随着信息技术的高速发展,网络安全技术也越来越受到重视,由此推动了防火墙、访问控制等各种网络安全技术的蓬勃发展。出于网络安全和计费的需要,基于端口控制的802.1X技术成为主流的身份验证机制,与此同时,以“集中式管理、分布式防护”为理念的分布式防火墙也以有效的端点防护成为企业网络安全重要解决方案。如今,有70%以上的安全威胁来自于企业内部,那些通过身份认证的主机往往有意无意地充当着攻击源,使得管理员防不胜防。企业希望能够以基于身份验证和主机安全状态的新型信任模式来控制终端接入内网。论文主要针对802.1X认证技术和分布式防火墙技术协同工作开展深入研究,并给出一种具体的解决方案。首先,对802.1X协议及相关的EAP协议和RADIUS协议进行系统的研究。通过分析802.1X技术所采用的安全技术和工作原理,实现802.1X的从基于端口到基于用户的扩展。分析整理了EAP、RADIUS协议的工作流程、数据包格式,基于EAP协议的可扩展性,实现利用EAPOL帧携带私有信息。接着,对分布式防火墙系统的工作原理和流程进行深入研究。通过对中央策略服务器、主机防火墙和边界防火墙工作机制的分析,提出将主机完整性检测和802.1X认证技术融合。通过分析和比较主机防火墙包拦截的几种技术,采用NDIS中间层驱动程序技术拦截802.1X认证包,并结合EAPOL帧携带私有信息,实现对主机完整性检测结果的合法传送。最后,定义了基于身份验证和主机完整性的新型信任模式,设计出网络接入控制系统,重点研究利用802.1X存在的安全漏洞,实现HI判决服务器的“透明”架设。具体实现时,采用WMI技术实现对主机完整性的检测,NDIS中间层驱动技术实现对802.1X认证包的拦截。通过对用户身份和主机安全状况的同时验证,实现网络接入控制(Network Access Control, NAC)系统,并详细介绍了NAC系统的认证流程。