信息的網絡化使得工作人員在網絡上查找、使用與維護各種信息，提高了日常辦公效率。同時，也對信息安全帶來了日益嚴重的挑戰。由于業務的需求，一方面人們希望網絡能夠四通八達，自己的終端能夠訪問到自己所關心的所有資源；另一方面，人們要求網絡能夠對不同來源與角色的網絡進行訪問控制，以保護自己的資源不受非法訪問與篡改。伴隨著網絡的深入發展，網絡互通性和安全性這一對矛盾日益成為網絡用戶與網絡技術人員關注的焦點。

為了同時保證網絡的互通性和信息的安全性，網絡技術在各個不同的層面上產生了許多的網絡安全措施和技術。本文在簡要分析這些技術的優劣勢的基礎上，提出了基于PACS的解決方案。

一　網絡訪問控制技術的現狀

1)MAC地址過濾技術

MAC地址（物理地址）用于直接標識某個網絡設備，是目前網絡數據交換的基礎。目前大多數的二層交換機都支持基于物理端口配置MAC地址過濾表，用于限定只有與MAC地址過濾表中規定的一些網絡設備的數據包才能通過該端口進行傳遞。通過MAC地址過濾技術可以保證只有授權的MAC地址才能對網絡資源進行訪問。

由于MAC地址過濾是基于網絡設備的ID的唯一性，從而可以從根本上限制網絡資源的使用者。一方面，基于MAC地址過濾技術對交換設備的要求不高，并且對網絡設備的性能沒有多大的影響，配置相對簡單，比較適合于小型網絡；另一方面，使用MAC地址過濾技術要求管理員必須明確網絡中每個網絡設備的MAC地址，根據需求對各個端口的過濾表進行配置，并且當某個網絡設備的網卡或物理位置發生變化時要對系統進行重新配置，所以采用MAC地址過濾技術，對于網絡管理員來說，負擔很重，而且隨著網絡設備的不斷增多，維護工作量也不斷加大。

使用MAC地址過濾技術存在一個安全隱患--MAC地址"欺騙"，即現在許多網卡都支持MAC地址重新配置，非法用戶可以通過將自己所用的網絡設備的MAC地址篡改為合法用戶的MAC地址，成功通過交換設備的檢查，進而非法訪問網絡資源。

2)VLAN隔離技術

VLAN（虛擬局域網）隔離技術是一種一方面為了避免當一個網絡系統的設備數量增加到一定規模后，大量的廣播報文消耗大量的網絡帶寬，從而影響有效數據的傳遞；另一方面確保部分安全性比較敏感的部門不被隨意訪問瀏覽而采用的劃分相互隔離子網的方法。目前，基于VLAN隔離技術的訪問控制方法在一些中小型企業和校園網中得到廣泛的應用。

通過VLAN隔離技術，可以把一個網絡系統中眾多的網絡設備分成若干個虛擬的工作組，組和組之間的網絡設備在二層上相互隔離，形成不同的廣播域，將廣播流量限制在不同的廣播域。由于VLAN技術是基于二層和三層之間的隔離，可以將不同的網絡用戶與網絡資源進行分組并通過支持VLAN技術的交換機隔離不同組內網絡設備間的數據交換來達到網絡安全的目的。該方式允許同一VLAN上的用戶互相通信，而處于不同VLAN的用戶之間在數據鏈路層上是斷開的，只能通過三層路由器才能訪問。

使用VLAN隔離技術也有一個明顯的缺點，那就是要求網絡管理員必須明確交換機的每一個物理端口上所連接的設備的MAC地址或者IP地址，根據需求劃分不同的工作組并對交換機進行配置。當某一網絡終端的網卡、IP地址或是物理位置發生變化時，需要對整個網絡系統中多個相關的網絡設備進行重新配置，這加重了網絡管理員的維護工作量，所以也只適用于小型網絡。

在安全性方面，VLAN隔離技術可以保證物理設備之間的隔離，但是對于同一臺服務器，只能做到同時向多個VLAN組全面開放或者是只向某個VLAN組開放，而不能針對個別用戶進行限制。在實際應用中，一臺服務器擔當多種服務器角色，同時為多個VLAN組用戶提供不同的服務，這也帶來一定的安全隱患。比如：一臺市場部電子商務服務器，存儲有客戶數據，同時它也是一臺財務部數據庫服務器，存儲有財務數據，這樣該服務器就同時需要向市場人員和財務人員開放，單純的采用VLAN技術就無法避免市場人員查看財務數據（當然，這種隱患可以通過其它輔助手段解決）。

3）訪問控制列表ACL技術

ACL技術在路由器中被廣泛采用，它是一種基于包過濾的流控制技術。標準訪問控制列表通過把源地址、目的地址及端口號作為數據包檢查的基本元素，并可以規定符合條件的數據包是否允許通過。ACL通常應用在企業的出口控制上，可以通過實施ACL，可以有效的部署企業網絡出網策略。隨著局域網內部網絡資源的增加，一些企業已經開始使用ACL來控制對局域網內部資源的訪問能力，進而來保障這些資源的安全性。

ACL技術可以有效的在三層上控制網絡用戶對網絡資源的訪問，它可以具體到兩臺網絡設備間的網絡應用，也可以按照網段進行大范圍的訪問控制管理，為網絡應用提供了一個有效的安全手段。

一方面，采用ACL技術，網絡管理員需要明確每一臺主機及工作站所在的IP子網并確認它們之間的訪問關系，適用于網絡終端數量有限的網絡。對于大型網絡，為了完成某些訪問控制甚至不得不浪費很多的IP地址資源。同時，巨大的網絡終端數量，同樣會增加管理的復雜度和難度。另一方面，維護ACL不僅耗時，而且在較大程度上增加路由器開銷。訪問控制列表的策略性非常強，并且牽涉到網絡的整體規劃，它的使用對于策略制定及網絡規劃的人員的技術素質要求比較高。因此，是否采用ACL技術及在多大的程度上利用它，是管理效益與網絡安全之間的一個權衡。

4)防火墻控制技術

防火墻技術首先將網絡劃分為內網和外網，它通過分析每一項內網與外網通信應用的協議構成，得出主機IP地址及IP上行端口號，從而規劃出業務流并對其進行控制。

一方面，防火墻技術在最大程度上限制了源IP地址、目的IP地址、源上行端口號、目的上行端口號的訪問權限，從而限制了每一業務流的通斷。它要求網絡管理員明確每一業務的源地址和目的地址以及該業務的協議甚至上行端口。同時，構造有效的防火墻系統，也需要管理人員具備相當的技術水平和承擔相當大的工作量；另一方面，防火墻設備如果要達到很高的數據吞吐量，設備的造價也很高。在實際應用中，通常用于整個系統的出口安全，較少用于內部網絡的安全保護。

通過對防火墻的包過濾規則進行設置，防火墻能夠為本地或遠程用戶提供經過授權的對網絡資源的訪問。包過濾防火墻集由若干條規則組成，它覆蓋了對所有出入防火墻的數據包的處理方法（對于沒有明確定義的數據包，有一個默認的處理方法）。過濾規則易于理解、編輯修改，同時也具備一致性檢測機制，防止沖突。

IP包過濾的依據主要是根據IP包頭部信息源地址和目的地址進行的，比如：IP頭中的協議字段封裝協議為ICMP、TCP或UDP，則根據ICMP頭信息（類型和代碼值）、TCP頭信息（源端口和目的端口）或UDP頭信息（源端口和目的端口）執行過濾。應用層協議過濾主要包括FTP過濾、基于RPC的應用服務過濾、基于UDP的應用服務過濾，以及動態包過慮技術等。

二　PACS解決方案

通過前面的分析，MAC地址過濾等管理手段都需要固定被管對象的網絡屬性，如MAC地址、VLAN標記等，然而這些工作需要網絡管理員從交換機、服務器、到PC等一系列網絡設備進行登記和設置，網絡失去了靈活性和移動性。

針對這種不足，迫切需要一種既能夠充分利用IEEE 802局域網的技術簡單、成本低廉又能夠對網絡用戶或網絡設備的訪問合法性進行驗證，能夠區分它們對網絡服務與網絡資源的使用權限，并對它們的網絡活動進行全程監控的方法。

PACS（Policy-based　Access Control System）解決方案從基于用戶的角度出發，形成面向用戶的策略管理體系，可以獨立地或者與現有的網絡安全技術相配合形成一個有機的整體。它可對網絡服務與網絡資源進行有效的保護。PACS不再依賴網絡或設備的物理特性，而是根據網絡訪問者的身份和密碼對其權限進行控制，實現網絡的動態控制，為網絡系統的策略化管理提供了有效的技術保證。

1)PACS結構層次

基于策略的訪問控制系統PACS有機地將網絡用戶認證技術、動態訪問控制技術、動態的網絡帶寬分配技術結合起來，打破了原來局域網建設與維護工作中管理效率與網絡安全之間的僵局。使得網絡資源既得到了有效的安全保護，又得到了合理的高效利用。PACS摒棄了原有的訪問控制技術對某個或者多個網絡特性的靜態依賴，動態地建立用戶名和密碼與用戶終端的關聯，進而對用戶的網絡行為進行控制。它打破原有的網絡設備管理模式，采用策略預先設計、實時自動配置、動態訪問控制的理念，來解決網絡用戶在網絡中移動對安全管理造成的工作開銷。

從層次結構上，PACS可以分為4層：網絡用戶層、接入層、核心層、資源提供層。自下而上構成一個"金字塔"結構。其中：網絡用戶層是網絡中的眾多的終端或工作站；接入層是指與網絡用戶層中的終端或工作站相連接，為這些終端或工作站進行網絡互聯的網絡設備集合（如二級交換機、集線器等）；核心層是指將接入層網絡設備匯集起來，形成全網互聯的網絡設備的集合，如（服務器、路由器、防火墻等）。

2)PACS的功能構成

局域網的信息安全的重點就是要有效的保護資源提供層的安全，并要保證將這些有限的資源合理高效的提供給整個局域網的用戶。一方面提供網絡安全核心手段的層次離資源提供層越近，其保護能力就越強；另一方面，核心層的設備相對較少，在這些有限的設備上為網絡資源提供安全保護措施的設備成本與管理代價也較少。所以，給予核心層的信息安全保護是性價比最高的解決方案。(責任編輯：liucl)