以下内容摘自信息安全工程师教程

Web服务器一般提供了如下三种类型的访问控制方法。
（1）通过 IP地址、子网或域名来进行控制
只有当浏览器的连接请求是从某个 IP地址、IP子网或域来的时候，才允许用户访问被保护的某个文档，甚至整个目录。从其他的未被允许的 IP地址、IP子网域发来的请求将被拒绝。
IP地址限制对普通的情况是安全的，但存在隐患。攻击者可以通过伪造 IP地址的方法来逃避访问控制。另外，也不能保证从已授权的地址的主机上向用户的 Web服务器请求连接的用户就是预期的用户。远程主机也可能已被攻破，而被用来作为前端。为了安全性考虑，IP地址限制必须与用户身份检查机制结合起来，例如，检查用户名/口令。通过主机名/域名来限制访问的机制与 IP地址限制方法存在着同样的问题，但这种方法还额外地存在着“DNS欺骗”的危险——用户的服务器被欺骗而认为一个信任主机名属于另一个 IP地址。为了减少这种危险，一些服务器可以配置成为每个客户完成额外的 DNS解析。当把到来的请求的 IP地址转换成主机名之后，该服务器使用 DNS来把主机名再次解析成 IP地址，从而禁止该访问请求。如果服务器运行在防火墙后面，该防火墙有防止和发现 IP地址欺骗的功能，那么 IP地址限制的方法会更安全。
（2）通过用户名/口令来进行访问控制
用户访问认证机制通常使用用户名/口令验证方式。只有当远程用户知道用户名和对应的口令的时候，才能被访问。这种使用用户名/口令来限制访问的方法也存在着问题。口令只有当选择很难猜到的口令时才有效。很多情况下，用户习惯于选择容易被猜到的口令，例如，用户的名字、生日、办公室电话号码或他们的宠物等等。这些口令很容易就会被猜到。而且， WWW服务与 UNIX的登录不同，不能控制连接不成功的昀大次数，这就更为网络黑客猜取口令提供了可能和方便。通过一个口令猜取程序，总有一天，会猜出对应的口令来。
（3）通过公钥加密体系 PKI－智能认证卡来进行访问控制
在操作系统中，可以将智能卡认证和公钥技术结合一起，以提供更强的网络认证手段或作为使用密码的一种替代方式。它们使得身份标识信息（例如证书）可以被携带，并可以防止被篡改，以及对私钥进行隔离保护。智能卡本身可以认为是一个具有存储和处理功能的计算机。将智能卡插入到智能卡阅读器可以使得它能够和某个在计算机上所运行的程序之间进行通信，数据通信的接口一般是 USB、RS232或 PCMCIA接口。

对于 Windows系统的交互式登录，涉及到 Active Directory Kerberos协议和公钥证书。一个使用智能卡交互式登录以某个用户将它的智能卡插入到一个智能卡阅读器中开始，智能卡向 Windows 2000发信号，提示用户输入自己的个人标识号（ PIN．Personal Identification Number），而不是通常的用户名，登录域名和密码。将智能卡插入智能阅读器相当在 Windows中启动一个基于密码的登录过程。用户所提供的 PIN只能向智能卡，而不是向域本身进行认证。在智能卡中保存的公钥证书用于向使用了 Kerberos协议和相关 Pkinit扩展域进行认证，Kerberos协议的 Pkinit扩展允许用户使用一个公钥证书而不是密码来进行认证。在用户输入他的 PIN之后，Windows操作系统可以根据用户所提供的两个标识信息——他的智能卡和 PIN来确定该用户是否能够通过认证。

2016版信息安全工程师教程和考试大纲