收藏本站
《中国科学技术大学》 2007年
收藏 | 手机打开
二维码
手机客户端打开本文

防火墙系统策略配置研究

陈文惠  
【摘要】: 随着互联网技术的发展,企业对互联网更加依赖,互联网也通过其便捷的通讯能力、低廉的通讯成本令企业的组织模式产生了巨大变化。现在很多企业更愿意把传统的信息交流放在互联网这个大平台上,以协同信息系统对企业内外部资源进行统一调配;同时,企业也通过互联网寻找到更多合作伙伴,更多商机,他们利用互联网与异地企业共同完成大量合作项目,创造了以往不能想象的利润。 然而,来自企业内部和外部的安全威胁随时会给企业运营带来巨大的灾难,并最终影响企业的盈利能力和客户满意度,安全问题已经成为现代企业面临的最大挑战。如何保证企业内部网络的安全呢?防火墙技术应运而生。防火墙技术被称为“网络安全的第一道闸门”,其重要性是显而易见的。本文从独立防火墙和分布式防火墙两个方面对防火墙策略的配置问题进行了研究,主要内容概括如下: (1)早期的防火墙策略表示模型注意力主要集中在提高过滤速度上,很少考虑防火墙策略本身也会发生改变这一情况。比如企业网络拓扑结构发生改变,防火墙策略中的一些规则已经无效了,那么我们需要删除这些规则,然而以前的这些工具不能动态的表示更新,相反,它们需要重新构造防火墙策略表示模型。而随着网络应用的进一步深化,防火墙策略是经常可能发生变化的。如果每次改变都需要重新构造防火墙,这个代价就太大了。 我们给出了一种可动态更新的防火墙策略表示—MFDT。一方面,MFDT可以进行包过滤;另一方面,MFDT可以动态反应防火墙策略的更新。针对防火墙策略的三种更新情况,我们设计了相应的算法。对于更新后的MFDT,我们设计了合并算法,它可以合并MFDT中的相同子树,从而提高过滤效率。 (2)企业根据自身的安全需要对防火墙进行相应的配置,其配置结果就是防火墙策略,也就是防火墙内部的规则表。然而,在独立防火墙的策略配置过程中,可能会出现一些问题。一方面安全管理员可能在最初配置规则表的时候,出现一些错误,另一方面随着规则表中规则数目的增长,不同的规则之间发生冲突的可能性也相应增加。 我们就独立防火墙在策略配置过程中容易出现的5种错误进行了分析,根据不同的错误给出了相应的解决方案,我们也给出了检测错误的两种算法。基于归纳的算法可以快速的对策略配置错误进行检测,而基于Trie的算法由于采用了Trie结构,检测效率进一步得到提升。 (3)分布式防火墙中的各个独立防火墙可能来自不同的厂商,它们的配置方法可能存在着一定的差异,这就给配置这些防火墙带来了一定的困难。另外,尽管防火墙的安全策略是统一制定的,但是这种安全策略一般由自然语言表示,由于自然语言的模糊性,不同的安全管理员对策略的理解可能并非完全相同,当他们配置独立防火墙的时候也就导致了独立防火墙间的策略不一致。 面对这些问题,我们提供了一个平台—FPT,在这个平台上可以对分布式防火墙的防火墙策略进行比较,找出其中不一致的地方,然后修正防火墙策略,使分布式防火墙真正能够发挥其应有的作用。我们给出了FPT的构造算法,该算法可以把一个防火墙策略转换为等价的FPT,也给出了FPT的比较算法,该算法可以比较不同策略树之间的差异,在这两点的基础上,我们给出了分布式防火墙策略的比较模型。 另外,即便每个独立防火墙都正确配置,分布式防火墙策略也还可能出现配置错误和冲突,给企业带来安全隐患。我们首先从防火墙规则域的可能关系出发,推导出防火墙规则的可能关系,然后,以此为基点,详细地探讨了可能存在的策略配置错误,同时也给出了检测错误的算法。
【学位授予单位】:中国科学技术大学
【学位级别】:博士
【学位授予年份】:2007
【分类号】:TP393.08

【引证文献】
中国期刊全文数据库 前3条
1 杨迪;;计算机网络安全问题的成因及硬件防范技术分析[J];电脑知识与技术;2012年05期
2 许强;;基于网络安全视角下的信息化建设[J];江西电力;2010年06期
3 李恒涛;;系统安全管理的重要性研究和现状分析[J];科技信息;2010年16期
中国博士学位论文全文数据库 前3条
1 王春元;公共网络信息系统安全管理的研究[D];合肥工业大学;2009年
2 邓文俊;基于答案集程序的防火墙策略分析方法[D];武汉大学;2010年
3 郭睿;分布式拒绝服务攻击防御技术研究[D];东北大学;2008年
中国硕士学位论文全文数据库 前10条
1 周长林;防火墙规则集优化设计研究[D];哈尔滨工程大学;2010年
2 周海涛;基于ASIC架构的防火墙关键技术研究[D];西南交通大学;2011年
3 黄晗辉;防火墙规则的异常检测及优化研究[D];重庆大学;2010年
4 叶枝;江西省地方税务防火墙系统的研究与应用[D];南昌大学;2011年
5 周宪平;分布式防火墙策略异常检测算法研究[D];南京理工大学;2008年
6 张前忠;分布式防火墙与入侵检测系统的联动技术研究[D];南京理工大学;2008年
7 肖晨阳;基于FPGA的硬件防火墙设计和实现[D];湖南师范大学;2009年
8 王保银;基于COBRA的区域VTMIS系统的研究与设计[D];上海交通大学;2008年
9 李兴邦;基于虚拟化技术的内核代码保护机制[D];湖南大学;2009年
10 刘军军;基于决策树的防火墙策略算法研究[D];中南大学;2009年
【参考文献】
中国期刊全文数据库 前10条
1 李剑,刘美华,曹元大;分布式防火墙系统[J];安全与环境学报;2002年01期
2 王伟,曹元大;分布式防火墙关键技术研究[J];大连理工大学学报;2003年S1期
3 艾军;防火墙体系结构及功能分析[J];电脑知识与技术;2004年08期
4 何军;防火墙各功能模块的应用[J];计算机安全;2004年04期
5 孟涛,杨磊;防火墙和安全审计[J];计算机安全;2004年04期
6 李守鹏,孙红波;信息系统安全策略研究[J];电子学报;2003年07期
7 刘更楼,丁常福,姜建国;基于状态检测的防火墙系统研究[J];航空计算技术;2004年01期
8 韩晓非,王学光,杨明福;位并行数据包分类算法研究[J];华东理工大学学报;2003年05期
9 邹勇,白跃彬,赵银亮;增强型包过滤防火墙规则的形式化及推理机的设计与实现[J];计算机研究与发展;2000年12期
10 冯东雷,张勇,白英彩;线速数据包输入处理技术[J];计算机研究与发展;2002年01期
【共引文献】
中国期刊全文数据库 前10条
1 郑崧;梁昌勇;;分布式防火墙及其在企业网中的应用[J];安徽建筑工业学院学报(自然科学版);2006年03期
2 徐涛;张学东;;一种基于Mobile Agent的分布式主动防火墙体系结构[J];鞍山科技大学学报;2006年01期
3 邹颖;;新型混合网络防火墙系统的结构与实现[J];才智;2009年17期
4 江朝勇;邓亚平;余磊;;一种基于Cross-Product与HashTree的IP分类算法[J];重庆邮电学院学报(自然科学版);2006年05期
5 周宏;;高校校园网络系统安全策略防护设计[J];长春理工大学学报;2012年04期
6 秦智;揭金良;;防火墙分布集中管理应用研究[J];成都信息工程学院学报;2005年06期
7 梁思;刘嘉勇;胡勇;陈波;;基于CC的防火墙安全功能分析[J];成都信息工程学院学报;2006年04期
8 徐丞;;防火墙系统的性能改进研究及实现[J];长江大学学报(自然科学版)理工卷;2008年04期
9 刘婷,孟庆伟;防火墙技术剖析[J];太原城市职业技术学院学报;2005年01期
10 王振兴;张毅;张彦肖;;TCAM快更新高速路由查找算法与实现[J];电讯技术;2006年01期
中国重要会议论文全文数据库 前10条
1 孙莹;温巧燕;;一种基于Hash表的防火墙匹配算法[A];2006北京地区高校研究生学术交流会——通信与信息技术会议论文集(下)[C];2006年
2 王莉萍;;FW与IDS联动在无人机房中的应用研究[A];中国新闻技术工作者联合会2011年学术年会论文集(下篇)[C];2011年
3 王建民;;信息安全隔离与信息交换系统[A];天津市电视技术研究会2010年年会论文集[C];2010年
4 余磊;邓亚平;王江波;李钦;陈云;;一种多维IP包分类算法[A];2006年全国开放式分布与并行计算学术会议论文集(一)[C];2006年
5 张可;王钟庄;朱金奇;曾家智;;基于IXP2350网络处理器的防火墙设计研究[A];第一届中国高校通信类院系学术研讨会论文集[C];2007年
6 双巨云;沈明玉;;分布式防火墙在军网安全中的应用探讨[A];全国第19届计算机技术与应用(CACIS)学术会议论文集(下册)[C];2008年
7 周丰杰;;校园网入侵防御系统的研究与设计[A];全国第21届计算机技术与应用学术会议(CACIS·2010)暨全国第2届安全关键技术与应用学术会议论文集[C];2010年
8 王静;李家滨;;实施网络边缘安全[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
9 石玉晶;刘辉;李建华;;电子政务安全网络系统技术分析[A];2005通信理论与技术新进展——第十届全国青年通信学术会议论文集[C];2005年
10 杨世标;陈木;;基于TCP序列号检测的防火墙子系统设计与实现[A];广东省通信学会2008年度学术论文集[C];2009年
中国博士学位论文全文数据库 前10条
1 吴蓓;安全策略转换关键技术研究[D];解放军信息工程大学;2010年
2 王立松;基于资源的访问控制理论与应用研究[D];南京航空航天大学;2010年
3 李勇;基于可信计算的应用环境安全研究[D];解放军信息工程大学;2011年
4 唐三平;构建高性能的物理隔离体系[D];四川大学;2002年
5 熊光彩;基于Web Services的敏捷供应链管理系统研究[D];西北工业大学;2002年
6 王振兴;NGI高性能路由器转发处理算法与实现[D];南京理工大学;2004年
7 张峰;基于策略树的网络安全主动防御模型研究[D];电子科技大学;2004年
8 陈兴蜀;应用区域边界的安全体系结构及实用模型研究[D];四川大学;2004年
9 郭方方;集群防火墙系统的研究[D];哈尔滨工程大学;2006年
10 张颖江;基于增强型第二层隧道协议的隧道代理防火墙系统的研究[D];武汉理工大学;2006年
中国硕士学位论文全文数据库 前10条
1 周长林;防火墙规则集优化设计研究[D];哈尔滨工程大学;2010年
2 姜希超;基于LDAP集群的分布式系统研究与实现[D];哈尔滨工程大学;2010年
3 成真;基于GTP协议的状态检测技术的研究[D];哈尔滨工程大学;2010年
4 任政伟;IPv6下的IPSec与防火墙的协同研究[D];河南理工大学;2010年
5 何飞雄;基于Filter-hook网络防火墙的设计与实现[D];华东师范大学;2010年
6 石海涛;面向校园智能办公的工作流系统设计与实现[D];华东师范大学;2010年
7 胡柏;筛选规则智能化生成的研究与设计[D];江苏大学;2010年
8 何祥滨;基于ARM的嵌入式防火墙的研究与实现[D];南昌大学;2010年
9 董绍辉;电力企业信息安全体系的设计与应用[D];电子科技大学;2010年
10 张铭磊;基于众志863芯片的状态防火墙设计实现[D];昆明理工大学;2009年
【同被引文献】
中国期刊全文数据库 前10条
1 汪茂华;;谈网络办公系统自动化性能测试[J];安徽教育学院学报;2006年03期
2 王忠群,谢晓东;基于XML的异构数据源的集成研究[J];安徽工程科技学院学报(自然科学版);2003年04期
3 徐涛;张学东;;一种基于Mobile Agent的分布式主动防火墙体系结构[J];鞍山科技大学学报;2006年01期
4 刘守芬,孙晓芳;论网络犯罪[J];北京大学学报(哲学社会科学版);2001年03期
5 李鑫;季振洲;刘韦辰;胡铭曾;;防火墙过滤规则集冲突检测算法[J];北京邮电大学学报;2006年04期
6 李林;卢显良;;基于元组空间搜索的规则集冲突检测算法[J];北京邮电大学学报;2006年05期
7 王曼莉;王晶;曾庆祥;程亮;;移动代理服务器的研究与设计[J];北京工商大学学报(自然科学版);2009年02期
8 皮兴进;;计算机网络系统安全威胁及其防护策略的研究[J];才智;2009年17期
9 谭丹,鲜继清;基于NDIS hook的Windows防火墙驱动程序设计[J];重庆邮电学院学报(自然科学版);2005年05期
10 田大新;刘衍珩;李宾;王一博;张圣晗;甘文珍;;基于动态分类算法的入侵检测系统[J];吉林大学学报(信息科学版);2006年02期
中国重要会议论文全文数据库 前2条
1 李登峰;陈守煜;;多人多目标微分对策及其P—N均衡策略[A];1994中国控制与决策学术年会论文集[C];1994年
2 胡友彬;程源清;;防火墙技术及应用研究[A];网络安全技术的开发应用学术会议论文集[C];2002年
中国博士学位论文全文数据库 前10条
1 郑淑丽;Web信息集成系统及查询优化方法研究[D];合肥工业大学;2003年
2 陈治平;智能搜索引擎理论与应用研究[D];湖南大学;2003年
3 杨宏宇;网络入侵检测技术的研究[D];天津大学;2003年
4 李春艳;分级防火墙系统中动态访问控制技术研究[D];哈尔滨工程大学;2004年
5 温红子;商务安全策略及其形式分析研究[D];中国科学院研究生院(软件研究所);2005年
6 杜亚军;搜索引擎智能行为的研究及实现[D];西南交通大学;2005年
7 闫强;信息系统安全评估研究[D];北京大学;2003年
8 郭方方;集群防火墙系统的研究[D];哈尔滨工程大学;2006年
9 张颖江;基于增强型第二层隧道协议的隧道代理防火墙系统的研究[D];武汉理工大学;2006年
10 金舒;入侵检测系统性能提高新技术研究[D];南京理工大学;2006年
中国硕士学位论文全文数据库 前10条
1 曹代伟;手机OA适配应用[D];山东大学;2011年
2 许小晴;基于中间件的移动办公系统的研究与实现[D];西南交通大学;2011年
3 吴君怡;基于Web的网络管理及IP流量计费系统的研究与实现[D];合肥工业大学;2002年
4 刘洪;网络安全与防火墙技术的研究[D];沈阳工业大学;2003年
5 周惠;基于目标度量和预估技术的软件过程评估[D];河海大学;2004年
6 何荣盛;分布式防火墙的策略表示与认证加密[D];大连理工大学;2004年
7 张志云;分布式防火墙的策略分发与执行[D];大连理工大学;2004年
8 张静琼;基于学习的防火墙技术研究[D];南京理工大学;2004年
9 范英磊;分布式防火墙的研究与设计[D];山东科技大学;2004年
10 王健;网络安全防护技术的研究与实现[D];四川大学;2004年
【二级引证文献】
中国期刊全文数据库 前10条
1 王渭清;陈军;薄明霞;;电信基础运营商网络安全验收体系及策略探讨[J];信息安全与技术;2011年09期
2 杨明胜;;探析计算机网络安全漏洞及解决措施[J];电脑知识与技术;2012年15期
3 蓝惠宾;;基于包过滤控制在局域网的应用[J];电子制作;2013年09期
4 练玉强;;校园网中多级防火墙系统的应用研究[J];福建电脑;2013年05期
5 周思华;;计算机网络中的硬件维护分析[J];电子制作;2013年12期
6 胡东金;张道礼;;一种应用于硬件防火墙的软件安全管理系统[J];计算机与数字工程;2011年01期
7 王欣;;试论计算机网络防火墙的设置[J];科技信息;2012年35期
8 全宇;;略论计算机网络常见安全问题及对策[J];湖南科技学院学报;2013年04期
9 占南;谢笑;谢阳群;;个人信息空间管理研究初探[J];情报科学;2011年08期
10 马骞;;计算机硬件维护的关键问题探析[J];数字技术与应用;2012年11期
中国博士学位论文全文数据库 前2条
1 马兰;基于SSE的空中交通管理ATM信息安全保障方法的研究[D];天津大学;2011年
2 白媛;分布式网络入侵检测防御关键技术的研究[D];北京邮电大学;2010年
中国硕士学位论文全文数据库 前10条
1 尹金焕;基于数据挖掘的油井复杂情况预测技术研究[D];中国石油大学;2011年
2 刘丽颖;大中型企业网络安全设计方案的研究与应用[D];河北工业大学;2011年
3 赵利明;基于路由协作的DdoS检测与防御研究[D];东北大学;2011年
4 关慧;军事涉密网安全策略执行风险度量研究[D];解放军信息工程大学;2011年
5 黄瑞兴;防火墙技术在校园网的应用研究[D];湖南大学;2011年
6 占南;大学生个人信息管理研究[D];安徽大学;2012年
7 张祎玮;一种防止恶意数据包的轻型许可认证协议[D];解放军信息工程大学;2012年
8 欧露;高吞吐量协作防火墙的双向去冗余方法[D];湖南大学;2012年
9 刘丹婷;基于联动机制的蜜网主机入侵检测系统的研究[D];北京邮电大学;2013年
10 张博;安全虚拟机软件保护方法的研究与实现[D];西北大学;2013年
【二级参考文献】
中国期刊全文数据库 前10条
1 李剑,刘美华,曹元大;分布式防火墙系统[J];安全与环境学报;2002年01期
2 张德明;Internet安全——包过滤与防火墙技术[J];重庆邮电学院学报;1999年04期
3 郝玉洁,常征;网络安全与防火墙技术[J];电子科技大学学报(社科版);2002年01期
4 杨辉军;防火墙的基本知识及应用[J];电脑知识与技术;2002年10期
5 何军;防火墙各功能模块的应用[J];计算机安全;2004年04期
6 杨春,周明天;基于IPv4/IPv6的SOCKS协议防火墙[J];重庆大学学报(自然科学版);2002年06期
7 申石磊,何欣;一种新型混合防火墙模型[J];河南大学学报(自然科学版);2002年02期
8 刘更楼,丁常福,姜建国;基于状态检测的防火墙系统研究[J];航空计算技术;2004年01期
9 邹勇,白跃彬,赵银亮;增强型包过滤防火墙规则的形式化及推理机的设计与实现[J];计算机研究与发展;2000年12期
10 冯东雷,张勇,白英彩;线速数据包输入处理技术[J];计算机研究与发展;2002年01期
【相似文献】
中国期刊全文数据库 前10条
1 高峰;王国复;喻雯;冯明农;罗琦;;基于策略配置的气象数据库业务监视系统[J];计算机工程;2010年16期
2 张柱;王余旺;王丽;;SELinux中安全策略的实施[J];黑龙江科技信息;2007年16期
3 常沛;王呼生;;高校双出口路由DNS策略应用[J];内蒙古科技与经济;2011年09期
4 ;[J];;年期
5 ;[J];;年期
6 ;[J];;年期
7 ;[J];;年期
8 ;[J];;年期
9 ;[J];;年期
10 ;[J];;年期
中国博士学位论文全文数据库 前1条
1 胡宁;基于协同的域间路由管理技术研究[D];国防科学技术大学;2010年
中国硕士学位论文全文数据库 前2条
1 王国锋;基于策略的网络安全管理系统设计与实现[D];中国人民解放军信息工程大学;2005年
2 陆雄;基于对象的综合安全策略配置技术的研究与实现[D];国防科学技术大学;2010年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026