Internet的开放性和商业化促使越来越多的局域网络加入到Internet中,当局域网连接到Internet上时,防止非法入侵,确保局域网的安全是至关重要的。最有效的防范措施是在局域网和外部网络之间设置一个防火墙,实施网络之间的安全访问控制,确保局域网的安全。防火墙是一种综合性技术,它主要起访问控制的作用,可以放置在网络边界、内部或者主机上,阻止恶意数据,允许正常数据出入。防火墙身份认证模块是防火墙自身安全的第一道屏障,也是其它安全服务的基础。它是保护局域网的第一道关卡,负责来自内外网络客户的所有身份认证,并统一进行管理,所以建立一个统一和安全可靠的身份认证系统具有十分重要的意义。本文对防火墙访问控制进行了分析,找出了防火墙在身份认证方面的不足。对防火墙身份认证提出了一种新的方法,将PKI技术与防火墙技术相结合,给出了基于PKI的防火墙身份认证系统设计。本系统将防火墙体系中身份认证功能模块抽取出来,设计成一个独立的身份认证系统,主要完成某些安全性要求较高的应用层服务以及对局域网资源的访问控制。本身份认证系统包括身份认证服务器、认证客户端和应用代理三部分,具有如下的特点:该系统采用认证体制与协议分离的技术,可以根据需要采用不同的认证协议,易于集成新的认证技术,灵活性高,可扩展性强;在系统中引入角色控制策略,对不同的用户授予不同的使用权限,结合动态的认证协议完成对用户访问局域网的控制,提高了系统的工作效率;X.509公钥证书的引入和基于公钥体制认证协议的应用,提高了系统的安全性;在客户端增加代理程序,充分兼容了用户原有的系统。