Ⅰ 不屬於訪問控制手段的是什麼
這個怎麼沒有選項啊?訪問控制有很多種,最早的是自主訪問控制和強制訪問控制,結合了他們的各自特點後就有了基於角色的訪問控制。現在很多都是基於角色的訪問控制,還有基於對像訪問控制,基於工作流的訪問控制,還有新型訪問控制使用訪問控制.訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。 用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的預設限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網路。 對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。 網路管理員可以控制和限制普通用戶的賬號使用、訪問網路的時間和方式。用戶賬號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。 用戶名和口令驗證有效之後,再進一步履行用戶賬號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時,網路還應能對用戶的賬號加以限制,用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽(irm)可作為兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器,可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類:特殊用戶(即系統管理員);一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用訪問控製表來描述。
目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權、讀許可權、寫許可權、創建許可權、刪除許可權、修改許可權、文件查找許可權、訪問控制許可權。用戶對文件或目標的有效許可權取決於以下兩個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問 ,從而加強了網路和伺服器的安全性。
屬性安全控制
當用文件、目錄和網路設備時,網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表,用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。
伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
Ⅱ 什麼事訪問控制訪問控制包括哪幾個要素
訪問控制是幾乎所有系統(包括計算機系統和非計算機系統)都需要用到的一種技術。訪問控制是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術。
訪問控制包括伺服器、目錄、文件等。訪問控制是給出一套方法,將系統中的所有功能標識出來,組織起來,託管起來,將所有的數據組織起來標識出來託管起來, 然後提供一個簡單的唯一的介面,這個介面的一端是應用系統一端是許可權引擎。
(2)訪問控制不包括擴展閱讀
實現機制:訪問控制的實現機制建立訪問控制模型和實現訪問控制都是抽象和復雜的行為,實現訪問的控制不僅要保證授權用戶使用的許可權與其所擁有的許可權對應,制止非授權用戶的非授權行為;還要保證敏感信息的交叉感染。
為了便於討論這一問題,我們以文件的訪問控制為例對訪問控制的實現做具體說明。通常用戶訪問信息資源(文件或是資料庫),可能的行為有讀、寫和管理。為方便起見,我們用Read或是R表示讀操作,Write或是W表示寫操作,Own或是O表示管理操作。
Ⅲ 訪問控制列表有幾種類型說出不同訪問控制列表可控制訪問的元素有哪些
標准訪問控制列表,擴展訪問控制列表,命名訪問控制列表,定時訪問控制列表。
一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。
擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項,包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
(3)訪問控制不包括擴展閱讀:
訪問控制列表具有許多作用,如限制網路流量、提高網路性能;通信流量的控制,例如ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量;提供網路安全訪問的基本手段;在路由器埠處決定哪種類型的通信流量被轉發或被阻塞,例如,用戶可以允許E-mail通信流量被路由,拒絕所有的 Telnet通信流量等。
Ⅳ 26.訪問控制不包括______。
a. D.共享列印機的訪問控制
Ⅳ 訪問控制的手段不包括 A、 用戶識別代碼和口令 B、 登錄控制和資源控制 C、 制空核查 D、 數字簽名
D、 數字簽名
數字簽名是身份認證的手段,不能進行訪問控制。
Ⅵ 訪問控制列表有哪幾種類型,分別在哪個位置
1、標准IP訪問列表
編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。
2、擴展IP訪問
編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
3、命名的IP訪問
4、標准IPX訪問
標准IPX訪問控制列表的編號范圍是800-899。
5、擴展IPX訪問
擴展IPX訪問控制列表的編號范圍是900-999。
6、命名的IPX訪問
與命名的IP訪問控制列表一樣,命名的IPX訪問控制列表是使用列表名取代列表編號。
相關信息
ACL技術可以有效的在三層上控制網路用戶對網路資源的訪問,它可以具體到兩台網路設備間的網路應用,也可以按照網段進行大范圍的訪問控制管理,為網路應用提供了一個有效的安全手段。
一方面,採用ACL技術,網路管理員需要明確每一台主機及工作站所在的IP子網並確認它們之間的訪問關系,適用於網路終端數量有限的網路。對於大型網路,為了完成某些訪問控制甚至不得不浪費很多的IP地址資源。同時,巨大的網路終端數量,同樣會增加管理的復雜度和難度。
另一方面,維護ACL不僅耗時,而且在較大程度上增加路由器開銷。訪問控制列表的策略性非常強,並且牽涉到網路的整體規劃,它的使用對於策略制定及網路規劃的人員的技術素質要求比較高。因此,是否採用ACL技術及在多大的程度上利用它,是管理效益與網路安全之間的一個權衡。
Ⅶ 訪問控制列表的分類
in的時候判斷的是源地址是vlan內的地址,out的時候判斷源地址是非本vlan 內的地址。
18、19兩個不同的網段,在18網段上加訪問列表,
----〉表示能夠訪問,---X-->;表示不能訪問。
ip access-l exte test_liu
deny ip host 10.24.18.5 host 10.24.19.30
permit ip any any
__________________________________________________
inter vlan 18
ip access-g test_liu in
exit
測試:18.5--X-->19.30
19.30--X-->18.5
訪問列表生效,在IN 方向判斷源地址18.5屬於本VLAN
___________________________________________________
inter vlan 18
ip access-g test_liu out
exit
測試:18.5---->19.30
19.30---->18.5
訪問列表不生效,在OUT方向判斷源地址18.5屬於本VLAN,不作限制
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
ip access-l exte test_liu
deny ip host 10.24.19.30 host 10.24.18.5
permit ip any any
----------------------------------------------------
inter vlan 18
ip access-g test_liu in
exit
測試:18.5---->19.30
19.30---->18.5
訪問列表不生效,在in方向判斷源地址19.30不屬於本VLAN,不作限制
__________________________________________________ 配置路由器
動態路由已設好,IP地址分配如下:
RouterA f0/0: 10.65.1.2
RouterA f0/1: 10.66.1.2
RouterA s0/1: 10.68.1.2
RouterC s0/0: 10.68.1.1
RouterC s0/1: 10.78.1.2
RouterB s0/0: 10.78.1.1
RouterB s0/1: 10.69.1.2
RouterB f0/0: 10.70.1.2
SWA:10.65.1.8gateway:10.65.1.2
PCA:10.65.1.1gateway:10.65.1.2
PCB:10.66.1.1gateway:10.66.1.2
PCC:10.69.1.1gateway:10.69.1.2
PCD:10.70.1.1gateway:10.70.1.2
PCE:10.65.1.3gateway:10.65.1.2
PCF:10.65.2.1gateway:10.65.1.2
基本基礎
先從PCA ping PCD:
[root@PCA @root]#ping 10.70.1.1 (通)
在ROC的s0/0寫一個輸入的訪問控制列表:
RouterC(config)#access-list 1 permit 10.65.1.1 0.0.0.0
RouterC(config)#access-list 1 deny any
RouterC(config)#int s0/0
RouterC(config-if)#ip access-group 1 in
RouterC(config-if)#end
RouterC#sh access-list 1
[root@PCA @root]#ping 10.70.1.1(通)
[root@PCE @root]#ping 10.70.1.1(不通)
[root@PCE @root]#ping 10.66.1.1(通)
[root@PCB @root]#ping 10.70.1.1(不通)
[root@PCD @root]#ping 10.66.1.1(通)
第一個ping,PCA的IP地址是10.65.1.1在訪問控制列表access-list 1中是
允許的,所以通。
第二個ping,PCE雖然是65網段,但是access-list 1對10.65.1.1是完全匹配,
所以10.65.1.3的數據包不能通過。
第三個ping,PCE到PCB不通過RouterC的s0/0,所以能通。
第四個ping,PCB的IP地址是10.66.1.1,它是被禁止的,所以不通。
第五個ping,從PCD到PCB的數據包是從RouterC的s0/0口出,不受access-list 1
的控制,所以通。
下面再寫一個訪問控制列表,先刪除原訪問控制列表:
RouterC(config)#no access-list 1
RouterC(config-if)#no ip access-group 1 in
二者都可能實現去掉訪問列表的目的。前者是從列表號角度刪除,後者是從介面
的輸入和輸出角度刪除。
可以通過sh access-list <n> 命令查看訪問控制列表。
下面再寫一個訪問控制列表:
RouterC(config)#access-list 2 deny 10.65.1.1 0.0.0.255
RouterC(config)#access-list 2 permit any
RouterC(config)#int s0/0
RouterC(config-if)#ip access-group 1 out
RouterC(config-if)#end
RouterC#sh access-list 1
這個訪問控制列表比上一個訪問控制列表有以下幾點不同:
⑴ 先deny後permit,
⑵ 禁止的是一個C類
⑶ 一個輸出的訪問控制
[root@PCA @root]#ping 10.69.1.1(不通)
[root@PCE @root]#ping 10.69.1.1(不通)
[root@PCF @root]#ping 10.69.1.1(通)
[root@PCB @root]#ping 10.69.1.1(通)
因為PCA和PCE的IP地址10.65.1.1、10.65.1.3,在deny范圍內,所以不通。
而PCF的IP是10.65.2.1不在10.65.1.0 0.0.0.255范圍內,所以能通。
梯形基本
訪問控制列表一般是順序匹配的,梯形結構,下面是一個參考:
RouterC(config)#access-list 4 permit 10.65.1.1
RouterC(config)#access-list 4 deny 10.65.1.0 0.0.0.255
RouterC(config)#access-list 4 permit 10.65.0.0 0.0.255.255
RouterC(config)#access-list 4 deny 10.0.0.0 0.255.255.255
RouterC(config)#access-list 4 permit any
RouterC(config)#int s0/1
RouterC(config-if)#ip access-group 4 out
[root@PCA @root]#ping 10.69.1.1(通)
[root@PCE @root]#ping 10.69.1.1(不通)
[root@PCF @root]#ping 10.69.1.1(通)
[root@PCB @root]#ping 10.69.1.1(不通) 列表格式
---- 標准型IP訪問列表的格式如下:---- access-list[list number][permit|deny][source address]---- [address][wildcard mask][log]---- 下面解釋一下標准型IP訪問列表的關鍵字和參數。首先,在access和list這2個關鍵字之間必須有一個連字元-;其次,list number的范圍在0~99之間,這表明該access-list語句是一個普通的標准型IP訪問列表語句。因為對於Cisco IOS,在0~99之間的數字指示出該訪問列表和IP協議有關,所以list number參數具有雙重功能: (1)定義訪問列表的操作協議; (2)通知IOS在處理access-list語句時,把相同的list number參數作為同一實體對待。正如本文在後面所討論的,擴展型IP訪問列表也是通過list number(范圍是100~199之間的數字)而表現其特點的。因此,當運用訪問列表時,還需要補充如下重要的規則: 在需要創建訪問列表的時候,需要選擇適當的list number參數。
允許拒絕
---- 在標准型IP訪問列表中,使用permit語句可以使得和訪問列表項目匹配的數據包通過介面,而deny語句可以在介面過濾掉和訪問列表項目匹配的數據包。source address代表主機的IP地址,利用不同掩碼的組合可以指定主機。---- 為了更好地了解IP地址和通配符掩碼的作用,這里舉一個例子。假設您的公司有一個分支機構,其IP地址為C類的192.46.28.0。在您的公司,每個分支機構都需要通過總部的路由器訪問Internet。要實現這點,您就可以使用一個通配符掩碼 0.0.0.255。因為C類IP地址的最後一組數字代表主機,把它們都置1即允許總部訪問網路上的每一台主機。因此,您的標准型IP訪問列表中的access-list語句如下:---- access-list 1 permit 192.46.28.0 0.0.0.255---- 注意,通配符掩碼是子網掩碼的補充。因此,如果您是網路高手,您可以先確定子網掩碼,然後把它轉換成可應用的通配符掩碼。這里,又可以補充一條訪問列表的規則5。
指定地址
---- 如果您想要指定一個特定的主機,可以增加一個通配符掩碼0.0.0.0。例如,為了讓來自IP地址為192.46.27.7的數據包通過,可以使用下列語句:---- Access-list 1 permit 192.46.27.7 0.0.0.0---- 在Cisco的訪問列表中,用戶除了使用上述的通配符掩碼0.0.0.0來指定特定的主機外,還可以使用host這一關鍵字。例如,為了讓來自IP地址為192.46.27.7的數據包可以通過,您可以使用下列語句:---- Access-list 1 permit host 192.46.27.7---- 除了可以利用關鍵字host來代表通配符掩碼0.0.0.0外,關鍵字any可以作為源地址的縮寫,並代表通配符掩碼0.0.0.0 255.255.255.255。例如,如果希望拒絕來自IP地址為192.46.27.8的站點的數據包,可以在訪問列表中增加以下語句:---- Access-list 1 deny host 192.46.27.8---- Access-list 1 permit any---- 注意上述2條訪問列表語句的次序。第1條語句把來自源地址為192.46.27.8的數據包過濾掉,第2條語句則允許來自任何源地址的數據包通過訪問列表作用的介面。如果改變上述語句的次序,那麼訪問列表將不能夠阻止來自源地址為192.46.27.8的數據包通過介面。因為訪問列表是按從上到下的次序執行語句的。這樣,如果第1條語句是:---- Access-list 1 permit any---- 的話,那麼來自任何源地址的數據包都會通過介面。
拒絕列表
---- 在默認情況下,除非明確規定允許通過,訪問列表總是阻止或拒絕一切數據包的通過,即實際上在每個訪問列表的最後,都隱含有一條deny any的語句。假設我們使用了前面創建的標准IP訪問列表,從路由器的角度來看,這條語句的實際內容如下:---- access-list 1 deny host 192.46.27.8---- access-list 1 permit any---- access-list 1 deny any---- 在上述例子裡面,由於訪問列表中第2條語句明確允許任何數據包都通過,所以隱含的拒絕語句不起作用,但實際情況並不總是如此。例如,如果希望來自源地址為192.46.27.8和192.46.27.12的數據包通過路由器的介面,同時阻止其他一切數據包通過,則訪問列表的代碼如下:---- access-list 1 permit host 192.46.27.8---- access-list 1 permit host 192.46.27.12---- 注意,所有的訪問列表會自動在最後包括deny any語句。---- 順便討論一下標准型IP訪問列表的參數log,它起日誌的作用。一旦訪問列表作用於某個介面,那麼包括關鍵字log的語句將記錄那些滿足訪問列表中permit和deny條件的數據包。第一個通過介面並且和訪問列表語句匹配的數據包將立即產生一個日誌信息。後續的數據包根據記錄日誌的方式,或者在控制台上顯示日誌,或者在內存中記錄日誌。通過Cisco IOS的控制台命令可以選擇記錄日誌方式。 (1) 「ACL 的最後一條語句都是隱式拒絕語句」 是什麼意思?
每個 ACL 的末尾都會自動插入一條隱含的 deny 語句,雖然ACL中看不到這條語句,它仍其作用。隱含的 deny 語句會阻止所有流量,以防不受歡迎的流量意外進入網路。
(2) 配置ACL後為什麼沒有生效?
在創建訪問控制列表之後,必須將其應用到某個介面才可開始生效。ACL 控制的對象是進出介面的流量。
Ⅷ 訪問控制根據應用環境的不同不包括哪些
但是, 帶來了新的不同弱點。 IPX具有完全的路由能力,可用於大型企業網。它包括32位網路地址,在單個環境中允 許有許多路由網路。 IPX的可擴展性受到其
Ⅸ 下面不屬於訪問控制技術的是 ( )。 A.強制訪問控制 B.自主訪問控制 C.自由訪問控制 D.基於角色的訪
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用,它是保證網路安全最重要的核心策略之一。按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術,如UniNAC網路准入控制系統的原理就是基於此技術之上。訪問控制通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。
訪問控制涉及到三個基本概念,即主體、客體和訪問授權。
主體:是一個主動的實體,它包括用戶、用戶組、終端、主機或一個應用,主體可以訪問客體。
客體:是一個被動的實體,對客體的訪問要受控。它可以是一個位元組、欄位、記錄、程序、文件,或者是一個處理器、存貯器、網路接點等。
授權訪問:指主體訪問客體的允許,授權訪問對每一對主體和客體來說是給定的。例如,授權訪問有讀寫、執行,讀寫客體是直接進行的,而執行是搜索文件、執行文件。對用戶的訪問授權是由系統的安全策略決定的。