一种分布式防火墙模型策略的研究

摘要

由于传统的边界防火墙存在单点失效和性能瓶颈的问题，并且依赖于网络的拓扑结构实施其安全策略，使其局限性越来越明显。正是在这种背景下人们提出了分布式防火墙的概念。在分布式防火墙中，安全策略统一制定，由各主机负责设施，通过将防火墙分布式的配置到各个受保护节点之上，分布式防火墙可以解决单点失效和性能瓶颈的问题。 分布式防火墙是一项比较新的技术，因此，它还没有固定的模式。本文首先对分布式防火墙的现有结构模型进行了分析和论述，特别是对这些模型所依赖的Keynote，Agent，Kerberos，Ipsec技术进行阐述，分析了他们各自的特点，并对由这些特点所衍生出的分布式防火墙的特性进行了比较。 其次，本文在对现有分布式防火墙结构模型研究的基础上提出了基于E_Keynote策略描述语言的M模型，E-Keynote语言是对Keynote语言的扩展与增强。该模型通过数字签名与认证来建立节点之间的信任关系，采用控制中心签名的证书表示通信节点的身份。该模型由策略控制中心和执行节点构成，策略控制中心负责策略的制定、分发、管理、认证等等一系列工作，执行节点负责策略的执行。 再次，本文详细介绍了策略的表示方法，用E Keynote语言描述策略，包括如何标志内部主机，描述分布式网络环境中的信任管理，策略管理以及定义安全通讯协议等。策略描述语言的好坏是策略控制中心能够顺利实施其功能的前提条件。模型中各个功能模块的实现都依赖于策略描述语言对策略的描述能力。 最后，在执行节点部分，本文给出了策略语言解析的实现过程。

目录

文摘

英文文摘

声明

第1章引言

1.1课题来源

1.2课题研究内容和目的

1.3国内外研究现状

1.4主要解决途径与方法

第2章分布式防火墙技术研究

2.1分布式防火墙的基本原理

2.2分布式防火墙的本质特征

2.3分布式防火墙的体系结构

2.4分布式防火墙的关键技术

2.4.1策略的制定与分发机制

2.4.2日志的收集机制

2.4.3认证加密机制

2.5国内外分布式防火墙研究现状

2.5.1基于OpenBSD UNIX的实现

2.5.2基于网卡(NIC)的实现

2.5.3基于Windows平台实现的实例

2.6现存分布式防火墙结构模型及分析

2.6.1基于Keynote的分布式防火墙模型

2.6.2基于Agent的分布式防火墙模型

2.6.3基于Kerberos认证的分布式防火墙模型

2.6.4基于Ipsec的分布式防火墙模型

2.6.5混合防火墙

2.6.6对各种模型的分析总结

2.7本章小结

第3章M分布式防火墙模型

3.1 M分布式防火墙模型

3.2信任管理

3.2.1信任管理模型

3.2.2 Keynote信任管理系统

第4章策略表示

4.1策略描述语言

4.1.1包过滤规则描述

4.1.2 Keynote策略描述语言

4.1.3 E_Keynote策略描述语言

4.2策略表示

4.2.1认证机制描述

4.2.2版本与生命周期描述

4.2.3策略管理命令描述

4.2.4访问控制规则描述

4.2.5 NAT规则描述

4.2.6 Ipsec规则描述

4.2.7配置管理命令描述

第5章策略控制中心的设计

5.1策略控制中心的设计

5.1.1网络管理中心模块

5.1.2策略管理模块

5.2策略解析

第6章执行节点的部分实现

6.1策略语言解析

6.1.1策略解析流程图

6.1.2解析过程伪代码

第7章总结与展望

参考文献

致谢

附录