虚拟机信息攻防战之防火墙自适应优化研究

摘要

防火墙是一种建立在软件或硬件上，通过监视和过滤进出网络数据来确保目标系统安全的防护设备。封包过滤模型与应用代理模型是目前两种成熟的基于软件的防火墙模型。对基于封包过滤的防火墙来说，过滤规则和连接状态是实现安全防护的两个重要部分。在这两个部分的深入研究产生了两代封包过滤防火墙--无状态和有状态封包过滤防火墙。基于封包过滤的防火墙面临的最大问题是平衡安全性和性能。带有严格过滤规则的防火墙常含有大量冗余规则，以牺牲可用性为代价实现高安全级别。另一方面，过滤规则制定的疏漏和错误也降低防火墙的安全防护能力。 本文提出了一种有助于解决上述问题的面向封包过滤防火墙的自适应模型及优化。防火墙模型综合使用网络封包属性，安全的缺省特征，用户自定义属性共同构建过滤规则。在此基础上，使用基于统计学的自适应算法实现对防火墙规则结构和内容的动态优化。实现结果表明，本文提出的防火墙优化策略在一般情况下可以更好的平衡防火墙的安全性，性能和自适应能力。