一、验证方法选择
本文对验证(authentication)和授权(authorization)这两个概念作不同的解释。验证是指检验用户的身份标识;授权是指 允许用户做些什么。在本文的讨论中,验证过程在用户登录SQL Server的时候出现,授权过程在用户试图访问数据或执行命令的时候出现。
构造安全策略的第一个步骤是确定SQL Server用哪种方式验证用户。SQL Server的验证是把一组帐户、密码与Master数据库Sysxlogins表中的一个清单进行匹配。Windows NT/2000的验证是请求域控制器检查用户身份的合法性。一般地,如果服务器可以访问域控制器,我们应该使用Windows NT/2000验证。域控制器可以是Win2K服务器,也可以是NT服务器。无论在哪种情况下,SQL Server都接收到一个访问标记(Access Token)。访问标记是在验证过程中构造出来的一个特殊列表,其中包含了用户的SID(安全标识号)以及一系列用户所在组的SID。正如本文后面所介绍 的,SQL Server以这些SID为基础授予访问权限。注意, *** 作系统如何构造访问标记并不重要,SQL Server只使用访问标记中的SID。也就是说,不论你使用SQL Server 2000、SQL Server 70、Win2K还是NT进行验证都无关紧要,结果都一样。
如果使用SQL Server验证的登录,它最大的好处是很容易通过Enterprise Manager实现,最大的缺点在于SQL Server验证的登录只对特定的服务器有效,也就是说,在一个多服务器的环境中管理比较困难。使用SQL Server进行验证的第二个重要的缺点是,对于每一个数据库,我们必须分别地为它管理权限。如果某个用户对两个数据库有相同的权限要求,我们必须手工设 置两个数据库的权限,或者编写脚本设置权限。如果用户数量较少,比如25个以下,而且这些用户的权限变化不是很频繁,SQL Server验证的登录或许适用。但是,在几乎所有的其他情况下(有一些例外情况,例如直接管理安全问题的应用),这种登录方式的管理负担将超过它的优 点。
二、Web环境中的验证
即使最好的安全策略也常常在一种情形前屈服,这种情形就是在Web应用中使用SQL Server的数据。在这种情形下,进行验证的典型方法是把一组SQL Server登录名称和密码嵌入到Web服务器上运行的程序,比如ASP页面或者CGI脚本;然后,由Web服务器负责验证用户,应用程序则使用它自己的 登录帐户(或者是系统管理员sa帐户,或者为了方便起见,使用Sysadmin服务器角色中的登录帐户)为用户访问数据。
这种安排有几个缺点,其中最重要的包括:它不具备对用户在服务器上的活动进行审核的能力,完全依赖于Web应用程序实现用户验证,当SQL Server需要限定用户权限时不同的用户之间不易区别。如果你使用的是IIS 50或者IIS 40,你可以用四种方法验证用户。第一种方法是为每一个网站和每一个虚拟目录创建一个匿名用户的NT帐户。此后,所有应用程序登录SQL Server时都使用该安全环境。我们可以通过授予NT匿名帐户合适的权限,改进审核和验证功能。
第二种方法是让所有网站使用Basic验证。此时,只有当用户在对话框中输入了合法的帐户和密码,IIS才会允许他们访问页面。IIS依靠一个NT 安全数据库实现登录身份验证,NT安全数据库既可以在本地服务器上,也可以在域控制器上。当用户运行一个访问SQL Server数据库的程序或者脚本时,IIS把用户为了浏览页面而提供的身份信息发送给服务器。如果你使用这种方法,应该记住:在通常情况下,浏览器与服 务器之间的密码传送一般是不加密的,对于那些使用Basic验证而安全又很重要的网站,你必须实现SSL(Secure Sockets Layer,安全套接字层)。
在客户端只使用IE 50、IE 40、IE 30浏览器的情况下,你可以使用第三种验证方法。你可以在Web网站上和虚拟目录上都启用NT验证。IE会把用户登录计算机的身份信息发送给IIS,当 该用户试图登录SQL Server时IIS就使用这些登录信息。使用这种简化的方法时,我们可以在一个远程网站的域上对用户身份进行验证(该远程网站登录到一个与运行着Web 服务器的域有着信任关系的域)。
最后,如果用户都有个人数字证书,你可以把那些证书映射到本地域的NT帐户上。个人数字证书与服务器数字证书以同样的技术为基础,它证明用户身份标 识的合法性,所以可以取代NT的Challenge/Response(质询/回应)验证算法。Netscape和IE都自动在每一个页面请求中把证书信 息发送给IIS。IIS提供了一个让管理员把证书映射到NT帐户的工具。因此,我们可以用数字证书取代通常的提供帐户名字和密码的登录过程。
由此可见,通过NT帐户验证用户时我们可以使用多种实现方法。即使当用户通过IIS跨越Internet连接SQL Server时,选择仍旧存在。因此,你应该把NT验证作为首选的用户身份验证办法。
三、设置全局组
构造安全策略的下一个步骤是确定用户应该属于什么组。通常,每一个组织或应用程序的用户都可以按照他们对数据的特定访问要求分成许多类别。例如,会 计应用软件的用户一般包括:数据输入 *** 作员,数据输入管理员,报表编写员,会计师,审计员,财务经理等。每一组用户都有不同的数据库访问要求。对于这个问题,我需要提醒一下,FTP和NPAP都是网络协议,FTP是文件传输协议,NPAP是NetWare打印协议。如果您要在FTP中查看NPAP,则并不可行,因为FTP和NPAP之间并没有直接的联系。
如果您想查看NPAP协议,可以在控制台中打开网络打印机,然后将打印机添加到您的计算机上。在添加打印机时,您可以选择使用NPAP协议连接打印机。如果您使用的是Windows *** 作系统,则可以通过以下步骤使用NPAP协议连接打印机:
1打开“控制面板”,点击“设备和打印机”。
2点击“添加打印机”。
3选择“添加网络、蓝牙或无线打印机”。
4选择“使用网络地址”。
5在“网络地址”中输入打印机的IP地址或主机名。
6根据需要选择要安装的驱动程序。
7在“打印机名称”中输入您想要的名称,然后点击“下一步”。
8完成设置后,您就可以使用NPAP协议连接打印机了。
需要注意的是,NPAP协议已经逐渐被SMB协议所取代,SMB协议是Windows系统中用于文件和打印共享的协议。如果您想要在网络中进行文件和打印机的共享,建议使用SMB协议。
IP作为互联网的重要的桥梁,是为计算机网络相互连接进行通信而设计的协议,正是因为有了IP协议,因特网才得以迅速发展成为世界上最大的、开放的计算机通信网络。很多人对IPv4与IPv6有什么区别不是很了解,接下来详细为大家介绍IPv4与IPv6的区别是什么。
IPV4和IPV6的区别一、扩展了路由和寻址的能力
IPv6把IP地址由32位增加到128位,从而能够支持更大的地址空间,估计在地球表面每平米有410^18个IPv6地址,使IP地址在可预见的将来不会用完。
IPv6地址的编码采用类似于CIDR的分层分级结构,如同电话号码。简化了路由,加快了路由速度。在多点传播地址中增加了一个“范围”域,从而使多点传播不仅仅局限在子网内,可以横跨不同的子网,不同的局域网。
二、报头格式的简化
IPv 4报头格式中一些冗余的域或被丢弃或被列为扩展报头,从而降低了包处理和报头带宽的开销。虽然IPv6的地址是IPv4地址的4倍。但报头只有它的2倍大。
三、对可选项更大的支持
IPv6的可选项不放入报头,而是放在一个个独立的扩展头部。如果不指定路由器不会打开处理扩展头部这大大改变了路由性能。IPv6放宽了对可选项长度的严格要求(IPv4的可选项总长最多为40字节),并可根据需要随时引入新选项。IPV6的很多新的特点就是由选项来提供的,如对IP层安全(IPSEC)的支持,对巨报(jumbogram)的支持以及对IP层漫游(Mobile-IP)的支持等。
四、QoS的功能
因特网不仅可以提供各种信息,缩短人们的距离还可以进行网上娱乐。网上VOD现正被商家炒得热火朝天,而大多还只是准VOD的水平,且只能在局域网上实现,因特网上的VOD都很不理想问题在于IPv4的报头虽然有服务类型的字段,实际上现在的路由器实现中都忽略了这一字段。
在IPv6的头部,有两个相应的优先权和流标识字段,允许把数据报指定为某一信息流的组成部分,并可对这些数据报进行流量控制。如对于实时通信即使所有分组都丢失也要保持恒速,所以优先权最高,而一个新闻分组延迟几秒钟也没什么感觉,所以其优先权较低。IPv6指定这两字段是每一IPv6节点都必须实现的。
五、身份验证和保密
在IPv6中加入了关于身份验证、数据一致性和保密性的内容。
六、安全机制IPSec是必选的
IPv4的是可选的或者是需要付费支持的。
七、加强了对移动设备的支持
IPv6在设计之初有有着支持移动设备的思想,允许移动终端在切换接入点时保留相同的IP地址。
八、支持无状态自动地址配置
IPv6无需DNS服务器也可完成地址的配置,路由广播地址前缀,各主机根据自己MAC地址和收到的地址前缀生成可聚合全球单播地址。这也方便了某一区域内的主机同时更换IP地址前缀。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)