当今社会，网络的触角已经深入人们社会生活的各个方面，很多企事业单位对网络的依赖性越来越高，其安全性也就越来越受到人们的重视，这就对网络管理提出了更高要求。在日常的网络管理中，最常做的工作就是访问控制，访问控制是网络受到攻击后能够立刻采取的最有效的抵御办法。然而大型网络由于其拓扑的复杂性和设备的多样性，使得管理员很难在发现异常的第一时间实施恰当的访问控制，具体说就是，对于单个设备的各个端口之间以及设备与设备之间的ACL的配置和部署，难于保证没有冲突或重复。基于策略的网络管理(PBNM)是网络管理技术中的热门话题，以其诸多优点而备受推崇。采用基于策略的网络管理能够更好的实现QoS和IPSec，鉴于网络管理各个领域之间的相通性，本文将基于策略的网络管理的思想运用于访问控制。采用了基于策略的网络管理之后，策略由策略专家制定，并存储到LDAP中去，这样的策略可以提高访问控制的一致性。发现网络攻击以后，管理员可以提取现成的策略，去对特定的传输层端口进行封堵，减少其出现错误的可能性。基于策略的网络管理中关键的，核心的步骤就是为策略信息建立模型，并映射到目录中去。本文针对网络节点上的访问控制策略，对策略进行基于CIM／PCIM标准的建模，这种建模是根据DMTF／IETF所制定的相关标准进行的。经过策略专家精心建模的策略可以提高策略在全局内的一致性，从而减少执行策略实施所产生的动作在整个大型网络中引起冲突或重复的可能性。因为PBNM是以目录驱动网络(DEN)为标准的，随后还将对策略模型进行向LDAP目录映射，存储为可用的数据结构，使相关的网络管理应用能够共享策略专家建立策略模型信息。策略管理的实施方面，针对目前设备并不支持公共策略服务协议(COPS)，缺少作为策略执行点(PEP)的特性的情况，我们提出了一个新的访问控制策略执行的架构：先根据访问控制策略生成设备可用的ACL，并且通过程序以SSH方式自动登录到目标设备，对目标设备部署ACL，从而实现基于策略网络管理在访问控制上的应用，进而提高了访问控制部署的一致性。