信息的網(wǎng)絡(luò)化使得工作人員在網(wǎng)絡(luò)上查找、使用與維護(hù)各種信息，提高了日常辦公效率。同時，也對信息安全帶來了日益嚴(yán)重的挑戰(zhàn)。由于業(yè)務(wù)的需求，一方面人們希望網(wǎng)絡(luò)能夠四通八達(dá)，自己的終端能夠訪問到自己所關(guān)心的所有資源；另一方面，人們要求網(wǎng)絡(luò)能夠?qū)Σ煌瑏碓磁c角色的網(wǎng)絡(luò)進(jìn)行訪問控制，以保護(hù)自己的資源不受非法訪問與篡改。伴隨著網(wǎng)絡(luò)的深入發(fā)展，網(wǎng)絡(luò)互通性和安全性這一對矛盾日益成為網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)技術(shù)人員關(guān)注的焦點。

為了同時保證網(wǎng)絡(luò)的互通性和信息的安全性，網(wǎng)絡(luò)技術(shù)在各個不同的層面上產(chǎn)生了許多的網(wǎng)絡(luò)安全措施和技術(shù)。本文在簡要分析這些技術(shù)的優(yōu)劣勢的基礎(chǔ)上，提出了基于PACS的解決方案。

一　網(wǎng)絡(luò)訪問控制技術(shù)的現(xiàn)狀

1)MAC地址過濾技術(shù)

MAC地址（物理地址）用于直接標(biāo)識某個網(wǎng)絡(luò)設(shè)備，是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)。目前大多數(shù)的二層交換機(jī)都支持基于物理端口配置MAC地址過濾表，用于限定只有與MAC地址過濾表中規(guī)定的一些網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包才能通過該端口進(jìn)行傳遞。通過MAC地址過濾技術(shù)可以保證只有授權(quán)的MAC地址才能對網(wǎng)絡(luò)資源進(jìn)行訪問。

由于MAC地址過濾是基于網(wǎng)絡(luò)設(shè)備的ID的唯一性，從而可以從根本上限制網(wǎng)絡(luò)資源的使用者。一方面，基于MAC地址過濾技術(shù)對交換設(shè)備的要求不高，并且對網(wǎng)絡(luò)設(shè)備的性能沒有多大的影響，配置相對簡單，比較適合于小型網(wǎng)絡(luò)；另一方面，使用MAC地址過濾技術(shù)要求管理員必須明確網(wǎng)絡(luò)中每個網(wǎng)絡(luò)設(shè)備的MAC地址，根據(jù)需求對各個端口的過濾表進(jìn)行配置，并且當(dāng)某個網(wǎng)絡(luò)設(shè)備的網(wǎng)卡或物理位置發(fā)生變化時要對系統(tǒng)進(jìn)行重新配置，所以采用MAC地址過濾技術(shù)，對于網(wǎng)絡(luò)管理員來說，負(fù)擔(dān)很重，而且隨著網(wǎng)絡(luò)設(shè)備的不斷增多，維護(hù)工作量也不斷加大。

使用MAC地址過濾技術(shù)存在一個安全隱患--MAC地址"欺騙"，即現(xiàn)在許多網(wǎng)卡都支持MAC地址重新配置，非法用戶可以通過將自己所用的網(wǎng)絡(luò)設(shè)備的MAC地址篡改為合法用戶的MAC地址，成功通過交換設(shè)備的檢查，進(jìn)而非法訪問網(wǎng)絡(luò)資源。

2)VLAN隔離技術(shù)

VLAN（虛擬局域網(wǎng)）隔離技術(shù)是一種一方面為了避免當(dāng)一個網(wǎng)絡(luò)系統(tǒng)的設(shè)備數(shù)量增加到一定規(guī)模后，大量的廣播報文消耗大量的網(wǎng)絡(luò)帶寬，從而影響有效數(shù)據(jù)的傳遞；另一方面確保部分安全性比較敏感的部門不被隨意訪問瀏覽而采用的劃分相互隔離子網(wǎng)的方法。目前，基于VLAN隔離技術(shù)的訪問控制方法在一些中小型企業(yè)和校園網(wǎng)中得到廣泛的應(yīng)用。

通過VLAN隔離技術(shù)，可以把一個網(wǎng)絡(luò)系統(tǒng)中眾多的網(wǎng)絡(luò)設(shè)備分成若干個虛擬的工作組，組和組之間的網(wǎng)絡(luò)設(shè)備在二層上相互隔離，形成不同的廣播域，將廣播流量限制在不同的廣播域。由于VLAN技術(shù)是基于二層和三層之間的隔離，可以將不同的網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)資源進(jìn)行分組并通過支持VLAN技術(shù)的交換機(jī)隔離不同組內(nèi)網(wǎng)絡(luò)設(shè)備間的數(shù)據(jù)交換來達(dá)到網(wǎng)絡(luò)安全的目的。該方式允許同一VLAN上的用戶互相通信，而處于不同VLAN的用戶之間在數(shù)據(jù)鏈路層上是斷開的，只能通過三層路由器才能訪問。

使用VLAN隔離技術(shù)也有一個明顯的缺點，那就是要求網(wǎng)絡(luò)管理員必須明確交換機(jī)的每一個物理端口上所連接的設(shè)備的MAC地址或者IP地址，根據(jù)需求劃分不同的工作組并對交換機(jī)進(jìn)行配置。當(dāng)某一網(wǎng)絡(luò)終端的網(wǎng)卡、IP地址或是物理位置發(fā)生變化時，需要對整個網(wǎng)絡(luò)系統(tǒng)中多個相關(guān)的網(wǎng)絡(luò)設(shè)備進(jìn)行重新配置，這加重了網(wǎng)絡(luò)管理員的維護(hù)工作量，所以也只適用于小型網(wǎng)絡(luò)。

在安全性方面，VLAN隔離技術(shù)可以保證物理設(shè)備之間的隔離，但是對于同一臺服務(wù)器，只能做到同時向多個VLAN組全面開放或者是只向某個VLAN組開放，而不能針對個別用戶進(jìn)行限制。在實際應(yīng)用中，一臺服務(wù)器擔(dān)當(dāng)多種服務(wù)器角色，同時為多個VLAN組用戶提供不同的服務(wù)，這也帶來一定的安全隱患。比如：一臺市場部電子商務(wù)服務(wù)器，存儲有客戶數(shù)據(jù)，同時它也是一臺財務(wù)部數(shù)據(jù)庫服務(wù)器，存儲有財務(wù)數(shù)據(jù)，這樣該服務(wù)器就同時需要向市場人員和財務(wù)人員開放，單純的采用VLAN技術(shù)就無法避免市場人員查看財務(wù)數(shù)據(jù)（當(dāng)然，這種隱患可以通過其它輔助手段解決）。

3）訪問控制列表ACL技術(shù)

ACL技術(shù)在路由器中被廣泛采用，它是一種基于包過濾的流控制技術(shù)。標(biāo)準(zhǔn)訪問控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常應(yīng)用在企業(yè)的出口控制上，可以通過實施ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加，一些企業(yè)已經(jīng)開始使用ACL來控制對局域網(wǎng)內(nèi)部資源的訪問能力，進(jìn)而來保障這些資源的安全性。

ACL技術(shù)可以有效的在三層上控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問，它可以具體到兩臺網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)應(yīng)用，也可以按照網(wǎng)段進(jìn)行大范圍的訪問控制管理，為網(wǎng)絡(luò)應(yīng)用提供了一個有效的安全手段。

一方面，采用ACL技術(shù)，網(wǎng)絡(luò)管理員需要明確每一臺主機(jī)及工作站所在的IP子網(wǎng)并確認(rèn)它們之間的訪問關(guān)系，適用于網(wǎng)絡(luò)終端數(shù)量有限的網(wǎng)絡(luò)。對于大型網(wǎng)絡(luò)，為了完成某些訪問控制甚至不得不浪費很多的IP地址資源。同時，巨大的網(wǎng)絡(luò)終端數(shù)量，同樣會增加管理的復(fù)雜度和難度。另一方面，維護(hù)ACL不僅耗時，而且在較大程度上增加路由器開銷。訪問控制列表的策略性非常強(qiáng)，并且牽涉到網(wǎng)絡(luò)的整體規(guī)劃，它的使用對于策略制定及網(wǎng)絡(luò)規(guī)劃的人員的技術(shù)素質(zhì)要求比較高。因此，是否采用ACL技術(shù)及在多大的程度上利用它，是管理效益與網(wǎng)絡(luò)安全之間的一個權(quán)衡。

4)防火墻控制技術(shù)

防火墻技術(shù)首先將網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)和外網(wǎng)，它通過分析每一項內(nèi)網(wǎng)與外網(wǎng)通信應(yīng)用的協(xié)議構(gòu)成，得出主機(jī)IP地址及IP上行端口號，從而規(guī)劃出業(yè)務(wù)流并對其進(jìn)行控制。

一方面，防火墻技術(shù)在最大程度上限制了源IP地址、目的IP地址、源上行端口號、目的上行端口號的訪問權(quán)限，從而限制了每一業(yè)務(wù)流的通斷。它要求網(wǎng)絡(luò)管理員明確每一業(yè)務(wù)的源地址和目的地址以及該業(yè)務(wù)的協(xié)議甚至上行端口。同時，構(gòu)造有效的防火墻系統(tǒng)，也需要管理人員具備相當(dāng)?shù)募夹g(shù)水平和承擔(dān)相當(dāng)大的工作量；另一方面，防火墻設(shè)備如果要達(dá)到很高的數(shù)據(jù)吞吐量，設(shè)備的造價也很高。在實際應(yīng)用中，通常用于整個系統(tǒng)的出口安全，較少用于內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。

通過對防火墻的包過濾規(guī)則進(jìn)行設(shè)置，防火墻能夠為本地或遠(yuǎn)程用戶提供經(jīng)過授權(quán)的對網(wǎng)絡(luò)資源的訪問。包過濾防火墻集由若干條規(guī)則組成，它覆蓋了對所有出入防火墻的數(shù)據(jù)包的處理方法（對于沒有明確定義的數(shù)據(jù)包，有一個默認(rèn)的處理方法）。過濾規(guī)則易于理解、編輯修改，同時也具備一致性檢測機(jī)制，防止沖突。

IP包過濾的依據(jù)主要是根據(jù)IP包頭部信息源地址和目的地址進(jìn)行的，比如：IP頭中的協(xié)議字段封裝協(xié)議為ICMP、TCP或UDP，則根據(jù)ICMP頭信息（類型和代碼值）、TCP頭信息（源端口和目的端口）或UDP頭信息（源端口和目的端口）執(zhí)行過濾。應(yīng)用層協(xié)議過濾主要包括FTP過濾、基于RPC的應(yīng)用服務(wù)過濾、基于UDP的應(yīng)用服務(wù)過濾，以及動態(tài)包過慮技術(shù)等。