訪問控制是指確定可給予哪些主體訪問的權(quán)力、確定以及實(shí)施訪問權(quán)限的過程。被訪問的數(shù)據(jù)統(tǒng)稱為客體。
　　
　　1、訪問矩陣是表示安全政策的 常用的訪問控制安全模型。訪問者對訪問對象的權(quán)限就存放在矩陣中對應(yīng)的交叉點(diǎn)上。
　　
　　2、訪問控制表(ACL)每個訪問者存儲有訪問權(quán)力表，該表包括了他能夠訪問的特定對象和操作權(quán)限。引用監(jiān)視器根據(jù)驗(yàn)證訪問表提供的權(quán)力表和訪問者的身份來決定是否授予訪問者相應(yīng)的操作權(quán)限。
　　
　　3、粗粒度訪問控制:能夠控制到主機(jī)對象的訪問控制細(xì)粒度訪問控制:能夠控制到文件甚至記錄的訪問控制4、防火墻作用:防止不希望、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全政策。
　　
　　防火墻的分類:IP過濾、線過濾和應(yīng)用層代理路由器過濾方式防火墻、雙穴信關(guān)方式防火墻、主機(jī)過濾式防火墻、子網(wǎng)過濾方式防火墻5、過濾路由器的優(yōu)點(diǎn):結(jié)構(gòu)簡單，使用硬件來降低成本;對上層協(xié)議和應(yīng)用透明，無需要修改已經(jīng)有的應(yīng)用。缺點(diǎn):在認(rèn)證和控制方面粒度太粗，無法做到用戶級別的身份認(rèn)證，只有針對主機(jī)IP地址，存在著假冒IP攻擊的隱患;訪問控制也只有控制到IP地址端口一級，不能細(xì)化到文件等具體對象;從系統(tǒng)治理角度來看人工負(fù)擔(dān)很重。
　　
　　6、代理服務(wù)器的優(yōu)點(diǎn):是其用戶級身份認(rèn)證、日志記錄和帳號治理。缺點(diǎn):要想提供全面的安全保證，就要對每一項(xiàng)服務(wù)都建立對應(yīng)的應(yīng)用層網(wǎng)關(guān)，這就極大限制了新應(yīng)用的采納。
　　
　　7、VPN:虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公共骨干網(wǎng)，尤其是internet聯(lián)接而成的邏輯上的虛擬子網(wǎng)。
　　
　　8、VPN的模式:直接模式VPN使用IP和編址來建立對VPN上傳輸數(shù)據(jù)的直接控制。對數(shù)據(jù)加密，采用基于用戶身份的鑒別，而不是基于IP地址。隧道模式VPN是使用IP幀作為隧道的發(fā)送分組。
　　
　　9、IPSEC是由IETF制訂的用于VPN的協(xié)議。由三個部分組成:封裝安全負(fù)載ESP主要用來處理對IP數(shù)據(jù)包的加密并對鑒別提供某種程序的支持。，鑒別報頭(AP)只涉及到鑒別不涉及到加密，internet密鑰交換IKE主要是對密鑰交換進(jìn)行治理。
【看看這篇文章在百度的收錄情況】

相關(guān)文章

• 上一篇： 網(wǎng)絡(luò)治理系統(tǒng)
• 下一篇： 網(wǎng)絡(luò)安全技術(shù)簡析