基于802.1X和DFW的网络安全研究及NAC系统的设计与(5)

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

1 绪论

本章通过介绍身份验证认证技术和分布式防火墙的发展阐述课题的背景，比较了Web认证、PPPoE认证和802.1X认证技术，指出就以太网环境而言，更适合使用802.1X协议进行用户认证管理。接着分析了802.1X身份验证在保护内网网络安全中的局限性，说明在802.1X认证基础上检查终端设备安全状态的意义和必要性，提出了将802.1X身份验证技术和分布式防火墙技术结合的思想，最后简要介绍本文研究的主要内容。

1.1 课题背景及研究现状

经过近20多年的发展，以太网技术已经日臻完善了。事实上，以太网技术不但是目前局域网、园区网的主流支撑技术，而且也逐渐成为城域网和广域网的主流支撑技术。以太网技术作为使用作广泛的组网技术，也几乎毫无例外地成为用户计算机入网的接入技术。交换式以太网接入以高带宽，技术成熟，成本低廉，易于建设和易于管理的优点，成为网络运营商优先采用的接入方式。然而以太网接入的特点是用户只要能接入以太网交换机，就可以访问Internet网上的资源。它不提供对接入用户的身份进行认证的功能。随着以太网技术的广泛应用，特别是在运营网络中的应用，出于对网络安全的考虑和计费的需求，对其安全身份认证的要求己经提到了日程上。为了解决这个问题，目前广泛使PPPoE或Web＋DHCP的方案，此外还有IEEE-SA标准协会（SA-Standards Association）的标准理事会批准的802.1X认证标准[1][2]。

Web+DHCP的认证是一种基于业务类型的应用层的认证方法，不需要安装其他客户端软件，只需要浏览器就能完成，就用户来说较为方便。但是由于Web认证走的是7层协议，从逻辑上来说为了达到网络2层的连接而跑到7层做认证，这首先不符合网络逻辑。由于Web认证工作在7层，对于四层以下的网络问题，如断电、异常死机造成的异常离线情况，却无能为力。由于它不容易检测到用户离线，造成计费的不准确。Web认证在认证前就为用户分配了IP地址，造成了宝贵的IP地址的浪费；在Web认证方式中，认证前后数据流和业务流也没法分离，用户的每个数据在经过网关的时候，还要集中在一点与网关的IP地址列表进行比较，如果上网人数很多，数据包数量巨大，很容易在网关处形成瓶颈。还有就是DHCP服务器对用户而言是暴露的，容易受到攻击[3]。

PPPoE全称是在以太网上点对点的协议(Point to Point Protocol Over Ethernet)，是一个将PPP帧封装在以太网帧的协议，主要用来在窄带网络中通过拨号或专线方式建立点