基于802.1X和DFW的网络安全研究及NAC系统的设计与(7)

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

802.1X协议设计时的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入，如今大部分的智能交换机都已经支持802.1X协议了。

但是由于IEEE 802.1X在历史的舞台上仅仅局限于服务以太局域网，以至于运营商实施了802.1X认证解决方案并扩展了它的绑定认证技术之后，就搁浅在被遗忘的角落

[14]。802.1X作为身分认证解决方案也只能验证请求网络接入的用户的合法性，却不能保证用户所使用的计算机是否有病毒、木马，这就造成了安全上的漏洞。试想如果公司的员工使用合法的用户通过了802.1X认证进入了公司的内网，然而员工所使用的计算机或者笔记本却带有病毒、木马或者蠕虫，其结果不但可能造成内网病毒泛滥，更有可能导致公司机密外泄，造成巨大的损失。而802.1X作为一个二层协议，对于计算机系统是否安全束手无策。这种局限性导致了802.1X技术停滞不前。

但随着分布式防火墙的出现，IEEE802.1X又焕发出新的生机，重新成为人们关注的焦点[14]。近来，受人们日益重视理应“可信”的笔记本电脑以及其他移动设备连入企业网所带来的种种风险的影响，802.1X重新被推上了前台。对那些采取根据终端设备的安全状态、允许或拒绝网络访问的主机策略而言，这项标准俨然是基础。802.1X是结合MAC、端口、帐号和密码等，在二层网络上实现用户认证，因此它只能解决身份验证，而对于用户载体的安全环境无法验证，这样的验证至少是不完善的。随着企业对网络安全的愈来愈多的重视，它们希望确保所有员工在被允许接入公司网络之前都是安全的，可信的。但802.1X只是一个二层协议，无法实现这样的要求，不过如果将802.1x与分布式防火墙(Distributed Firewall，DFW)相结合，构造一个基于用户身份和载体安全环境认证的平台，是可以实现缔造开放的可信网络这一要求的[8]。分布式防火墙也可以称为主机防火墙(Host Firewall),对于它来说，衡量载体安全环境的指标就是主机完整性(Host Integrity)。如果由分布式防火墙负责主机安全状态的检测，而802.1X负责身份验证，这样就能够100％的保证企业内网的安全了，这个让802.1X“老树开新枝”的设想正是本课题的研究内容[14]。

1.2 本课题的意义

为了提高网络的安全性，人们采用各种网络安全技术来构建安全的网络系统。而防火墙则是作为一种行之有效的安全技术被用户经常采用。防火墙的基本功能是通过对网络外部和内部用户的区分和访问授权机制来防止非法访问，从而实现保护网络安全的目的。然而，随着网络技术的发展和网络规模的扩大，传统防火墙的局限性逐步暴露出来，并且开始难以满足现代网络安全的需要。但同时防火墙在访问控制、协议