学位论文 > 优秀研究生学位论文题录展示

防火墙规则冲突检测和次序优化的研究与实现

作 者: 庄冠夏
导 师: 沈富可
学 校: 华东师范大学
专 业: 计算机系统结构
关键词: 防火墙 包过滤 规则冲突 规则次序调整 规则优化
分类号: TP393.08
类 型: 硕士论文
年 份: 2008年
下 载: 129次
引 用: 3次
阅 读: 论文下载
 

内容摘要


随着互联网的飞速发展,越来越多的学校、政府和企业等通过网络开展业务,进行交流。互联网在给人们的生活带来方便和快捷的同时,也带来了大量的问题,其中网络安全问题日益严重。防火墙作为最早出现的网络安全产品和使用量最大的安全产品,是实施网络安全策略的重要组成部分。防火墙在网络中处于特殊的位置,其规则配置正确与否、合适与否,直接影响其工作效率的高低,从而对整个网络环境产生重要的影响。因此防火墙受到了用户和研发机构的高度重视。防火墙是保护网络安全的重要步骤,但是防火墙规则维护的复杂性可能会降低防火墙安全的有效性。设置防火墙规则的时候,需要特别注意规则之间的关系以及规则之间的相互作用,这样才能够决定规则的位置和保证安全策略语义的正确性。当规则数目增越来越多的时候,添加规则或者修改规则的难度也在增加,因此很可能引入各种冲突。此外,一个典型的大型的企业网络可能包含几百条规则,这些规则是由不同的管理员在不同的时间设置的。这样,防火墙规则之间存在冲突的可能性就大大增加了,网络就更加脆弱了。一般来说,防火墙规则是预先设定的,固定的。当前的规则优化技术一般只是利用了过滤规则的特征,而没有考虑传输层和应用层的流量特征。因此目前对规则的优化不能满足网络流量的动态性以及不断变化的网络环境。本文在学习当前对防火墙规则建模和优化的基础上,主要做了以下两个方面的工作:1、对防火墙的规则进行建模,定义规则之间的关系。在此基础上讨论了规则冲突的类型,以及给出冲突检测的算法。根据冲突检测算法,实现没有冲突的规则编辑器。2、根据网络流量的特征,提出不改变安全策略语义的情况下的规则调整算法,实现了能应流量变化的规则次序优化系统。本文还讨论了规则的调整的时机以及规则进一步优化的方法。

全文目录


摘要  7-8
ABSTRACT  8-12
第一章 引言  12-18
  1.1 本章提要  12
  1.2 防火墙的现状以及发展  12-15
    1.2.1 防火墙发展现状  12-14
    1.2.2 发展目标和趋势  14-15
  1.3 Linux的防火墙发展历史和现状  15-16
  1.4 研究的目的和研究内容  16-17
  1.5 本文的组织结构  17-18
第二章 NETFILTER/IPTABLES概述  18-27
  2.1 本章提要  18
  2.2 Netfilter实现机制  18-23
    2.2.1 Linux网络系统结构  18-20
    2.2.2 Linux防火墙结构  20-21
    2.2.3 Netfilter实现机制  21-23
  2.3 表、规则链和规则  23-25
    2.3.1 表  23-24
    2.3.2 规则链  24
    2.3.3 规则  24-25
  2.4 iptables概述  25-27
第三章 规则的建模以及冲突检测  27-41
  3.1 本章提要  27
  3.2 规则的建模和表示  27-31
    3.2.1 规则之间的关系  27-29
    3.2.2 规则的表示  29-31
  3.3 规则冲突检测  31-37
    3.3.1 规则冲突类型  32-33
    3.3.2 冲突检测算法  33-37
  3.4 规则的编辑  37-41
    3.4.1 规则的插入  39-40
    3.4.2 规则的删除和编辑  40-41
第四章 规则次序动态优化  41-52
  4.1 本章提要  41
  4.2 网络流量的特征  41-44
  4.3 规则次序调整算法  44-47
    4.3.1 规则的权重  44-45
    4.3.2 规则次序调整算法  45-47
  4.4 规则调整的时机  47-49
    4.4.1 按照时间段来调整  47
    4.4.2 根据防火墙的效率来调整  47-49
  4.5 规则的进一步优化  49-52
    4.5.1 解除泛化冲突  49-50
    4.5.2 解除交互冲突  50-52
第五章 实现以及实验结果  52-60
  5.1 本章提要  52
  5.2 冲突检测和次序优化系统的设计  52-53
  5.3 实验的环境  53-54
  5.4 实验的结果  54-60
    5.4.1 数据采集  54-57
    5.4.2 数据分析  57-60
第六章 总结与展望  60-62
  6.1 本文总结  60
  6.2 本文研究成果  60-61
  6.3 进一步的工作  61-62
参考文献  62-64
致谢  64-65
附录A: 实现的代码  65-70
附录B: 防火墙脚本  70-72
附录C: 发表的论文  72

相似论文

  1. 基于硬件防火墙的辅助管理系统服务器设计与实现,TP393.08
  2. 基于防火墙和三层交换机的校园网络安全策略研究,TP393.08
  3. 甘肃富源化工综合办公平台的分析与设计,TP311.52
  4. 军校校园网络可靠性和安全性设计与实现,TP393.18
  5. 基于防火墙的快速协议识别系统的设计与实现,TP393.08
  6. 防火墙策略冲突检测及可视化,TP393.08
  7. 使用HTTPS隧道和WebService的木马通信及监控系统研究,TP393.08
  8. 面向IPv6防火墙的高性能规则匹配关键技术研究与实现,TP393.08
  9. 防火墙安全策略配置关键技术研究,TP393.08
  10. 基于模糊规则矩阵变换的不确定推理算法研究,TP18
  11. 电子政务系统中的网络安全技术应用与报表系统设计实现,TP393.08
  12. 基于软交换的SIP网关的设计与实现,TN915.05
  13. 金融防火墙制度的法律研究,D922.28
  14. 基于特洛伊木马技术的计算机远程控制研究与实现,TP273
  15. 筛选规则智能化生成的研究与设计,TP393.08
  16. 网络蠕虫病毒的防御研究,TP393.08
  17. 基于防火墙和入侵检测的综合主机安全防范系统,TP393.08
  18. 一体化安全网关防火墙报文过滤技术研究与实现,TP393.08
  19. 基于XML-RPC计费安全网关的设计和实现,TP393.08
  20. 层次化的分布式入侵检测系统研究,TP393.08
  21. 基于SIP协议的VoIP技术在校园网络上的实现,TN916.2

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com