3.IF-MAP协议的应用场景

　　假设如下的网络环境：

　　图3 IF-MAP协议应用环境

　　1) 用户john通过一台终端(device-x)登录到内部网络

　　John通过TNC客户端向PEP设备(一台802.1x的交换机)请求接入，并提交device-x的完整性信息(ip地址、mac地址、操作系统版本、防病毒软件版本等等);

　　PEP向PDP(一台RADIUS服务器)转发客户端信息，PDP通过了用户身份和平台完整性验证，并以finance manager的角色给john授权，通知PEP可以接入;

　　PDP通过IF-MAP协议向MAP服务器发布device-x的状态信息、用户信息和授权信息;

　　2) John需要访问内部的finance server

　　内部防火墙检测到device-x的访问请求，由于其可能是动态IP地址，因此没有静态的访问控制策略，此时防火墙通过IF-MAP协议向MAP服务器进行搜索;

　　通过搜索发现device-x设备当前的用户授权为finance manager，而且设备状态可信，于是防火墙通过添加动态策略允许该访问请求;

　　3) IDS设备发现device-x正在被木马控制

　　虽然device-x上的防病毒软件已经是最新版本，但其仍然被木马控制(这种情况常常发生)，好在木马通讯数据流被IDS检测到;

　　IDS马上通过IF-MAP协议向MAP服务发布该安全事件;

　　MAP服务立刻通过IF-MAP协议通知PDP有安全事件发生，PDP通过判断立刻修改device-x的可信状态，通知PEP对device-x进行隔离处理，删除device-x的finance manager授权，并将新的状态和授权信息发布到MAP服务器;

　　由于授权信息发生改变，MAP服务器立刻通过IF-MAP协议通知防火墙更新device-x的授权，从而删除内部的动态策略;