访问控制

访问控制制约用户连接特定网络、计算机或应用程序或特定类型数据流量的能力。访问控制系统的技术和技术实现模式一般如下:

域防御模式 静态过滤控制 IP会话状态检测的动态防火墙技术

布式防火墙模式 软件防火墙 内嵌式防火墙和集中管理模式

访问控制系统一般针对网络资源进行安全控制区域划分，实施区域防御的策略。在区域的物理边界或逻辑边界实施使用一个许可或拒绝访问的集中控制点。比如:

在局域网络内部利用智能化以太网络交换设备所提供的虚拟网络、ACL访问控制列表、多层过滤等功能或广域网络的路由设备。然而这些技术本质上都是基于MAC地址或IP地址、端口号列表的静态过滤控制，对于安全要求更高的用户需要采用基于IP会话状态检测的动态防火墙技术。放火墙一般位于企业网络的边缘控制点，比如: 连接Internet。甚至还可以部署在企业网络内部的安全区域控制点上。

然而，安全区域防御的弱点是不能抵御来自区域内部的"合法"用户的攻击，如: 恶意或无意的内部用户，没有防火墙和安全保护较弱的远程移动工作者或SOHO被身份窃取等，以及安全区域存在的后门漏洞 (无线网络、远程访问) 等情况。为进一步提高网络的安全控制，分布式防火墙模式应运而生，一般在主机或工作站点安装软件防火墙，实施对资源点的保护。然而软件分布式防火墙是基于操作系统之上的，如果操作系统本身存在安全漏洞或因为用户的使用管理问题使该防火墙被关闭，将造成严重的安全隐患。

这也就是为什么企业在实施分布式防火墙模式时，需要采用内嵌式防火墙的原因。内嵌式防火墙基于网络接口卡，独立于计算机操作系统，并且采用集中管理方式，能够构成真正可靠的端到端的网络安全访问控制。