防火墙是网络安全的关键技术之一,随着IT技术的飞速发展和企业网络的迅速普及,要想解决越来越突出的企业网络安全问题,单纯的依靠防火墙技术显然无法满足要求,建立以防火墙为核心的网络安全体系已经成为网络安全技术的一大发展趋势。本文首先分析对比了传统边界防火墙和分布式防火墙的优缺点,从而对分布式防火墙的概念、原理及其体系结构进行了深入的研究,明确了分布式防火墙的任务及其特点。在此基础上,将策略强制的概念同防火墙技术相结合,用准入控制器替代了传统分布式防火墙中的网络防火墙,设计了一种基于准入控制器的分布式防火墙安全体系。准入控制器在防火墙中的实现,改变了防火墙在网络攻击中的被动局面,它通过对入访者严格的策略强制来保证企业内网的安全,它从策略管理服务器获得最新的安全策略和安全代理的认证信息,对安全代理的真实性以及安全策略的执行程度进行彻底的核实,确保入网用户的安全性。根据功能及控制对象的不同,准入控制器可分为外网准入控制器和内网准入控制器两种。外网准入控制器用以认证通过企业网络接入点(如VPN,无线接入点,RAS拨号服务器)访问企业内部网络的主机;内网准入控制器主要对企业内部网络的接入用户进行认证,它实现了端口控制同分布式防火墙的结合,既保证了接入用户的合法性,又确保了其安全性。本文重点分析了两种准入控制器在分布式防火墙中的工作原理,设计了认证流程,给出了实现方法,并提出了一种安全策略的解析方案。中央策略管理服务器是分布式防火墙安全系统的中心,是安全策略的制定和分发者,负责管理用户和计算机群组,通过通讯模块和后台数据库,保持与准入控制器、安全代理及其它策略管理服务器的通讯。安全代理是安全策略的具体实施者,负责下载并执行最新的安全策略,为策略管理服务器提供审计日志,为策略管理员提供安全报告,本文给出了安全代理的实现构架图,重点设计了核心检测模块、IP加密模块和应用级检测模块。