AccessControlListACL访问控制列表.docVIP

Access Control List(ACL) 访问控制列表访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。 　　访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。 　　下面是对几种访问控制列表的简要总结。 　　1.标准IP访问控制列表 　　一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。 　　2.扩展IP访问控制列表 　　扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。 　　3.命名的IP访问控制列表 　　所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。 　　4.标准IPX访问控制列表 　　标准IPX访问控制列表的编号范围是800-899，它检查IPX源网络号和目的网络号，同样可以检查源地址和目的地址的节点号部分。 　　5.扩展IPX访问控制列表 扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中以下几个宇段的检查，它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。 　　6.命名的IPX访问控制列表 　　与命名的IP访问控制列表一样，命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表，同样有标准和扩展之分。 　　 Access token 访问令牌What Are Access Tokens? 什么是访问令牌？访问令牌是一个被保护的对象，包含了与用户帐户相关的辨识和特权信息。当用户登陆到一台windows计算机，登陆进程会验证用户的登陆凭据。成功后，登陆进程返回一个对应用户的SID和一个用户的安全组SID列表。计算机LSA使用这些信息创建一个访问令牌（主访问令牌）。该访问令牌包括了由登录进程返回的SIDs和一份由本地安全策略分发给用户以及用户安全组的特权列表。此后，这份访问令牌的拷贝会跟每个代表用户执行的线程和进程链接。有2种访问令牌，主要令牌和代表令牌。每个进程有一个主要令牌，其描述了与该进程相关的用户帐户的安全上下文。主要访问令牌主要是分配给一个进程去表示改进程的默认安全信息。代表令牌通常用于C/S的情景。代表令牌使得一个线程可以执行在与其所在进程不同的安全上下文中。 访问令牌包含帐户和组SID以及帐户的特权。 用户权利和访问对象（赋予给这些帐户和组的ad对象，文件，注册表设置）的许可：Security principals，SIDs，Security descriptors and access control lists (ACLs). User rights and permissions Relationship of Access Tokens to Other Authorization and Access Control Components 大家注意到这里访问令牌包含有用户sid，其所在组的sid。 更详细的访问令牌组件列表实例： ? User? 列出用户SIDGroups 这里只会列出用户所在组的sid列表！ Privileges A list of privileges held on the local computer by the user and by the user’s security groups. Default Owner The SID for the user or security group who, by default, becomes the owner of any object that the user either creates or takes ownership of. Primary Group The SID for the user’s primary security group. This information is used only by the