基于PACS的网络层访问控制方案.docVIP

　　基于PACS的网络层访问控制方案～教育资源库 　　信息的网络化使得工作人员在网络上查找、使用与维护各种信息，提高了日常办公效率。同时，也对信息安全带来了日益严重的挑战。由于业务的需求，一方面人们希望网络能够四通八达，自己的终端能够访问到自己所关心的所有资源；另一方面，人们要求网络能够对不同与角色的网络进行访问控制，以保护自己的资源不受非法访问与篡改。伴随着网络的深入发展，网络互通性和安全性这一对矛盾日益成为网络用户与网络技术人员关注的焦点。 　　为了同时保证网络的互通性和信息的安全性，网络技术在各个不同的层面上产生了许多的网络安全措施和技术。本文在简要分析这些技术的优劣势的基础上，提出了基于PACS的解决方案。 　　一　网络访问控制技术的现状 　　1)MAC地址过滤技术 　　MAC地址（物理地址）用于直接标识某个网络设备，是目前网络数据交换的基础。目前大多数的二层交换机都支持基于物理端口配置MAC地址过滤表，用于限定只有与MAC地址过滤表中规定的一些网络设备的数据包才能通过该端口进行传递。通过MAC地址过滤技术可以保证只有授权的MAC地址才能对网络资源进行访问。 　　由于MAC地址过滤是基于网络设备的ID的唯一性，从而可以从根本上限制网络资源的使用者。一方面，基于MAC地址过滤技术对交换设备的要求不高，并且对网络设备的性能没有多大的影响，配置相对简单，比较适合于小型网络；另一方面，使用MAC地址过滤技术要求管理员必须明确网络中每个网络设备的MAC地址，根据需求对各个端口的过滤表进行配置，并且当某个网络设备的网卡或物理位置发生变化时要对系统进行重新配置，所以采用MAC地址过滤技术，对于网络管理员来说，负担很重，而且随着网络设备的不断增多，维护工作量也不断加大。 　　使用MAC地址过滤技术存在一个安全隐患--MAC地址欺骗，即现在许多网卡都支持MAC地址重新配置，非法用户可以通过将自己所用的网络设备的MAC地址篡改为合法用户的MAC地址，成功通过交换设备的检查，进而非法访问网络资源。 　　2)VLAN隔离技术 　　VLAN（虚拟局域网）隔离技术是一种一方面为了避免当一个网络系统的设备数量增加到一定规模后，大量的广播报文消耗大量的网络带宽，从而影响有效数据的传递；另一方面确保部分安全性比较敏感的部门不被随意访问浏览而采用的划分相互隔离子网的方法。目前，基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。 　　通过VLAN隔离技术，可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组，组和组之间的网络设备在二层上相互隔离，形成不同的广播域，将广播流量限制在不同的广播域。由于VLAN技术是基于二层和三层之间的隔离，可以将不同的网络用户与网络资源进行分组并通过支持VLAN技术的交换机隔离不同组内网络设备间的数据交换来达到网络安全的目的。该方式允许同一VLAN上的用户互相通信，而处于不同VLAN的用户之间在数据链路层上是断开的，只能通过三层路由器才能访问。 　　使用VLAN隔离技术也有一个明显的缺点，那就是要求网络管理员必须明确交换机的每一个物理端口上所连接的设备的MAC地址或者IP地址，根据需求划分不同的工作组并对交换机进行配置。当某一网络终端的网卡、IP地址或是物理位置发生变化时，需要对整个网络系统中多个相关的网络设备进行重新配置，这加重了网络管理员的维护工作量，所以也只适用于小型网络。 　　在安全性方面，VLAN隔离技术可以保证物理设备之间的隔离，但是对于同一台服务器，只能做到同时向多个VLAN组全面开放或者是只向某个VLAN组开放，而不能针对个别用户进行限制。在实际应用中，一台服务器担当多种服务器角色，同时为多个VLAN组用户提供不同的服务，这也带来一定的安全隐患。比如：一台市场部电子商务服务器，存储有客户数据，同时它也是一台财务部数据库服务器，存储有财务数据，这样该服务器就同时需要向市场人员和财务人员开放，单纯的采用VLAN技术就无法避免市场人员查看财务数据（当然，这种隐患可以通过其它辅助手段解决）。 　　3）访问控制列表ACL技术 　　ACL技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全性。 　　ACL技术可以有效的在三层上控制网络用户对网络资源的访问，它可以具体到两台网络设备间的网络应用，也可以按照网