訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。
入網(wǎng)訪問控制
入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。 用戶的入網(wǎng)訪問控制可分為三個(gè)步驟：用戶名的識別與驗(yàn)證、用戶口令的識別與驗(yàn)證、用戶賬號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。 對網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問的第一道防線。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應(yīng)不少于6個(gè)字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過加密。用戶還可采用一次性用戶口令，也可用便攜式驗(yàn)證器（如智能卡）來驗(yàn)證用戶的身份。 網(wǎng)絡(luò)管理員可以控制和限制普通用戶的賬號使用、訪問網(wǎng)絡(luò)的時(shí)間和方式。用戶賬號應(yīng)只有系統(tǒng)管理員才能建立。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的“證件”、用戶可以修改自己的口令，但系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個(gè)方面的限制：最小口令長度、強(qiáng)制修改口令的時(shí)間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。 用戶名和口令驗(yàn)證有效之后，再進(jìn)一步履行用戶賬號的缺省限制檢查。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點(diǎn)、限制用戶入網(wǎng)的時(shí)間、限制用戶入網(wǎng)的工作站數(shù)量。當(dāng)用戶對交費(fèi)網(wǎng)絡(luò)的訪問“資費(fèi)”用盡時(shí)，網(wǎng)絡(luò)還應(yīng)能對用戶的賬號加以限制，用戶此時(shí)應(yīng)無法進(jìn)入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對所有用戶的訪問進(jìn)行審計(jì)。如果多次輸入口令不正確，則認(rèn)為是非法用戶的入侵，應(yīng)給出報(bào)警信息。
權(quán)限控制
網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽（IRM）可作為兩種實(shí)現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個(gè)過濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用訪問控制表來描述。
目錄級安全控制
網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進(jìn)一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、訪問控制權(quán)限。用戶對文件或目標(biāo)的有效權(quán)限取決于以下兩個(gè)因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個(gè)網(wǎng)絡(luò)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時(shí)又能有效地控制用戶對服務(wù)器資源的訪問 ，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。
屬性安全控制
當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張?jiān)L問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。
服務(wù)器安全控制
網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時(shí)間限制、非法訪問者檢測和關(guān)閉的時(shí)間間隔。