基于802.1X和DFW的网络安全研究及NAC系统的设计与(8)

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

代理和策略执行方面的优点又使得其在保护网络安全，阻止非法访问方面依然可以发挥强大的作用。因此为了做到既利用传统防火墙优点，同时又克服传统防火墙的缺陷，就需要提出新的防火墙概念，来满足现代网络发展需要。

分布式防火墙，英文名为"Distributed Firewall",是在目前传统的边界式防火墙基础上开发的,但目前主要是以软件形式出现的，近年来日益成为网络安全的热点话题。由于传统的边界防火墙无法防范来自内部的攻击，而在实际环境中，80％以上的攻击和越权访问来自与内部，是网络安全的主要威胁[8]。随着网络技术的发展，传统防火墙的缺陷日益凸现，如果说它对于抵御来自外部的攻击还算称职的话，那么它对于来自于内部网络的攻击就显得心有余而力不足了。但是据最新的市场调查显示，在实际环境中，80%的攻击和越权访问来自于内部,坚固的堡垒往往是从内部攻破的。基于这些因素，分布式防火墙应运而生，它采用C/S结构和端点防护(Endpoint Defense)，分布式检测，集中式管理，能都有效的防御内部攻击，符合网络安全的发展潮流。这样的端点防护实际上就是一个基于主机的防火墙，它在物理上既可以在内网也可以在外网。因此，分布式防火墙逐渐成为企业网络安全的解决方案[10]。

分布式防火墙的理念是“集中式管理、分布式防护”，基于C/S模式 能真正克服高速网络带来的检测困难的问题。它布署在主机，同时提供入侵检测和应用层防护。入侵检测引擎安装在主机上，单机上的网络流量有限，因此其发现入侵的及时性与准确性都较高[11]。

分布式防火墙由一个中心节点来制定安全策略，并将安全策略分发到终端主机上执行。它要负责网络边界、各子网和网络内部各节点的安全防护，是一个完整的系统。分布式防火墙可以认为是由三部分组成的立体防护系统：一部分是网络防火墙，它承担着传统边界防火墙看守大门的职责；一部分是主机防火墙，驻留在受保护的终端主机上，它解决了传统边界防火墙不能解决的问题，如内部攻击等；还有一部分是管理中心，主要是解决分布式的管理问题[12]。

分布式防火墙中有一个很重要的概念就是主机完整性（Host Integrity）, 实际上简单理解的话，就是一个主机它的安全状况是不是完整，是否装有杀毒软件，病毒库是否更新等等。主机是否完整的标准可以由企业根据自身要求来定义，可以包含很多层面，如操作系统、应用程序的补丁，系统注册表的键值，主机型防火墙、杀毒软件、IDS等是否运行和相应特征库的更新等。主机防护墙负责认证网络客户端的主机完整性，网络防火墙根据检查结果决定是否允许客户端访问企业内部网络的资源[13]。 边界防火墙缺陷的根源在于它对拓扑结构的依赖，分布式防火墙打破了这种拓扑限制，将内部网的概念由物理意义变成了逻辑意义。基于主机的分布式防火墙在物理