【摘要】：隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大以及網(wǎng)絡(luò)應(yīng)用的多樣化，網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)峻，網(wǎng)絡(luò)安全愈發(fā)變得難以人工控制。在市場(chǎng)需求的推動(dòng)下，產(chǎn)生了各式的網(wǎng)絡(luò)安全產(chǎn)品。在越來(lái)越多樣的網(wǎng)絡(luò)安全產(chǎn)品中，防火墻超越了其他網(wǎng)絡(luò)安全領(lǐng)域，成為發(fā)展最快的安全產(chǎn)品之一。在防火墻產(chǎn)品的升級(jí)過(guò)程中，傳統(tǒng)的純軟件式防火墻已經(jīng)不能夠適應(yīng)當(dāng)前市場(chǎng)對(duì)防火墻性能需求和多樣化的功能需求，專用的高性能防火墻設(shè)備成為大多數(shù)網(wǎng)絡(luò)服務(wù)商的必然選擇。 同樣由于多樣化的網(wǎng)絡(luò)安全功能需求，防火墻的檢測(cè)方式也在不斷發(fā)生著變化。從最初始的單包過(guò)濾防火墻，到各種應(yīng)用代理防火墻，防火墻體系結(jié)構(gòu)與檢測(cè)方式都在不斷的向前發(fā)展。對(duì)于專業(yè)防火墻設(shè)備而言，綜合前人的智慧，去蕪存菁是一個(gè)必然的選擇。復(fù)合型防火墻就是這樣一種選擇的結(jié)果。復(fù)合型防火墻基本上兼容了前兩個(gè)階段防火墻的優(yōu)勢(shì)，既能在單包攻擊防御方面保持高效，同時(shí)又通過(guò)應(yīng)用代理彌補(bǔ)單包防火墻的功能缺陷。 本文基于復(fù)合型防火墻架構(gòu)，設(shè)計(jì)并實(shí)現(xiàn)了掃描攻擊防御和客戶端認(rèn)證代理兩個(gè)業(yè)務(wù)模塊，同時(shí)對(duì)這兩個(gè)業(yè)務(wù)處理過(guò)程中的一些關(guān)鍵部分提出了優(yōu)化思路與解決方案。 在整體結(jié)構(gòu)設(shè)計(jì)方面，綜合了兩種防火墻的優(yōu)勢(shì)以及具體業(yè)務(wù)模塊的要求，在報(bào)文預(yù)處理，業(yè)務(wù)數(shù)據(jù)管理和攻擊日志管理等幾個(gè)方面進(jìn)行了統(tǒng)一的處理，從整體上提高了防火墻的性能。 在掃描攻擊防御部分，提出了一個(gè)統(tǒng)一的報(bào)文統(tǒng)計(jì)流程，在簡(jiǎn)化計(jì)數(shù)操作的同時(shí)，，可以對(duì)目前公認(rèn)的三種掃描攻擊做出有效而準(zhǔn)確的識(shí)別。在客戶端認(rèn)證代理部分，提供了面對(duì)目前三種主流網(wǎng)絡(luò)應(yīng)用協(xié)議的多種代理方式。在業(yè)務(wù)處理流程中，設(shè)計(jì)了一個(gè)有效的老化數(shù)據(jù)維護(hù)的層次結(jié)構(gòu)模型，減少系統(tǒng)計(jì)時(shí)器中斷頻率。 本文最后提供了系統(tǒng)的主要測(cè)試數(shù)據(jù)，通過(guò)功能測(cè)試與性能測(cè)試兩個(gè)角度，證明了本系統(tǒng)功能的正確性與高效性。在功能測(cè)試部分，模擬了實(shí)際業(yè)務(wù)中的不同情景，全面對(duì)業(yè)務(wù)邏輯進(jìn)行測(cè)試。在性能測(cè)試中，在相同環(huán)境下，通過(guò)新模塊對(duì)轉(zhuǎn)發(fā)性能影響對(duì)比，驗(yàn)證了系統(tǒng)的高效性。
[Abstract]:With the expansion of network scale and the diversification of network applications, network security is becoming more and more serious, and network security becomes more and more difficult to control manually. Driven by market demand, a variety of network security products have emerged. Among more and more network security products, firewall surpasses other network security fields and becomes one of the fastest growing security products. In the process of upgrading firewall products, the traditional pure software firewall can no longer adapt to the current market demand for firewall performance and diverse functions. Dedicated high-performance firewall equipment has become the inevitable choice of most network service providers. Also due to the diverse network security requirements, firewall detection methods are constantly changing. From the initial single-packet filter firewall to various application proxy firewalls, firewall architecture and detection methods are constantly developing. For professional firewall equipment, the synthesis of the wisdom of the predecessors, desolation is an inevitable choice. A composite firewall is the result of such a choice. The composite firewall is basically compatible with the advantages of the first two stages of the firewall. It can not only maintain high efficiency in the defense of single packet attack, but also make up the functional defects of the single packet firewall through application proxy. Based on the composite firewall architecture, this paper designs and implements two business modules, scanning attack defense and client authentication proxy, and puts forward some optimization ideas and solutions for some key parts of these two service processing processes. In the aspect of overall structure design, the advantages of two kinds of firewalls and the requirements of specific business modules are synthesized, and the unified processing is carried out in several aspects, such as message preprocessing, business data management and attack log management, etc. The overall performance of the firewall is improved. In the part of scanning attack defense, a unified packet statistic flow is proposed, which simplifies the counting operation and can effectively and accurately identify the three kinds of scan attacks. In the client authentication agent part, it provides a variety of proxy ways to face the three main network application protocols. In the business process, an effective hierarchical model for the maintenance of aging data is designed to reduce the interrupt frequency of the system timer. Finally, the main test data of the system are provided, and the correctness and efficiency of the system are proved by the function test and the performance test. In the part of function test, we simulate the different scenarios of actual business and test the business logic comprehensively. In the performance test, under the same environment, the efficiency of the system is verified by comparing the effect of the new module on the forwarding performance.
【學(xué)位授予單位】：哈爾濱工業(yè)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2014
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 李慶東,張文娟;網(wǎng)絡(luò)安全問(wèn)題研究[J];情報(bào)科學(xué);2000年08期

2 ;計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[J];工業(yè)控制計(jì)算機(jī);2000年04期

3 牛丹梅,洪毅,王軍;淺議網(wǎng)絡(luò)安全技術(shù)及管理[J];黑龍江水利科技;2000年02期

4 ;網(wǎng)絡(luò)安全技術(shù)[J];農(nóng)業(yè)信息探索;2000年02期

5 辛欣;認(rèn)識(shí)網(wǎng)絡(luò)安全──與3Com電子商務(wù)發(fā)展經(jīng)理的對(duì)話[J];市場(chǎng)與電腦;2000年08期

6 ;網(wǎng)絡(luò)安全,路在腳下[J];市場(chǎng)與電腦;2000年08期

7 陳永;上海加強(qiáng)網(wǎng)絡(luò)安全──“互聯(lián)網(wǎng)絡(luò)安全問(wèn)題與對(duì)策”研討會(huì)舉行[J];上海微型計(jì)算機(jī);2000年12期

8 徐晨;網(wǎng)絡(luò)安全 商機(jī)無(wú)限[J];上海微型計(jì)算機(jī);2000年34期

9 屠政;正有網(wǎng)絡(luò)公司開(kāi)啟網(wǎng)絡(luò)安全之門(mén)[J];中國(guó)信息導(dǎo)報(bào);2000年09期

10 馮婷婷;網(wǎng)絡(luò)安全警句[J];軟件工程師;2000年08期

相關(guān)會(huì)議論文 前10條

1 李正男;吳亞非;丁志新;;計(jì)算機(jī)網(wǎng)絡(luò)安全概述[A];第六次全國(guó)計(jì)算機(jī)安全技術(shù)交流會(huì)論文集[C];1991年

2 劉小躍;馬建峰;;高等師范院校網(wǎng)絡(luò)安全課程教改新思路[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

3 劉勝利;劉楠;肖達(dá);劉龍;;網(wǎng)絡(luò)安全專業(yè)本科生創(chuàng)新能力培養(yǎng)研究與探索[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

4 陳紅松;;網(wǎng)絡(luò)安全課程中學(xué)生興趣的激發(fā)與培養(yǎng)[A];著力提高高等教育質(zhì)量，努力增強(qiáng)高校創(chuàng)新與服務(wù)能力——北京市高等教育學(xué)會(huì)2007年學(xué)術(shù)年會(huì)論文集（上冊(cè)）[C];2008年

5 張軍;;網(wǎng)絡(luò)安全的形勢(shì)與對(duì)策[A];四川省通信學(xué)會(huì)2006年學(xué)術(shù)年會(huì)論文集（二）[C];2006年

6 ;積極推進(jìn)全球網(wǎng)絡(luò)安全[A];四川省通信學(xué)會(huì)2006年學(xué)術(shù)年會(huì)論文集（二）[C];2006年

7 洪婷;陳永定;;淺談圖書(shū)館網(wǎng)絡(luò)安全與對(duì)策[A];福建省圖書(shū)館學(xué)會(huì)2006年學(xué)術(shù)年會(huì)論文集[C];2006年

8 陳雯;;淺談圖書(shū)館網(wǎng)絡(luò)安全[A];福建省圖書(shū)館學(xué)會(huì)2007年學(xué)術(shù)年會(huì)論文集[C];2007年

9 李穎;;淺談網(wǎng)絡(luò)安全應(yīng)對(duì)策略[A];天津市電視技術(shù)研究會(huì)2012年年會(huì)論文集[C];2012年

10 陳其豐;;客戶網(wǎng)絡(luò)安全探討[A];海南省通信學(xué)會(huì)學(xué)術(shù)年會(huì)論文集（2008）[C];2008年

相關(guān)重要報(bào)紙文章 前10條

1 肖健;六大趨勢(shì)“惹火”2005網(wǎng)絡(luò)安全[N];中國(guó)計(jì)算機(jī)報(bào);2005年

2 鮑捷;中外聯(lián)手維護(hù)網(wǎng)絡(luò)安全[N];人民日?qǐng)?bào);2004年

3 記者 史芳;“先發(fā)制人”成為網(wǎng)絡(luò)安全新主張[N];中國(guó)經(jīng)濟(jì)導(dǎo)報(bào);2006年

4 國(guó)際電聯(lián)電信標(biāo)準(zhǔn)化局局長(zhǎng) 本報(bào)高級(jí)顧問(wèn) 趙厚麟;推進(jìn)全球網(wǎng)絡(luò)安全：多方協(xié)作的重大工程[N];人民郵電;2006年

5 賽迪顧問(wèn)通信產(chǎn)業(yè)研究中心咨詢師 李煜;網(wǎng)絡(luò)安全市場(chǎng)面臨洗牌[N];通信產(chǎn)業(yè)報(bào);2007年

6 ;二季度網(wǎng)絡(luò)安全市場(chǎng)銷(xiāo)售額達(dá)11億美元[N];網(wǎng)絡(luò)世界;2006年

7 Tony;強(qiáng)勁需求拉動(dòng)網(wǎng)絡(luò)安全市場(chǎng)快速增長(zhǎng)[N];中國(guó)計(jì)算機(jī)報(bào);2007年

8 黃粵寶 本報(bào)記者 叢曉明;公安機(jī)關(guān)檢查網(wǎng)絡(luò)安全工作[N];丹東日?qǐng)?bào);2008年

9 記者 方祥生;歐安組織網(wǎng)絡(luò)安全會(huì)議開(kāi)幕[N];光明日?qǐng)?bào);2009年

10 傅曉輝;網(wǎng)絡(luò)安全商機(jī)開(kāi)盤(pán)[N];通信產(chǎn)業(yè)報(bào);2004年

相關(guān)博士學(xué)位論文 前10條

1 薄澄宇;網(wǎng)絡(luò)安全與中美關(guān)系[D];中共中央黨校;2015年

2 張武軍;機(jī)器類型通信中的網(wǎng)絡(luò)安全問(wèn)題研究[D];西安電子科技大學(xué);2014年

3 羅建;復(fù)雜攻擊系統(tǒng)建模及其在網(wǎng)絡(luò)安全中的應(yīng)用[D];清華大學(xué);2015年

4 胡冠宇;基于置信規(guī)則庫(kù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究[D];哈爾濱理工大學(xué);2016年

5 阿漢（Ahmad Jakalan）;網(wǎng)間IP流量行為分析與關(guān)系發(fā)現(xiàn)[D];東南大學(xué);2016年

6 高妮;網(wǎng)絡(luò)安全多維動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)研究[D];西北大學(xué);2016年

7 李偉明;網(wǎng)絡(luò)安全語(yǔ)言關(guān)鍵技術(shù)的研究[D];華中科技大學(xué);2006年

8 張建鋒;網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估若干關(guān)鍵技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2013年

9 司加全;網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究[D];哈爾濱工程大學(xué);2009年

10 田大新;網(wǎng)絡(luò)安全中若干問(wèn)題的研究[D];吉林大學(xué);2007年

相關(guān)碩士學(xué)位論文 前10條

1 張衛(wèi)清;網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[D];南華大學(xué);2006年

2 吳磊;網(wǎng)絡(luò)安全企業(yè)服務(wù)營(yíng)銷(xiāo)問(wèn)題研究[D];華北電力大學(xué)（北京）;2006年

3 張煜;基于信息融合的分層次網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究[D];天津理工大學(xué);2015年

4 劉敏;基于攻擊圖的網(wǎng)絡(luò)安全評(píng)估技術(shù)研究[D];南京理工大學(xué);2015年

5 李棟楠;P公司網(wǎng)絡(luò)安全及管理體系的改進(jìn)與實(shí)施研究[D];廣西大學(xué);2015年

6 曾玉生;基于Linux平臺(tái)的內(nèi)江職業(yè)技術(shù)學(xué)院防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2015年

7 林玉梅;高校校園網(wǎng)絡(luò)安全防護(hù)方案的設(shè)計(jì)與實(shí)施[D];華僑大學(xué);2015年

8 張濱;山東電信IP VPN網(wǎng)管系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2014年

9 顧鑫恒;人工免疫機(jī)制在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究與實(shí)現(xiàn)[D];電子科技大學(xué);2014年

10 宋占軍;外資企業(yè)在中國(guó)網(wǎng)絡(luò)安全市場(chǎng)的服務(wù)營(yíng)銷(xiāo)策略分析[D];北京化工大學(xué);2015年

本文編號(hào)：2358959