复合型防火墙扫描防御与客户端认证模块的设计与实现

发布时间：2018-11-26 15:37

【摘要】：随着网络规模的不断扩大以及网络应用的多样化，网络安全问题日益严峻，网络安全愈发变得难以人工控制。在市场需求的推动下，产生了各式的网络安全产品。在越来越多样的网络安全产品中，防火墙超越了其他网络安全领域，成为发展最快的安全产品之一。在防火墙产品的升级过程中，传统的纯软件式防火墙已经不能够适应当前市场对防火墙性能需求和多样化的功能需求，专用的高性能防火墙设备成为大多数网络服务商的必然选择。 同样由于多样化的网络安全功能需求，防火墙的检测方式也在不断发生着变化。从最初始的单包过滤防火墙，到各种应用代理防火墙，防火墙体系结构与检测方式都在不断的向前发展。对于专业防火墙设备而言，综合前人的智慧，去芜存菁是一个必然的选择。复合型防火墙就是这样一种选择的结果。复合型防火墙基本上兼容了前两个阶段防火墙的优势，既能在单包攻击防御方面保持高效，同时又通过应用代理弥补单包防火墙的功能缺陷。 本文基于复合型防火墙架构，设计并实现了扫描攻击防御和客户端认证代理两个业务模块，同时对这两个业务处理过程中的一些关键部分提出了优化思路与解决方案。 在整体结构设计方面，综合了两种防火墙的优势以及具体业务模块的要求，在报文预处理，业务数据管理和攻击日志管理等几个方面进行了统一的处理，从整体上提高了防火墙的性能。 在扫描攻击防御部分，提出了一个统一的报文统计流程，在简化计数操作的同时，，可以对目前公认的三种扫描攻击做出有效而准确的识别。在客户端认证代理部分，提供了面对目前三种主流网络应用协议的多种代理方式。在业务处理流程中，设计了一个有效的老化数据维护的层次结构模型，减少系统计时器中断频率。 本文最后提供了系统的主要测试数据，通过功能测试与性能测试两个角度，证明了本系统功能的正确性与高效性。在功能测试部分，模拟了实际业务中的不同情景，全面对业务逻辑进行测试。在性能测试中，在相同环境下，通过新模块对转发性能影响对比，验证了系统的高效性。
[Abstract]:With the expansion of network scale and the diversification of network applications, network security is becoming more and more serious, and network security becomes more and more difficult to control manually. Driven by market demand, a variety of network security products have emerged. Among more and more network security products, firewall surpasses other network security fields and becomes one of the fastest growing security products. In the process of upgrading firewall products, the traditional pure software firewall can no longer adapt to the current market demand for firewall performance and diverse functions. Dedicated high-performance firewall equipment has become the inevitable choice of most network service providers. Also due to the diverse network security requirements, firewall detection methods are constantly changing. From the initial single-packet filter firewall to various application proxy firewalls, firewall architecture and detection methods are constantly developing. For professional firewall equipment, the synthesis of the wisdom of the predecessors, desolation is an inevitable choice. A composite firewall is the result of such a choice. The composite firewall is basically compatible with the advantages of the first two stages of the firewall. It can not only maintain high efficiency in the defense of single packet attack, but also make up the functional defects of the single packet firewall through application proxy. Based on the composite firewall architecture, this paper designs and implements two business modules, scanning attack defense and client authentication proxy, and puts forward some optimization ideas and solutions for some key parts of these two service processing processes. In the aspect of overall structure design, the advantages of two kinds of firewalls and the requirements of specific business modules are synthesized, and the unified processing is carried out in several aspects, such as message preprocessing, business data management and attack log management, etc. The overall performance of the firewall is improved. In the part of scanning attack defense, a unified packet statistic flow is proposed, which simplifies the counting operation and can effectively and accurately identify the three kinds of scan attacks. In the client authentication agent part, it provides a variety of proxy ways to face the three main network application protocols. In the business process, an effective hierarchical model for the maintenance of aging data is designed to reduce the interrupt frequency of the system timer. Finally, the main test data of the system are provided, and the correctness and efficiency of the system are proved by the function test and the performance test. In the part of function test, we simulate the different scenarios of actual business and test the business logic comprehensively. In the performance test, under the same environment, the efficiency of the system is verified by comparing the effect of the new module on the forwarding performance.
【学位授予单位】：哈尔滨工业大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 李庆东,张文娟;网络安全问题研究[J];情报科学;2000年08期

2 ;计算机网络安全导论[J];工业控制计算机;2000年04期

3 牛丹梅,洪毅,王军;浅议网络安全技术及管理[J];黑龙江水利科技;2000年02期

4 ;网络安全技术[J];农业信息探索;2000年02期

5 辛欣;认识网络安全──与3Com电子商务发展经理的对话[J];市场与电脑;2000年08期

6 ;网络安全,路在脚下[J];市场与电脑;2000年08期

7 陈永;上海加强网络安全──“互联网络安全问题与对策”研讨会举行[J];上海微型计算机;2000年12期

8 徐晨;网络安全 商机无限[J];上海微型计算机;2000年34期

9 屠政;正有网络公司开启网络安全之门[J];中国信息导报;2000年09期

10 冯婷婷;网络安全警句[J];软件工程师;2000年08期

相关会议论文 前10条

1 李正男;吴亚非;丁志新;;计算机网络安全概述[A];第六次全国计算机安全技术交流会论文集[C];1991年

2 刘小跃;马建峰;;高等师范院校网络安全课程教改新思路[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

3 刘胜利;刘楠;肖达;刘龙;;网络安全专业本科生创新能力培养研究与探索[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

4 陈红松;;网络安全课程中学生兴趣的激发与培养[A];着力提高高等教育质量，努力增强高校创新与服务能力——北京市高等教育学会2007年学术年会论文集（上册）[C];2008年

5 张军;;网络安全的形势与对策[A];四川省通信学会2006年学术年会论文集（二）[C];2006年

6 ;积极推进全球网络安全[A];四川省通信学会2006年学术年会论文集（二）[C];2006年

7 洪婷;陈永定;;浅谈图书馆网络安全与对策[A];福建省图书馆学会2006年学术年会论文集[C];2006年

8 陈雯;;浅谈图书馆网络安全[A];福建省图书馆学会2007年学术年会论文集[C];2007年

9 李颖;;浅谈网络安全应对策略[A];天津市电视技术研究会2012年年会论文集[C];2012年

10 陈其丰;;客户网络安全探讨[A];海南省通信学会学术年会论文集（2008）[C];2008年

相关重要报纸文章 前10条

1 肖健;六大趋势“惹火”2005网络安全[N];中国计算机报;2005年

2 鲍捷;中外联手维护网络安全[N];人民日报;2004年

3 记者 史芳;“先发制人”成为网络安全新主张[N];中国经济导报;2006年

4 国际电联电信标准化局局长 本报高级顾问 赵厚麟;推进全球网络安全：多方协作的重大工程[N];人民邮电;2006年

5 赛迪顾问通信产业研究中心咨询师 李煜;网络安全市场面临洗牌[N];通信产业报;2007年

6 ;二季度网络安全市场销售额达11亿美元[N];网络世界;2006年

7 Tony;强劲需求拉动网络安全市场快速增长[N];中国计算机报;2007年

8 黄粤宝 本报记者 丛晓明;公安机关检查网络安全工作[N];丹东日报;2008年

9 记者 方祥生;欧安组织网络安全会议开幕[N];光明日报;2009年

10 傅晓辉;网络安全商机开盘[N];通信产业报;2004年

相关博士学位论文 前10条

1 薄澄宇;网络安全与中美关系[D];中共中央党校;2015年

2 张武军;机器类型通信中的网络安全问题研究[D];西安电子科技大学;2014年

3 罗建;复杂攻击系统建模及其在网络安全中的应用[D];清华大学;2015年

4 胡冠宇;基于置信规则库的网络安全态势感知技术研究[D];哈尔滨理工大学;2016年

5 阿汉（Ahmad Jakalan）;网间IP流量行为分析与关系发现[D];东南大学;2016年

6 高妮;网络安全多维动态风险评估关键技术研究[D];西北大学;2016年

7 李伟明;网络安全语言关键技术的研究[D];华中科技大学;2006年

8 张建锋;网络安全态势评估若干关键技术研究[D];国防科学技术大学;2013年

9 司加全;网络安全态势感知技术研究[D];哈尔滨工程大学;2009年

10 田大新;网络安全中若干问题的研究[D];吉林大学;2007年

相关硕士学位论文 前10条

1 张卫清;网络安全与网络安全文化[D];南华大学;2006年

2 吴磊;网络安全企业服务营销问题研究[D];华北电力大学（北京）;2006年

3 张煜;基于信息融合的分层次网络安全态势感知研究[D];天津理工大学;2015年

4 刘敏;基于攻击图的网络安全评估技术研究[D];南京理工大学;2015年

5 李栋楠;P公司网络安全及管理体系的改进与实施研究[D];广西大学;2015年

6 曾玉生;基于Linux平台的内江职业技术学院防火墙系统的设计与实现[D];电子科技大学;2015年

7 林玉梅;高校校园网络安全防护方案的设计与实施[D];华侨大学;2015年

8 张滨;山东电信IP VPN网管系统设计与实现[D];电子科技大学;2014年

9 顾鑫恒;人工免疫机制在网络入侵检测系统研究与实现[D];电子科技大学;2014年

10 宋占军;外资企业在中国网络安全市场的服务营销策略分析[D];北京化工大学;2015年

本文编号：2358959