防火墻系統(tǒng)策略配置研究.pdf

1、隨著互聯網技術的發(fā)展，企業(yè)對互聯網更加依賴，互聯網也通過其便捷的通訊能力、低廉的通訊成本令企業(yè)的組織模式產生了巨大變化?，F在很多企業(yè)更愿意把傳統(tǒng)的信息交流放在互聯網這個大平臺上，以協同信息系統(tǒng)對企業(yè)內外部資源進行統(tǒng)一調配；同時，企業(yè)也通過互聯網尋找到更多合作伙伴，更多商機，他們利用互聯網與異地企業(yè)共同完成大量合作項目，創(chuàng)造了以往不能想象的利潤。 然而，來自企業(yè)內部和外部的安全威脅隨時會給企業(yè)運營帶來巨大的災難，并最終影響企業(yè)的盈

2、利能力和客戶滿意度，安全問題已經成為現代企業(yè)面臨的最大挑戰(zhàn)。如何保證企業(yè)內部網絡的安全呢?防火墻技術應運而生。防火墻技術被稱為“網絡安全的第一道閘門”，其重要性是顯兩易見的。本文從獨立防火墻和分布式防火墻兩個方面對防火墻策略的配置問題進行了研究，主要內容概括如下： (1)早期的防火墻策略表示模型注意力主要集中在提高過濾速度上，很少考慮防火墻策略本身也會發(fā)生改變這一情況。比如企業(yè)網絡拓撲結構發(fā)生改變，防火墻策略中的一些規(guī)則已經無效

3、了，那么我們需要刪除這些規(guī)則，然而以前的這些工具不能動態(tài)的表示更新，相反，它們需要重新構造防火墻策略表示模型。而隨著網絡應用的進一步深化，防火墻策略是經?？赡馨l(fā)生變化的。如果每次改變都需要重新構造防火墻，這個代價就太大了。 我們給出了一種可動態(tài)更新的防火墻策略表示-MFDT。一方面，MFDT可以進行包過濾；另一方面，MFDT可以動態(tài)反應防火墻策略的更新。針對防火墻策略的三種更新情況，我們設計了相應的算法。對于更新后的MFDT，我

4、們設計了合并算法，它可以合并MFDT中的相同子樹，從而提高過濾效率。 (2)企業(yè)根據自身的安全需要對防火墻進行相應的配置，其配置結果就是防火墻策略，也就是防火墻內部的規(guī)則表。然而，在獨立防火墻的策略配置過程中，可能會出現一些問題。一方面安全管理員可能在最初配置規(guī)則表的時候，出現一些錯誤，另一方面隨著規(guī)則表中規(guī)則數目的增長，不同的規(guī)則之間發(fā)生沖突的可能性也相應增加。 就獨立防火墻在策略配置過程中容易山現的5種錯誤進行了分析

5、，根據不同的錯誤給出了相應的解決方案，我們也給出了檢測錯誤的兩種算法。基于歸納的算法可以快速的對策略配置錯誤進行檢測，而基于Trie的算法由于采用了Trie結構，檢測效率進一步得到提升。 (3)分布式防火墻中的各個獨立防火墻可能來自不同的廠商，它們的配置方法可能存在著一定的差異，這就給配置這些防火墻帶來了一定的困難。另外，盡管防火墻的安全策略是統(tǒng)一制定的，但是這種安全策略一般由自然語言表示，由于自然語言的模糊性，不同的安全管理員

6、對策略的理解可能并非完全相同，當他們配置獨立防火墻的時候也就導致了獨立防火墻間的策略不一致。 面對這些問題，我們提供了一個平臺一FPT，在這個平臺上町以對分布式防火墻的防火墻策略進行比較，找出其中不一致的地方，然后修正防火墻策略，使分布式防火墻真正能夠發(fā)揮其應有的作用。我們給出了FPT的構造算法，該算法可以把一個防火墻策略轉換為等價的FPT，也給出了FPT的比較算法，該算法可以比較不同策略樹之間的差異，在這兩點的基礎上，我們給出