收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

基于答案集程序的防火墙策略分析方法

邓文俊  
【摘要】: 防火墙是最常用的安全技术产品之一,其作用是阻断外部攻击进入内部网络。使用防火墙,最重要的是正确配置防火墙策略。可是,防火墙策略的语义不明问题,导致配置防火墙策略是一项既繁琐又易出错的工作。人为配置错误造成安全隐患,留下安全漏洞。 针对配置防火墙策略的语义不明问题,本文提出了防火墙策略分析方法,包括:策略查询方法、策略比较方法和策略验证方法。 本文总结了策略理解难的两个原因:规则次序敏感和使用环境复杂。对此,本文提出使用答案集程序查询防火墙策略的方法。首先,答案集程序支持非单调推理,能处理规则次序敏感问题;其次,答案集程序有很强的知识表达能力,能描述防火墙的使用环境。策略查询方法将防火墙策略和网络拓扑表示为答案集程序,并计算其语义。然后,将语义中的谓词转化为关系模型,存入数据库供管理员查询。该方法不仅能查询单防火墙策略,也能查询分级防火墙策略;不仅能查询单规则链策略,也能查询多规则链策略;不仅能单数据包查询,也能全局查询。 本文论述了比较防火墙策略的三个目的:检测一致性、学习、检查更新效果,并提出了两个比较问题:单防火墙策略比较和路由路径比较。前者比较两个或多个防火墙策略的异同;后者比较两个网络节点间所有路由路径上访问控制策略的异同。在策略查询方法基础上,策略比较方法增加比较策略和路由路径的推理规则。通过该规则,策略比较方法不仅能查找策略不同,而且能定位造成不同的规则;不仅能查找路由路径的不同,而且能依次列出路径上的节点。 防火墙策略与安全策略的关系是代码与设计的关系,因此,它们之间的一致性问题是管理员最关心的问题。本文指出该问题的本质是语义等价问题,即防火墙策略和网络拓扑共同作用的访问控制语义是否等于安全策略的访问控制语义。在策略查询方法和策略比较方法的基础上,本文提出了策略验证方法。该方法将安全策略、防火墙策略和网络拓扑都用答案集程序表示,通过推理规则,比较两者访问控制策略语义的区别,验证两者的一致性。 最后,本文总结了分析方法的缺陷和需要改进的地方,展望了将来的研究。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 王培森;;用网卡集成防火墙来实现终端至终端的移动安全[J];办公自动化;2003年06期
2 ;系统管理员嘉年华——LISA 2010之二 防火墙策略管理[J];中国教育网络;2011年Z1期
3 董德春;防火墙与校园网的安全性[J];曲靖师范学院学报;2001年06期
4 杨玉东;刘保连;;网络防火墙的远程控制及其在校园网中的应用[J];河海大学常州分校学报;2005年04期
5 狄春江;;浅析ISA SERVER 2004访问规则策略[J];计算机与网络;2007年01期
6 刘军军;梁建武;;一种基于决策树的防火墙策略描述方法[J];微计算机信息;2008年33期
7 孙泽东;张璐;罗军舟;;NP防火墙中异常策略检测的研究与实现[J];南京邮电大学学报(自然科学版);2009年03期
8 ;Web安全百问百答(3)[J];信息安全与通信保密;2010年09期
9 马天蔚;;面向高端用户——东方龙马副总经理张谦谈防火墙策略[J];每周电脑报;2000年19期
10 陈加皓;;网络防火墙远程控制及关键技术应用研究[J];淮阴工学院学报;2009年03期
11 唐刚;郑黎明;;校园网时段控制新方法的研究[J];网络安全技术与应用;2008年08期
12 朱吉乐;;简述Linux构建校园透明防火墙与透明代理[J];网络安全技术与应用;2010年06期
13 杨玉东,王士湖,曹正明;桥式网络防火墙的设计技术[J];淮阴工学院学报;2005年05期
14 方贤进;李敬兆;姚亚锋;陈代梅;;一种校园网的网络安全策略[J];计算机技术与发展;2006年05期
15 吕广平;;如何设置一个可靠的防火墙系统保护企业内部网络[J];安防科技;2006年04期
16 张昭理;洪帆;肖海军;;一种防火墙规则冲突检测算法[J];计算机工程与应用;2007年15期
17 郭勇军;;黄石供电公司计算机网络安全实施[J];湖北电力;2006年01期
18 胡斌彦;;一体化网关式防火墙策略设置分析[J];中国教育技术装备;2009年27期
19 梁建武;龙晓梅;刘军军;;基于LE-Trie的防火墙策略检测算法[J];计算机工程;2010年22期
20 蒋俊锋;陈兵;葛广超;;嵌入式防火墙策略分发机制的研究[J];仪器仪表用户;2006年01期
中国重要会议论文全文数据库 前10条
1 游凯;;NetScreen防火墙策略与冗余配置指南[A];四川省通信学会2008年学术年会论文集[C];2008年
2 周泉;;浅析防火墙的使用及维护[A];煤矿自动化与信息化——第19届全国煤矿自动化与信息化学术会议暨中国矿业大学(北京)百年校庆学术会议论文集[C];2009年
3 陈俊辉;王轶;;ISA2004中对internet访问的控制[A];2007第二届全国广播电视技术论文集2(下)[C];2007年
4 耿翕;崔之祜;;网络防火墙技术的应用及分析[A];第十九次全国计算机安全学术交流会论文集[C];2004年
5 项锐;毛玉明;;在Linux下快速构建防火墙研究[A];2006中国西部青年通信学术会议论文集[C];2006年
6 刘海韬;周忠华;彭智朝;;基于Web Services的分布式防火墙策略共享研究[A];2006年全国开放式分布与并行计算学术会议论文集(二)[C];2006年
7 李玮;候整风;;防火墙配置中规则异常研究[A];计算机技术与应用进展·2007——全国第18届计算机技术与应用(CACIS)学术会议论文集[C];2007年
8 张震;;DMZ与内网安全关联性分析[A];中国通信学会第六届学术年会论文集(中)[C];2009年
9 顾军;;网络技术在大型综合体育赛事网络制播业务中的应用与技术特点——中央电视台北京奥运会基础网络系统设计与应用概述[A];2009中国电影电视技术学会影视技术文集[C];2010年
10 招英;;胜利宽带网的安全分析[A];山东省石油学会油田电力、通信及自动化技术研讨会优秀工程技术论文集[C];2009年
中国博士学位论文全文数据库 前7条
1 邓文俊;基于答案集程序的防火墙策略分析方法[D];武汉大学;2010年
2 陈兵;嵌入式防火墙及其关键技术研究[D];南京航空航天大学;2008年
3 陈文惠;防火墙系统策略配置研究[D];中国科学技术大学;2007年
4 马健丽;信息系统安全功能符合性检验关键技术研究[D];北京邮电大学;2010年
5 吴蓓;安全策略转换关键技术研究[D];解放军信息工程大学;2010年
6 梅芳;基于策略的移动网络自主管理机制研究[D];吉林大学;2010年
7 焦素云;基于概念格的动态策略存取模型[D];吉林大学;2011年
中国硕士学位论文全文数据库 前10条
1 欧露;高吞吐量协作防火墙的双向去冗余方法[D];湖南大学;2012年
2 王博;基于蜜网的主动安全策略防火墙[D];北京邮电大学;2010年
3 孙立琴;防火墙策略冲突检测及可视化[D];上海交通大学;2011年
4 王薇;状态防火墙策略查询技术研究[D];湖南大学;2011年
5 周长林;防火墙规则集优化设计研究[D];哈尔滨工程大学;2010年
6 任展锐;防火墙安全策略配置关键技术研究[D];国防科学技术大学;2011年
7 黄晗辉;防火墙规则的异常检测及优化研究[D];重庆大学;2010年
8 张弛;基于Netfilter的数据库防火墙的研究与实现[D];华中科技大学;2011年
9 张春胜;嵌入式防火墙的研究与实现[D];西安电子科技大学;2008年
10 何启军;Ipv6下基于流过滤技术的防火墙的研究和设计[D];电子科技大学;2012年
中国重要报纸全文数据库 前10条
1 本报记者 韩勖;竞速下一代防火墙[N];计算机世界;2011年
2 《网络世界》评测实验室 董培欣;核心防护 万兆安全[N];网络世界;2009年
3 陈伟康;用ISA 2004净化企业办公环境[N];中国电脑教育报;2005年
4 ;让我们的网络更安全[N];中国电脑教育报;2004年
5 沈生;防火墙并非万全之策[N];中国计算机报;2003年
6 ;艾泰科技HiPER 4240NB[N];中国计算机报;2006年
7 河北经贸大学 王春海晋州政务服务中心 张慧韬;服务器保护需要严防内外[N];中国计算机报;2008年
8 ;从安全需求考量ISA 2006新特性[N];网络世界;2008年
9 河北 寒江钓叟;安全防范的重点在内部[N];中国电脑教育报;2006年
10 本报记者 赵晓涛;端点安全的技术之战[N];网络世界;2007年
中国知网广告投放
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978