随着Internet 在全球的飞速发展,防火墙成为目前最重要的信息安全产品,然而,以边界防御为中心的传统防火墙如今却很难实现安全性能和网络性能之间的平衡。分布式防火墙的提出很大程度的改善了这种困境,实现了网络的安全。论文在分布式防火墙概念的基础上结合当前网络安全技术的发展,对分布式防火墙理论作了进一步的改进和完善,设计了一个切实可行的解决方案。新的方案由中央策略管理服务器、网关型强制服务器、局域网强制服务器和网络端点上安装的主机防火墙组成。在对分布式防火墙的关键技术做了具体的分析之后,论文对新设计的分布式防火墙结构体系重点研究了其数据流、功能关系和相互间的通讯。系统的中心是中央策略服务器,其通过不同的通讯模块与后台数据库、两种强制服务器和主机防火墙保持通讯。论文针对分布式防火墙的技术难题——“策略强制”提出了“强制服务器”的概念并提出了具体的设计方案。强制服务器分为两种,分别是网关型强制服务器和局域网强制服务器。网关型强制服务器被部署在企业的网络入口和出口处,它类似于一个网桥的作用,对进出企业网络的所有用户,尤其是VPN 和无线接入用户进行认证。局域网强制服务器与网关型强制服务器不同,它部署在企业局域网内部,对所有内部局域网用户在通过交换机联入网络之前进行认证,认证协议采用标准的802.1X 协议。此时局域网强制服务器相当于一个标准的Radius 服务器,再结合交换机和客户机上的安全代理程序共同组成一个认证系统。论文重点设计了这三者之间相互通讯协议和流程。测试是系统非常重要的一步,论文的最后部分给出了对此方案进行详细测试的结果,并在现有基础上对后继扩展与开发进行了展望。