分布式防火墻策略分發(fā)與分類研究.pdf

1、在典型的分布式防火墻模型中，由策略控制中心統(tǒng)一管理安全策略的制定和分發(fā)工作。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，策略控制中心的負(fù)載越來越重，同時(shí)分布式防火墻規(guī)則的制定也越來越復(fù)雜，如果在策略規(guī)則的定義和分發(fā)過程中稍有不慎，就會(huì)造成策略異常，導(dǎo)致網(wǎng)絡(luò)脆弱從而給全網(wǎng)帶來安全隱患。因此，分布式防火墻策略分發(fā)和分類研究對(duì)分布式防火墻技術(shù)的發(fā)展有著重要意義。 本文首先分析研究了具有代表性的分布式防火墻系統(tǒng)模型的設(shè)計(jì)及實(shí)現(xiàn)方案，總結(jié)了分布式防火墻實(shí)現(xiàn)的

2、關(guān)鍵技術(shù)，歸納了當(dāng)前該研究領(lǐng)域中各種策略分發(fā)技術(shù)，同時(shí)指出了目前這些策略分發(fā)技術(shù)的缺陷以及不完善之處。然后本文提出了一個(gè)三層分布式防火墻的模型，引入?yún)R聚防火墻的概念，通過匯聚防火墻代理主機(jī)防火墻的策略申請(qǐng)和證書申請(qǐng)以及轉(zhuǎn)發(fā)策略和證書的工作，有效分擔(dān)了策略控制中心的負(fù)載，解決策略分發(fā)中的鏈路擁塞問題，消除了系統(tǒng)安全性能瓶頸。同時(shí)還對(duì)匯聚防火墻的功能進(jìn)行了有效擴(kuò)展。在三層分布式防火墻模型的基礎(chǔ)之上，本文制定了“推送”、“索取”和“查詢”結(jié)合

3、的策略分發(fā)機(jī)制來確保策略分發(fā)的及時(shí)性和有效性，并詳細(xì)闡述了該策略分發(fā)機(jī)制的實(shí)現(xiàn)過程。為了在分布式異構(gòu)環(huán)境下實(shí)現(xiàn)策略分發(fā)，本文選擇XML語言來描述分布式防火墻的安全策略，并深入研究了基于SOAP協(xié)議的分布式防火墻策略分發(fā)的原理及其技術(shù)可行性。 其次，針對(duì)當(dāng)前提出的基于域的策略分類思想，本文通過在KevNote模型上進(jìn)行的實(shí)例分析，證明了該思想的可行性，也說明了該思想的不足之處在于用戶遷移時(shí)策略管理復(fù)雜以及策略更新的困難性。文中提出

4、了基于成員角色權(quán)限的策略分類思想，并將成員角色權(quán)限封裝在屬性證書中，使管理員貼近機(jī)構(gòu)和人員的組織形式和資源的分布來實(shí)施策略的分類制定和管理維護(hù)，更有利于策略分發(fā)的安全性和有效性。文中詳細(xì)表述了防火墻策略規(guī)則的定義、基于成員角色權(quán)限策略分類方案及添加規(guī)則算法，并給出了屬性證書封裝成員角色權(quán)限的實(shí)現(xiàn)過程。 最后，本文設(shè)計(jì)了一個(gè)基于SOAP的分布式防火墻安全策略分發(fā)系統(tǒng)，詳細(xì)描述了策略控制中心及節(jié)點(diǎn)防火墻各個(gè)子功能模塊，給出了該系統(tǒng)關(guān)