没有安全保障的网络无疑是一座空中楼阁，在信息高度网络化的今天，安全性已逐渐成为网络建设的第一要素。如何有效解决局域网的安全性，除了可靠的软件之外，基于网络硬件的搭建也是必不可少的。最近，素有国内“网络安全专家”之称的北京瑞斯康达公司推出了基于策略的访问控制系统PACS以及基于该系统的RC3500系列以太网路由交换机产品，并为用户提供了针对网络安全的解决方案，彻底解除了用户的安全顾虑。

　　信息的网络化大大提高了日常办公的效率，使得工作人员可以方便地在网络上查找、使用与维护各种信息，但同时也对信息的安全带来了日益严重的挑战。网络的互通性与信息的安全性这一对矛盾自网络问世以来就伴随着网络的成长而日益成为网络用户与网络技术人员关注的焦点。由于业务的需求，人们希望网络能够四通八达，自己的终端能够访问到网上自己关心的所有资源；另一方面，同是出于业务需求，人们要求网络能够对不同来源、不同角色对网络的访问进行控制，以确保自己的资源不受到非法的访问与篡改。

　　为了同时保证网络的互通性与信息的安全性，在各个不同的层面上产生了许多的网络安全措施与技术。这些管理手段都需要固定被管理对象的网络属性，如MAC地址，VLAN标记，IP地址等。然而，将网络中的MAC，VLAN和IP等进行捆绑，需要网络管理员对从PC、交换机、到DHCP服务器等一系列网络资源都要进行登记和设置，网络失去了灵活性和移 动性；网络管理的难度也可想而知——几乎是不可能的任务。

　　所以，在局域网中迫切需要一种技术与手段，既能够充分利用IEEE802LAN的技术简单、成本低廉的特点，同时又能够对网络用户或设备访问网络的合法性进行验证，并能够区分他们对网络服务与网络资源的使用权限，对他们的网络活动进行全程的控制。为此，北京瑞斯康达科技发展有限公司提出了基于策略的网络访问控制系统PACS(Policy-basedAccessControlSystem)，该系统从基于用户的角色出发，形成面向用户的策略管理体系，可以独立地或是与现有的网络安全技术相配合形成一个有机的系统，对网络服务与网络资源进行有效的保护。该系统不再依赖网络或设备的MAC、IP、VLAN等物理特性，而是根据网络访问者的身份及密码对其访问权限进行控制，实现了网络访问的动态控制，为网络系统的策略化管理提供了有效的技术保证，并积极保证了组建网络的灵活性。RAISECOM公司的PACS技术解决方案。

　　作为一个局域网，网络资源的保护是局域网安全的重中之重。目前在局域网如果要完成这个工作，需要在众多的网络设备中选择适合自己企业特色的技术，因此组网难度相当的大。由于各种访问控制技术相对独立，相互之间的配合通常要在多个网络设备上实现，协同性较差，而且经常会受限于某个网络设备的既有功能，使得整体的安全措施降之又降，起不到有效的防护功能。

　　同时，各种认证技术从目前的使用情况来看，通常只是与物理端口的通断简单关联，使得认证过程成为了网络使用权的鉴别过程。认证体系与访问控制体系相分离，使得所有的访问控制都需预先设置好，同一用户在网络中的移 动变得非常困难。

　　如果要有效地保护各种网络资源，则需要将用户认证技术与访问控制技术进行有机的结合，为局域网提供一套多层面的安全保护体系。PACS有机地将网络用户认证技术、动态的访问控制技术以及动态的网络带宽分配技术结合起来，打破了企业局域网建设与维护工作中管理效率与网络安全之间的矛盾，使得网络资源既得到了有效的安全的保护，又同时得到了合理的高效的利用。

　　PACS摒弃了原有访问控制技术对某个或多个网络特性静态依赖的特点，而只与网络用户进行关联，动态地建立网络用户与他所使用的网络终端的关联，进而对他的网络行为进行控制。利用PACS可以有效保护网络资源，并且会将增加这种保护所带来的管理负担降至最低；它打破了原有的网络设备管理的模式，采用策略预先设计、实时自动配置、动态访问控制的理念，来解决网络用户在网络中移 动对安全管理造成的大量工作开销。

　　PACS由一套策略管理平台PM(PolicyManager)与一组(至少一台)访问控制交换机ACS(AccessControlSwitch)组成，PM处于网络中心，一般与网管平台处于同一物理位置；而ACS则处于网络的骨干与网络连缘的联接部或直接起到网络骨干的作用。所有网络用户对网络资源访问信息流都会通过ACS，并受到ACS的有效控制。如图一给出了一个较为典型的网络拓扑图例。

　　由图中可以看出，当多个网络用户使用同一台接入层设备进行连接时，可以在接入层设备上采用VLAN技术进行隔离，同属于一台接入层设备并在一个VLAN中的网络用户之间正常的网络交流是无需PACS控制的，只有当网络用户需要访问网络资源或者需要通过核心层的ACS与其他网络用户(同一个接入层设备下属于不同VLAN的用户或者两台不同的接入层设备下的用户)进行网络交流时才需要进行认证等一系列访问控制工作。这样既有效保障了网络规划与管理的方便性，同时又可以安全控制网络用户对资源的访问。

　　另外，由于采用了PACS，服务器资源向多类用户同时共享已没有安全问题，因为通过策略的制定，服务器资源所能提供的服务、某个服务的网络特性以及可以向那些类网络用户提供服务等信息，PACS对此已经了如指掌，可以快速针对每一个用户采用预先设计好的管理策略进行安全访问控制。使用PACS可以安全地解决资源复用的问题，同时，由于PACS提供基于用户的带宽控制策略，能够合理地控制每个用户的访问带宽，使得有限的资源可以被合理高效地得到利用。