基于802.1X和DFW的网络安全研究及NAC系统的设计与(9)

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

上既可以是内网，也可以是外网[15]。

随着企业对网络安全的重视与日俱增，网络安全产品也必须不断自我完善。据统计，80%的攻击和越权访问来自于内部，因此企业希望进入内网的主机都是安全可信的。802.1X虽然能够对用户进行认证、授权，却不能确保用户所使用的主机是否“安全”；分布式防火墙可以检测出主机是否“安全”，却不知道使用主机的用户是否合法。如果能将802.1X和分布式防火墙有机的整合，就能保证只有得到授权的用户在一台符合企业安全定义的主机上访问内网，从而更深层次的保证了网络的安全性。当主机在外网时，就存在这样的问题：当它要访问企业内部资源，势必要进行身份验证，现在流行的做法是用802.1X进行验证。但是802.1X只能验证是什么样的人要访问内网，不能验证什么样的人在什么样的机器上访问内网。什么样的机器对于防火墙来说就是主机是否完整。本课题将主机完整性和802.1X结合，使得802.1X认证不仅包括MAC、帐号、密码，还含括主机完整性，这样就能确保是授权的用户在一台符合企业安全定义的机器上访问内网，从而能够更深层次的保证网络安全。802.1X是可扩展的协议，结合其他信息的绑定技术已有先例，在国内教育信息网的应用中，已经实现了IP与802.1X绑定组合认证技术。因此只要能够解决技术细节问题，相信802.1X和主机完整性信息绑定认证大有可为。

1.3 本文主要内容及章节安排

本文围绕802.1X认证技术和分布式防火墙技术进行展开，通过分析802.1X协议和分布式防火墙的工作原理，探讨了802.1X认证和分布式防火墙技术协同工作的可能性，由此引入和详细介绍了基于身份和主机安全状况的网络接入控制系统，并重点研究网络控制接入系统的结构和工作原理，同时给出了一种网络接入控制系统的设计和实现。

本文各章具体内容组织如下：

第一章通过介绍802.1X认证技术和分布式防火墙的发展阐述课题的背景，分析了802.1X身份验证在保护内网网络安全中的局限性，说明在802.1X认证基础上检查终端设备安全状态的意义和必要性，最后简要介绍本文研究的主要内容。

第二章对802.1X协议及其相关的EAP协议、RADIUS协议进行介绍和分析，并结合802.1X认证流程，对EAP包的扩展问题进行分析，并且详细的分析了一个典型的802.1X认证流程。

第三章对分布式防火墙的模型和工作原理进行说明和分析，结合802.1X协议的扩展和安全漏洞，提出802.1X和DFW技术协同工作的方案，并介绍了实现方案的关键