第五章+系统安全-访问控制与防火墙(2015).pptVIP

* * * * * * * * * * * * * * * * * Stateful Inspection has the following characteristics: Performance Negligible processing overhead No context switching for low latency operation Application Support Large number of applications supported “out of box” Small Memory and CPU “Footprint” Switches Cable modems Cell phones Kernel Level Inspection Protects operating system All inbound outbound packets on all interfaces are inspected Full Application Layer Awareness Dynamic state tables store connection context Outgoing connection inspected and return connection anticipated All seven protocol layers inspected * * * * * * * * * * * * * * * * 本地安全授权部分提供了许多服务程序，保障用户获得存取系统的许可权。它产生令牌、执行本地安全管理、提供交互式登录认证服务、控制安全审查策略和由SRM产生的审查记录信息。 ---- 安全账户管理部分保存SAM数据库，该数据库包含所有组和用户的信息。SAM提供用户登录认证，负责对用户在Welcome对话框中输入的信息与SAM数据库中的信息比对，并为用户赋予一个安全标识符（SID）。根据网络配置的不同，SAM数据库可能存在于一个或多个Windows NT系统中。 ---- 安全参考监视器负责访问控制和审查策略，由LSA支持。SRM提供客体（文件、目录等）的存取权限，检查主体（用户账户等）的权限，产生必要的审查信息。客体的安全属性由安全控制项（ACE）来描述，全部客体的ACE组成访问控制表（ACL）。没有ACL的客体意味着任何主题都可访问。而有ACL的客体则由SRM检查其中的每一项ACE，从而决定主体的访问是否被允许。 * 安全标识符（ Security Identifiers ） : ???? 也就是我们经常说的 SID ，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一 SID ，当你重新安装 Windows NT 后，也会得到一个唯一的 SID 。 ????SID 永远都是唯一的，由计算机名、当前时间、当前用户态线程的 CPU 耗费时间的总和三个参数决定以保证它的唯一性。 例： S-1-5-21-1763234323-3212657521-1234321321-500 访问令牌（ Access tokens ） : 用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给 Windows NT ，然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象， Windows NT 将会分配给用户适当的访问权限。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。 ???????? 安全描述符（ Security descriptors ）： Windows NT 中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。 访问控制列表（ Access control lists ）： 访问控制列表有两种：自主访问控制列表（ Discretionary ACL ）、系统访问控制列表（ System ACL ）。自主访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。 访问控制项（ Access control entries ） : 访问控制项（ ACE ）包含了用户或组的 SID 以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。 * * * * * * * * * * * * * * * * * * * * * TCP客户的处理过程 对UDP ASSOCIATE请求的应答。 UDP ASSOCIATE