信息的网络化大大提高了日常办公的效率，但同时也对信息的安全带来了日益严重的挑战。目前，网络访问控制技术有很多种，例如：MAC地址过滤、基于IP地址的访问控制列表和防火墙控制等等。但这些方法都具有一定的局限性，它们只能对访问网络资源的主机进行合法性验证，而对访问网络资源的用户身份却不加限制。基于这些问题，本文在研究Windows网络架构和网络协议的基础上，采用数据包过滤思想，设计了基于数据包过滤的网络资源访问控制系统来解决这些问题。 论文的主要工作包括： 1．在研究Windows的网络协议架构和Windows SPI技术的基础上，提出通过对主机的网络活动进行过滤的方式达到对用户身份进行认证的解决方案。 2．在系统设计中，为了增强本系统的稳定性和安全性，系统共由三部分组成：请求过滤程序、访问过滤程序和用户身份认证程序。请求过滤程序负责对提出网络请求的主机的网络请求进行过滤；访问过滤程序对提供资源的主机的网络活动进行过滤；用户身份认证程序负责对用户身份进行认证。 3．利用SPI技术实现过滤器，对参与通信的主机的网络活动进行过滤以达到要求用户进行身份认证的目的；采用双因素身份认证技术进行身份验证。 本论文研究的网络资源访问控制系统细化了网络访问控制粒度，由原来的单台主机细化为使用主机的用户，使网络访问控制架构更加完整和安全。