按用戶身份及其所歸屬的某項(xiàng)定義組來限制用戶對(duì)某些信息項(xiàng)的訪問，或限制對(duì)某些控制功能的使用的一種技術(shù)。訪問控制通常用于系統(tǒng)管理員控制用戶對(duì)服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。訪問控制是幾乎所有系統(tǒng)（包括計(jì)算機(jī)系統(tǒng)和非計(jì)算機(jī)系統(tǒng)）都需要用到的一種技術(shù)。

訪問控制的功能：
防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源。
允許合法用戶訪問受保護(hù)的網(wǎng)絡(luò)資源。
防止合法的用戶對(duì)受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。

訪問控制實(shí)現(xiàn)的策略
綜合訪問控制策略（HAC）繼承和吸取了多種主流訪問控制技術(shù)的優(yōu)點(diǎn)，有效地解決了信息安全領(lǐng)域的訪問控制問題，保護(hù)了數(shù)據(jù)的保密性和完整性，保證授權(quán)主體能訪問客體和拒絕非授權(quán)訪問。HAC具有良好的靈活性、可維護(hù)性、可管理性、更細(xì)粒度的訪問控制性和更高的安全性，為信息系統(tǒng)設(shè)計(jì)人員和開發(fā)人員提供了訪問控制安全功能的解決方案。綜合訪問控制策略主要包括：

入網(wǎng)訪問控制
入網(wǎng)訪問控制是網(wǎng)絡(luò)訪問的第一層訪問控制。對(duì)用戶可規(guī)定所能登入到的服務(wù)器及獲取的網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和登入入網(wǎng)的工作站點(diǎn)。用戶的入網(wǎng)訪問控制分為用戶名和口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的默認(rèn)限制檢查。該用戶若有任何一個(gè)環(huán)節(jié)檢查未通過，就無法登入網(wǎng)絡(luò)進(jìn)行訪問。
網(wǎng)絡(luò)的權(quán)限控制
網(wǎng)絡(luò)的權(quán)限控制是防止網(wǎng)絡(luò)非法操作而采取的一種安全保護(hù)措施。用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限通常用一個(gè)訪問控制列表來描述。
從用戶的角度，網(wǎng)絡(luò)的權(quán)限控制可分為以下3類用戶：
特殊用戶。具有系統(tǒng)管理權(quán)限的系統(tǒng)管理員等。
一般用戶。系統(tǒng)管理員根據(jù)實(shí)際需要而分配到一定操作權(quán)限的用戶。
審計(jì)用戶。專門負(fù)責(zé)審計(jì)網(wǎng)絡(luò)的安全控制與資源使用情況的人員。

一般架設(shè)無線網(wǎng)絡(luò)的基本配備就是無線網(wǎng)卡及AP，如此便能以無線的模式，配合既有的有線架構(gòu)來分享網(wǎng)絡(luò)資源，架設(shè)費(fèi)用和復(fù)雜程度遠(yuǎn)遠(yuǎn)低于傳統(tǒng)的有線網(wǎng)絡(luò)。如果只是幾臺(tái)電腦的對(duì)等網(wǎng)，也可不要AP，只需要每臺(tái)電腦配備無線網(wǎng)卡。AP為Access Point簡(jiǎn)稱，一般翻譯為“無線訪問接入點(diǎn)”，或“橋接器”。它主要在媒體存取控制層MAC中扮演無線工作站及有線局域網(wǎng)絡(luò)的橋梁。有了AP，就像一般有線網(wǎng)絡(luò)的Hub一般，無線工作站可以快速且輕易地與網(wǎng)絡(luò)相連。特別是對(duì)于寬帶的使用，Wi-Fi更顯優(yōu)勢(shì)，有線寬帶網(wǎng)絡(luò)(ADSL、小區(qū)LAN等）到戶后，連接到一個(gè)AP，然后在電腦中安裝一塊無線網(wǎng)卡即可。普通的家庭有一個(gè)AP已經(jīng)足夠，甚至用戶的鄰里得到授權(quán)后，則無需增加端口，也能以共享的方式上網(wǎng)。
我們主要針對(duì)企業(yè)用戶的辦公環(huán)境設(shè)計(jì)實(shí)施WIFI覆蓋解決方案，在這方面的經(jīng)驗(yàn)豐富。

目錄級(jí)安全控制
目錄級(jí)安全控制主要是為了控制用戶對(duì)目錄、文件和設(shè)備的訪問，或指定對(duì)目錄下的子目錄和文件的使用權(quán)限。用戶在目錄一級(jí)制定的權(quán)限對(duì)所有目錄下的文件仍然有效，還可進(jìn)一步指定子目錄的權(quán)限。在網(wǎng)絡(luò)和操作系統(tǒng)中，常見的目錄和文件訪問權(quán)限有：系統(tǒng)管理員權(quán)限（Supervisor）、讀權(quán)限（Read）、寫權(quán)限（Write）、創(chuàng)建權(quán)限（Create）、刪除權(quán)限（Erase）、修改權(quán)限（Modify）、文件查找權(quán)限（File Scan）、控制權(quán)限（Access Control）等。一個(gè)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)為用戶分配適當(dāng)?shù)脑L問權(quán)限，以控制用戶對(duì)服務(wù)器資源的訪問，進(jìn)一步強(qiáng)化網(wǎng)絡(luò)和服務(wù)器的安全。

屬性安全控制
屬性安全控制可將特定的屬性與網(wǎng)絡(luò)服務(wù)器的文件及目錄網(wǎng)絡(luò)設(shè)備相關(guān)聯(lián)。在權(quán)限安全的基礎(chǔ)上，對(duì)屬性安全提供更進(jìn)一步的安全控制。網(wǎng)絡(luò)上的資源都應(yīng)先標(biāo)示其安全屬性，將用戶對(duì)應(yīng)網(wǎng)絡(luò)資源的訪問權(quán)限存入訪問控制列表中，記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問能力，以便進(jìn)行訪問控制。
屬性配置的權(quán)限包括：向某個(gè)文件寫數(shù)據(jù)、復(fù)制一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。安全屬性可以保護(hù)重要的目錄和文件，防止用戶越權(quán)對(duì)目錄和文件的查看、刪除和修改等。

網(wǎng)絡(luò)服務(wù)器安全控制
網(wǎng)絡(luò)服務(wù)器安全控制允許通過服務(wù)器控制臺(tái)執(zhí)行的安全控制操作包括：用戶利用控制臺(tái)裝載和卸載操作模塊、安裝和刪除軟件等。操作網(wǎng)絡(luò)服務(wù)器的安全控制還包括設(shè)置口令鎖定服務(wù)器控制臺(tái)，主要防止非法用戶修改、刪除重要信息。另外，系統(tǒng)管理員還可通過設(shè)定服務(wù)器的登入時(shí)間限制、非法訪問者檢測(cè)，以及關(guān)閉的時(shí)間間隔等措施，對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行多方位地安全控制。

網(wǎng)絡(luò)監(jiān)控和鎖定控制
在網(wǎng)絡(luò)系統(tǒng)中，通常服務(wù)器自動(dòng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問，如有非法的網(wǎng)絡(luò)訪問，服務(wù)器將以圖形、文字或聲音等形式向網(wǎng)絡(luò)管理員報(bào)警，以便引起警覺進(jìn)行審查。對(duì)試圖登入網(wǎng)絡(luò)者，網(wǎng)絡(luò)服務(wù)器將自動(dòng)記錄企圖登入網(wǎng)絡(luò)的次數(shù)，當(dāng)非法訪問的次數(shù)達(dá)到設(shè)定值時(shí)，就會(huì)將該用戶的賬戶自動(dòng)鎖定并進(jìn)行記載。

網(wǎng)絡(luò)端口和結(jié)點(diǎn)的安全控制
網(wǎng)絡(luò)中服務(wù)器的端口常用自動(dòng)回復(fù)器、靜默調(diào)制解調(diào)器等安全設(shè)施進(jìn)行保護(hù)，并以加密的形式來識(shí)別結(jié)點(diǎn)的身份。自動(dòng)回復(fù)器主要用于防范假冒合法用戶，靜默調(diào)制解調(diào)器用于防范黑客利用自動(dòng)撥號(hào)程序進(jìn)行網(wǎng)絡(luò)攻擊。還應(yīng)經(jīng)常對(duì)服務(wù)器端和用戶端進(jìn)行安全控制，如通過驗(yàn)證器檢測(cè)用戶真實(shí)身份，然后，用戶端和服務(wù)器再進(jìn)行相互驗(yàn)證。

AAA技術(shù)概述
在信息化社會(huì)新的網(wǎng)絡(luò)應(yīng)用環(huán)境下，虛擬專用網(wǎng)（VPN）、遠(yuǎn)程撥號(hào)、移動(dòng)辦公室等網(wǎng)絡(luò)移動(dòng)接入應(yīng)用非常廣泛，傳統(tǒng)用戶身份認(rèn)證和訪問控制機(jī)制已經(jīng)無法滿足廣大用戶需求，由此產(chǎn)生了AAA認(rèn)證授權(quán)機(jī)制。
AAA認(rèn)證系統(tǒng)的功能，主要包括以下3個(gè)部分：
（1）認(rèn)證：經(jīng)過對(duì)網(wǎng)絡(luò)用戶身份進(jìn)行識(shí)別后，才允許遠(yuǎn)程登入訪問網(wǎng)絡(luò)資源。
（2）鑒權(quán)：為遠(yuǎn)程訪問控制提供方法，如一次性授權(quán)或給予特定命令或服務(wù)的鑒權(quán)。
（3）審計(jì)：主要用于網(wǎng)絡(luò)計(jì)費(fèi)、審計(jì)和制作報(bào)表。
AAA一般運(yùn)行于網(wǎng)絡(luò)接入服務(wù)器，提供一個(gè)有力的認(rèn)證、鑒權(quán)、審計(jì)信息采集和配置系統(tǒng)。網(wǎng)絡(luò)管理者可根據(jù)需要選用適合需要的具體網(wǎng)絡(luò)協(xié)議及認(rèn)證系統(tǒng)。
遠(yuǎn)程鑒權(quán)撥入用戶服務(wù)
遠(yuǎn)程鑒權(quán)撥入用戶服務(wù)（Remote Authentication Dial In User Service，RADIUS）主要用于管理遠(yuǎn)程用戶的網(wǎng)絡(luò)登入。主要基于C/S架構(gòu)，客戶端最初是NAS（Net Access Server）服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可成為其客戶端。RADIUS協(xié)議認(rèn)證機(jī)制靈活，可采用PAP、CHAP或Unix登入認(rèn)證等多種方式。此協(xié)議規(guī)定了網(wǎng)絡(luò)接入服務(wù)器與RADIUS服務(wù)器之間的消息格式。此服務(wù)器接受用戶的連接請(qǐng)求，根據(jù)其賬戶和密碼完成驗(yàn)證后，將用戶所需的配置信息返回網(wǎng)絡(luò)接入服務(wù)器。該服務(wù)器同時(shí)根據(jù)用戶的動(dòng)作進(jìn)行審計(jì)并記錄其計(jì)費(fèi)信息。

1）RADIUS協(xié)議主要工作過程
（1）遠(yuǎn)程用戶通過PSTN網(wǎng)絡(luò)連接到接入服務(wù)器，并將登入信息發(fā)送到其服務(wù)器；
（2）RADIUS服務(wù)器根據(jù)用戶輸入的賬戶和密碼對(duì)用戶進(jìn)行身份認(rèn)證，并判斷是否允許用戶接入。請(qǐng)求批準(zhǔn)后，其服務(wù)器還要對(duì)用戶進(jìn)行相應(yīng)的鑒權(quán)；
（3）鑒權(quán)完成后，服務(wù)器將響應(yīng)信息傳遞給網(wǎng)絡(luò)接入服務(wù)器和計(jì)費(fèi)服務(wù)器，網(wǎng)絡(luò)接入服務(wù)器根據(jù)當(dāng)前配置來決定針對(duì)用戶的相應(yīng)策略。
RADIUS協(xié)議的認(rèn)證端口號(hào)為1812或1645，計(jì)費(fèi)端口號(hào)為1813或1646。RADIUS通過統(tǒng)一的用戶數(shù)據(jù)庫(kù)存儲(chǔ)用戶信息進(jìn)行驗(yàn)證與授權(quán)工作。
2）RADIUS的加密方法
對(duì)于重要的數(shù)據(jù)包和用戶口令，RADIUS協(xié)議可使用MD5算法對(duì)其進(jìn)行加密，在其客戶端（NAS）和服務(wù)器端（RADIUS Server）分別存儲(chǔ)一個(gè)密鑰，利用此密鑰對(duì)數(shù)據(jù)進(jìn)行算法加密處理，密鑰不宜在網(wǎng)絡(luò)上傳送。
3）RADIUS的重傳機(jī)制
RADIUS協(xié)議規(guī)定了重傳機(jī)制。如果NAS向某個(gè)RADIUS服務(wù)器提交請(qǐng)求沒有收到返回信息，則可要求備份服務(wù)器重傳。由于有多個(gè)備份服務(wù)器，因此NAS進(jìn)行重傳時(shí)，可采用輪詢方法。如果備份服務(wù)器的密鑰與以前密鑰不同，則需重新進(jìn)行認(rèn)證。

終端訪問控制系統(tǒng)
終端訪問控制（Terminal Access Controller Access Control System，TACACS）的功能是通過一個(gè)或幾個(gè)中心服務(wù)器為網(wǎng)絡(luò)設(shè)備提供訪問控制服務(wù)。與上述RADIUS區(qū)別是，TACACS是Cisco專用的協(xié)議，具有獨(dú)立的身份認(rèn)證、鑒權(quán)和審計(jì)等功能。

綜上，IT33可以根據(jù)用戶的實(shí)際需求定制高、中、低不同級(jí)別的訪問控制解決方案，供用戶選擇，如果您有任何需求和想法請(qǐng)致電IT33。