基于PACS的网络层访问控制方案

　　信息的网络化使得工作人员在网络上查找、使用与维护各种信息，提高了日常办公效率。同时，也对信息安全带来了日益严重的挑战。由于业务的需求，一方面人们希望网络能够四通八达，自己的终端能够访问到自己所关心的所有资源；另一方面，人们要求网络能够对不同来源与角色的网络进行访问控制，以保护自己的资源不受非法访问与篡改。伴随着网络的深入发展，网络互通性和安全性这一对矛盾日益成为网络用户与网络技术人员关注的焦点。

　　为了同时保证网络的互通性和信息的安全性，网络技术在各个不同的层面上产生了许多的网络安全措施和技术。本文在简要分析这些技术的优劣势的基础上，提出了基于PACS的解决方案。

　　一　网络访问控制技术的现状

　　1)MAC地址过滤技术

　　MAC地址（物理地址）用于直接标识某个网络设备，是目前网络数据交换的基础。目前大多数的二层交换机都支持基于物理端口配置MAC地址过滤表，用于限定只有与MAC地址过滤表中规定的一些网络设备的数据包才能通过该端口进行传递。通过MAC地址过滤技术可以保证只有授权的MAC地址才能对网络资源进行访问。

　　由于MAC地址过滤是基于网络设备的ID的唯一性，从而可以从根本上限制网络资源的使用者。一方面，基于MAC地址过滤技术对交换设备的要求不高，并且对网络设备的性能没有多大的影响，配置相对简单，比较适合于小型网络；另一方面，使用MAC地址过滤技术要求管理员必须明确网络中每个网络设备的MAC地址，根据需求对各个端口的过滤表进行配置，并且当某个网络设备的网卡或物理位置发生变化时要对系统进行重新配置，所以采用MAC地址过滤技术，对于网络管理员来说，负担很重，而且随着网络设备的不断增多，维护工作量也不断加大。