网络访问控制是一种通过限制符合组织安全策略的终结点设备的网络资源可用性来增强私有组织网络安全性的方法。典型的网络访问控制方案包含两个主要组件，例如受限访问和网络边界保护。

通过用户身份验证和授权控制来实现对网络设备的受限访问，该用户身份验证和授权控制负责识别和认证网络系统中的不同用户。授权是授予或拒绝对受保护资源的特定访问权限的过程。

网络边界保护控制进出网络的逻辑连接。例如，可以部署多个防火墙以防止对网络系统的未经授权的访问。还可以部署入侵检测和防御技术来防御来自Internet的攻击。

在本章中，我们将讨论用于网络访问的用户标识和身份验证的方法，然后讨论各种类型的防火墙和入侵检测系统。

保护对网络设备的访问

限制对网络上设备的访问是确保网络安全的非常重要的一步。由于网络设备包括通信和计算设备，因此，破坏这些通信可能会破坏整个网络及其资源。

矛盾的是，许多组织确保了其服务器和应用程序的出色安全性，但使通信的网络设备具有基本的安全性。

网络设备安全性的重要方面是访问控制和授权。已经开发了许多协议来解决这两个要求并将网络安全性提高到更高水平。

用户认证和授权

用户身份验证对于控制对网络系统(尤其是网络基础结构设备)的访问是必需的。身份验证有两个方面：常规访问身份验证和功能授权。

通用访问身份验证是一种控制特定用户是否具有对其尝试连接的系统的“任何”访问权限的方法。通常，这种访问与在该系统上拥有“帐户”的用户相关联。授权处理单个用户的“权利”。例如，它决定用户一旦通过身份验证后可以做什么?用户可能被授权配置设备或仅查看数据。

用户身份验证取决于一些因素，这些因素包括他知道的东西(密码)，他拥有的东西(密码令牌)或他的东西(生物特征)。使用不止一个因素进行标识和身份验证为多因素身份验证提供了基础。

基于密码的身份验证

至少，所有网络设备都应具有用户名密码身份验证。密码不能太平凡(至少10个字符，混合的字母，数字和符号)。

如果用户进行远程访问，则应使用一种方法来确保用户名和密码不会通过网络以明文形式传递。另外，还应该以合理的频率更改密码。

集中式身份验证方法

基于单个设备的身份验证系统提供了基本的访问控制措施。但是，当网络中有大量设备且大量用户访问这些设备时，集中式身份验证方法被认为更有效。

传统上，集中式身份验证用于解决远程网络访问中遇到的问题。在远程访问系统(RAS)中，在网络设备上管理用户是不切实际的。将所有用户信息放置在所有设备中，然后使该信息保持最新是管理上的噩梦。

集中式身份验证系统(例如RADIUS和Kerberos)解决了此问题。这些集中式方法允许将用户信息存储和管理在一个地方。这些系统通常可以与其他用户帐户管理方案(例如Microsoft的Active Directory或LDAP目录)无缝集成。大多数RADIUS服务器可以使用常规RADIUS协议与其他网络设备进行通信，然后安全地访问目录中存储的帐户信息。

例如，Microsoft的Internet身份验证服务器(IAS)桥接RADIUS和Active Directory，以为设备用户提供集中式身份验证。它还可以确保用户帐户信息与Microsoft域帐户统一。上图显示了一个Windows域控制器，它同时充当Active Directory服务器和RADIUS服务器，用于网络元素向Active Directory域进行身份验证。

访问控制列表

许多网络设备都可以配置访问列表。这些列表定义了被授权访问设备的主机名或IP地址。例如，除了网络管理员外，通常限制从IP访问网络设备。

这样可以防止任何未经授权的访问。这些类型的访问列表是重要的最后防御措施，并且在某些针对不同访问协议具有不同规则的设备上可能会非常强大。