| 【中文题名】 | 分布式防火墙策略的分析与设计 |
| 【英文题名】 | |
| 【学科专业】 | 计算机应用技术 |
| 【论文级别】 | 硕士论文 |
| 【投稿时间】 | 2006-12-6 |
| 【中关键词】 | 分布式防火墙,认证加密,策略异常,策略分发,安全通道, |
| 【英关键词】 | Distributed Firewall,Encryption and Authentication,Discovery of Policy Anomalies,Policy Distributing,Secure Channel, |
| 【分类导航】 | 工业技术>自动化技术、计算机技术>计算技术、计算机技术>计算机的应用>计算机网络>一般性问题 |
| 【论文摘要】 | 随着网络的发展,传统防火墙单一控制点逐渐成为网络性能的瓶颈及安全隐患,为了克服传统防火墙的局限性,分布式防火墙的概念应运而生。在分布式防火墙中,安全策略统一制定,由各主机负责实施,很好地解决了边界防火墙安全策略越来越膨胀的弊端及内部网的安全性问题。
本文在分析了典型的分布式防火墙的基础上,设计了一种新型的分布式防火墙,将分布式防火墙中策略控制中心的功能弱化,把它的部分功能整合在节点防火墙中。本文给出了两种新型分布式防火墙模型。模型1保留了中心服务器来记录各防火墙节点的地址信息,设计完成了各节点防火墙之间通信协作的传输协议。模型2中的防火墙则建立在完全分布式结构之上,按层次结构将节点防火墙划分两类,超级防火墙和普通防火墙,借鉴了Gnutella协议,在它的基础上改进,设计了防火墙之间的地址发现协议,为策略信息制定了分发方案。
本文在模型1的基础上,对分布式防火墙中的各个功能模块进行分析和设计,着重描述了策略异常发现模块和加密认证模块,给出了策略异常的发现方法,设计了安全传输通道,为分布式防火墙安全策略的传输提供保证。 |
| 【论文题纲】 |
|
摘要 |
3-4 |
|
Abstract |
4-7 |
|
1 绪论 |
7-10 |
|
1.1 课题的研究意义 |
7-8 |
|
1.2 本文的主要内容 |
8 |
|
1.3 论文的组织结构 |
8-10 |
|
2 分布式防火墙概述 |
10-20 |
|
2.1 防火墙技术的发展 |
10-12 |
|
2.1.1 传统型防火墙的主要技术 |
10-11 |
|
2.1.2 传统型防火墙的主要缺陷 |
11-12 |
|
2.2 分布式防火墙技术 |
12-14 |
|
2.2.1 分布式防火墙的提出 |
12 |
|
2.2.2 分布式防火墙的结构 |
12-13 |
|
2.2.3 分布式防火墙的工作原理 |
13-14 |
|
2.3 分布式防火墙的相关研究 |
14-19 |
|
2.3.1 防火墙策略的相关研究 |
14-16 |
|
2.3.2 分布式防火墙中安全机制的研究 |
16-17 |
|
2.3.3 基于协同工作的网络安全系统的研究 |
17-18 |
|
2.3.4 国内外分布式防火墙的研究产品 |
18-19 |
|
2.4 本章小结 |
19-20 |
|
3 分布式防火墙的核心技术 |
20-36 |
|
3.1 分布式防火墙系统模型 |
20-23 |
|
3.1.1 基于 C/S架构的分布式防火墙 |
20 |
|
3.1.2 基于 Keynote的分布式防火墙模型 |
20-21 |
|
3.1.3 基于 IPSec的分布式防火墙 |
21 |
|
3.1.4 分布式动态防火墙系统 |
21-23 |
|
3.2 加密认证 |
23-27 |
|
3.2.1 加密认证技术 |
23-24 |
|
3.2.2 Agent加密认证 |
24-25 |
|
3.2.3 基于密钥的加密认证 |
25 |
|
3.2.4 证书认证 |
25-27 |
|
3.2.4.1 证书申请流程 |
25-26 |
|
3.2.4.2 证书查询流程 |
26 |
|
3.2.4.3 共享对称密钥协商流程 |
26-27 |
|
3.3 分布式防火墙的安全策略技术 |
27-35 |
|
3.3.1 策略的描述语言 |
27-28 |
|
3.3.2 防火墙的策略规则的异常检测 |
28-35 |
|
3.3.2.1 过滤规则的定义 |
29-30 |
|
3.3.2.2 防火墙规则策略树的表达法 |
30-31 |
|
3.3.2.3 防火墙规则关系的表示 |
31-33 |
|
3.3.2.4 防火墙规则异常的分类 |
33 |
|
3.3.2.5 防火墙策略的异常发现 |
33-35 |
|
3.4 本章小结 |
35-36 |
|
4 分布式防火墙传输策略的分析与设计 |
36-62 |
|
4.1 典型的分布式防火墙模型 |
36-39 |
|
4.1.1 策略控制中心模块结构 |
37 |
|
4.1.2 节点防火墙的模块结构 |
37-38 |
|
4.1.3 典型分布式防火墙中的安全传输策略设计 |
38-39 |
|
4.2 新型分布式防火墙的模型 |
39-47 |
|
4.2.1 对模型1的分析 |
41-43 |
|
4.2.2 对模型2的分析 |
43-47 |
|
4.2.2.1 防火墙的初始化 |
44-45 |
|
4.2.2.2 策略分发协议 |
45-47 |
|
4.3 基于模型1的新型分布式防火墙的模块设计 |
47-61 |
|
4.3.1 网络通信模块 |
48 |
|
4.3.2 加密认证模块 |
48-51 |
|
4.3.2.1 基于 CA的身份认证 |
49 |
|
4.3.2.2 信息认证加密传输流程 |
49-50 |
|
4.3.2.3 安全通道的建立 |
50-51 |
|
4.3.3 策略管理模块 |
51-52 |
|
4.3.3.1 策略的管理 |
51-52 |
|
4.3.3.2 策略语言的解析 |
52 |
|
4.3.4 策略异常检测模块 |
52-57 |
|
4.3.4.1 部分数据结构的定义 |
53-54 |
|
4.3.4.2 防火墙策略异常发现算法 |
54-57 |
|
4.3.5 日志管理模块 |
57-60 |
|
4.3.5.1 日志的存储 |
57-58 |
|
4.3.5.2 日志的传输 |
58-59 |
|
4.3.5.3 日志的管理 |
59-60 |
|
4.3.6 代理防火墙之间的协作 |
60-61 |
|
4.4 本章小结 |
61-62 |
|
5 总结与展望 |
62-63 |
|
致谢 |
63-64 |
|
参考文献 |
64-70 |
|
| 【DOI】 | LunWen.ID:2.2008.374111 |
