防火墙访问控制Access Control

一 概述
　　访问控制技术，指防止对任何资源进行未授权的访问，从而使计算机系统在合法的范围内使用。意指用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用的一种技术。
　　访问控制的主要目的是限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。
　　访问控制（Access Control）指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。
　　访问控制的主要功能包括：保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证，同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后，还需要对越权操作进行监控。
　　因此，访问控制的内容包括认证、控制策略实现和安全审计。
　　（1）认证。包括主体对客体的识别及客体对主体的检验确认。
　　（2）控制策略。通过合理地设定控制规则集合，确保用户对信息资源在授权范围内的合法使用。既要确保授权用户的合理使用，又要防止非法用户侵权进入系统，使重要信息资源泄露。同时对合法用户，也不能越权行使权限以外的功能及访问范围。
　　（3）安全审计。系统可以自动根据用户的访问权限，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应评价与审计。
1.1 原理简介
　　访问控制的处理过程是获取转发数据包的报文头信息，与访问控制规则进行比较，根据比较的结果对数据包进行转发或者丢弃。
　　访问控制可以是基于 IP 地址、安全域、服务、应用、用户等条件控制流量是否可以通过防火墙。在访问策略中， 策略源定义了报文的来源， 策略源可以是地址（主机、 范围、 子网、MAC 地址）、 区域、 用户对象。 当报文的源地址属于策略源的范围， 则被认为满足策略源约束条件。
　　 策略目的定义了报文的目的地址范围， 可以包括一个或多个主机、 子网、或范围，也可以包括多个区域（或 VLAN） 。 策略服务定义了报文采用的网络协议或特定端口号。 策略应用定义了报文包含的应用程序。同时支持用户定义访问策略有效的时段，即访问时间，即在哪一天或哪一时段访问策略有效；支持IPv6 扩展头的访问控制（逐跳扩展头|分段扩展头|目的扩展头|认证扩展头|路由扩展头|ESP扩展头）。 访问控制定义了对满足策略的报文所采取的处理方式，包括允许（该报文被允许通过） 、禁止（丢弃该包）和认证 。
　　一个报文和某一条访问策略匹配指的是：报文的源地址包含于策略源定义、报文目的地址包含于策略目的，以及报文端口包含于策略服务，如果定义了访问时间，则报文的接收时间也必须满足策略访问时间约束。 只有当一个报文完全符合策略中所规定的所有条件时，这条策略才匹配该报文。
1.2 规则配置
　　通过访问控制规则的设置对设备各个接口之间的数据转发进行控制。访问控制规则分为两部分：过滤条件和行为，过滤条件由安全域间流量的源安全域/源地址、 目的安全域/目的地址、服务类型、 时间等构成。 策略规则都有其独有的 ID 号， 策略规则 ID 会在定义规则时自动生成。 所有策略规则有特定的排列顺序，也可以设置策略规则的排列位置。
　　在数据包进入系统时，系统会对数据包按照找到的第一条与过滤条件相匹配的策略规则进行处理。 同时，对于定义的策略规则，提供了对规则的分组管理功能，不同组之间的前后顺序和组内规则的排列顺序共同决定访问控制规则的匹配顺序。
1.3 访问控制列表（Access Control List，ACL）
　　访问控制列表（Access Control List，ACL）是应用在路由器接口的指令列表，用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。是以文件为中心建立访问权限表，表中记载了该文件的访问用户名和权隶属关系。利用ACL，容易判断出对特定客体的授权访问，可访问的主体和访问权限等。当将该客体的ACL置为空，可撤消特定客体的授权访问。