訪問控制策略是網絡安全防范和保護的主要策略，其任務是保證網絡資源不被非法使用和非法訪問。各種網絡安全策略必須相互配合才能真正起到保護作用，而訪問控制是保證網絡安全最重要的核心策略之一。訪問控制策略包括入網訪問控制策略、操作權限控制策略、目錄安全控制策略、屬性安全控制策略、網絡服務器安全控制策略、網絡監測、鎖定控制策略和防火墻控制策略等7個方面的內容。

1.入網訪問控制策略

入網訪問控制是網絡訪問的第1層安全機制。它控制哪些用戶能夠登錄到服務器并獲準使用網絡資源，控制準許用戶入網的時間和位置。用戶的入網訪問控制通常分為三步執行：用戶名的識別與驗證；用戶口令的識別與驗證；用戶賬戶的默認權限檢查。三道控制關卡中只要任何一關未過，該用戶便不能進入網絡。

對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道關卡。用戶登錄時首先輸入用戶名和口令，服務器將驗證所輸入的用戶名是否合法。用戶的口令是用戶入網的關鍵所在?？诹钭詈檬菙底?、字母和其他字符的組合，長度應不少于6個字符，必須經過加密。口令加密的方法很多，最常見的方法有基于單向函數的口令加密、基于測試模式的口令加密、基于公鑰加密方案的口令加密、基于平方剩余的口令加密、基于多項式共享的口令加密、基于數字簽名方案的口令加密等。經過各種方法加密的口令，即使是網絡管理員也不能夠得到。系統還可采用一次性用戶口令，或使用如智能卡等便攜式驗證設施來驗證用戶的身份。

網絡管理員應該可對用戶賬戶的使用、用戶訪問網絡的時間和方式進行控制和限制。用戶名或用戶賬戶是所有計算機系統中最基本的安全形式。用戶賬戶應只有網絡管理員才能建立。用戶口令是用戶訪問網絡所必須提交的準入證。用戶應該可以修改自己的口令，網絡管理員對口令的控制功能包括限制口令的最小長度、強制用戶修改口令的時間間隔、口令的惟一性、口令過期失效后允許入網的寬限次數。針對用戶登錄時多次輸入口令不正確的情況，系統應按照非法用戶入侵對待并給出報警信息，同時應該能夠對允許用戶輸入口令的次數給予限制。

用戶名和口令通過驗證之后，系統需要進一步對用戶賬戶的默認權限進行檢查。網絡應能控制用戶登錄入網的位置、限制用戶登錄入網的時間、限制用戶入網的主機數量。當交費網絡的用戶登錄時，如果系統發現“資費”用盡，還應能對用戶的操作進行限制。

2.操作權限控制策略

操作權限控制是針對可能出現的網絡非法操作而采取安全保護措施。用戶和用戶組被賦予一定的操作權限。網絡管理員能夠通過設置，指定用戶和用戶組可以訪問網絡中的哪些服務器和計算機，可以在服務器或計算機上操控哪些程序，訪問哪些目錄、子目錄、文件和其他資源。網絡管理員還應該可以根據訪問權限將用戶分為特殊用戶、普通用戶和審計用戶，可以設定用戶對可以訪問的文件、目錄、設備能夠執行何種操作。特殊用戶是指包括網絡管理員的對網絡、系統和應用軟件服務有特權操作許可的用戶；普通用戶是指那些由網絡管理員根據實際需要為其分配操作權限的用戶；審計用戶負責網絡的安全控制與資源使用情況的審計。系統通常將操作權限控制策略，通過訪問控制表來描述用戶對網絡資源的操作權限。

3.目錄安全控制策略

訪問控制策略應該允許網絡管理員控制用戶對目錄、文件、設備的操作。目錄安全允許用戶在目錄一級的操作對目錄中的所有文件和子目錄都有效。用戶還可進一步自行設置對目錄下的子控制目錄和文件的權限。對目錄和文件的常規操作有：讀取(Read)、寫入(Write)、創建(Create)、刪除(Delete)、修改(Modify)等。網絡管理員應當為用戶設置適當的操作權限，操作權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對網絡資源的訪問。

4.屬性安全控制策略

訪問控制策略還應該允許網絡管理員在系統一級對文件、目錄等指定訪問屬性。屬性安全控制策略允許將設定的訪問屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全策略在操作權限安全策略的基礎上，提供更進一步的網絡安全保障。網絡上的資源都應預先標出一組安全屬性，用戶對網絡資源的操作權限對應一張訪問控制表，屬性安全控制級別高于用戶操作權限設置級別。屬性設置經?？刂频臋嘞薨ǎ合蛭募蚰夸泴懭搿⑽募椭?、目錄或文件刪除、查看目錄或文件、執行文件、隱含文件、共享文件或目錄等。允許網絡管理員在系統一級控制文件或目錄等的訪問屬性，可以保護網絡系統中重要的目錄和文件，維持系統對普通用戶的控制權，防止用戶對目錄和文件的誤刪除等操作。

5.網絡服務器安全控制策略

網絡系統允許在服務器控制臺上執行一系列操作。用戶通過控制臺可以加載和卸載系統模塊，可以安裝和刪除軟件。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改系統、刪除重要信息或破壞數據。系統應該提供服務器登錄限制、非法訪問者檢測等功能。

6.網絡監測和鎖定控制策略

網絡管理員應能夠對網絡實施監控。網絡服務器應對用戶訪問網絡資源的情況進行記錄。對于非法的網絡訪問，服務器應以圖形、文字或聲音等形式報警，引起網絡管理員的注意。對于不法分子試圖進入網絡的活動，網絡服務器應能夠自動記錄這種活動的次數，當次數達到設定數值，該用戶賬戶將被自動鎖定。

7.防火墻控制策略

防火墻是一種保護計算機網絡安全的技術性措施，是用來阻止網絡黑客進入企業內部網的屏障。防火墻分為專門設備構成的硬件防火墻和運行在服務器或計算機上的軟件防火墻。無論哪一種，防火墻通常都安置在網絡邊界上，通過網絡通信監控系統隔離內部網絡和外部網絡，以阻檔來自外部網絡的入侵。