收藏本站
《中国科学技术大学》 2007年
收藏 | 手机打开
二维码
手机客户端打开本文

防火墙系统策略配置研究

陈文惠  
【摘要】: 随着互联网技术的发展,企业对互联网更加依赖,互联网也通过其便捷的通讯能力、低廉的通讯成本令企业的组织模式产生了巨大变化。现在很多企业更愿意把传统的信息交流放在互联网这个大平台上,以协同信息系统对企业内外部资源进行统一调配;同时,企业也通过互联网寻找到更多合作伙伴,更多商机,他们利用互联网与异地企业共同完成大量合作项目,创造了以往不能想象的利润。 然而,来自企业内部和外部的安全威胁随时会给企业运营带来巨大的灾难,并最终影响企业的盈利能力和客户满意度,安全问题已经成为现代企业面临的最大挑战。如何保证企业内部网络的安全呢?防火墙技术应运而生。防火墙技术被称为“网络安全的第一道闸门”,其重要性是显而易见的。本文从独立防火墙和分布式防火墙两个方面对防火墙策略的配置问题进行了研究,主要内容概括如下: (1)早期的防火墙策略表示模型注意力主要集中在提高过滤速度上,很少考虑防火墙策略本身也会发生改变这一情况。比如企业网络拓扑结构发生改变,防火墙策略中的一些规则已经无效了,那么我们需要删除这些规则,然而以前的这些工具不能动态的表示更新,相反,它们需要重新构造防火墙策略表示模型。而随着网络应用的进一步深化,防火墙策略是经常可能发生变化的。如果每次改变都需要重新构造防火墙,这个代价就太大了。 我们给出了一种可动态更新的防火墙策略表示—MFDT。一方面,MFDT可以进行包过滤;另一方面,MFDT可以动态反应防火墙策略的更新。针对防火墙策略的三种更新情况,我们设计了相应的算法。对于更新后的MFDT,我们设计了合并算法,它可以合并MFDT中的相同子树,从而提高过滤效率。 (2)企业根据自身的安全需要对防火墙进行相应的配置,其配置结果就是防火墙策略,也就是防火墙内部的规则表。然而,在独立防火墙的策略配置过程中,可能会出现一些问题。一方面安全管理员可能在最初配置规则表的时候,出现一些错误,另一方面随着规则表中规则数目的增长,不同的规则之间发生冲突的可能性也相应增加。 我们就独立防火墙在策略配置过程中容易出现的5种错误进行了分析,根据不同的错误给出了相应的解决方案,我们也给出了检测错误的两种算法。基于归纳的算法可以快速的对策略配置错误进行检测,而基于Trie的算法由于采用了Trie结构,检测效率进一步得到提升。 (3)分布式防火墙中的各个独立防火墙可能来自不同的厂商,它们的配置方法可能存在着一定的差异,这就给配置这些防火墙带来了一定的困难。另外,尽管防火墙的安全策略是统一制定的,但是这种安全策略一般由自然语言表示,由于自然语言的模糊性,不同的安全管理员对策略的理解可能并非完全相同,当他们配置独立防火墙的时候也就导致了独立防火墙间的策略不一致。 面对这些问题,我们提供了一个平台—FPT,在这个平台上可以对分布式防火墙的防火墙策略进行比较,找出其中不一致的地方,然后修正防火墙策略,使分布式防火墙真正能够发挥其应有的作用。我们给出了FPT的构造算法,该算法可以把一个防火墙策略转换为等价的FPT,也给出了FPT的比较算法,该算法可以比较不同策略树之间的差异,在这两点的基础上,我们给出了分布式防火墙策略的比较模型。 另外,即便每个独立防火墙都正确配置,分布式防火墙策略也还可能出现配置错误和冲突,给企业带来安全隐患。我们首先从防火墙规则域的可能关系出发,推导出防火墙规则的可能关系,然后,以此为基点,详细地探讨了可能存在的策略配置错误,同时也给出了检测错误的算法。
【学位授予单位】:中国科学技术大学
【学位级别】:博士
【学位授予年份】:2007
【分类号】:TP393.08

知网文化
【相似文献】
中国期刊全文数据库 前10条
1 Ross Anderson;Tyler Moore;陆俊秀;;信息安全的经济学(之一)[J];中国教育网络;2007年12期
2 陈伟;人力防火墙管理系列之一——筑堵“人力”防火墙[J];中国计算机用户;2004年08期
3 张晶;“应急”的声音——更多关注应急体系,更好确保信息安全[J];信息安全与通信保密;2005年05期
4 ;第二届《信息安全与通信保密》杂志理事会暨第一届《通信技术》年会征文通知[J];通信技术;2009年08期
5 ;联想网御获奖[J];数字通信世界;2010年05期
6 刘立勇;;在军事领域里巧用信息隐藏技术[J];现代营销(学苑版);2011年08期
7 陈朝晖;nternet网络信息安全问题及其对策[J];图书馆;1997年06期
8 刘建明;俄罗斯面临的信息安全新形势及对策[J];情报杂志;1999年06期
9 梅湘;文虎;;拒绝入侵[J];每周电脑报;1999年43期
10 ;专家荟萃星城 聚集信息安全[J];金融电子化;1999年12期
中国重要会议论文全文数据库 前10条
1 王丹;;加强用户安全意识,提升主机防御能力[A];全国计算机安全学术交流会论文集(第二十四卷)[C];2009年
2 刘琼瑶;;计算机信息安全与防范浅析[A];’2004计算机应用技术交流会议论文集[C];2004年
3 张岚;郭俊杰;;信息安全风险评估的安全措施探讨[A];2011年通信与信息技术新进展——第八届中国通信学会学术年会论文集[C];2011年
4 陈晖;刘瑶;;量子保密通信与信息安全[A];第十一届保密通信与信息安全现状研讨会论文集[C];2009年
5 张艳;顾健;李毅;;生物特征识别及其在信息安全中的应用[A];全国计算机安全学术交流会论文集(第二十四卷)[C];2009年
6 刘京玲;陈元;;信息隐藏-数字水印[A];第十八次全国计算机安全学术交流会论文集[C];2003年
7 何晓辉;;信息隐藏技术研究[A];第二十一次全国计算机安全学术交流会论文集[C];2006年
8 仲维国;;信息安全风险评估与管理工具研究[A];中国信息协会信息安全专业委员会年会文集[C];2004年
9 李宛灵;李新广;;局域网的信息监控[A];河南省通信学会2005年学术年会论文集[C];2005年
10 徐鹏;;数据加密技术在银行系统中的应用[A];江苏省计量测试学术论文集(2010)[C];2010年
中国重要报纸全文数据库 前10条
1 ;信息安全攻击损失仍在上升[N];计算机世界;2003年
2 荣新IT培训中心 张琦;2009信息安全的五大威胁[N];中国计算机报;2009年
3 记者 吴生锋;扬州信息产业前景好[N];扬州日报;2009年
4 上海社会科学院副研究员 博士 丁波涛;解决三大难题加快物联网应用[N];中国电子报;2009年
5 本报记者 马博;以技术优势抢占信息安全蓝海[N];中国电子报;2009年
6 郑燃 沙洲(本报记者 郑燃);信息安全产品定点采购 成本低效率高[N];政府采购信息报;2010年
7 本报记者 胡英;赛门铁克新技术 降低企业安全风险[N];计算机世界;2010年
8 中国科学院信息安全国家重点实验室教授 翟起滨;云计算引出的闲言碎语[N];中国计算机报;2010年
9 北京神州泰岳信息安全技术有限公司 张建军;综合安全管控平台规范安全管理[N];通信产业报;2010年
10 记者 郭川;加强信息安全国际合作[N];人民邮电;2010年
中国博士学位论文全文数据库 前10条
1 陈文惠;防火墙系统策略配置研究[D];中国科学技术大学;2007年
2 王焕宝;安全协议分析的形式化理论与方法[D];合肥工业大学;2006年
3 徐志大;信息系统纵深防护关键技术研究[D];中国人民解放军信息工程大学;2003年
4 余位驰;格基规约理论及其在密码设计中的应用[D];西南交通大学;2005年
5 李健;抗几何攻击的数字图像水印技术的研究[D];南京理工大学;2009年
6 哈进兵;基于Web的协同产品开发体系结构及信息安全技术研究[D];南京理工大学;2002年
7 彭军;混沌在网络信息安全中的应用研究[D];重庆大学;2003年
8 蒋建春;面向网络环境的信息安全对抗理论及关键技术研究[D];中国科学院研究生院(软件研究所);2004年
9 许春根;访问控制技术的理论与方法的研究[D];南京理工大学;2003年
10 高虎明;匿名通信和电子现金的研究[D];西安电子科技大学;2002年
中国硕士学位论文全文数据库 前10条
1 张昊;网络环境下变电站自动化系统脆弱性评估[D];华北电力大学(北京);2009年
2 朱翔淼;艇内多媒体通信系统的实现与信息安全的研究[D];哈尔滨工程大学;2005年
3 陈慧勤;企业信息安全风险管理的框架研究[D];同济大学;2006年
4 狄玮杰;计算机日志稽查与事件关联分析[D];同济大学;2006年
5 武强;信息安全中的数字水印协议研究[D];西南交通大学;2006年
6 赵大鹏;我国电子政府信息安全体系研究[D];吉林大学;2004年
7 梁庆永;非线性理论在信息安全及景观模拟中的应用[D];大连理工大学;2004年
8 刘志寒;基于QoS的煤矿安全实时监测系统通信协议研究及系统设计[D];华东师范大学;2005年
9 孟楠;分布式内存数据库系统设计实现与应用[D];南京理工大学;2005年
10 李莉丽;实时分布系统容错调度算法的设计与实现[D];电子科技大学;2005年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026