信息的網(wǎng)絡(luò)化使得工作人員在網(wǎng)絡(luò)上查找、使用與維護各種信息，提高了日常辦公效率。同時，也對信息安全帶來了日益嚴重的挑戰(zhàn)。由于業(yè)務(wù)的需求，一方面人們希望網(wǎng)絡(luò)能夠四通八達，自己的終端能夠訪問到自己所關(guān)心的所有資源；另一方面，人們要求網(wǎng)絡(luò)能夠?qū)Σ煌瑏碓磁c角色的網(wǎng)絡(luò)進行訪問控制，以保護自己的資源不受非法訪問與篡改。伴隨著網(wǎng)絡(luò)的深入發(fā)展，網(wǎng)絡(luò)互通性和安全性這一對矛盾日益成為網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)技術(shù)人員關(guān)注的焦點。

為了同時保證網(wǎng)絡(luò)的互通性和信息的安全性，網(wǎng)絡(luò)技術(shù)在各個不同的層面上產(chǎn)生了許多的網(wǎng)絡(luò)安全措施和技術(shù)。本文在簡要分析這些技術(shù)的優(yōu)劣勢的基礎(chǔ)上，提出了基于PACS的解決方案。

一　網(wǎng)絡(luò)訪問控制技術(shù)的現(xiàn)狀

1)MAC地址過濾技術(shù)

MAC地址（物理地址）用于直接標識某個網(wǎng)絡(luò)設(shè)備，是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)。目前大多數(shù)的二層交換機都支持基于物理端口配置MAC地址過濾表，用于限定只有與MAC地址過濾表中規(guī)定的一些網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包才能通過該端口進行傳遞。通過MAC地址過濾技術(shù)可以保證只有授權(quán)的MAC地址才能對網(wǎng)絡(luò)資源進行訪問。

由于MAC地址過濾是基于網(wǎng)絡(luò)設(shè)備的ID的唯一性，從而可以從根本上限制網(wǎng)絡(luò)資源的使用者。一方面，基于MAC地址過濾技術(shù)對交換設(shè)備的要求不高，并且對網(wǎng)絡(luò)設(shè)備的性能沒有多大的影響，配置相對簡單，比較適合于小型網(wǎng)絡(luò)；另一方面，使用MAC地址過濾技術(shù)要求管理員必須明確網(wǎng)絡(luò)中每個網(wǎng)絡(luò)設(shè)備的MAC地址，根據(jù)需求對各個端口的過濾表進行配置，并且當(dāng)某個網(wǎng)絡(luò)設(shè)備的網(wǎng)卡或物理位置發(fā)生變化時要對系統(tǒng)進行重新配置，所以采用MAC地址過濾技術(shù)，對于網(wǎng)絡(luò)管理員來說，負擔(dān)很重，而且隨著網(wǎng)絡(luò)設(shè)備的不斷增多，維護工作量也不斷加大。

使用MAC地址過濾技術(shù)存在一個安全隱患--MAC地址"欺騙"，即現(xiàn)在許多網(wǎng)卡都支持MAC地址重新配置，非法用戶可以通過將自己所用的網(wǎng)絡(luò)設(shè)備的MAC地址篡改為合法用戶的MAC地址，成功通過交換設(shè)備的檢查，進而非法訪問網(wǎng)絡(luò)資源。

2)VLAN隔離技術(shù)

VLAN（虛擬局域網(wǎng)）隔離技術(shù)是一種一方面為了避免當(dāng)一個網(wǎng)絡(luò)系統(tǒng)的設(shè)備數(shù)量增加到一定規(guī)模后，大量的廣播報文消耗大量的網(wǎng)絡(luò)帶寬，從而影響有效數(shù)據(jù)的傳遞；另一方面確保部分安全性比較敏感的部門不被隨意訪問瀏覽而采用的劃分相互隔離子網(wǎng)的方法。目前，基于VLAN隔離技術(shù)的訪問控制方法在一些中小型企業(yè)和校園網(wǎng)中得到廣泛的應(yīng)用。

通過VLAN隔離技術(shù)，可以把一個網(wǎng)絡(luò)系統(tǒng)中眾多的網(wǎng)絡(luò)設(shè)備分成若干個虛擬的工作組，組和組之間的網(wǎng)絡(luò)設(shè)備在二層上相互隔離，形成不同的廣播域，將廣播流量限制在不同的廣播域。由于VLAN技術(shù)是基于二層和三層之間的隔離，可以將不同的網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)資源進行分組并通過支持VLAN技術(shù)的交換機隔離不同組內(nèi)網(wǎng)絡(luò)設(shè)備間的數(shù)據(jù)交換來達到網(wǎng)絡(luò)安全的目的。該方式允許同一VLAN上的用戶互相通信，而處于不同VLAN的用戶之間在數(shù)據(jù)鏈路層上是斷開的，只能通過三層路由器才能訪問。

使用VLAN隔離技術(shù)也有一個明顯的缺點，那就是要求網(wǎng)絡(luò)管理員必須明確交換機的每一個物理端口上所連接的設(shè)備的MAC地址或者IP地址，根據(jù)需求劃分不同的工作組并對交換機進行配置。當(dāng)某一網(wǎng)絡(luò)終端的網(wǎng)卡、IP地址或是物理位置發(fā)生變化時，需要對整個網(wǎng)絡(luò)系統(tǒng)中多個相關(guān)的網(wǎng)絡(luò)設(shè)備進行重新配置，這加重了網(wǎng)絡(luò)管理員的維護工作量，所以也只適用于小型網(wǎng)絡(luò)。

在安全性方面，VLAN隔離技術(shù)可以保證物理設(shè)備之間的隔離，但是對于同一臺服務(wù)器，只能做到同時向多個VLAN組全面開放或者是只向某個VLAN組開放，而不能針對個別用戶進行限制。在實際應(yīng)用中，一臺服務(wù)器擔(dān)當(dāng)多種服務(wù)器角色，同時為多個VLAN組用戶提供不同的服務(wù)，這也帶來一定的安全隱患。比如：一臺市場部電子商務(wù)服務(wù)器，存儲有客戶數(shù)據(jù)，同時它也是一臺財務(wù)部數(shù)據(jù)庫服務(wù)器，存儲有財務(wù)數(shù)據(jù)，這樣該服務(wù)器就同時需要向市場人員和財務(wù)人員開放，單純的采用VLAN技術(shù)就無法避免市場人員查看財務(wù)數(shù)據(jù)（當(dāng)然，這種隱患可以通過其它輔助手段解決）。

3）訪問控制列表ACL技術(shù)

ACL技術(shù)在路由器中被廣泛采用，它是一種基于包過濾的流控制技術(shù)。標準訪問控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常應(yīng)用在企業(yè)的出口控制上，可以通過實施ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加，一些企業(yè)已經(jīng)開始使用ACL來控制對局域網(wǎng)內(nèi)部資源的訪問能力，進而來保障這些資源的安全性。

ACL技術(shù)可以有效的在三層上控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問，它可以具體到兩臺網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)應(yīng)用，也可以按照網(wǎng)段進行大范圍的訪問控制管理，為網(wǎng)絡(luò)應(yīng)用提供了一個有效的安全手段。

一方面，采用ACL技術(shù)，網(wǎng)絡(luò)管理員需要明確每一臺主機及工作站所在的IP子網(wǎng)并確認它們之間的訪問關(guān)系，適用于網(wǎng)絡(luò)終端數(shù)量有限的網(wǎng)絡(luò)。對于大型網(wǎng)絡(luò)，為了完成某些訪問控制甚至不得不浪費很多的IP地址資源。同時，巨大的網(wǎng)絡(luò)終端數(shù)量，同樣會增加管理的復(fù)雜度和難度。另一方面，維護ACL不僅耗時，而且在較大程度上增加路由器開銷。訪問控制列表的策略性非常強，并且牽涉到網(wǎng)絡(luò)的整體規(guī)劃，它的使用對于策略制定及網(wǎng)絡(luò)規(guī)劃的人員的技術(shù)素質(zhì)要求比較高。因此，是否采用ACL技術(shù)及在多大的程度上利用它，是管理效益與網(wǎng)絡(luò)安全之間的一個權(quán)衡。

4)防火墻控制技術(shù)

防火墻技術(shù)首先將網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)和外網(wǎng)，它通過分析每一項內(nèi)網(wǎng)與外網(wǎng)通信應(yīng)用的協(xié)議構(gòu)成，得出主機IP地址及IP上行端口號，從而規(guī)劃出業(yè)務(wù)流并對其進行控制。

一方面，防火墻技術(shù)在最大程度上限制了源IP地址、目的IP地址、源上行端口號、目的上行端口號的訪問權(quán)限，從而限制了每一業(yè)務(wù)流的通斷。它要求網(wǎng)絡(luò)管理員明確每一業(yè)務(wù)的源地址和目的地址以及該業(yè)務(wù)的協(xié)議甚至上行端口。同時，構(gòu)造有效的防火墻系統(tǒng)，也需要管理人員具備相當(dāng)?shù)募夹g(shù)水平和承擔(dān)相當(dāng)大的工作量；另一方面，防火墻設(shè)備如果要達到很高的數(shù)據(jù)吞吐量，設(shè)備的造價也很高。在實際應(yīng)用中，通常用于整個系統(tǒng)的出口安全，較少用于內(nèi)部網(wǎng)絡(luò)的安全保護。

通過對防火墻的包過濾規(guī)則進行設(shè)置，防火墻能夠為本地或遠程用戶提供經(jīng)過授權(quán)的對網(wǎng)絡(luò)資源的訪問。包過濾防火墻集由若干條規(guī)則組成，它覆蓋了對所有出入防火墻的數(shù)據(jù)包的處理方法（對于沒有明確定義的數(shù)據(jù)包，有一個默認的處理方法）。過濾規(guī)則易于理解、編輯修改，同時也具備一致性檢測機制，防止沖突。

IP包過濾的依據(jù)主要是根據(jù)IP包頭部信息源地址和目的地址進行的，比如：IP頭中的協(xié)議字段封裝協(xié)議為ICMP、TCP或UDP，則根據(jù)ICMP頭信息（類型和代碼值）、TCP頭信息（源端口和目的端口）或UDP頭信息（源端口和目的端口）執(zhí)行過濾。應(yīng)用層協(xié)議過濾主要包括FTP過濾、基于RPC的應(yīng)用服務(wù)過濾、基于UDP的應(yīng)用服務(wù)過濾，以及動態(tài)包過慮技術(shù)等。

二　PACS解決方案

通過前面的分析，MAC地址過濾等管理手段都需要固定被管對象的網(wǎng)絡(luò)屬性，如MAC地址、VLAN標記等，然而這些工作需要網(wǎng)絡(luò)管理員從交換機、服務(wù)器、到PC等一系列網(wǎng)絡(luò)設(shè)備進行登記和設(shè)置，網(wǎng)絡(luò)失去了靈活性和移動性。

針對這種不足，迫切需要一種既能夠充分利用IEEE 802局域網(wǎng)的技術(shù)簡單、成本低廉又能夠?qū)W(wǎng)絡(luò)用戶或網(wǎng)絡(luò)設(shè)備的訪問合法性進行驗證，能夠區(qū)分它們對網(wǎng)絡(luò)服務(wù)與網(wǎng)絡(luò)資源的使用權(quán)限，并對它們的網(wǎng)絡(luò)活動進行全程監(jiān)控的方法。

PACS（Policy-based　Access Control System）解決方案從基于用戶的角度出發(fā)，形成面向用戶的策略管理體系，可以獨立地或者與現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)相配合形成一個有機的整體。它可對網(wǎng)絡(luò)服務(wù)與網(wǎng)絡(luò)資源進行有效的保護。PACS不再依賴網(wǎng)絡(luò)或設(shè)備的物理特性，而是根據(jù)網(wǎng)絡(luò)訪問者的身份和密碼對其權(quán)限進行控制，實現(xiàn)網(wǎng)絡(luò)的動態(tài)控制，為網(wǎng)絡(luò)系統(tǒng)的策略化管理提供了有效的技術(shù)保證。

1)PACS結(jié)構(gòu)層次

基于策略的訪問控制系統(tǒng)PACS有機地將網(wǎng)絡(luò)用戶認證技術(shù)、動態(tài)訪問控制技術(shù)、動態(tài)的網(wǎng)絡(luò)帶寬分配技術(shù)結(jié)合起來，打破了原來局域網(wǎng)建設(shè)與維護工作中管理效率與網(wǎng)絡(luò)安全之間的僵局。使得網(wǎng)絡(luò)資源既得到了有效的安全保護，又得到了合理的高效利用。PACS摒棄了原有的訪問控制技術(shù)對某個或者多個網(wǎng)絡(luò)特性的靜態(tài)依賴，動態(tài)地建立用戶名和密碼與用戶終端的關(guān)聯(lián)，進而對用戶的網(wǎng)絡(luò)行為進行控制。它打破原有的網(wǎng)絡(luò)設(shè)備管理模式，采用策略預(yù)先設(shè)計、實時自動配置、動態(tài)訪問控制的理念，來解決網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)中移動對安全管理造成的工作開銷。

從層次結(jié)構(gòu)上，PACS可以分為4層：網(wǎng)絡(luò)用戶層、接入層、核心層、資源提供層。自下而上構(gòu)成一個"金字塔"結(jié)構(gòu)。其中：網(wǎng)絡(luò)用戶層是網(wǎng)絡(luò)中的眾多的終端或工作站；接入層是指與網(wǎng)絡(luò)用戶層中的終端或工作站相連接，為這些終端或工作站進行網(wǎng)絡(luò)互聯(lián)的網(wǎng)絡(luò)設(shè)備集合（如二級交換機、集線器等）；核心層是指將接入層網(wǎng)絡(luò)設(shè)備匯集起來，形成全網(wǎng)互聯(lián)的網(wǎng)絡(luò)設(shè)備的集合，如（服務(wù)器、路由器、防火墻等）。

2)PACS的功能構(gòu)成

局域網(wǎng)的信息安全的重點就是要有效的保護資源提供層的安全，并要保證將這些有限的資源合理高效的提供給整個局域網(wǎng)的用戶。一方面提供網(wǎng)絡(luò)安全核心手段的層次離資源提供層越近，其保護能力就越強；另一方面，核心層的設(shè)備相對較少，在這些有限的設(shè)備上為網(wǎng)絡(luò)資源提供安全保護措施的設(shè)備成本與管理代價也較少。所以，給予核心層的信息安全保護是性價比最高的解決方案。