| 【中文题名】 | Linux下的分布式防火墙设计与实现 |
| 【英文题名】 | |
| 【学科专业】 | 计算机应用技术 |
| 【论文级别】 | 硕士论文 |
| 【投稿时间】 | 2006-12-6 |
| 【中关键词】 | 分布式防火墙,代理防火墙,策略协商,,, |
| 【英关键词】 | Distributed Firewall,Proxy Firewall,Policy cooperation, |
| 【分类导航】 | 工业技术>自动化技术、计算机技术>计算技术、计算机技术>计算机的应用>计算机网络>一般性问题 |
| 【论文摘要】 | 传统的边界防火墙存在单点失效和性能瓶颈的局限性,而且依赖于网络的拓扑结构实施其安全策略。在网络高速发展的今天,传统防火墙的局限性越发显得明显。分布式防火墙正是在这样的背景下产生的。通过将防火墙分布到具体的受保护主机上,分布式防火墙可以解决单点失效和性能瓶颈的问题。
分布式防火墙是相对较新的技术,目前还没有固定的模式。本文在分析了分布式防火墙研究现状的基础了提出了一个基于代理服务器的分布式防火墙模型。通过使用代理服务器构建代理防火墙分别对不同的服务器实施保护,并且代理防火墙从联动的入侵检测系统获取策略。在这个的模型中,代理防火墙之间合理的策略协同是保证它能高效运作的基础。
本文着重分析和设计了保证各代理防火墙之间协调工作的策略协商机制。首先讨论了三种策略协商方案,并在分析、比较这三种方案的优劣的基础上,选择了基于控制的中心的策略协商机制进行设计和实现。基于控制中心的策略协商机制包括协商策略的接收与分发、协商策略的表示、协商策略的管理、协商策略的异常检测、协商策略的加载与执行等内容。
最后,本文在Linux平台下设计和实现了这个分布式防火墙模型的一个实例。 |
| 【论文题纲】 |
|
摘要 |
3-4 |
|
Abstract |
4-7 |
|
1 绪论 |
7-9 |
|
1.1 课题来源和研究意义 |
7 |
|
1.2 论文结构 |
7-8 |
|
1.3 本文工作 |
8-9 |
|
2 分布式防火墙 |
9-18 |
|
2.1 防火墙发展历程 |
9 |
|
2.2 防火墙基本技术 |
9-10 |
|
2.3 传统防火墙及其面临的挑战 |
10-11 |
|
2.4 分布式防火墙 |
11-18 |
|
2.4.1 分布式防火墙概述 |
11 |
|
2.4.2 分布式防火墙的系统模型 |
11-13 |
|
2.4.3 分布式防火墙的策略管理与分发 |
13-15 |
|
2.4.4 分布式防火墙的联动技术 |
15-18 |
|
3 相关技术基础 |
18-26 |
|
3.1 代理防火墙技术 |
18-20 |
|
3.1.1 代理防火墙概述 |
18 |
|
3.1.2 代理防火墙的优点与缺点 |
18-19 |
|
3.1.3 代理服务器的实现技术 |
19-20 |
|
3.2 OpenSSL |
20-24 |
|
3.2.1 SSL协议 |
20-21 |
|
3.2.2 OpenSSL编程技术 |
21-24 |
|
3.3 线程池技术 |
24-26 |
|
4. 分布式防火墙的设计原型 |
26-38 |
|
4.1 代理服务器Kingate |
26 |
|
4.2 Kingate源代码分析 |
26-30 |
|
4.2.1 Kingate的总体结构 |
26-27 |
|
4.2.2 Kingate的源代码分析 |
27-30 |
|
4.3 策略协商机制 |
30-31 |
|
4.3.1 完全分布式的策略协商机制 |
30 |
|
4.3.2 扩展的分布式策略协商机制 |
30-31 |
|
4.3.3 基于控制中心的策略协商机制 |
31 |
|
4.4 协商策略格式 |
31-33 |
|
4.5 分布式防火墙的设计原型 |
33-38 |
|
4.5.1 体系结构 |
33 |
|
4.5.2 控制中心的结构 |
33-34 |
|
4.5.3 代理防火墙的结构 |
34-35 |
|
4.5.4 策略协商模块 |
35 |
|
4.5.5 策略解析模块 |
35-36 |
|
4.5.6 异常检测模块 |
36 |
|
4.5.7 策略执行模块 |
36 |
|
4.5.8 策略管理模块 |
36 |
|
4.5.9 日志模块 |
36-38 |
|
5 分布式防火墙的实现 |
38-65 |
|
5.1 系统初始化 |
38-39 |
|
5.1.1 控制中心的初始化 |
38 |
|
5.1.2 代理防火墙的初始化 |
38-39 |
|
5.2 SSL安全通信的实现 |
39-42 |
|
5.2.1 创建 CA中心 |
39-40 |
|
5.2.2 SSL安全通信的编程实现 |
40-42 |
|
5.3 策略协商机制的实现 |
42-60 |
|
5.3.1 线程模型 |
42-43 |
|
5.3.2 策略协商的数据结构 |
43-44 |
|
5.3.3 控制中心的策略协商机制 |
44-49 |
|
5.3.3.1 协商策略的管理 |
44-46 |
|
5.3.3.2 策略接收流程 |
46-47 |
|
5.3.3.3 策略分发流程 |
47-49 |
|
5.3.4 代理防火墙的策略协商机制 |
49-60 |
|
5.3.4.1 策略协商的流程 |
49-53 |
|
5.3.4.2 策略解析的实现 |
53-54 |
|
5.3.4.3 协商策略的加载与执行 |
54-58 |
|
5.3.4.4 异常检测的实现 |
58-60 |
|
5.4 keepalive报文 |
60-61 |
|
5.5 日志模块的实现 |
61-63 |
|
5.6 部署与实施 |
63-65 |
|
6 总结 |
65-67 |
|
6.1 解决的问题 |
65-66 |
|
6.2 进一步的工作和未来的展望 |
66-67 |
|
致谢 |
67-68 |
|
参考文献 |
68-71 |
|
附录 A |
71-72 |
|
| 【DOI】 | LunWen.ID:2.2008.374117 |
