計(jì)算機(jī)網(wǎng)絡(luò)的訪問控制技術(shù)

　　訪問控制允許對限定資源的授權(quán)訪問。它也可以保護(hù)資源，防止那些無權(quán)訪問資源的用戶的惡意訪問或偶然訪問。
　　VPN中，的訪問控制指出VPN用戶是否可以訪問被保護(hù)的網(wǎng)絡(luò)資源。沒有訪問控制的VPN只能保護(hù)加密后進(jìn)行傳輸?shù)臄?shù)據(jù)，而不能保護(hù)網(wǎng)路資源。嚴(yán)格的訪問控制可以保護(hù)網(wǎng)絡(luò)資源不被非法地使用，同時(shí)還可以允許被授權(quán)的用戶的訪問。
　　并不是直接把訪問控制機(jī)制安裝在網(wǎng)絡(luò)資源自身上的，VP N設(shè)計(jì)者通常通過把訪問控制機(jī)制放置在一個(gè)或更多的網(wǎng)關(guān)上來實(shí)現(xiàn)VP N中的訪問控制。在為用戶和資源創(chuàng)建安全隧道之前要與訪問控制策略進(jìn)行協(xié)商。很多時(shí)候，創(chuàng)建完隧道后，仍要不斷地詢問訪問控制策略，并把策略應(yīng)用于隧道中的每一個(gè)報(bào)文。防火墻訪問控制策略是自包含的，這樣就可以保證防火墻的操作不會(huì)依賴于其他任何防火墻。相反，VP N網(wǎng)關(guān)的操作是不能孤立于其他VPN設(shè)備的。VPN網(wǎng)關(guān)要么和另一個(gè)VPN網(wǎng)關(guān)，要么和相應(yīng)的VPN客戶協(xié)同工作，才能完成可靠的通信?？梢砸苑植蓟蚣械姆绞焦芾鞻P N的訪問控制策略。
　　由于網(wǎng)關(guān)A的這條出站規(guī)則和網(wǎng)關(guān)B的那條人站規(guī)則完全一樣，所以看上去有點(diǎn)多余。然而，如果沒有這條出站規(guī)則，網(wǎng)關(guān)A將不知道如何處理從l0.0.0.0/24發(fā)往192.168.1.0724的報(bào)文。此外，出站規(guī)則還可以在報(bào)文進(jìn)入隧道之前就拒絕一定的傳輸一即那些無論如何也不能穿過網(wǎng)關(guān)B的傳輸。這樣就可以節(jié)省帶寬，更重要的是，可以省去兩個(gè)網(wǎng)關(guān)中的’加密一解密處理過程。
　　VPN中的訪問控制被應(yīng)用于正在經(jīng)過VPN隧道的IP傳輸。訪問控制的參數(shù)除了上述的報(bào)文的IP外，報(bào)文高層協(xié)議頭中的所有值都被作為訪問控制的參數(shù)。這些值包括：源IP地址和目的IP地址、源端口和目的端口、協(xié)議號以及其他任何可以訪問的頭信息。
　　由于VPN網(wǎng)絡(luò)應(yīng)用環(huán)境的多樣性和廣泛性，必須采用具有策略無關(guān)性、能夠根據(jù)不同控制需求構(gòu)造強(qiáng)制訪問控制和自主訪問控制。基于網(wǎng)絡(luò)安全拓?fù)涞难芯?，一個(gè)高安全性的VPN網(wǎng)絡(luò)環(huán)境必須由用戶終端、防火墻、IDS.VPN網(wǎng)關(guān)和內(nèi)部的應(yīng)用服務(wù)協(xié)同工作，構(gòu)成多層的安全防護(hù)。