基于PACS的网络层访问控制方案

二　PACS解决方案

通过前面的分析，MAC地址过滤等管理手段都需要固定被管对象的网络属性，如MAC地址、VLAN标记等，然而这些工作需要网络管理员从交换机、服务器、到PC等一系列网络设备进行登记和设置，网络失去了灵活性和移动性。

针对这种不足，迫切需要一种既能够充分利用IEEE 802局域网的技术简单、成本低廉又能够对网络用户或网络设备的访问合法性进行验证，能够区分它们对网络服务与网络资源的使用权限，并对它们的网络活动进行全程监控的方法。

PACS（Policy-based　Access Control System）解决方案从基于用户的角度出发，形成面向用户的策略管理体系，可以独立地或者与现有的网络安全技术相配合形成一个有机的整体。它可对网络服务与网络资源进行有效的保护。PACS不再依赖网络或设备的物理特性，而是根据网络访问者的身份和密码对其权限进行控制，实现网络的动态控制，为网络系统的策略化管理提供了有效的技术保证。

1)PACS结构层次

基于策略的访问控制系统PACS有机地将网络用户认证技术、动态访问控制技术、动态的网络带宽分配技术结合起来，打破了原来局域网建设与维护工作中管理效率与网络安全之间的僵局。使得网络资源既得到了有效的安全保护，又得到了合理的高效利用。PACS摒弃了原有的访问控制技术对某个或者多个网络特性的静态依赖，动态地建立用户名和密码与用户终端的关联，进而对用户的网络行为进行控制。它打破原有的网络设备管理模式，采用策略预先设计、实时自动配置、动态访问控制的理念，来解决网络用户在网络中移动对安全管理造成的工作开销。

从层次结构上，PACS可以分为4层：网络用户层、接入层、核心层、资源提供层。自下而上构成一个"金字塔"结构。其中：网络用户层是网络中的众多的终端或工作站；接入层是指与网络用户层中的终端或工作站相连接，为这些终端或工作站进行网络互联的网络设备集合（如二级交换机、集线器等）；核心层是指将接入层网络设备汇集起来，形成全网互联的网络设备的集合，如（服务器、路由器、防火墙等）。

2)PACS的功能构成

局域网的信息安全的重点就是要有效的保护资源提供层的安全，并要保证将这些有限的资源合理高效的提供给整个局域网的用户。一方面提供网络安全核心手段的层次离资源提供层越近，其保护能力就越强；另一方面，核心层的设备相对较少，在这些有限的设备上为网络资源提供安全保护措施的设备成本与管理代价也较少。所以，给予核心层的信息安全保护是性价比最高的解决方案。