基于B/S架构的防火墙策略审计系统的设计与实现
发布时间:2020-12-08 09:46
防火墙是保护网络系统安全的屏障。近年来,针对企业级信息网络的攻击日渐增加,防火墙的安全防护作用也日益凸显。但是随着企业网络与业务系统的扩张,防火墙配置也日渐复杂,大量冗余、无效、有风险的配置规则日积月累,使网络安全面临着巨大的威胁。在这种情况下,防火墙策略审计变得尤为必要。而目前市场上缺乏对防火墙策略进行专业审计的产品,并且已有的系统大都针对国外防火墙,针对国内防火墙的相关产品较少。同时企业内部复杂的网络环境也给管理员对关键位置防火墙的审计造成了一定的困难。针对上述问题,本文对防火墙策略审计系统进行了相关研究与设计实现。本文主要针对国内比较主流的天融信、启明星辰防火墙进行了策略审计的研究。在本文的撰写过程中,作者所做的工作主要有以下几个方面:1.对审计方案进行了研究。在对现有的策略审计方案进行研究的基础之上,提出了改进的策略树审计方案,并基于此方案对防火墙策略审计系统进行了设计与实现。2.对策略审计基线进行了研究与制定。依据相关的安全规范,结合天融信与启明星辰的配置规范说明,制定了相应的审计基线。3.对拓扑发现模块进行了设计与实现。为了图形化的展示出当前的网络环境,帮助管理员简单准确完...
【文章来源】:北京邮电大学北京市 211工程院校 教育部直属院校
【文章页数】:97 页
【学位级别】:硕士
【部分图文】:
AlgoSec安全管理套件组成
对于大规模的复杂网络,其防护性能便显得不尽人意。包过滤防火墙的层次结构如图2-1所示。应用层 应用层 应用层运输层 运输层 运输层 \网络层 网络层 网络层 >数据链路层 数据链路层 数据链路层 /物理层 物理层 物理层主机 防火墙 主机图2-1包过滤.防火墙层次示意图2.应用级网关型防火墙数据包过滤型防火墙仅对网络层的数据包进行蹄选过滤,而应用级网关则可以解析应用层的一些协议并且做一些复杂的访问控制。通过利用其协议过滤、转发的功能,对于所有流经应用级网关的数据包,它可以针对不同的应用服务协议来选择不同的过滤逻辑,从而决定该数据包是允许通过还是拒绝[I6]。但是正是由于其依据特定的过滤逻辑来蹄选数据包,也给非法的访问提供了可能,只要非法攻击的数据包满足了逻辑,便可以进入防火墙内的计算机网络,从而造成一定的风险与损失。应用网关型防火墙的层次结构如图2-2所示应用层 ||应用层I、 应用层 公 1/ n 运输层卜运输层 运输层 卜“网络层 ) 网络层 [网络层 )数据链路层V 数据链路层 数据链路层物理层 物理层 物理层主机 防火墙 主机图2-2应用网关型防火墙层次示意图3.状态检测防火墙与包过滤防火墙类似,状态检测防火墙具有较高的性能,同时状态检测防火墙在数据包状态方面做出了改进,通过在防火墙的核心部分建立状态连接表,维护出网的TCP连接目录而加强TCP数据流的检测规则
法攻击的数据包满足了逻辑,便可以进入防火墙内的计算机网络,从而造成一定的风险与损失。应用网关型防火墙的层次结构如图2-2所示应用层 ||应用层I、 应用层 公 1/ n 运输层卜运输层 运输层 卜“网络层 ) 网络层 [网络层 )数据链路层V 数据链路层 数据链路层物理层 物理层 物理层主机 防火墙 主机图2-2应用网关型防火墙层次示意图3.状态检测防火墙与包过滤防火墙类似,状态检测防火墙具有较高的性能,同时状态检测防火墙在数据包状态方面做出了改进,通过在防火墙的核心部分建立状态连接表,维护出网的TCP连接目录而加强TCP数据流的检测规则,报文的过滤规则只允许那7
【参考文献】:
期刊论文
[1]防火墙策略冲突检测及冲突策略可视化[J]. 孙立琴,潘理. 信息安全与通信保密. 2012(05)
[2]基于默认规则的防火墙优化方法[J]. 傅鹤岗,张李. 计算机工程. 2011(20)
[3]防火墙扩展match模块匹配算法优化[J]. 周东浩,王勇军. 计算机工程与设计. 2011(03)
[4]一种基于冲突检测的无关联规则集匹配算法[J]. 施荣华,莫锐,赵文涛. 计算机工程与科学. 2010(10)
[5]基于Web和SNMP的拓扑更新策略[J]. 牟鹏至,李飞,罗传军. 计算机工程. 2010(10)
[6]基于内分泌机制的防火墙自适应调控算法[J]. 朱思峰,王华东,魏荣华. 计算机科学. 2009(11)
[7]浅谈防火墙及其在网络安全中的应用[J]. 罗君. 科技经济市场. 2009(10)
[8]一种基于SNMP协议的网络拓扑发现改进算法[J]. 彭建,朱萍,傅明. 计算机工程与科学. 2009(04)
[9]基于统计分析与规则冲突检测的防火墙优化[J]. 杨奕,杨树堂,陈健宁,陆松年. 计算机工程. 2008(15)
[10]一种快速的防火墙规则冲突检测算法[J]. 李林,卢显良. 计算机应用研究. 2008(01)
硕士论文
[1]SFDD算法的设计及其在状态防火墙规则集比对的应用[D]. 厉怡君.湖南大学 2013
[2]分布式防火墙策略异常检测算法的研究[D]. 张丽.南京理工大学 2007
[3]防火墙配置的异常检测与优化研究[D]. 吴晓刚.广州大学 2007
本文编号:2904885
【文章来源】:北京邮电大学北京市 211工程院校 教育部直属院校
【文章页数】:97 页
【学位级别】:硕士
【部分图文】:
AlgoSec安全管理套件组成
对于大规模的复杂网络,其防护性能便显得不尽人意。包过滤防火墙的层次结构如图2-1所示。应用层 应用层 应用层运输层 运输层 运输层 \网络层 网络层 网络层 >数据链路层 数据链路层 数据链路层 /物理层 物理层 物理层主机 防火墙 主机图2-1包过滤.防火墙层次示意图2.应用级网关型防火墙数据包过滤型防火墙仅对网络层的数据包进行蹄选过滤,而应用级网关则可以解析应用层的一些协议并且做一些复杂的访问控制。通过利用其协议过滤、转发的功能,对于所有流经应用级网关的数据包,它可以针对不同的应用服务协议来选择不同的过滤逻辑,从而决定该数据包是允许通过还是拒绝[I6]。但是正是由于其依据特定的过滤逻辑来蹄选数据包,也给非法的访问提供了可能,只要非法攻击的数据包满足了逻辑,便可以进入防火墙内的计算机网络,从而造成一定的风险与损失。应用网关型防火墙的层次结构如图2-2所示应用层 ||应用层I、 应用层 公 1/ n 运输层卜运输层 运输层 卜“网络层 ) 网络层 [网络层 )数据链路层V 数据链路层 数据链路层物理层 物理层 物理层主机 防火墙 主机图2-2应用网关型防火墙层次示意图3.状态检测防火墙与包过滤防火墙类似,状态检测防火墙具有较高的性能,同时状态检测防火墙在数据包状态方面做出了改进,通过在防火墙的核心部分建立状态连接表,维护出网的TCP连接目录而加强TCP数据流的检测规则
法攻击的数据包满足了逻辑,便可以进入防火墙内的计算机网络,从而造成一定的风险与损失。应用网关型防火墙的层次结构如图2-2所示应用层 ||应用层I、 应用层 公 1/ n 运输层卜运输层 运输层 卜“网络层 ) 网络层 [网络层 )数据链路层V 数据链路层 数据链路层物理层 物理层 物理层主机 防火墙 主机图2-2应用网关型防火墙层次示意图3.状态检测防火墙与包过滤防火墙类似,状态检测防火墙具有较高的性能,同时状态检测防火墙在数据包状态方面做出了改进,通过在防火墙的核心部分建立状态连接表,维护出网的TCP连接目录而加强TCP数据流的检测规则,报文的过滤规则只允许那7
【参考文献】:
期刊论文
[1]防火墙策略冲突检测及冲突策略可视化[J]. 孙立琴,潘理. 信息安全与通信保密. 2012(05)
[2]基于默认规则的防火墙优化方法[J]. 傅鹤岗,张李. 计算机工程. 2011(20)
[3]防火墙扩展match模块匹配算法优化[J]. 周东浩,王勇军. 计算机工程与设计. 2011(03)
[4]一种基于冲突检测的无关联规则集匹配算法[J]. 施荣华,莫锐,赵文涛. 计算机工程与科学. 2010(10)
[5]基于Web和SNMP的拓扑更新策略[J]. 牟鹏至,李飞,罗传军. 计算机工程. 2010(10)
[6]基于内分泌机制的防火墙自适应调控算法[J]. 朱思峰,王华东,魏荣华. 计算机科学. 2009(11)
[7]浅谈防火墙及其在网络安全中的应用[J]. 罗君. 科技经济市场. 2009(10)
[8]一种基于SNMP协议的网络拓扑发现改进算法[J]. 彭建,朱萍,傅明. 计算机工程与科学. 2009(04)
[9]基于统计分析与规则冲突检测的防火墙优化[J]. 杨奕,杨树堂,陈健宁,陆松年. 计算机工程. 2008(15)
[10]一种快速的防火墙规则冲突检测算法[J]. 李林,卢显良. 计算机应用研究. 2008(01)
硕士论文
[1]SFDD算法的设计及其在状态防火墙规则集比对的应用[D]. 厉怡君.湖南大学 2013
[2]分布式防火墙策略异常检测算法的研究[D]. 张丽.南京理工大学 2007
[3]防火墙配置的异常检测与优化研究[D]. 吴晓刚.广州大学 2007
本文编号:2904885
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2904885.html
