種不允許主體干涉的訪問控制類型，是基于安全標(biāo)識(shí)和信息分級(jí)等信息敏感性的訪問控制。在MAC中，系統(tǒng)安全管理員強(qiáng)制分配給每個(gè)主/客體一個(gè)安全屬性，強(qiáng)制訪問控制根據(jù)安全屬性來決定主體是否能訪問客體。安全屬性具有強(qiáng)制性，不能隨意更改。

MAC最早出現(xiàn)在美國軍方的安全體制中，并且被美國軍方沿用至今。在MAC方案中，每個(gè)目標(biāo)由安全標(biāo)簽分級(jí)，每個(gè)對(duì)象給予分級(jí)列表的權(quán)限。分級(jí)列表指定哪種類型的分級(jí)目標(biāo)對(duì)象是可以訪問的。典型安全策略就是“read-down”和“write-up”，指定對(duì)象權(quán)限低的可以對(duì)目標(biāo)進(jìn)行讀操作，權(quán)限高的就可以對(duì)目標(biāo)進(jìn)行寫操作。MAC通過基于格的非循環(huán)單向信息流政策來防止信息的擴(kuò)散，抵御特洛伊木馬對(duì)系統(tǒng)保密性的攻擊。系統(tǒng)中，每個(gè)主體都被授予一個(gè)安全證書，而每個(gè)客體被指定為一定的敏感級(jí)別。MAC的兩個(gè)關(guān)鍵規(guī)則是：不向上讀和不向下寫，即信息流只能從低安全級(jí)向高安全級(jí)流動(dòng)。任何違反非循環(huán)信息流的行為都是被禁止的。MAC實(shí)現(xiàn)一般采用安全標(biāo)簽機(jī)制，由于安全標(biāo)簽的數(shù)量是非常有限的，因此在授權(quán)管理上體現(xiàn)為粒度很粗。但是由于MAC本身的嚴(yán)格性，授權(quán)管理方式上顯得刻板，不靈活。如果主體和權(quán)限的數(shù)量龐大，授權(quán)管理的工作量非常大。在MAC中，允許的訪問控制完全是根據(jù)主體和客體的安全級(jí)別決定。其中主體（用戶、進(jìn)程）的安全級(jí)別是由系統(tǒng)安全管理員賦予用戶，而客體的安全級(jí)別則由系統(tǒng)根據(jù)創(chuàng)建它們的用戶的安全級(jí)別決定。因此，強(qiáng)制訪問控制的管理策略是比較簡單的，只有安全管理員能夠改變主體和客體的安全級(jí)別。MAC應(yīng)用領(lǐng)域也比較窄，使用不靈活，一般只用于軍方等具有明顯等級(jí)觀念的行業(yè)或領(lǐng)域；雖然MAC增強(qiáng)了機(jī)密性，但完整性實(shí)施不夠，它重點(diǎn)強(qiáng)調(diào)信息向高安全級(jí)的方向流動(dòng)，對(duì)高安全級(jí)信息的完整性保護(hù)強(qiáng)調(diào)不夠。

2.3 基于角色訪問控制

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，對(duì)訪問控制提出了更高的要求，傳統(tǒng)的訪問控制技術(shù)(DAC,MAC)已經(jīng)很難滿足這些需求，于是提出了新型的基于角色的訪問控制(RBAC)。RBAC有效地克服了傳統(tǒng)訪問控制技術(shù)的不足，降低授權(quán)管理的復(fù)雜度，降低管理成本，提高系統(tǒng)安全性，成為近幾年訪問控制領(lǐng)域的研究熱點(diǎn)。

最早使用RBAC這個(gè)術(shù)語，是在1992年Ferraiolo和Kuhn發(fā)表的文章中。提出了RBAC中的大部分術(shù)語，如，角色激活(Role Activation)，角色繼承(Role Hierarchy)，角色分配時(shí)的約束(Constraints)等等。因?yàn)镽BAC借鑒了較為人們熟知的用戶組、權(quán)限組和職責(zé)分離(Separation of Duty)等概念，而且，以角色為中心的權(quán)限管理更為符合公司和企業(yè)的實(shí)際管理方式。Ferraiolo和Sandhu等人分別在1994年后提出了有關(guān)RBAC模型的早期形式化定義，其中，Sandhu等人定義了RBAC模型的一個(gè)比較完整的框架，即RBAC96模型。RBAC1和RBAC2都建立在RBAC0之上，RBAC1給出了角色繼承的概念，RBAC2增加了約束的概念。在擴(kuò)展研究中，RBAC管理方面，研究者試圖采用RBAC本身來管理RBAC，于是，出現(xiàn)ARBAC97模型及其擴(kuò)展，這些模型讓管理角色及其權(quán)限獨(dú)立于常規(guī)角色及其權(quán)限。第二是RBAC功能方面。研究者通過擴(kuò)展RBAC的約束來增強(qiáng)它的表達(dá)能力，以適應(yīng)不同情況下的權(quán)限管理。最初的約束是用來實(shí)現(xiàn)權(quán)責(zé)分離，后來又出現(xiàn)了其他的約束，如，約束角色的用戶數(shù)目，增加了時(shí)間約束的TRBAC模型，增加了權(quán)限使用次數(shù)的UCRBAC模型，帶有使用范圍的靈活約束，采用形式化的語言來描述RBAC的約束，如RCL2000語言、對(duì)象約束語言(OCL, Object Constraint Language)和其他語言等。第三，是討論RBAC與其他訪問控制模型的關(guān)系。第四是RBAC在各個(gè)領(lǐng)域的應(yīng)用。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(The National Institute of Standards and Technology，NIST)制定的標(biāo)準(zhǔn)RBAC模型由4個(gè)部件模型組成，這4個(gè)部件模型包括RBAC的核心(Core RBAC)，RBAC的繼承(Hierarchal RBAC)，RBAC的約束(Constraint RBAC)中的靜態(tài)職權(quán)分離(SSD)和動(dòng)態(tài)職權(quán)分離(DSD)兩個(gè)責(zé)任分離部件模型。

RBAC的核心思想就是將訪問權(quán)限與角色相聯(lián)系，通過給用戶分配合適的角色，讓用戶與訪問權(quán)限相聯(lián)系。角色是根據(jù)企業(yè)內(nèi)為完成各種不同的任務(wù)需要而設(shè)置的，根據(jù)用戶在企業(yè)中的職權(quán)和責(zé)任來設(shè)定它們的角色。用戶可以在角色間進(jìn)行轉(zhuǎn)換，系統(tǒng)可以添加、刪除角色，還可以對(duì)角色的權(quán)限進(jìn)行添加、刪除。這樣通過應(yīng)用RBAC將安全性放在一個(gè)接近組織結(jié)構(gòu)的自然層面上進(jìn)行管理。在DAC和MAC系統(tǒng)中，訪問權(quán)限都是直接授予用戶，而系統(tǒng)中的用戶數(shù)量眾多，且經(jīng)常變動(dòng),這就增加了授權(quán)管理的復(fù)雜性。RBAC彌補(bǔ)了這方面的不足，簡化了各種環(huán)境下的授權(quán)管理。RBAC模型引入了角色(role)這一中介，實(shí)現(xiàn)了用戶(user)與訪問許可權(quán)(permission)的邏輯分離。在RBAC系統(tǒng)模型中，用戶是動(dòng)態(tài)變化的，用戶與特定的一個(gè)或多個(gè)角色相聯(lián)系，擔(dān)任一定的角色。角色是與特定工作崗位相關(guān)的一個(gè)權(quán)限集，角色與一個(gè)或多個(gè)訪問許可權(quán)相聯(lián)系，角色可以根據(jù)實(shí)際的工作需要生成或取消。用戶可以根據(jù)自己的需要?jiǎng)討B(tài)激活自己擁有的角色。與用戶變化相比，角色變化比較穩(wěn)定。系統(tǒng)將訪問權(quán)限分配給角色，當(dāng)用戶權(quán)限發(fā)生變化時(shí)，只需要執(zhí)行角色的撤消和重新分配即可。另外，通過角色繼承的方法可以充分利用原來定義的角色，使得各個(gè)角色之間的邏輯關(guān)系清晰可見，同時(shí)又避免了重復(fù)工作，減小了出錯(cuò)幾率。2.4 基于上下文的訪問控制

CBAC是在RBAC研究的基礎(chǔ)上產(chǎn)生的。CBAC是把請(qǐng)求人所處的上下文環(huán)境作為訪問控制的依據(jù)?；谏舷挛牡脑L問控制，可以識(shí)別上下文，同時(shí)，其策略管理能夠根據(jù)上下文的變化，來實(shí)現(xiàn)動(dòng)態(tài)的自適應(yīng)。一般地，基于上下文的訪問控制利用了語義技術(shù)，以此實(shí)現(xiàn)上下文和策略的更高層次的描述和推理。

2.5 基于任務(wù)的訪問控制

隨著數(shù)據(jù)庫、網(wǎng)絡(luò)和分布式計(jì)算的發(fā)展，組織任務(wù)進(jìn)一步自動(dòng)化，與服務(wù)相關(guān)的信息進(jìn)一步計(jì)算機(jī)化，為了解決隨著任務(wù)的執(zhí)行而進(jìn)行動(dòng)態(tài)授權(quán)的安全保護(hù)問題，提出了基于任務(wù)的訪問控制(Task-based Access Control，TBAC)模型。TBAC是從應(yīng)用和企業(yè)層角度來解決安全問題（而非從系統(tǒng)角度）。TBAC采用“面向服務(wù)”的觀點(diǎn)，從任務(wù)的角度，建立安全模型和實(shí)現(xiàn)安全機(jī)制，依據(jù)任務(wù)和任務(wù)狀態(tài)的不同，在任務(wù)處理的過程中提供動(dòng)態(tài)實(shí)時(shí)的安全管理。TBAC模型包括工作流(Work flow, Wf)，授權(quán)結(jié)構(gòu)體(Authorization unit, Au)，受托人集(Trustee-Set, T)，許可集(Permissions, P)四部分。其中，Wf是由一系列Au組成；Au之間存在{順序依賴，失敗依賴，分權(quán)依賴，代理依賴}的關(guān)系。在TBAC中，授權(quán)需用五元組(S,O,P,L,AS)來表示。

(1)S表示主體，O表示客體，P表示許可，L表示生命期(lifecycle)；

(2)AS表示授權(quán)步(Authorization step)，是指在一個(gè)工作流程中對(duì)處理對(duì)象（如辦公流程中的原文檔）的一次處理過程。授權(quán)步由受托人集(trustee-set)和多個(gè)許可集(permissions set)組成，其中，受托人集是可被授予執(zhí)行授權(quán)步的用戶的集合，許可集則是受托集的成員被授予授權(quán)步時(shí)擁有的訪問許可。

(3)P是授權(quán)步AS所激活的權(quán)限，L則是授權(quán)步AS的存活期限。

L和AS是TBAC不同于其他訪問控制模型的顯著特點(diǎn)。在授權(quán)步AS被觸發(fā)之前，它的保護(hù)態(tài)是無效的，其中包含的許可不可使用。當(dāng)授權(quán)步AS被觸發(fā)時(shí)，它的委托執(zhí)行者開始擁有執(zhí)行者許可集中的權(quán)限，同時(shí)它的生命期開始倒記時(shí)。在生命期期間，五元組(S,O,P,L,AS)有效。當(dāng)生命期終止，即授權(quán)步AS被定為無效時(shí)，五元組(S,O,P,L,AS)無效，委托執(zhí)行者所擁有的權(quán)限被回收。通過授權(quán)步的動(dòng)態(tài)權(quán)限管理，TBAC可以支持最小權(quán)限和職責(zé)分離原則。

TBAC是一種主動(dòng)安全模型，在這種模型中，對(duì)象的訪問權(quán)限控制并不是靜止不變的，而是隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化。TBAC是從工作流的環(huán)境來考慮信息安全問題。在工作流環(huán)境中，每一步對(duì)數(shù)據(jù)的處理都與以前的處理相關(guān)，相應(yīng)的訪問控制也是這樣，因此，TBAC是一種上下文相關(guān)的訪問控制模型。TBAC不僅能對(duì)不同工作流實(shí)行不同的訪問控制策略，而且還能對(duì)同一工作流的不同任務(wù)實(shí)例(instance)實(shí)行不同的訪問控制策略，所以，TBAC又是一種基于實(shí)例的訪問控制模型。在TBAC中，用戶對(duì)于授予的權(quán)限的使用具有時(shí)效性的。TBAC比較適合分布式計(jì)算和多點(diǎn)訪問控制的信息處理控制以及在工作流、分布式處理和事務(wù)管理系統(tǒng)中的決策指定。T-RBAC模型把任務(wù)和角色置于同等重要的地位，它們是兩個(gè)獨(dú)立而又相互關(guān)聯(lián)的重要概念。任務(wù)是RBAC和TBAC能結(jié)合的基礎(chǔ)。

2.6 基于屬性的訪問控制

在開放環(huán)境下(如互聯(lián)網(wǎng))不同的客戶端和服務(wù)器頻繁交互，這些交互方有時(shí)處于不同的安全域之內(nèi)，相互只能知道對(duì)方部分信息。傳統(tǒng)的基于身份的訪問控制(IBAC)已不能適用于這種環(huán)境，基于屬性的訪問控制(ABAC)能夠很好地適應(yīng)這種開放的網(wǎng)絡(luò)環(huán)境。

基于屬性的訪問控制模型(ABAC)是根據(jù)參與決策的相關(guān)實(shí)體的屬性來進(jìn)行授權(quán)決策的。ABAC中的基本元素包括請(qǐng)求者，被訪問資源，訪問方法和條件，這些元素統(tǒng)一使用屬性來描述，各個(gè)元素所關(guān)聯(lián)的屬性可以根據(jù)系統(tǒng)需要定義。屬性概念將訪問控制中對(duì)所有元素的描述統(tǒng)一起來，同時(shí)擺脫了基于身份的限制。在ABAC中，策略中的訪問者是通過訪問者屬性來描述，同樣，被訪問資源、訪問方法也是通過資源和方法的屬性來描述，而條件用環(huán)境屬性來描述。環(huán)境屬性通常是一類不屬于主體，資源和方法的動(dòng)態(tài)屬性，如訪問時(shí)間，歷史信息等。條件有時(shí)也會(huì)用來描述不同類型屬主具有的屬性之間的關(guān)系，如訪問者的某一屬性與資源的某一屬性之間的關(guān)系。ABAC是否允許一個(gè)主體訪問資源是根據(jù)請(qǐng)求者、被訪問資源以及當(dāng)前上下文環(huán)境的相關(guān)屬性來決定的。這使得ABAC具有足夠的靈活性和可擴(kuò)展性，同時(shí)使得安全的匿名訪問成為可能，這在大型分布式環(huán)境下是十分重要的[931。XACML集中體現(xiàn)了CBAC和ABAC的思想，利用上下文中包含的請(qǐng)求方的屬性信息，與事前制定的策略進(jìn)行匹配，來進(jìn)行訪問控制決策和授權(quán)。2.7 基于信譽(yù)的訪問控制

1996年，M.Blaze等人為了解決Internet網(wǎng)絡(luò)服務(wù)的安全問題，首次提出了“信任管理(Trust Management)”的概念，其基本思想是承認(rèn)開放系統(tǒng)中安全信息的不完整性，提出系統(tǒng)的安全決策需要附加的安全信息。與此同時(shí)，A.Adul-Rahman等學(xué)者則從信任的概念出發(fā)，對(duì)信任內(nèi)容和信任程度進(jìn)行劃分，并從信任的主觀性入手給出信任的數(shù)學(xué)模型用于信任評(píng)估。長期以來，信任管理技術(shù)演化發(fā)展為兩個(gè)分支：基于憑證和策略的理性信任模型和基于信譽(yù)的感性信任模型。針對(duì)網(wǎng)格應(yīng)用具體環(huán)境，這兩種模型各有優(yōu)缺點(diǎn)。對(duì)于理性信任模型而言，由于在廣域網(wǎng)格環(huán)境下缺乏公共認(rèn)可的權(quán)威機(jī)構(gòu)，憑證并不完全可靠，也并不一定能通行無阻；而且完全依靠認(rèn)證中心，弱化了個(gè)體的自我信任，而盲目信任大范圍內(nèi)的認(rèn)證中心，往往會(huì)無法解決個(gè)體間的利益沖突。在基于信譽(yù)的感性信任模型中，也存在著很多問題：存在著評(píng)價(jià)空白時(shí)“信”與“不信”的臨界兩難狀態(tài)；對(duì)惡意行為的免疫力不強(qiáng)，譬如對(duì)惡意推薦缺乏行之有效的過濾方法，對(duì)策略型欺騙行為缺乏有效的識(shí)別和抑制；對(duì)評(píng)價(jià)反饋行為缺乏激勵(lì)，從而容易導(dǎo)致系統(tǒng)中信譽(yù)證據(jù)的不足；缺乏對(duì)多種上下文環(huán)境下的信譽(yù)評(píng)估進(jìn)行綜合集成的能力等。傳統(tǒng)的訪問控制實(shí)際上是基于信任管理中的理性信任模型。

基于信譽(yù)的訪問控制，基于信任管理的感性信任模型，是將訪問請(qǐng)求方的信譽(yù)度作為衡量是否授權(quán)的標(biāo)準(zhǔn)的訪問控制技術(shù)，是一種比較新的訪問控制技術(shù)?；谛抛u(yù)的訪問控制的核心目標(biāo)是為了更好的實(shí)現(xiàn)預(yù)期收益，同時(shí)應(yīng)對(duì)授權(quán)行為帶給服務(wù)提供方的不確定性、脆弱性和風(fēng)險(xiǎn)性問題。其根據(jù)請(qǐng)求方的當(dāng)前及歷史狀態(tài)，評(píng)估其信譽(yù)，并設(shè)置信任閾值是達(dá)到上述目標(biāo)的有效手段。此外，基于信譽(yù)的訪問控制可以實(shí)現(xiàn)提供方的其他目標(biāo)：

1、根據(jù)必須滿足的信任條件將權(quán)限分級(jí)。不同的權(quán)限對(duì)于實(shí)現(xiàn)提供方預(yù)期收益是不同的，所以不同的權(quán)限所要求的信任條件也是不同的；

2、利用信譽(yù)度對(duì)請(qǐng)求方進(jìn)行篩選，選擇合適的請(qǐng)求方進(jìn)行授權(quán)，以盡可能的實(shí)現(xiàn)提供方的預(yù)期收益。目前該類訪問控制的研究主要涉及以下問題：(1)信譽(yù)的表述和度量；(2)由經(jīng)驗(yàn)推薦所引起的信譽(yù)度推導(dǎo)和綜合計(jì)算。(3)信任閾值的動(dòng)態(tài)衍生等。

3.總結(jié)

總之，根據(jù)以上訪問控制分類，我們得知授權(quán)是根據(jù)實(shí)體所對(duì)應(yīng)的特定身份或其他特征而賦予實(shí)體權(quán)限的過程，通常是以訪問控制的形式實(shí)現(xiàn)的。訪問控制是為了限制訪問主體（或稱為發(fā)起者，是一個(gè)主動(dòng)的實(shí)體，如用戶、進(jìn)程、服務(wù)等）對(duì)訪問客體（需要保護(hù)的資源）的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；訪問控制機(jī)制決定用戶及代表一定用戶利益的程序能做什么以及做到什么程度。訪問控制依據(jù)特定的安全策略和執(zhí)行機(jī)制以及架構(gòu)模型保證對(duì)客體的所有訪問都是被認(rèn)可的，以保證資源的安全性和有效性。

第四篇：access-list(訪問控制列表)總結(jié)

access-list(訪問控制列表)總結(jié)

ACL的作用

ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。

ACL提供對(duì)通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。

ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。如圖1所示，ACL允許主機(jī)A訪問人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問。

ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。ACL的配置

ACL的配置分為兩個(gè)步驟：

第一步:在全局配置模式下，使用下列命令創(chuàng)建ACL：

Router(config)# access-list access-list-number {permit | deny } {test-conditions}

其中，access-list-number為ACL的表號(hào)。人們使用較頻繁的表號(hào)是標(biāo)準(zhǔn)的IP ACL（1—99）和擴(kuò)展的IP ACL（100－199）。

第二步：在接口配置模式下，使用access-group命令A(yù)CL應(yīng)用到某一接口上：

Router(config-if)# {protocol} access-group access-list-number {in | out }

其中，in和out參數(shù)可以控制接口中不同方向的數(shù)據(jù)包，如果不配置該參數(shù)，缺省為out。ACL在一個(gè)接口可以進(jìn)行雙向控制，即配置兩條命令，一條為in，一條為out，兩條命令執(zhí)行的ACL表號(hào)可以相同，也可以不同。但是，在一個(gè)接口的一個(gè)方向上，只能有一個(gè)ACL控制。

值得注意的是，在進(jìn)行ACL配置時(shí)，網(wǎng)管員一定要先在全局狀態(tài)配置ACL表，再在具體接口上進(jìn)行配置，否則會(huì)造成網(wǎng)絡(luò)的安全隱患。訪問控制列表使用目的：

1、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如隊(duì)列技術(shù)，不僅限制了網(wǎng)絡(luò)流量，而且減少了擁塞

2、提供對(duì)通信流量的控制手段。例如可以用其控制通過某臺(tái)路由器的某個(gè)網(wǎng)絡(luò)的流量

3、提供了網(wǎng)絡(luò)訪問的一種基本安全手段。例如在公司中，允許財(cái)務(wù)部的員工計(jì)算機(jī)可以訪問財(cái)務(wù)服務(wù)器而拒絕其他部門訪問財(cái)務(wù)服務(wù)器

4、在路由器接口上，決定某些流量允許或拒絕被轉(zhuǎn)發(fā)。例如，可以允許FTP的通信流量，而拒絕TELNET的通信流量。

工作原理：

ACL中規(guī)定了兩種操作，所有的應(yīng)用都是圍繞這兩種操作來完成的：允許、拒絕

注意：ACL是CISCO IOS中的一段程序，對(duì)于管理員輸入的指令，有其自己的執(zhí)行順序，它執(zhí)行指令的順序是從上至下，一行行的執(zhí)行，尋找匹配，一旦匹配則停止繼續(xù)查找，如果到末尾還未找到匹配項(xiàng)，則執(zhí)行一段隱含代碼——丟棄DENY.所以在寫ACL時(shí)，一定要注意先后順序。ACL是一組判斷語句的集合，它主要用于對(duì)如下數(shù)據(jù)進(jìn)行控制：

1、入站數(shù)據(jù)；

2、出站數(shù)據(jù)；

3、被路由器中繼的數(shù)據(jù)

因?yàn)闃?biāo)準(zhǔn)的ACL只能針對(duì)源進(jìn)行控制，如果把它放在離源最近的地方，那么就會(huì)造成不必要的數(shù)據(jù)包丟失的情況，一般將標(biāo)準(zhǔn)ACL放在離目標(biāo)最近的位置.簡單比較以下標(biāo)準(zhǔn)和擴(kuò)展ACL

標(biāo)準(zhǔn)ACL僅僅只針對(duì)源進(jìn)行控制

擴(kuò)展ACL可以針對(duì)某種協(xié)議、源、目標(biāo)、端口號(hào)來進(jìn)行控制

從命令行就可看出

標(biāo)準(zhǔn)：

Router（config）#access-list list-number

擴(kuò)展：

Router（config）#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]

Protocol—用來指定協(xié)議類型，如IP、TCP、UDP、ICMP以及IGRP等

Source and destination—源和目的，分別用來標(biāo)示源地址及目的地址

Source-mask and destination-mask—源和目的的通配符掩碼

Operator operand—It，gt，eq，neq（分別是小于、大于、等于、不等于）和一個(gè)端口號(hào)

Established—如果數(shù)據(jù)包使用一個(gè)已建連接（例如，具有ACK位組），就允許TCP信息通過 ACL不能對(duì)穿越路由器的廣播流量作出有效控制。

ACL的另一個(gè)作用，那就是過濾穿越路由器的流量。這里要注意了，是“穿越”路由器的流量才能被ACL來作用，但是路由器本身產(chǎn)生的流量，比如路由更新報(bào)文等，ACL是不會(huì)對(duì)它起任何作用的：因?yàn)锳CL不能過濾由路由器本身產(chǎn)生的流量.為了避免過多的查表，所以擴(kuò)展ACL一般放置在離源最近的地方 PING使用的是ICMP協(xié)議

路由器常用命令大全 Access-enable允許路由器在動(dòng)態(tài)訪問列表中創(chuàng)建臨時(shí)訪問列表入口 Access-group把訪問控制列表(ACL)應(yīng)用到接口上 Access-list定義一個(gè)標(biāo)準(zhǔn)的IP ACL Access-template在連接的路由器上手動(dòng)替換臨時(shí)訪問列表入口 Appn向APPN子系統(tǒng)發(fā)送命令 Atmsig 執(zhí)行ATM信令命令 B 手動(dòng)引導(dǎo)操作系統(tǒng) Bandwidth 設(shè)置接口的帶寬 Banner motd 指定日期信息標(biāo)語 Bfe 設(shè)置突發(fā)事件手冊(cè)模式

Boot system 指定路由器啟動(dòng)時(shí)加載的系統(tǒng)映像 Calendar 設(shè)置硬件日歷 Cd 更改路徑

Cdp enable 允許接口運(yùn)行CDP協(xié)議 Clear 復(fù)位功能

Clear counters 清除接口計(jì)數(shù)器

Clear interface 重新啟動(dòng)接口上的件邏輯

Clockrate 設(shè)置串口硬件連接的時(shí)鐘速率，如網(wǎng)絡(luò)接口模塊和接口處理器能接受的速率 Cmt 開啟/關(guān)閉FDDI連接管理功能 Config-register 修改配置寄存器設(shè)置

Configure 允許進(jìn)入存在的配置模式，在中心站點(diǎn)上維護(hù)并保存配置信息 Configure memory 從NVRAM加載配置信息 Configure terminal 從終端進(jìn)行手動(dòng)配置 Connect 打開一個(gè)終端連接 Copy 復(fù)制配置或映像數(shù)據(jù)

Copy flash tftp 備份系統(tǒng)映像文件到TFTP服務(wù)器

Copy running-config startup-config 將RAM中的當(dāng)前配置存儲(chǔ)到NVRAM Copy running-config tftp 將RAM中的當(dāng)前配置存儲(chǔ)到網(wǎng)絡(luò)TFTP服務(wù)器上 Copy tftp flash 從TFTP服務(wù)器上下載新映像到Flash Copy tftp running-config 從TFTP服務(wù)器上下載配置文件 Debug 使用調(diào)試功能

Debug dialer 顯示接口在撥什么號(hào)及諸如此類的信息 Debug ip rip 顯示RIP路由選擇更新數(shù)據(jù)

Debug ipx routing activity 顯示關(guān)于路由選擇協(xié)議(RIP)更新數(shù)據(jù)包的信息 Debug ipx sap 顯示關(guān)于SAP（業(yè)務(wù)通告協(xié)議）更新數(shù)據(jù)包信息

Debug isdn q921 顯示在路由器D通道ISDN接口上發(fā)生的數(shù)據(jù)鏈路層（第2層）的訪問過程 Debug ppp 顯示在實(shí)施PPP中發(fā)生的業(yè)務(wù)和交換信息 Delete 刪除文件

Deny 為一個(gè)已命名的IP ACL設(shè)置條件

Dialer idle-timeout 規(guī)定線路斷開前的空閑時(shí)間的長度 Dialer map 設(shè)置一個(gè)串行接口來呼叫一個(gè)或多個(gè)地點(diǎn)

Dialer wait-for-carrier-time 規(guī)定花多長時(shí)間等待一個(gè)載體 Dialer-group 通過對(duì)屬于一個(gè)特定撥號(hào)組的接口進(jìn)行配置來訪問控制

Dialer-list protocol 定義一個(gè)數(shù)字?jǐn)?shù)據(jù)接受器（DDR）撥號(hào)表以通過協(xié)議或ACL與協(xié)議的組合來控制控制撥號(hào)

Dir 顯示給定設(shè)備上的文件 Disable 關(guān)閉特許模式 Disconnect 斷開已建立的連接 Enable 打開特許模式

Enable password 確定一個(gè)密碼以防止對(duì)路由器非授權(quán)的訪問

Enable password 設(shè)置本地口令控制不同特權(quán)級(jí)別的訪問

Enable secret 為enable password命令定義額外一層安全性(強(qiáng)制安全，密碼非明文顯示)Encapsulation frame-relay 啟動(dòng)幀中繼封裝

Encapsulation novell-ether 規(guī)定在網(wǎng)絡(luò)段上使用的Novell獨(dú)一無二的格式 Encapsulation PPP 把PPP設(shè)置為由串口或ISDN接口使用的封裝方法

Encapsulation sap 規(guī)定在網(wǎng)絡(luò)段上使用的以太網(wǎng)802.2格式Cisco的密碼是sap End 退出配置模式

Erase 刪除閃存或配置緩存

Erase startup-config 刪除NVRAM中的內(nèi)容

Exec-timeout 配置EXEC命令解釋器在檢測(cè)到用戶輸入前所等待的時(shí)間 Exit 退出所有配置模式或者關(guān)閉一個(gè)激活的終端會(huì)話和終止一個(gè)EXEC Exit 終止任何配置模式或關(guān)閉一個(gè)活動(dòng)的對(duì)話和結(jié)束EXEC format 格式化設(shè)備

Frame-relay local-dlci 為使用幀中繼封裝的串行線路啟動(dòng)本地管理接口（LMI）Help 獲得交互式幫助系統(tǒng) History 查看歷史記錄

Hostname 使用一個(gè)主機(jī)名來配置路由器，該主機(jī)名以提示符或者缺省文件名的方式使用 Interface 設(shè)置接口類型并且輸入接口配置模式 Interface 配置接口類型和進(jìn)入接口配置模式 Interface serial 選擇接口并且輸入接口配置模式 Ip access-group 控制對(duì)一個(gè)接口的訪問 Ip address 設(shè)定接口的網(wǎng)絡(luò)邏輯地址

Ip address 設(shè)置一個(gè)接口地址和子網(wǎng)掩碼并開始IP處理 Ip default-network 建立一條缺省路由 Ip domain-lookup 允許路由器缺省使用DNS Ip host 定義靜態(tài)主機(jī)名到IP地址映射

Ip name-server 指定至多6個(gè)進(jìn)行名字-地址解析的服務(wù)器地址 Ip route 建立一條靜態(tài)路由

Ip unnumbered 在為給一個(gè)接口分配一個(gè)明確的IP地址情況下，在串口上啟動(dòng)互聯(lián)網(wǎng)協(xié)議（IP）的處理過程

Ipx delay 設(shè)置點(diǎn)計(jì)數(shù)

Ipx ipxwan 在串口上啟動(dòng)IPXWAN協(xié)議

Ipx maximum-paths 當(dāng)轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)設(shè)置Cisco IOS軟件使用的等價(jià)路徑數(shù)量

Ipx network 在一個(gè)特定接口上啟動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)包交換（IPX）的路由選擇并且選擇封裝的類型（用幀封裝）Ipx router 規(guī)定使用的路由選擇協(xié)議 Ipx routing 啟動(dòng)IPX路由選擇

Ipx sap-interval 在較慢的鏈路上設(shè)置較不頻繁的SAP（業(yè)務(wù)廣告協(xié)議）更新 Ipx type-20-input-checks 限制對(duì)IPX20類數(shù)據(jù)包廣播的傳播的接受

Isdn spid1 在路由器上規(guī)定已經(jīng)由ISDN業(yè)務(wù)供應(yīng)商為B1信道分配的業(yè)務(wù)簡介號(hào)（SPID）Isdn spid2 在路由器上規(guī)定已經(jīng)由ISDN業(yè)務(wù)供應(yīng)商為B2信道分配的業(yè)務(wù)簡介號(hào)（SPID）Isdntch-type 規(guī)定了在ISDN接口上的中央辦公區(qū)的交換機(jī)的類型 Keeplive 為使用幀中繼封裝的串行線路LMI（本地管理接口）機(jī)制 Lat 打開LAT連接

Line 確定一個(gè)特定的線路和開始線路配置 Line concole 設(shè)置控制臺(tái)端口線路

Line vty 為遠(yuǎn)程控制臺(tái)訪問規(guī)定了一個(gè)虛擬終端 Lock 鎖住終端控制臺(tái)

Login 在終端會(huì)話登錄過程中啟動(dòng)了密碼檢查 Login 以某用戶身份登錄，登錄時(shí)允許口令驗(yàn)證 Logout 退出EXEC模式

Mbranch 向下跟蹤組播地址路由至終端 Media-type 定義介質(zhì)類型

Metric holddown 把新的IGRP路由選擇信息與正在使用的IGRP路由選擇信息隔離一段時(shí)間 Mrbranch 向上解析組播地址路由至枝端 Mrinfo 從組播路由器上獲取鄰居和版本信息 Mstat 對(duì)組播地址多次路由跟蹤后顯示統(tǒng)計(jì)數(shù)字 Mtrace 由源向目標(biāo)跟蹤解析組播地址路徑 Name-connection 命名已存在的網(wǎng)絡(luò)連接 Ncia 開啟/關(guān)閉NCIA服務(wù)器

Network 把一個(gè)基于NIC的地址分配給一個(gè)與它直接相連的路由器把網(wǎng)絡(luò)與一個(gè)IGRP的路由選擇的過程聯(lián)系起來在IPX路由器配置模式下，在網(wǎng)絡(luò)上啟動(dòng)加強(qiáng)的IGRP Network 指定一個(gè)和路由器直接相連的網(wǎng)絡(luò)地址段 Network-number 對(duì)一個(gè)直接連接的網(wǎng)絡(luò)進(jìn)行規(guī)定 No shutdown 打開一個(gè)關(guān)閉的接口 Pad 開啟一個(gè)X.29 PAD連接

Permit 為一個(gè)已命名的IP ACL設(shè)置條件

Ping 把ICMP響應(yīng)請(qǐng)求的數(shù)據(jù)包發(fā)送網(wǎng)絡(luò)上的另一個(gè)節(jié)點(diǎn)檢查主機(jī)的可達(dá)性和網(wǎng)絡(luò)的連通性對(duì)網(wǎng)絡(luò)的基本連通性進(jìn)行診斷

Ping 發(fā)送回聲請(qǐng)求，診斷基本的網(wǎng)絡(luò)連通性 Ppp 開始IETF點(diǎn)到點(diǎn)協(xié)議

Ppp authentication 啟動(dòng)Challenge握手鑒權(quán)協(xié)議（CHAP）或者密碼驗(yàn)證協(xié)議（PAP）或者將兩者都啟動(dòng)，并且對(duì)在接口上選擇的CHAP和PAP驗(yàn)證的順序進(jìn)行規(guī)定

Ppp chap hostname 當(dāng)用CHAP進(jìn)行身份驗(yàn)證時(shí)，創(chuàng)建一批好像是同一臺(tái)主機(jī)的撥號(hào)路由器

Ppp chap password 設(shè)置一個(gè)密碼，該密碼被發(fā)送到對(duì)路由器進(jìn)行身份驗(yàn)證的主機(jī)命令對(duì)進(jìn)入路由器的用戶名/密碼的數(shù)量進(jìn)行了限制

Ppp pap sent-username 對(duì)一個(gè)接口啟動(dòng)遠(yuǎn)程PAP支持，并且在PAP對(duì)同等層請(qǐng)求數(shù)據(jù)包驗(yàn)證過程中使用sent-username和password Protocol 對(duì)一個(gè)IP路由選擇協(xié)議進(jìn)行定義，該協(xié)議可以是RIP，內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議（IGRP），開放最短路徑優(yōu)先（OSPF），還可以是加強(qiáng)的IGRP Pwd 顯示當(dāng)前設(shè)備名

Reload 關(guān)閉并執(zhí)行冷啟動(dòng)；重啟操作系統(tǒng) Rlogin 打開一個(gè)活動(dòng)的網(wǎng)絡(luò)連接

Router 由第一項(xiàng)定義的IP路由協(xié)議作為路由進(jìn)程，例如：router rip 選擇RIP作為路由協(xié)議 Router igrp 啟動(dòng)一個(gè)IGRP的路由選擇過程 Router rip 選擇RIP作為路由選擇協(xié)議 Rsh 執(zhí)行一個(gè)遠(yuǎn)程命令 Sdlc 發(fā)送SDLC測(cè)試幀 Send 在tty線路上發(fā)送消息

Service password-encryption 對(duì)口令進(jìn)行加密 Setup 運(yùn)行Setup命令 Show 顯示運(yùn)行系統(tǒng)信息

Show access-lists 顯示當(dāng)前所有ACL的內(nèi)容 Show buffers 顯示緩存器統(tǒng)計(jì)信息 Show cdp entry 顯示CDP表中所列相鄰設(shè)備的信息 Show cdp interface 顯示打開的CDP接口信息 Show cdp neighbors 顯示CDP查找進(jìn)程的結(jié)果

Show dialer 顯示為DDR（數(shù)字?jǐn)?shù)據(jù)接受器）設(shè)置的串行接口的一般診斷信息 Show flash 顯示閃存的布局和內(nèi)容信息

Show frame-relay lmi 顯示關(guān)于本地管理接口（LMI）的統(tǒng)計(jì)信息 Show frame-relay map 顯示關(guān)于連接的當(dāng)前映射入口和信息

Show frame-relay pvc 顯示關(guān)于幀中繼接口的永久虛電路（pvc）的統(tǒng)計(jì)信息 Show hosts 顯示主機(jī)名和地址的緩存列表

Show interfaces 顯示設(shè)置在路由器和訪問服務(wù)器上所有接口的統(tǒng)計(jì)信息 Show interfaces 顯示路由器上配置的所有接口的狀態(tài) Show interfaces serial 顯示關(guān)于一個(gè)串口的信息 Show ip interface 列出一個(gè)接口的IP信息和狀態(tài)的小結(jié) Show ip interface 列出接口的狀態(tài)和全局參數(shù)

Show ip protocols 顯示活動(dòng)路由協(xié)議進(jìn)程的參數(shù)和當(dāng)前狀態(tài) Show ip route 顯示路由選擇表的當(dāng)前狀態(tài) Show ip router 顯示IP路由表信息

Show ipx interface 顯示Cisco IOS軟件設(shè)置的IPX接口的狀態(tài)以及每個(gè)接口中的參數(shù) Show ipx route 顯示IPX路由選擇表的內(nèi)容 Show ipx servers 顯示IPX服務(wù)器列表 Show ipx traffic 顯示數(shù)據(jù)包的數(shù)量和類型

Show isdn active 顯示當(dāng)前呼叫的信息，包括被叫號(hào)碼、建立連接前所花費(fèi)的時(shí)間、在呼叫期間使用的自動(dòng)化操作控制（AOC）收費(fèi)單元以及是否在呼叫期間和呼叫結(jié)束時(shí)提供AOC信息

Show isdn ststus 顯示所有isdn接口的狀態(tài)、或者一個(gè)特定的數(shù)字信號(hào)鏈路（DSL）的狀態(tài)或者一個(gè)特定isdn接口的狀態(tài)

Show memory 顯示路由器內(nèi)存的大小，包括空閑內(nèi)存的大小 Show processes 顯示路由器的進(jìn)程 Show protocols 顯示設(shè)置的協(xié)議

Show protocols 顯示配置的協(xié)議。這條命令顯示任何配置了的第3層協(xié)議的狀態(tài) Show running-config 顯示RAM中的當(dāng)前配置信息

Show spantree 顯示關(guān)于虛擬局域網(wǎng)（VLAN）的生成樹信息

Show stacks 監(jiān)控和中斷程序?qū)Χ褩５氖褂?，并顯示系統(tǒng)上一次重啟的原因 Show startup-config 顯示NVRAM中的啟動(dòng)配置文件 Show ststus 顯示ISDN線路和兩個(gè)B信道的當(dāng)前狀態(tài)

Show version 顯示系統(tǒng)硬件的配置，軟件的版本，配置文件的名稱和來源及引導(dǎo)映像 Shutdown 關(guān)閉一個(gè)接口 Telnet 開啟一個(gè)telect連接

Term ip 指定當(dāng)前會(huì)話的網(wǎng)絡(luò)掩碼的格式

Term ip netmask-format 規(guī)定了在show命令輸出中網(wǎng)絡(luò)掩碼顯示的格式 Timers basic 控制著IGRP以多少時(shí)間間隔發(fā)送更新信息 Trace 跟蹤IP路由

Username password 規(guī)定了在CHAP和PAP呼叫者身份驗(yàn)證過程中使用的密碼 Verify 檢驗(yàn)flash文件 Where 顯示活動(dòng)連接

Which-route OSI路由表查找和顯示結(jié)果 Write 運(yùn)行的配置信息寫入內(nèi)存，網(wǎng)絡(luò)或終端 Write erase 現(xiàn)在由copy startup-config命令替換 X3 在PAD上設(shè)置X.3參數(shù) Xremote 進(jìn)入XRemote模式

第五篇：防火墻訪問控制規(guī)則配置--教案

訪問控制規(guī)則配置

訪問規(guī)則描述了網(wǎng)絡(luò)衛(wèi)士防火墻允許或禁止匹配訪問控制規(guī)則的報(bào)文通過。防火墻接收到報(bào)文后，將順序匹配訪問規(guī)則表中所設(shè)定規(guī)則。一旦尋找到匹配的規(guī)則，則按照該策略所規(guī)定的操作（允許或丟棄）處理該報(bào)文，不再進(jìn)行區(qū)域缺省屬性的檢查。如果不存在可匹配的訪問策略，網(wǎng)絡(luò)衛(wèi)士防火墻將根據(jù)目的接口所在區(qū)域的缺省屬性（允許訪問或禁止訪問），處理該報(bào)文。在進(jìn)行訪問控制規(guī)則查詢之前，網(wǎng)絡(luò)衛(wèi)士防火墻將首先查詢數(shù)據(jù)包是否符合目的地址轉(zhuǎn)換規(guī)則。如果符合目的地址轉(zhuǎn)換規(guī)則，網(wǎng)絡(luò)衛(wèi)士防火墻將把接收的報(bào)文的目的IP 地址轉(zhuǎn)換為預(yù)先設(shè)置的IP 地址（一般為真實(shí)IP）。因此在進(jìn)行訪問規(guī)則設(shè)置時(shí)，系統(tǒng)一般采用的是真實(shí)的源和目的地址（轉(zhuǎn)換后目的地址）來設(shè)置訪問規(guī)則；同時(shí)，系統(tǒng)也支持按照轉(zhuǎn)換前的目的地址設(shè)置訪問規(guī)則，此時(shí)，報(bào)文將按照轉(zhuǎn)換前的目的地址匹配訪問控制規(guī)則。

根據(jù)源、目的配置訪問控制規(guī)則

基本需求

系統(tǒng)可以從區(qū)域、VLAN、地址、用戶、連接、時(shí)間等多個(gè)層面對(duì)數(shù)據(jù)報(bào)文進(jìn)行判別和匹配，訪問控制規(guī)則的源和目的既可以是已經(jīng)定義好的VLAN 或區(qū)域，也可以細(xì)化到一個(gè)或多個(gè)地址資源以及用戶組資源。與包過濾策略相同，訪問控制規(guī)則也是順序匹配的，系統(tǒng)首先檢查是否與包過濾策略匹配，如果匹配到包過濾策略后將停止訪問控制規(guī)則檢查。但與包過濾策略不同的是訪問控制規(guī)則沒有默認(rèn)規(guī)則。也就是說，如果沒有在訪問控制規(guī)則列表的末尾添加一條全部拒絕的規(guī)則的話，系統(tǒng)將根據(jù)目的接口所在區(qū)域的缺省屬性（允許訪問或禁止訪問）處理該報(bào)文。

案例：某企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下圖所示，網(wǎng)絡(luò)衛(wèi)士防火墻工作在混合模式。Eth0 口屬于內(nèi)網(wǎng)區(qū)域（area_eth0），為交換trunk 接口，同時(shí)屬于VLAN.0001 和VLAN.0002，vlan.0001 IP 地址為192.168.1.1，連接研發(fā)部門文檔組所在的內(nèi)網(wǎng)（192.168.1.0/24）；vlan.0002 IP 地址為192.168.2.1，連接研發(fā)部門項(xiàng)目組所在的內(nèi)網(wǎng)（192.168.2.0/24）。

圖 25 根據(jù)源、目的進(jìn)行訪問控制示意圖

Eth1 口IP 地址為192.168.100.140，屬于外網(wǎng)area_eth1 區(qū)域，公司通過與防火墻Eth1口相連的路由器連接外網(wǎng)。Eth2 口屬于area_eth2 區(qū)域，為路由接口，其IP 地址為172.16.1.1，為信息管理部所在區(qū)域，有多臺(tái)服務(wù)器，其中Web 服務(wù)器的IP 地址：172.16.1.3。

用戶要求如下：

內(nèi)網(wǎng)文檔組的機(jī)器可以上網(wǎng)，允許項(xiàng)目組領(lǐng)導(dǎo)上網(wǎng)，禁止項(xiàng)目組普通員工上網(wǎng)。

外網(wǎng)和area_eth2 區(qū)域的機(jī)器不能訪問研發(fā)部門內(nèi)網(wǎng)；

內(nèi)外網(wǎng)用戶均可以訪問area_eth2 區(qū)域的WEB 服務(wù)器。

配置要點(diǎn)

設(shè)置區(qū)域?qū)ο蟮娜笔≡L問權(quán)限：area_eth0、area_eth2 為禁止訪問，area_eth1 為允許訪問。

定義源地址轉(zhuǎn)換規(guī)則，保證內(nèi)網(wǎng)用戶能夠訪問外網(wǎng)；定義目的地址轉(zhuǎn)換規(guī)則，使得外網(wǎng)用戶可以訪問area_eth2 區(qū)域的WEB 服務(wù)器。

定義訪問控制規(guī)則，禁止項(xiàng)目組除領(lǐng)導(dǎo)外的普通員工上網(wǎng)，允許內(nèi)網(wǎng)和外網(wǎng)用戶訪問area_eth2 區(qū)域的WEB 服務(wù)器。

WebUI 配置步驟

1）設(shè)定物理接口eth1 和eth2 的IP 地址。

選擇 網(wǎng)絡(luò)管理 > 接口，激活“物理接口”頁簽，然后點(diǎn)擊Eth1、Eth2 端口后的“設(shè) 置”字段圖標(biāo)，添加接口的IP 地址。如下圖所示。

2）添加VLAN 虛接口，設(shè)定VLAN 的IP 地址，再選擇相應(yīng)的物理接口加入到已添 加的VLAN 中。

a）選擇 網(wǎng)絡(luò)管理 > 二層網(wǎng)絡(luò)，激活“VLAN”頁簽，然后點(diǎn)擊“添加/刪除VLAN 范圍”，如下圖所示。

b）設(shè)定VLAN 虛接口的IP 地址。

點(diǎn)擊VLAN 虛接口的“修改”字段圖標(biāo)，在彈出界面中設(shè)置VLAN.0001 的IP 為：

192.168.1.1，掩碼為：255.255.255.0；VLAN.0002 的IP 為：192.168.2.1，掩碼為：255.255.255.0。如下圖所示。

c）設(shè)定VLAN 和物理接口的關(guān)系。

選擇 網(wǎng)絡(luò)管理 > 接口，激活“物理接口”頁簽，然后點(diǎn)擊eth0 接口后的“設(shè)置” 字段圖標(biāo)，設(shè)置接口信息，如下圖所示。3）定義主機(jī)、子網(wǎng)地址對(duì)象。

a）選擇 資源管理 > 地址，選擇“主機(jī)”頁簽，定義主機(jī)地址資源。定義WEB 服 務(wù)器主機(jī)名稱設(shè)為172.16.1.3，IP 為172.16.1.3；定義虛擬WEB 服務(wù)器（即WEB 服務(wù)器 的在外網(wǎng)區(qū)域的虛擬IP 地址）主機(jī)名稱設(shè)為192.168.100.143, IP 為192.168.100.143；定義 接口主機(jī)地址資源192.168.100.140（也可以是其他字符串），主機(jī)名稱設(shè)為192.168.100.140, IP 為192.168.100.140；定義文檔服務(wù)器，主機(jī)名稱設(shè)為doc_server, IP 為10.10.10.3。定義 完成后的界面如下圖所示：

b）選擇 資源管理 > 地址，選擇“子網(wǎng)”頁簽，點(diǎn)擊“添加”定義子網(wǎng)地址資源。資源名稱rd_group，以及網(wǎng)絡(luò)地址192.168.2.0、子網(wǎng)掩碼255.255.255.0 以及排除領(lǐng)導(dǎo)地 址:10.10.11.2 和10.10.11.3。

4）定義區(qū)域資源的訪問權(quán)限（整個(gè)區(qū)域是否允許訪問）。

選擇 資源管理 > 區(qū)域，設(shè)定外網(wǎng)區(qū)域area_eth1 的缺省屬性為“允許”訪問，內(nèi)網(wǎng) 區(qū)域area_eth0 和area_eth2 的缺省屬性為“禁止”訪問。以area_eth1 為例，設(shè)置界面如 下圖所示。

設(shè)置完成后的界面如下圖所示。5）選擇 防火墻 > 地址轉(zhuǎn)換，定義地址轉(zhuǎn)換規(guī)則。a）定義源地址轉(zhuǎn)換規(guī)則，使得內(nèi)網(wǎng)用戶能夠訪問外網(wǎng): 選擇“源轉(zhuǎn)換”。

① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。不設(shè)置參數(shù)，表示不對(duì)報(bào)文的源進(jìn)行限 制。

② 選擇“目的”頁簽，參數(shù)設(shè)置如下圖所示。

③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

轉(zhuǎn)換源地址對(duì)象為“192.168.100.140”。設(shè)置完成后的規(guī)則如下圖所示。

b)定義目的地址轉(zhuǎn)換規(guī)則，使得內(nèi)網(wǎng)文檔組以及外網(wǎng)用戶都可以訪問area_eth2 區(qū)域 的 WEB 服務(wù)器。選擇“目的轉(zhuǎn)換”

① 選擇“源”頁簽，設(shè)置參數(shù)如下圖所示。不設(shè)置參數(shù)，表示不對(duì)報(bào)文的源進(jìn)行限 制。

② 選擇“目的”頁簽，設(shè)置參數(shù)如下圖所示。

③ 選擇“服務(wù)”頁簽，設(shè)置參數(shù)如下圖所示?！澳康牡刂忿D(zhuǎn)換”為地址資源“172.16.1.3”。設(shè)置完成后的界面如下圖所示。

6）選擇菜單 防火墻 > 訪問控制，定義訪問控制規(guī)則。a）允許內(nèi)網(wǎng)和外網(wǎng)用戶均可以訪問WEB 服務(wù)器

由于Web 服務(wù)器所在的area_eth2 區(qū)域禁止訪問，所以要允許內(nèi)網(wǎng)和外網(wǎng)用戶均可以 訪問Web 服務(wù)器，需要定義訪問控制規(guī)則如下。① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。

源VLAN 和源區(qū)域不選擇，表示不對(duì)區(qū)域加以限制； ② 選擇“目的”頁簽，參數(shù)設(shè)置如下圖所示。③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

b）允許項(xiàng)目組領(lǐng)導(dǎo)訪問外網(wǎng)，禁止項(xiàng)目組普通員工rd_group 訪問外網(wǎng)。由于外網(wǎng)區(qū)域允許訪問，所以需要添加禁止訪問外網(wǎng)的規(guī)則如下： ① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。

② 選擇“目的”頁簽設(shè)置如下圖所示。

③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

CLI 配置步驟

1）設(shè)定物理接口eth1 和eth2 的IP 地址。#network interface eth1 ip add 192.168.100.140 mask 255.255.255.0 #network interface eth2 ip add 172.16.1.1 mask 255.255.255.0 2）添加VLAN 虛接口，設(shè)定VLAN 的IP 地址，再選擇相應(yīng)的物理接口加入到已添 加的VLAN 中。

#network vlan add range 1,2 #network interface vlan.0001 ip add 192.168.1.1 mask 255.255.255.0 #network interface vlan.0002 ip add 192.168.2.1 mask 255.255.255.0 #network interface eth0 switchport trunk allowed-vlan 1,2 native-vlan 1 encapsulation dotlq 3）定義主機(jī)、子網(wǎng)地址資源。

#define host add name 172.16.1.3 ipaddr 172.16.1.3 #define host add name 192.168.100.143 ipaddr 192.168.100.143 #define host add name doc_server ipaddr 10.10.10.3 #define subnet add name rd_group ipaddr 192.168.2.0 mask 255.255.255.0 except ‘10.10.11.2 10.10.11.3’

4）設(shè)置區(qū)域資源的缺省訪問權(quán)限：area_eth0、area_eth2 為禁止訪問，area_eth1 為允 許訪問（缺省權(quán)限，無需再設(shè)定）。

#define area add name area_eth0 access off attribute eth0（不允許訪問內(nèi)網(wǎng)）#define area add name area_eth2 access off attribute eth2（不允許訪問內(nèi)網(wǎng)）5）定義地址轉(zhuǎn)換規(guī)則。

定義源地址轉(zhuǎn)換規(guī)則，使得內(nèi)網(wǎng)用戶能夠訪問外網(wǎng)。

#nat policy add dstarea area_eth1 trans_src 192.168.100.140 定義目的地址轉(zhuǎn)換規(guī)則，使得內(nèi)網(wǎng)文檔組以及外網(wǎng)用戶都可以訪問area_eth2 區(qū)域的 WEB 服務(wù)器。

#nat policy add orig_dst 192.168.100.143 orig_service HTTP trans_dst 172.16.1.3 6）定義訪問控制規(guī)則。

允許內(nèi)網(wǎng)和外網(wǎng)用戶均可以訪問WEB 服務(wù)器

#firewall policy add action accept dstarea area_eth2 dst 172.16.1.3 service HTTP 允許項(xiàng)目組領(lǐng)導(dǎo)訪問外網(wǎng)，禁止項(xiàng)目組普通員工訪問外網(wǎng)

#firewall policy add action deny srcarea area_eth0 srcvlan vlan.0002 src rd_group dstarea area_eth0 service HTTP 注意事項(xiàng)

1）目的地址需要選擇WEB 服務(wù)器的真實(shí)IP 地址，因?yàn)榉阑饓σ葘?duì)數(shù)據(jù)包進(jìn)行目 的地址轉(zhuǎn)換處理，當(dāng)內(nèi)網(wǎng)用戶利用http://192.168.100.143 訪問SSN 區(qū)域的Web 服務(wù)器時(shí)，由于符合NAT 目的地址轉(zhuǎn)換規(guī)則，所以數(shù)據(jù)包的目的地址將被轉(zhuǎn)換為172.16.1.3。然后才 進(jìn)行訪問規(guī)則查詢，此時(shí)只有設(shè)定為WEB 服務(wù)器的真實(shí)IP 地址才能達(dá)到內(nèi)網(wǎng)用戶訪問 SSN 區(qū)域WEB 服務(wù)器的目的。網(wǎng)絡(luò)衛(wèi)士系列防火墻處理數(shù)據(jù)包的流程請(qǐng)參考用戶手冊(cè)相 關(guān)章節(jié)。

2）定義目的地址轉(zhuǎn)換規(guī)則時(shí)，不能選擇目的區(qū)域與目的VLAN。

根據(jù)源端口配置訪問控制規(guī)則

基本需求

案例：某銀行系統(tǒng)應(yīng)用軟件使用特定的端口進(jìn)行業(yè)務(wù)主機(jī)與服務(wù)器間的數(shù)據(jù)通信，為 了保證數(shù)據(jù)及設(shè)備的安全，禁止其他對(duì)于業(yè)務(wù)主機(jī)和服務(wù)器的訪問。網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下所示。

圖 26 根據(jù)源端口進(jìn)行訪問控制示意圖

業(yè)務(wù)主機(jī)可以使用特殊端口訪問服務(wù)器，不能使用其他端口。業(yè)務(wù)主機(jī)區(qū)域和服務(wù)器 區(qū)域禁止其他類型的訪問。

配置要點(diǎn)

定義區(qū)域：area_eth1、area_eth2。

定義服務(wù)端口：FS_port

設(shè)置訪問控制規(guī)則

WebUI 配置步驟

1）定義區(qū)域area_eth1 為禁止訪問，并與屬性eth1 綁定。選擇 資源管理 > 區(qū)域，點(diǎn)擊“添加”，如下圖所示。

2）定義區(qū)域area_eth2 為禁止訪問，并與屬性eth2 綁定。

具體操作與area_eth1 相似，請(qǐng)參考area_eth1 的定義過程完成。3）定義服務(wù)端口

由于系統(tǒng)使用的通信端口是：4500，不是通常使用的協(xié)議端口，在設(shè)置規(guī)則前需要自 定義端口。

選擇 資源管理 > 服務(wù)，激活“自定義服務(wù)”頁簽，進(jìn)入自定義服務(wù)頁面。點(diǎn)擊右 側(cè)“添加”，如下圖所示。

選擇類型：TCP，設(shè)置名稱：FS_port，服務(wù)器實(shí)際使用的端口：4500。完成后點(diǎn)擊“確 定”按鈕。

4）定義訪問控制規(guī)則

該規(guī)則為來自area_eth1 區(qū)域使用源端口為4500 的數(shù)據(jù)包允許通過防火墻訪問 area_eth2 區(qū)域。

a）選擇“源”頁簽，參數(shù)設(shè)置如下。

b）選擇“目的”頁簽，參數(shù)設(shè)置如下圖所示。

c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

d）選擇“選項(xiàng)”頁簽設(shè)置參數(shù)如下。由于所使用的軟件系統(tǒng)所建立的連接需要長時(shí)期保持，在“連接選項(xiàng)”中選擇“長連 接”，根據(jù)需要選擇“日志記錄”。點(diǎn)擊“確定”完成ACL 規(guī)則設(shè)置。

CLI 配置步驟

1）定義區(qū)域：area_eth1、area_eth2 #define area add name area_eth1 access off attribute eth1 #define area add name area_eth2 access off attribute eth2 2）定義服務(wù)端口：FS_port #define service add name FS_port protocol 6 port 4500 3）設(shè)置訪問控制規(guī)則

#firewall policy add action accept srcarea area_eth1 dstarea area_eth2 sport FS_port permanent yes log on enable yes

注意事項(xiàng)

由于環(huán)境所限此案例未能進(jìn)行實(shí)際測(cè)試，僅供參考使用。

根據(jù)特定服務(wù)配置訪問控制規(guī)則

基本需求

在進(jìn)行訪問控制規(guī)則的設(shè)置時(shí)，可以對(duì)用戶所能訪問的服務(wù)進(jìn)行控制，系統(tǒng)預(yù)定義了

可控制的常見服務(wù)，可以實(shí)現(xiàn)二到七層的訪問控制，用戶也可以自定義服務(wù)進(jìn)行訪問控制。案例：某企業(yè)網(wǎng)絡(luò)被防火墻化分為三個(gè)區(qū)域area_eth0、area_eth1 和area_eth2，三個(gè)

區(qū)域分別與接口Eth0、Eth1 和Eth2 綁定，area_eth0 連接外網(wǎng)，允許用戶訪問，area_eth1 和area_eth2 區(qū)域禁止用戶訪問。服務(wù)器位于area_eth1，IP 地址為192.168.100.140，內(nèi)網(wǎng) 位于area_eth2，網(wǎng)絡(luò)地址為192.168.101.0。企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。

要求：

允許內(nèi)網(wǎng)用戶訪問服務(wù)器的TELNET、SSH、FTP 和Web_port 服務(wù)，其中Web_port 服務(wù)為自定義服務(wù)，端口號(hào)為8080；但不能訪問Eth1 口的其他服務(wù)器和其他服務(wù)。不允許外網(wǎng)用戶訪問Eth1 口服務(wù)器的TELNET 和SSH 服務(wù)。圖 27 根據(jù)服務(wù)設(shè)置訪問控制規(guī)則示意圖

配置要點(diǎn)

定義區(qū)域和地址資源

定義服務(wù)資源

定義服務(wù)組資源 設(shè)置訪問控制規(guī)則

WebUI 配置步驟

1）定義區(qū)域和地址資源

a）定義區(qū)域資源area_eth0、area_eth1 和area_eth2，分別與Eth0、Eth1 和Eth2 綁定。區(qū)域權(quán)限均為“允許”。

選擇 資源管理 > 區(qū)域，點(diǎn)擊“添加”添加區(qū)域資源，界面如下圖。① 添加區(qū)域area_eth0。② 添加區(qū)域area_eth1。③ 添加區(qū)域area_eth2。

服務(wù)熱線：8008105119 183 設(shè)置完成后界面如下圖所示。b）定義IP 地址資源

選擇 資源管理 > 地址，選擇“主機(jī)”頁簽，點(diǎn)擊“添加”，如下圖所示。c)定義子網(wǎng)資源

選擇 資源管理 > 地址，選擇“子網(wǎng)”頁簽，點(diǎn)擊“添加”，如下圖所示。

2）設(shè)置自定義服務(wù)

選擇 資源管理 > 服務(wù)，激活“自定義服務(wù)”頁簽，配置自定義服務(wù)“Web_port” 如下圖所示。

3）設(shè)置服務(wù)組資源

選擇 資源管理 > 服務(wù)，激活“服務(wù)組”頁簽，配置服務(wù)組“內(nèi)網(wǎng)訪問服務(wù)”如下 圖所示。

本例中服務(wù)組名稱為“內(nèi)網(wǎng)訪問服務(wù)”，包括“Web_port、SSH、TELNET、FTP”。4)設(shè)置訪問控制規(guī)則。由于服務(wù)器所在區(qū)域area_eth1 禁止訪問，所以只要定義允許 訪問的規(guī)則即可。

a）設(shè)置允許內(nèi)網(wǎng)area_eth2 的網(wǎng)段為192.168.101.0/24 的用戶訪問area_eth1 的服務(wù)器（192.168.100.140）SSH、TELNET、FTP 以及8080 端口服務(wù)的訪問控制規(guī)則 選擇 防火墻 > 訪問控制，點(diǎn)擊“添加”按鈕，設(shè)置訪問控制規(guī)則。① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。

② 選擇“目的”頁簽，參數(shù)設(shè)置如下圖所示。

服務(wù)熱線：8008105119 187 ③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

服務(wù)熱線：8008105119 188 設(shè)置完成的ACL 規(guī)則如下圖所示。

b）設(shè)置僅允許外網(wǎng)區(qū)域（area_eth0）的用戶訪問服務(wù)器的8080 端口的服務(wù)訪問控制 規(guī)則。

選擇 防火墻 > 訪問控制，點(diǎn)擊“添加”按鈕，設(shè)置訪問控制規(guī)則。① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。

服務(wù)熱線：8008105119 189 ② 選擇“目的”頁簽，參數(shù)設(shè)置如下圖。

服務(wù)熱線：8008105119 190 ③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖。

服務(wù)熱線：8008105119 191 設(shè)置完成后的ACL 規(guī)則如下圖所示。

CLI 配置步驟

1）定義區(qū)域資源

#define area add name area_eth0 access on attribute eth0 #define area add name area_eth1 access on attribute eth1 #define area add name area_eth2 access on attribute eth2 2）定義主機(jī)和子網(wǎng)地址資源

#define host add name 192.168.100.140 ipaddr 192.168.100.140 #define host subnet add name 內(nèi)網(wǎng) ipaddr 192.168.101.0 mask 255.255.255.0 3）設(shè)置自定義服務(wù)，服務(wù)名為Web_port，端口號(hào)為8080。#difine service add name Web_port protocol tcp port 8080 4）設(shè)置服務(wù)組資源，組名稱為“內(nèi)網(wǎng)訪問服務(wù)”，包括Web_port、FTP、TELNET 和SSH 服務(wù)。

#difine group_service add name 內(nèi)網(wǎng)訪問服務(wù) member Web_port,FTP,TELNET,SSH 5）設(shè)置訪問控制規(guī)則

a）區(qū)域“area_eth2”的子網(wǎng)對(duì)象“內(nèi)網(wǎng)”（192.168.101.0/24）允許訪問區(qū)域“area_eth1” 的服務(wù)器的Web_port、FTP、TELNET 和SSH 服務(wù)(有自定義服務(wù)組“內(nèi)網(wǎng)訪問服務(wù)”綁 定)，服務(wù)器的IP 地址為192.168.100.140。

#firewall policy add action accept srcarea area_eth2 dstarea area_eth1 src 內(nèi)網(wǎng)dst 192.168.100.140 service 內(nèi)網(wǎng)訪問服務(wù) enable yes

服務(wù)熱線：8008105119 192 b）設(shè)置僅允許外網(wǎng)用戶訪問服務(wù)器192.168.100.140 的8080 端口的服務(wù)訪問控制規(guī) 則。

#firewall policy add action accept srcarea area_eth0 dstarea area_eth1 dst 192.168.100.140 service Web_port enable yes 注意事項(xiàng)

如果只允許開放某些服務(wù)，其他服務(wù)均被禁止，可以設(shè)置目的區(qū)域的默認(rèn)訪問權(quán)限為 “禁止”，系統(tǒng)在匹配完訪問控制規(guī)則后將自動(dòng)匹配區(qū)域的默認(rèn)訪問權(quán)限。

根據(jù)轉(zhuǎn)換前目的地址配置訪問控制規(guī)則

基本需求

背景：某企業(yè)的WEB 服務(wù)器（IP：192.168.83.56）通過防火墻將其IP 地址MAP 為

202.45.56.5 對(duì)外提供WEB 服務(wù)。WEB 服務(wù)器連在防火墻的Eth1 口（IP：192.168.83.2），且防火墻通過Eth0 口（IP：202.45.56.3）與Internet 相連，如下圖所示。

圖 28 根據(jù)轉(zhuǎn)換前目的進(jìn)行訪問控制示意圖

需求：為了保護(hù)企業(yè)網(wǎng)絡(luò)的安全，網(wǎng)關(guān)Eth1 接口所屬的區(qū)域area_eth1 設(shè)置為禁止訪 問，要求Internet 用戶只可訪問企業(yè)WEB 服務(wù)器的HTTP 服務(wù)，要求用WEB 服務(wù)器的 MAP 地址202.45.56.5 作訪問控制。

服務(wù)熱線：8008105119 193 配置要點(diǎn)

定義主機(jī)地址資源

定義地址轉(zhuǎn)換策略

定義訪問控制規(guī)則

WebUI 配置步驟

1）將防火墻的Eth1 口所屬區(qū)域的默認(rèn)訪問權(quán)限設(shè)置為“禁止”。選擇 資源管理 > 區(qū)域，點(diǎn)擊“添加”，如下圖。

2）定義WEB 服務(wù)器主機(jī)地址資源R-WebServer 和虛擬主機(jī)對(duì)象V-WebServer。選擇 資源管理 > 地址，激活“主機(jī)”頁簽，定義主機(jī)地址資源R-WebServer 和 V-WebServer。

定義R-WebServer 主機(jī)地址資源圖。

服務(wù)熱線：8008105119 194 定義V-WebServer 主機(jī)地址資源圖。3）定義地址轉(zhuǎn)換規(guī)則。

選擇 防火墻 > 地址轉(zhuǎn)換，并在右側(cè)界面中點(diǎn)擊“添加”定義目的地址轉(zhuǎn)換規(guī)則。選擇“目的轉(zhuǎn)換”。

a）選擇“源”頁簽，設(shè)置參數(shù)如下圖。

服務(wù)熱線：8008105119 195 b）選擇“目的”頁簽，參數(shù)設(shè)置如下。

服務(wù)熱線：8008105119 196 c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下。設(shè)置完成后的目的NAT 規(guī)則如下圖所示。4）設(shè)置訪問控制規(guī)則。

選擇 防火墻 > 訪問控制，并在右側(cè)界面中點(diǎn)擊“添加”定義訪問控制規(guī)則。

服務(wù)熱線：8008105119 197 a）選擇“源”頁簽，參數(shù)設(shè)置如下。b）選擇“目的”頁簽，設(shè)置根據(jù)轉(zhuǎn)換前的目的地址進(jìn)行訪問控制。參數(shù)設(shè)置如下。

服務(wù)熱線：8008105119 198 c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下。

服務(wù)熱線：8008105119 199 設(shè)置完成后的ACL 規(guī)則如下圖所示。至此，WEBUI 方式的配置完成。

CLI 配置步驟

1）將防火墻的Eth1 口所屬區(qū)域的默認(rèn)訪問權(quán)限設(shè)置為“禁止”。#define area add name area_eth1 access off attribute eth1 2）定義WEB 服務(wù)器主機(jī)地址資源R-WebServer 和虛擬主機(jī)地址資源V-WebServer。定義R-WebServer 主機(jī)地址資源

#define host add name R-WebServer ipaddr 192.168.83.56 mask 255.255.255.定義V-WebServer 主機(jī)地址資源

#define host add name V-WebServer ipaddr 202.45.56.5 mask 255.255.255.3）定義地址轉(zhuǎn)換規(guī)則。

#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4）設(shè)置訪問控制規(guī)則。

#firewall policy add src any orig_dst V-WebServer service HTTP action accept enable yes

注意事項(xiàng)

1）因?yàn)樵摪咐骾nternet 用戶只可訪問內(nèi)網(wǎng)中WEB 服務(wù)器的HTTP 服務(wù)，因此需 要事先拒絕internet 用戶的所有訪問，再定義訪問控制規(guī)則允許其訪問HTTP 服務(wù)。2）對(duì)轉(zhuǎn)換前的目的地址進(jìn)行匹配時(shí)，只需在“轉(zhuǎn)換前目的地址”中進(jìn)行選擇目的地 址，而無須在“目的地址”中再選擇地址。

3）在配置過程中，請(qǐng)確保沒有與該規(guī)則相沖突的地址轉(zhuǎn)換策略和阻斷策略。

根據(jù)轉(zhuǎn)換后目的地址配置訪問控制規(guī)則

基本需求

背景：某企業(yè)的WEB 服務(wù)器（IP：192.168.83.56）通過防火墻將其IP 地址MAP 為

202.45.56.5 對(duì)外提供WEB 服務(wù)。WEB 服務(wù)器連在防火墻的Eth1 口（IP：192.168.83.2），且防火墻通過Eth2 口（IP：202.45.56.3）與Internet 相連，如下圖所示。

需求：為了保護(hù)企業(yè)網(wǎng)絡(luò)的安全，要求Internet 用戶只可訪問企業(yè)WEB服務(wù)器的HTTP 服務(wù)，要求用WEB 服務(wù)器的IP 地址192.168.83.56 做訪問控制。圖 29 根據(jù)轉(zhuǎn)換后目的進(jìn)行訪問控制示意圖

配置要點(diǎn)

定義主機(jī)地址資源

定義地址轉(zhuǎn)換策略

定義訪問控制規(guī)則

WebUI 配置步驟

1）將防火墻的Eth1 口所屬區(qū)域的默認(rèn)訪問權(quán)限設(shè)置為“禁止”。選擇 資源管理 > 區(qū)域，點(diǎn)擊“添加”，如下圖。

2）定義WEB 服務(wù)器主機(jī)地址資源R-WebServer 和虛擬主機(jī)地址資源V-WebServer。選擇 資源管理 > 地址，激活“主機(jī)”頁簽，在右側(cè)界面中點(diǎn)擊“添加”定義主機(jī) 地址資源R-WebServer 和V-WebServer。定義R-WebServer 主機(jī)地址資源。定義V-WebServer 主機(jī)地址資源。3）定義地址轉(zhuǎn)換規(guī)則。

選擇 防火墻 > 地址轉(zhuǎn)換，并在右側(cè)界面中點(diǎn)擊“添加”定義目的地址轉(zhuǎn)換規(guī)則。選擇“目的轉(zhuǎn)換”。

a）選擇“源”頁簽，設(shè)置參數(shù)如下圖。

b）選擇“目的”頁簽，參數(shù)設(shè)置如下。

c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下。設(shè)置完成后的目的NAT 規(guī)則如下圖所示。4）設(shè)置訪問控制規(guī)則。

a）選擇“源”頁簽，參數(shù)設(shè)置如下。

b）選擇“目的”頁簽，設(shè)置根據(jù)NAT 轉(zhuǎn)換后的目的地址（R_WebServer）進(jìn)行訪問 控制。參數(shù)設(shè)置如下。

c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下。

設(shè)置完成后的ACL 規(guī)則如下圖所示。至此，WEBUI 方式的配置完成。

CLI 配置步驟

1）將防火墻的Eth1 口所屬區(qū)域的默認(rèn)訪問權(quán)限設(shè)置為“禁止”。#define area add name area_eth1 access off attribute eth1 2）定義WEB 服務(wù)器主機(jī)對(duì)象R-WebServer 和虛擬主機(jī)對(duì)象V-WebServer。定義R-WebServer 主機(jī)地址資源

#define host add name R-WebServer ipaddr 192.168.83.56 定義V-WebServer 主機(jī)地址資源

#define host add name V-WebServer ipaddr 202.45.56.5 3）定義地址轉(zhuǎn)換規(guī)則。

#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4）設(shè)置訪問控制規(guī)則。

#firewall policy add src any dst R-WebServer service HTTP action accept enable yes 注意事項(xiàng)

1）因?yàn)樵摪咐骾nternet 用戶只可訪問內(nèi)網(wǎng)中WEB 服務(wù)器的HTTP 服務(wù)，因此需 要事先拒絕internet 用戶的所有訪問，再定義訪問控制規(guī)則允許其訪問HTTP 服務(wù)。2）當(dāng)TOS 設(shè)備處理經(jīng)過地址轉(zhuǎn)換的數(shù)據(jù)包時(shí)，匹配的是目的地址轉(zhuǎn)換后的地址，故 一般不需要設(shè)置“轉(zhuǎn)換前目的”中的地址。

3）在配置過程中請(qǐng)確保沒有與該規(guī)則相沖突的地址轉(zhuǎn)換策略和阻斷策略。

基于認(rèn)證用戶的訪問控制

用戶認(rèn)證的主要目的是為了對(duì)用戶進(jìn)行身份鑒別、授權(quán)以及進(jìn)行細(xì)粒度的訪問控制，用戶認(rèn)證的方式主要包括本地認(rèn)證（密碼和證書）和第三方認(rèn)證（Radius、Tacacs、SecurID、LDAP 以及域認(rèn)證等等），通過將認(rèn)證用戶設(shè)置為用戶組，訪問控制規(guī)則的源和目的即可 以是用戶組對(duì)象，從而實(shí)現(xiàn)基于本地密碼認(rèn)證、OTP 認(rèn)證以及第三方認(rèn)證用戶的細(xì)粒度 的訪問控制。

基本需求

Area_eth2 區(qū)域?yàn)檠邪l(fā)部門內(nèi)網(wǎng)，禁止外網(wǎng)和其余部門訪問，只允許內(nèi)網(wǎng)area_eth1 區(qū) 域的某些用戶通過TOPSEC 認(rèn)證客戶端訪問內(nèi)網(wǎng)主機(jī)10.10.10.22 的TELNET 服務(wù)。圖 30 基于認(rèn)證用戶的訪問控制示意圖 配置要點(diǎn)

設(shè)置區(qū)域?qū)傩?/p>

設(shè)置NAT 地址轉(zhuǎn)換規(guī)則

設(shè)置認(rèn)證服務(wù)器和用戶組

開放相關(guān)接口的認(rèn)證服務(wù)

設(shè)置基于認(rèn)證用戶的訪問控制規(guī)則。

設(shè)置用戶認(rèn)證客戶端

WebUI 配置步驟

1）設(shè)置區(qū)域?qū)傩?，添加主機(jī)地址資源。

a）選擇 資源管理 > 區(qū)域，定義內(nèi)網(wǎng)區(qū)域area_eth2 的缺省屬性為禁止訪問。外網(wǎng)區(qū)域area_eth1 為允許訪問。

b）選擇 資源管理 > 地址，激活“主機(jī)”頁簽，定義內(nèi)網(wǎng)TELNET 服務(wù)器的真實(shí)IP 地址資源（10.10.10.22）。

定義虛擬IP 地址資源（192.168.83.223）。如下圖所示。

2）選擇 防火墻 > 地址轉(zhuǎn)換，設(shè)置目的NAT 規(guī)則，使得用戶能夠訪問內(nèi)網(wǎng)TELNET 服務(wù)器。

選擇“目的轉(zhuǎn)換”。

a）選擇“源”頁簽，設(shè)置參數(shù)如下圖。

b）選__