收藏本站
《中国科学院软件研究所》 2001年
收藏 | 手机打开
二维码
手机客户端打开本文

防火墙体系下的IPSEC及其策略

袁勋  
【摘要】:本文采取链式结构,对一个以防火墙为主体的整体的网络安全架构进行了 描述,并重点讨论了网络安全体系中的网络层安全IPSec与新型的状态检测型 防火墙的结合使用,进一步地,对其策略管理进行了探讨性的研究。 首先,从传统防火墙解决方案的不足,我们引出了对两种先进技术的讨 论:网络跟踪技术(连接跟踪技术)和状态检测技术。 网络跟踪技术实现在网络层,它为每一个网络连接建立连接跟踪项,收集 与安全有关的信息。之后,该连接上通过的所有网络包都将被跟踪。各种安全 机制,如包过滤,认证,地址转换等都在连接跟踪项中有相应的接口,通过连 按跟踪模块的网络包可以直接进入各层策略检测模块。 状态检测技术则以不同的服务区分应用类型,汲取相关的通讯和应用程 序的状态信息。根据网络通讯中的状态转换,它不断动态地更新连接跟踪表 中的状态信息,结合预定义好的规则,实现安全策略。 其次,文章介绍了运用以上两种技术的状态检测防火墙,并拓展地描绘了 以该防火墙为主体的安全体系架构。从而引出了这个架构中的另一个重要的部 分──网络层安全IPSec。对于一个完整的安全解决方案,提供端对端的安全是 必不可少的。但是,当IPSec实现在状态检测防火墙中,与连接跟踪技术结合 时,又产生了一些新的情况。 第三部分,说明了IPSec是如何适当地契合入状态检测防火墙中的。连接 跟踪项中安全关联链的使用,使得对IPSec的处理与其他安全机制保持了统 一,模块更清晰。但是,如果要充分发挥IPSec的长处,其策略管理的规范化 必将是进一步发展的趋势。 第四部分,IPSec的策略管理。文章介绍了“可信管理”的概念。这是一 个具有普遍推广意义的管理策略模式。它使用一种统一的“安全策略说明语 言”来描述应用的安全策略。可信管理机构接收应用提交的使用安全策略说明 语言书写的行为请求以及其自身策略,进行一致性检查,以确定该行为是否被 允许以及有何种限制条件。文章进一步分析了目前已经实现了的一个可信管理 系统──KeyNote。通过对其设计与实现的研究,为今后在我们的防火墙体系 中实施这种更完善的策略模式做好了前期的准备。
【学位授予单位】:中国科学院软件研究所
【学位级别】:硕士
【学位授予年份】:2001
【分类号】:TP393.08

手机知网App
【相似文献】
中国重要会议论文全文数据库 前1条
1 赵轩;王勇军;赵国鸿;张德清;;基于状态检测的硬件防火墙实现技术研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
中国重要报纸全文数据库 前3条
1 本报记者 林紫玉;彩E背后的创新[N];通信产业报;2003年
2 记者 姚传富;抽检不合格将吊销进网许可证[N];人民邮电;2003年
3 本报实习记者 张奕;DDoS攻击 如何对你说“不”[N];计算机世界;2009年
中国硕士学位论文全文数据库 前10条
1 袁勋;防火墙体系下的IPSEC及其策略[D];中国科学院软件研究所;2001年
2 乐艳辉;基于Netfilter的P2P流量测量系统研究[D];华中科技大学;2007年
3 贾鹏程;Radius桥模式网关的设计与实现[D];上海师范大学;2006年
4 肖晨阳;基于FPGA的硬件防火墙设计和实现[D];湖南师范大学;2009年
5 梁泠霞;基于QoS带宽管理技术的P2P流量控制研究及其实现[D];天津大学;2006年
6 郝杰;基于双重特征的P2P流量检测与控制技术研究[D];电子科技大学;2010年
7 罗锦尚;分布式拒绝服务攻击的防御研究及实现[D];电子科技大学;2006年
8 赖俊宇;网络流量管理系统设计与实现[D];重庆大学;2008年
9 黎明;基于linux内核快速发包系统[D];成都理工大学;2011年
10 熊太松;状态检测和防DoS攻击防火墙的设计及实现[D];电子科技大学;2006年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026