發(fā)布時(shí)間：2020-12-08 09:46

　　防火墻是保護(hù)網(wǎng)絡(luò)系統(tǒng)安全的屏障。近年來(lái),針對(duì)企業(yè)級(jí)信息網(wǎng)絡(luò)的攻擊日漸增加,防火墻的安全防護(hù)作用也日益凸顯。但是隨著企業(yè)網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)的擴(kuò)張,防火墻配置也日漸復(fù)雜,大量冗余、無(wú)效、有風(fēng)險(xiǎn)的配置規(guī)則日積月累,使網(wǎng)絡(luò)安全面臨著巨大的威脅。在這種情況下,防火墻策略審計(jì)變得尤為必要。而目前市場(chǎng)上缺乏對(duì)防火墻策略進(jìn)行專業(yè)審計(jì)的產(chǎn)品,并且已有的系統(tǒng)大都針對(duì)國(guó)外防火墻,針對(duì)國(guó)內(nèi)防火墻的相關(guān)產(chǎn)品較少。同時(shí)企業(yè)內(nèi)部復(fù)雜的網(wǎng)絡(luò)環(huán)境也給管理員對(duì)關(guān)鍵位置防火墻的審計(jì)造成了一定的困難。針對(duì)上述問題,本文對(duì)防火墻策略審計(jì)系統(tǒng)進(jìn)行了相關(guān)研究與設(shè)計(jì)實(shí)現(xiàn)。本文主要針對(duì)國(guó)內(nèi)比較主流的天融信、啟明星辰防火墻進(jìn)行了策略審計(jì)的研究。在本文的撰寫過程中,作者所做的工作主要有以下幾個(gè)方面：1.對(duì)審計(jì)方案進(jìn)行了研究。在對(duì)現(xiàn)有的策略審計(jì)方案進(jìn)行研究的基礎(chǔ)之上,提出了改進(jìn)的策略樹審計(jì)方案,并基于此方案對(duì)防火墻策略審計(jì)系統(tǒng)進(jìn)行了設(shè)計(jì)與實(shí)現(xiàn)。2.對(duì)策略審計(jì)基線進(jìn)行了研究與制定。依據(jù)相關(guān)的安全規(guī)范,結(jié)合天融信與啟明星辰的配置規(guī)范說(shuō)明,制定了相應(yīng)的審計(jì)基線。3.對(duì)拓?fù)浒l(fā)現(xiàn)模塊進(jìn)行了設(shè)計(jì)與實(shí)現(xiàn)。為了圖形化的展示出當(dāng)前的網(wǎng)絡(luò)環(huán)境,幫助管理員簡(jiǎn)單準(zhǔn)確完... 

【文章來(lái)源】：北京郵電大學(xué)北京市 211工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：97 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

AlgoSec安全管理套件組成

對(duì)于大規(guī)模的復(fù)雜網(wǎng)絡(luò)，其防護(hù)性能便顯得不盡人意。包過濾防火墻的層次結(jié)構(gòu)如圖2-1所示。應(yīng)用層 應(yīng)用層 應(yīng)用層運(yùn)輸層 運(yùn)輸層 運(yùn)輸層 \網(wǎng)絡(luò)層 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層 >數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層 /物理層 物理層 物理層主機(jī) 防火墻 主機(jī)圖2-1包過濾.防火墻層次示意圖2.應(yīng)用級(jí)網(wǎng)關(guān)型防火墻數(shù)據(jù)包過濾型防火墻僅對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)包進(jìn)行蹄選過濾，而應(yīng)用級(jí)網(wǎng)關(guān)則可以解析應(yīng)用層的一些協(xié)議并且做一些復(fù)雜的訪問控制。通過利用其協(xié)議過濾、轉(zhuǎn)發(fā)的功能，對(duì)于所有流經(jīng)應(yīng)用級(jí)網(wǎng)關(guān)的數(shù)據(jù)包，它可以針對(duì)不同的應(yīng)用服務(wù)協(xié)議來(lái)選擇不同的過濾邏輯，從而決定該數(shù)據(jù)包是允許通過還是拒絕[I6]。但是正是由于其依據(jù)特定的過濾邏輯來(lái)蹄選數(shù)據(jù)包，也給非法的訪問提供了可能，只要非法攻擊的數(shù)據(jù)包滿足了邏輯，便可以進(jìn)入防火墻內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)，從而造成一定的風(fēng)險(xiǎn)與損失。應(yīng)用網(wǎng)關(guān)型防火墻的層次結(jié)構(gòu)如圖2-2所示應(yīng)用層 ||應(yīng)用層I、 應(yīng)用層 公 1/ n 運(yùn)輸層卜運(yùn)輸層 運(yùn)輸層 卜“網(wǎng)絡(luò)層 ) 網(wǎng)絡(luò)層 [網(wǎng)絡(luò)層 )數(shù)據(jù)鏈路層V 數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層物理層 物理層 物理層主機(jī) 防火墻 主機(jī)圖2-2應(yīng)用網(wǎng)關(guān)型防火墻層次示意圖3.狀態(tài)檢測(cè)防火墻與包過濾防火墻類似，狀態(tài)檢測(cè)防火墻具有較高的性能，同時(shí)狀態(tài)檢測(cè)防火墻在數(shù)據(jù)包狀態(tài)方面做出了改進(jìn)，通過在防火墻的核心部分建立狀態(tài)連接表，維護(hù)出網(wǎng)的TCP連接目錄而加強(qiáng)TCP數(shù)據(jù)流的檢測(cè)規(guī)則

法攻擊的數(shù)據(jù)包滿足了邏輯，便可以進(jìn)入防火墻內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)，從而造成一定的風(fēng)險(xiǎn)與損失。應(yīng)用網(wǎng)關(guān)型防火墻的層次結(jié)構(gòu)如圖2-2所示應(yīng)用層 ||應(yīng)用層I、 應(yīng)用層 公 1/ n 運(yùn)輸層卜運(yùn)輸層 運(yùn)輸層 卜“網(wǎng)絡(luò)層 ) 網(wǎng)絡(luò)層 [網(wǎng)絡(luò)層 )數(shù)據(jù)鏈路層V 數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層物理層 物理層 物理層主機(jī) 防火墻 主機(jī)圖2-2應(yīng)用網(wǎng)關(guān)型防火墻層次示意圖3.狀態(tài)檢測(cè)防火墻與包過濾防火墻類似，狀態(tài)檢測(cè)防火墻具有較高的性能，同時(shí)狀態(tài)檢測(cè)防火墻在數(shù)據(jù)包狀態(tài)方面做出了改進(jìn)，通過在防火墻的核心部分建立狀態(tài)連接表，維護(hù)出網(wǎng)的TCP連接目錄而加強(qiáng)TCP數(shù)據(jù)流的檢測(cè)規(guī)則，報(bào)文的過濾規(guī)則只允許那7

【參考文獻(xiàn)】：
期刊論文
[1]防火墻策略沖突檢測(cè)及沖突策略可視化[J]. 孫立琴,潘理.  信息安全與通信保密. 2012(05)
[2]基于默認(rèn)規(guī)則的防火墻優(yōu)化方法[J]. 傅鶴崗,張李.  計(jì)算機(jī)工程. 2011(20)
[3]防火墻擴(kuò)展match模塊匹配算法優(yōu)化[J]. 周東浩,王勇軍.  計(jì)算機(jī)工程與設(shè)計(jì). 2011(03)
[4]一種基于沖突檢測(cè)的無(wú)關(guān)聯(lián)規(guī)則集匹配算法[J]. 施榮華,莫銳,趙文濤.  計(jì)算機(jī)工程與科學(xué). 2010(10)
[5]基于Web和SNMP的拓?fù)涓�新策略[J]. 牟鵬至,李飛,羅傳軍.  計(jì)算機(jī)工程. 2010(10)
[6]基于內(nèi)分泌機(jī)制的防火墻自適應(yīng)調(diào)控算法[J]. 朱思峰,王華東,魏榮華.  計(jì)算機(jī)科學(xué). 2009(11)
[7]淺談防火墻及其在網(wǎng)絡(luò)安全中的應(yīng)用[J]. 羅君.  科技經(jīng)濟(jì)市場(chǎng). 2009(10)
[8]一種基于SNMP協(xié)議的網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)改進(jìn)算法[J]. 彭建,朱萍,傅明.  計(jì)算機(jī)工程與科學(xué). 2009(04)
[9]基于統(tǒng)計(jì)分析與規(guī)則沖突檢測(cè)的防火墻優(yōu)化[J]. 楊奕,楊樹堂,陳健寧,陸松年.  計(jì)算機(jī)工程. 2008(15)
[10]一種快速的防火墻規(guī)則沖突檢測(cè)算法[J]. 李林,盧顯良.  計(jì)算機(jī)應(yīng)用研究. 2008(01)

碩士論文
[1]SFDD算法的設(shè)計(jì)及其在狀態(tài)防火墻規(guī)則集比對(duì)的應(yīng)用[D]. 厲怡君.湖南大學(xué) 2013
[2]分布式防火墻策略異常檢測(cè)算法的研究[D]. 張麗.南京理工大學(xué) 2007
[3]防火墻配置的異常檢測(cè)與優(yōu)化研究[D]. 吳曉剛.廣州大學(xué) 2007



本文編號(hào)：2904885