云环境下适用于FWaaS的并行防火墙方案研究与设计

摘要

云环境中，以“服务”作为软件交付方式的理念得到了学术界和产业界的广泛认可。除了传统的IaaS，PaaS和SaaS，一切皆是服务XaaS(X as a Service)成了云计算领域的研究热点。这意味着在云环境下，有越来越多的功能会以“服务”的形式提供给租户。
　　本文从防火墙出发，侧重于云环境下防火墙即服务FWaaS(Firewall as aService)的研究工作。本文设计了一种同时基于数据包分类与规则分布的并行防火墙机制HYPFS(Hybrid methods based Parallel Firewall Scheme)。与传统的防火墙相比，该并行防火墙有负载均衡，动态调整，动态伸缩的特点，使防火墙系统有更高的效率，且更适合应用于云环境。在云环境中，防火墙资源被虚拟化，租户可以通过租用多条虚拟防火墙来组成自己的并行防火墙。
　　论文首先分析了如何进行防火墙规则异常的检测。本文通过建立规则-子段表来检测可能存在的规则异常，并引入重叠集来缩小检测范围，为后序对防火墙规则处理打下坚实的基础，且可以得到了防火墙规则的逻辑顺序。然后本文通过规则的重要性顺序，字段顺序，逻辑顺序三种顺序对防火墙规则进行重新分布，使得所设计的并行防火墙不仅能在防火墙之间进行负载均衡，也可以根据负载的变化动态伸缩，真正达到按需分配的效果。同时本文也考虑到了并行防火墙中数据包分类器的负载，使用扁平分类方案以提高数据包分类器的效率。最后论文通过实验验证了文章的主要算法，实验证明，论文所设计的并行防火墙符合各项要求，可以以服务的形式应用在云环境中。

目录

摘要

第1章 绪论

1．1 研究背景和意义

1．2 国内外研究现状

1．3 研究内容与论文框架

第2章 相关理论介绍

2．1 防火墙5元组介绍

2．2 防火墙的规则匹配

2．3 防火墙的完全性与等价性

2．4 防火墙规则之间的关系

2．5 本章小结

第3章 HYPFS系统的框架设计

3．1 基于数据包分类的并行防火墙方案

3．2 基于规则分布的并行防火墙方案

3．3 HYPFS并行防火墙方案

3．4 并行防火墙方案的理论比较

3．5 本章小节

第4章 HYPFS规则异常检测机制设计

4．1 防火墙的规则分段

4．1．1 分段与子段的概念

4．1．2 防火墙规则分段分析

4．1．3 HYPFS防火墙分段算法的设计

4．2 防火墙规则重叠的检测

4．2．1 规则-子段矩阵表示法

4．2．2 防火墙规则重叠集的构建

4．2．3 HYPFS防火墙规则冗余检测与解决方案

4．3 HYPFS防火墙规则的逻辑顺序

4．4 本章小节

第5章 HYPFS防火墙详细设计

5．1 HYPFS防火墙在云环境中的位置

5．2 数据包分析

5．2．1 HYPFS分类器设计

5．2．2 规则优先级动态调整

5．3 并行防火墙规则分布分析

5．3．1 防火墙规则分布的理论依据

5．3．2 HYPFS防火墙分布算法设计

5．4 HYPFS规则的添加与删除

5．5 HYPFS并行防火墙动态伸缩

5．5．1 HYPFS并行防火墙伸缩机制设计

5．5．2 HYPFS防火墙数目调整算法设计

5．6 本章小结

第6章 实验验证与结果分析

6．1 实验环境

6．2 HYPFS的IPTABLES实现

6．2．1 IPTABLES介绍

6．2．2 HYPFS的具体实现

6．3 防火墙分段算法验证

6．3．1 分段算法正确性验证

6．3．2 分段算法效率分析

6．4 防火墙规则分布的验证

6．4．1 指数平滑提高规则稳定性的验证

6．4．2 并行防火墙负载均衡的验证

6．5 防火墙效率的验证

6．6 实验总结

第7章 总结与展望

7．1 本文工作总结及创新点

7．2 未来工作展望

参考文献

致谢

硕士期间发表论文

声明