分布式防火墙策略分发与分类研究

摘要

在典型的分布式防火墙模型中，由策略控制中心统一管理安全策略的制定和分发工作。随着网络规模的不断扩大，策略控制中心的负载越来越重，同时分布式防火墙规则的制定也越来越复杂，如果在策略规则的定义和分发过程中稍有不慎，就会造成策略异常，导致网络脆弱从而给全网带来安全隐患。因此，分布式防火墙策略分发和分类研究对分布式防火墙技术的发展有着重要意义。 本文首先分析研究了具有代表性的分布式防火墙系统模型的设计及实现方案，总结了分布式防火墙实现的关键技术，归纳了当前该研究领域中各种策略分发技术，同时指出了目前这些策略分发技术的缺陷以及不完善之处。然后本文提出了一个三层分布式防火墙的模型，引入汇聚防火墙的概念，通过汇聚防火墙代理主机防火墙的策略申请和证书申请以及转发策略和证书的工作，有效分担了策略控制中心的负载，解决策略分发中的链路拥塞问题，消除了系统安全性能瓶颈。同时还对汇聚防火墙的功能进行了有效扩展。在三层分布式防火墙模型的基础之上，本文制定了“推送”、“索取”和“查询”结合的策略分发机制来确保策略分发的及时性和有效性，并详细阐述了该策略分发机制的实现过程。为了在分布式异构环境下实现策略分发，本文选择XML语言来描述分布式防火墙的安全策略，并深入研究了基于SOAP协议的分布式防火墙策略分发的原理及其技术可行性。 其次，针对当前提出的基于域的策略分类思想，本文通过在KevNote模型上进行的实例分析，证明了该思想的可行性，也说明了该思想的不足之处在于用户迁移时策略管理复杂以及策略更新的困难性。文中提出了基于成员角色权限的策略分类思想，并将成员角色权限封装在属性证书中，使管理员贴近机构和人员的组织形式和资源的分布来实施策略的分类制定和管理维护，更有利于策略分发的安全性和有效性。文中详细表述了防火墙策略规则的定义、基于成员角色权限策略分类方案及添加规则算法，并给出了属性证书封装成员角色权限的实现过程。 最后，本文设计了一个基于SOAP的分布式防火墙安全策略分发系统，详细描述了策略控制中心及节点防火墙各个子功能模块，给出了该系统关键技术的实现，从而论证了在异构平台下基于SOAP的分布式防火墙策略分发方案的技术可行性。

目录

文摘

英文文摘

声明

第1章绪论

1.1论文的研究背景

1.2国内外研究现状

1.3论文的主要研究内容

1.4论文的主要贡献

1.5论文的组织

第2章分布式防火墙技术

2.1引言

2.2分布式防火墙概述

2.2.1分布式防火墙的基本原理

2.2.2分布式防火墙的体系结构及特点

2.3分布式防火墙的实现技术

2.3.1分布式防火墙的系统模型分析

2.3.2分布式防火墙的实现方案分析

2.4小结

第3章分布式防火墙策略分发与分类技术

3.1引言

3.2防火墙策略描述语言

3.2.1 KeyNote策略描述语言

3.2.2 Hgnote策略描述语言

3.3策略分发技术

3.3.1 KeyNote模型的策略分发机制

3.3.2 HywaveGuard模型的策略分发机制

3.3.3面向Spread组通信的策略分发技术

3.3.4基于应用层多播方案NICE的策略分发技术

3.3.5策略冲突异常检测

3.4策略分类的研究与分析

3.4.1基于逻辑域的策略分类思想

3.4.2基于逻辑域的策略分类实例分析

3.4.3基于逻辑域的策略分类的改进方法

3.5小结

第4章分布式防火墙策略分发与分类总体框架的分析与设计

4.1引言

4.2新型三层分布式防火墙模型设计

4.2.1三层分布式防火墙模型的体系结构

4.2.2三层分布式防火墙模型的特点

4.2.3三层分布式防火墙模型的部署与实施

4.3基于成员角色权限的策略分类方案设计

4.3.1基于成员角色权限的策略分类思想

4.3.2用户、成员角色权限、策略以及规则的关系

4.3.3添加规则算法设计

4.4策略分发的方案设计

4.4.1策略分发机制的设计思想

4.4.2基于成员角色权限的策略分类在策略分发中的应用思想

4.4.3基于SOAP的策略分发的实现技术

4.5小结

第5章分布式防火墙策略分发系统的实现

5.1引言

5.2运行环境

5.2.1开发环境

5.2.2系统测试网络环境

5.3系统的总体设计

5.3.1策略控制中心服务器端的总体设计

5.3.2节点防火墙端的总体设计

5.4系统的实现

5.4.1策略控制中心分发策略的实现

5.4.2节点防火墙端索取策略的实现

5.5小结

第6章总结与展望

6.1研究工作总结

6.2未来工作展望

参考文献

附录：在校期间参与的科研项目和发表论文情况