防火墻是保護網(wǎng)絡系統(tǒng)安全的屏障。近年來,針對企業(yè)級信息網(wǎng)絡的攻擊日漸增加,防火墻的安全防護作用也日益凸顯。但是隨著企業(yè)網(wǎng)絡與業(yè)務系統(tǒng)的擴張,防火墻配置也日漸復雜,大量冗余、無效、有風險的配置規(guī)則日積月累,使網(wǎng)絡安全面臨著巨大的威脅。在這種情況下,防火墻策略審計變得尤為必要。而目前市場上缺乏對防火墻策略進行專業(yè)審計的產(chǎn)品,并且已有的系統(tǒng)大都針對國外防火墻,針對國內(nèi)防火墻的相關產(chǎn)品較少。同時企業(yè)內(nèi)部復雜的網(wǎng)絡環(huán)境也給管理員對關鍵位置防火墻的審計造成了一定的困難。針對上述問題,本文對防火墻策略審計系統(tǒng)進行了相關研究與設計實現(xiàn)。本文主要針對國內(nèi)比較主流的天融信、啟明星辰防火墻進行了策略審計的研究。在本文的撰寫過程中,作者所做的工作主要有以下幾個方面：1.對審計方案進行了研究。在對現(xiàn)有的策略審計方案進行研究的基礎之上,提出了改進的策略樹審計方案,并基于此方案對防火墻策略審計系統(tǒng)進行了設計與實現(xiàn)。2.對策略審計基線進行了研究與制定。依據(jù)相關的安全規(guī)范,結合天融信與啟明星辰的配置規(guī)范說明,制定了相應的審計基線。3.對拓撲發(fā)現(xiàn)模塊進行了設計與實現(xiàn)。為了圖形化的展示出當前的網(wǎng)絡環(huán)境,幫助管理員簡單準確完... 

【文章來源】：北京郵電大學北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：97 頁

【學位級別】：碩士

【部分圖文】：

AlgoSec安全管理套件組成

對于大規(guī)模的復雜網(wǎng)絡，其防護性能便顯得不盡人意。包過濾防火墻的層次結構如圖2-1所示。應用層 應用層 應用層運輸層 運輸層 運輸層 \網(wǎng)絡層 網(wǎng)絡層 網(wǎng)絡層 >數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層 /物理層 物理層 物理層主機 防火墻 主機圖2-1包過濾.防火墻層次示意圖2.應用級網(wǎng)關型防火墻數(shù)據(jù)包過濾型防火墻僅對網(wǎng)絡層的數(shù)據(jù)包進行蹄選過濾，而應用級網(wǎng)關則可以解析應用層的一些協(xié)議并且做一些復雜的訪問控制。通過利用其協(xié)議過濾、轉(zhuǎn)發(fā)的功能，對于所有流經(jīng)應用級網(wǎng)關的數(shù)據(jù)包，它可以針對不同的應用服務協(xié)議來選擇不同的過濾邏輯，從而決定該數(shù)據(jù)包是允許通過還是拒絕[I6]。但是正是由于其依據(jù)特定的過濾邏輯來蹄選數(shù)據(jù)包，也給非法的訪問提供了可能，只要非法攻擊的數(shù)據(jù)包滿足了邏輯，便可以進入防火墻內(nèi)的計算機網(wǎng)絡，從而造成一定的風險與損失。應用網(wǎng)關型防火墻的層次結構如圖2-2所示應用層 ||應用層I、 應用層 公 1/ n 運輸層卜運輸層 運輸層 卜“網(wǎng)絡層 ) 網(wǎng)絡層 [網(wǎng)絡層 )數(shù)據(jù)鏈路層V 數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層物理層 物理層 物理層主機 防火墻 主機圖2-2應用網(wǎng)關型防火墻層次示意圖3.狀態(tài)檢測防火墻與包過濾防火墻類似，狀態(tài)檢測防火墻具有較高的性能，同時狀態(tài)檢測防火墻在數(shù)據(jù)包狀態(tài)方面做出了改進，通過在防火墻的核心部分建立狀態(tài)連接表，維護出網(wǎng)的TCP連接目錄而加強TCP數(shù)據(jù)流的檢測規(guī)則

法攻擊的數(shù)據(jù)包滿足了邏輯，便可以進入防火墻內(nèi)的計算機網(wǎng)絡，從而造成一定的風險與損失。應用網(wǎng)關型防火墻的層次結構如圖2-2所示應用層 ||應用層I、 應用層 公 1/ n 運輸層卜運輸層 運輸層 卜“網(wǎng)絡層 ) 網(wǎng)絡層 [網(wǎng)絡層 )數(shù)據(jù)鏈路層V 數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層物理層 物理層 物理層主機 防火墻 主機圖2-2應用網(wǎng)關型防火墻層次示意圖3.狀態(tài)檢測防火墻與包過濾防火墻類似，狀態(tài)檢測防火墻具有較高的性能，同時狀態(tài)檢測防火墻在數(shù)據(jù)包狀態(tài)方面做出了改進，通過在防火墻的核心部分建立狀態(tài)連接表，維護出網(wǎng)的TCP連接目錄而加強TCP數(shù)據(jù)流的檢測規(guī)則，報文的過濾規(guī)則只允許那7

【參考文獻】：
期刊論文
[1]防火墻策略沖突檢測及沖突策略可視化[J]. 孫立琴,潘理.  信息安全與通信保密. 2012(05)
[2]基于默認規(guī)則的防火墻優(yōu)化方法[J]. 傅鶴崗,張李.  計算機工程. 2011(20)
[3]防火墻擴展match模塊匹配算法優(yōu)化[J]. 周東浩,王勇軍.  計算機工程與設計. 2011(03)
[4]一種基于沖突檢測的無關聯(lián)規(guī)則集匹配算法[J]. 施榮華,莫銳,趙文濤.  計算機工程與科學. 2010(10)
[5]基于Web和SNMP的拓撲更新策略[J]. 牟鵬至,李飛,羅傳軍.  計算機工程. 2010(10)
[6]基于內(nèi)分泌機制的防火墻自適應調(diào)控算法[J]. 朱思峰,王華東,魏榮華.  計算機科學. 2009(11)
[7]淺談防火墻及其在網(wǎng)絡安全中的應用[J]. 羅君.  科技經(jīng)濟市場. 2009(10)
[8]一種基于SNMP協(xié)議的網(wǎng)絡拓撲發(fā)現(xiàn)改進算法[J]. 彭建,朱萍,傅明.  計算機工程與科學. 2009(04)
[9]基于統(tǒng)計分析與規(guī)則沖突檢測的防火墻優(yōu)化[J]. 楊奕,楊樹堂,陳健寧,陸松年.  計算機工程. 2008(15)
[10]一種快速的防火墻規(guī)則沖突檢測算法[J]. 李林,盧顯良.  計算機應用研究. 2008(01)

碩士論文
[1]SFDD算法的設計及其在狀態(tài)防火墻規(guī)則集比對的應用[D]. 厲怡君.湖南大學 2013
[2]分布式防火墻策略異常檢測算法的研究[D]. 張麗.南京理工大學 2007
[3]防火墻配置的異常檢測與優(yōu)化研究[D]. 吳曉剛.廣州大學 2007



本文編號：2904885