安全策略中心與NP架構(gòu)防火墻的設(shè)計與實現(xiàn).pdf

1、當(dāng)前網(wǎng)絡(luò)安全的研究有兩個側(cè)重點，分別是如何提高安全防護(hù)設(shè)施的安全性和處理速度。提高安全性的研究致力于利用多種安全防護(hù)設(shè)施(包括防火墻，入侵檢測系統(tǒng)和安全評估系統(tǒng)等)實現(xiàn)綜合的安全防護(hù)體系，通過安全設(shè)施之間的信息共享和聯(lián)動響應(yīng)，提高安全防范系統(tǒng)的安全性。提高處理速度的研究主要是為了適應(yīng)網(wǎng)絡(luò)帶寬的不斷增長，研究如何提高網(wǎng)絡(luò)安全設(shè)施的處理速度，特別是網(wǎng)絡(luò)邊界設(shè)備——防火墻的吞吐量，網(wǎng)絡(luò)處理器的出現(xiàn)為防火墻硬件化提供了一條新的途徑。 本

2、文的工作以江蘇省科技計劃項目“主動式安全防范系統(tǒng)的研究”(課題編號BG2004036)為背景，主要工作從提高安全性和處理速度出發(fā)，可以分為兩大部分。第一部分是安全策略中心的設(shè)計與實現(xiàn)，論文在主動式安全防范系統(tǒng)中提出了安全策略中心模型，改進(jìn)了傳統(tǒng)的入侵檢測系統(tǒng)與核心防火墻直接聯(lián)動的方式，綜合利用IDS的入侵告警信息和內(nèi)網(wǎng)安全掃描器提供的掃描結(jié)果制定聯(lián)動策略并通過核心防火墻進(jìn)行實施，設(shè)計并實現(xiàn)了安全策略中心，提高了聯(lián)動響應(yīng)行為的合理性；同時

3、安全策略中心能夠發(fā)現(xiàn)防火墻策略中的存在的異常和沖突，輔助管理員對核心防火墻進(jìn)行正確合理的配置。第二部分是基于網(wǎng)絡(luò)處理器(NP)架構(gòu)的防火墻的設(shè)計與部分實現(xiàn)，論文在研究IntelIXP系列網(wǎng)絡(luò)處理器軟硬件體系結(jié)構(gòu)的基礎(chǔ)上，結(jié)合主動式安全防范系統(tǒng)項目需求，給出了具備包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和虛擬專用網(wǎng)(VPN)功能的防火墻系統(tǒng)詳細(xì)設(shè)計方案，并實現(xiàn)了簡單包過濾防火墻系統(tǒng)SimFilter，并對其進(jìn)行了測試與仿真，根據(jù)測試結(jié)果對下一步研究