高吞吐量协作防火墙的双向去冗余方法

摘要

随着网络规模的日益庞大，网络结构越来越复杂，网络安全需求也随之发生变化，特别是企业内部网Intranet，要求防火墙能够全面、主动地防御外部和内部网络攻击。然而现有防火墙，不论是集中式防火墙还是分布式防火墙，其防御外部或者内部网络攻击的方式均为被动防御。因此一种可主动地全面防御网络攻击的协作防火墙应运而生。
　　协作防火墙由部署在网络域内或域间的多个防火墙构成，它们以协同方式进行数据包过滤。研究表明，协作防火墙中存在冗余规则，这些冗余规则会降低吞吐量。
　　本文从协作防火墙吞吐量的角度出发，研究一种新颖的协作防火墙去冗余方法。主要研究内容如下：
　　1.根据协作防火墙在网络中的部署情况，将协作防火墙分为域内协作防火墙和跨域协作防火墙这两大类，并简要分析这两类协作防火墙的工作原理和结构特点。
　　2.根据协作防火墙协同过滤数据包的工作机制，提出一种高吞吐量协作防火墙的双向去冗余方法。该方法采用FDD(Firewall Decision Diagram)数据结构来描述防火墙规则，运用同时删除入口和出口防火墙中冗余规则的思想，实现协作防火墙的优化，达到减少协作防火墙规则数量的目的。阐述双向冗余方法可分为四个步骤。为了完成第一、二个步骤提取有效规则和提取伪有效规则，在定义重叠规则概念的基础上，设计有效规则提取算法和伪有效规则提取算法。此外，为了完成第四个步骤--双向去冗余，将该双向去冗余方法中确定冗余规则的问题，简化为数值比较的简单数学运算，设计冗余规则验证算法。对比实验结果表明，本文提出的方法有效地删除了协作防火墙中冗余规则，其平均总冗余率是现有协作防火墙去冗余方法的两倍多。本文提出的方法能减少协作防火墙的总体规则数量。采用此方法来优化协作防火墙，平均每组协作防火墙提高了8.2％的吞吐量。
　　3.采用本文所提出的双向去冗余方法，运用C#的三层架构，设计并实现防火墙分析工具，给出了总体设计、功能设计和接口设计，实现了ACL分析中心、用户管理和配置管理等功能。

目录

文摘

英文文摘

附表索引

第1章 绪论

1.1 研究背景与意义

1.2 研究现状

1.2.1 国内研究现状

1.2.2 国外研究现状

1.3 课题来源

1.4 本文研究内容

1.5 论文结构

第2章 协作防火墙概述

2.1 相关概念

2.2 协作防火墙的特点

2.3 协作防火墙的分类及模型

2.4 本章小结

第3章 防火墙规则的数据结构研究

3.1 防火墙规则的形式

3.2 二元决策图

3.3 区间决策图

3.4 防火墙决策图

3.5 本章小结

第4章 高吞吐量协作防火墙去冗余方法

4.1 基本思想

4.2 具体方法

4.2.1 重叠规则

4.2.2 方法描述

4.2.3 算法设计

4.3 实验评估

4.3.1 实验方法

4.3.2 实验结果及评价

4.4 本章小结

第5章 防火墙分析工具

5.1 需求分析

5.1.1 背景与现状

5.1.2 总体目标

5.1.3 工具的范围

5.1.4 数据需求

5.2 设计与实现

5.2.1 总体设计

5.2.2 数据库设计

5.2.3 功能设计

5.2.4 接口设计

5.2.5 具体实现

5.2.6 运行结果

5.3 本章小结

结 论

1 本文总结

2 工作展望

参考文献

致 谢

附录A 攻读硕士学位期间所发表的学术论文目录

附录B 攻读学位期间参与的主要项目和工作