防火墙策略冲突检测及可视化

论文摘要

随着网络技术和社会的发展,网络攻击越来越多,信息安全成为全球普遍关注的焦点。为了应对不同方式的网络攻击出现了不同的网络安全设备和技术方法,防火墙是其中重要的网络安全设备之一。防火墙通过执行由管理人员配置的防火墙策略文件实现对网络的保护功能。但是,由于诸多因素的限制,例如:网络扩大、应用增多、防火墙需求多样化,导致了防火墙规则增多与策略文件膨胀。同时,由于防火墙规则本身语义的复杂性以及防火墙管理对人员的依赖性,导致了防火墙策略的编辑、分析、管理异常困难。以上两种因素导致了策略冲突。所以,防火墙管理员需要一个能快速、准确、全面地发现和帮助其解决规则冲突的方法或者工具。它不仅能够提高工作效率,包括发现防火墙现有配置策略中的冲突并帮助策略管理人员对其进行修改,还能按照要求正确的添加、删除和修改防火墙策略,帮助管理员及时发现配置策略中的错误,及早地对其进行修改,减少甚至避免对网络的攻击。为了达到上述目的,简化管理员对防火墙策略进行分析的过程,全面检测防火墙现有配置文件中的所有冲突,避免因修改一处冲突引入新冲突的情况发生,本文提出了首先采用分割的方法对防火墙策略进行分割,把防火墙规则风分割成许多互补相交的分段。然后对分割后的每一个分段规则进行与防火墙其他规则进行包含关系运算,根据运算结果进行冲突检测。由于防火墙策略冲突的本质是规则之间有交集,所以,经过分割后的防火墙冲突检测就可以简化成抽取与多条规则有包含关系的分段的过程。然后,本文分析了防火墙冲突检测结果的特点,研究了可视化相关知识,以展示防火墙规则之间以及规则与冲突域之间关系为前提,提出了采用网格的可视化方法对防火墙策略进行可视化。该方法以直观的图形化的方式把结果形象的展示出来,便于策略管理人员对冲突检测后的结果进行分析、理解,降低策略管理人员对结果的理解难度。最后,本文实现了一个防火墙策略冲突检测及可视化的工具。它是基于相关的防火墙策略冲突检测及可视化方法和理论,集防火墙策略冲突检测和可视化于一身。它不但能够提高管理员的工作效率,包括发现防火墙现有配置策略中的冲突,而且还能够按照策略管理人员的要求正确的添加、删除和修改防火墙策略,以及按照要求对防火墙规则进行过滤,以缩小问题规则,最终帮助策略管理人员及时发现防火墙配置策略中的错误,及早的对其进行修改,减少甚至避免对网络的攻击。使防火墙真正发挥其保护网络的功能。与现有的防火墙策略工具相比,它能够快速全面的检测防火墙策略文件中的所有冲突,并对防火墙策略冲突的原因进行展示,减少策略管理人员的工作量,提高其工作效率。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 研究背景

1.2 国内外研究现状

1.3 本文工作内容

1.4 论文组织结构

第二章防火墙技术的相关研究

2.1 防火墙的相关理论

2.1.1 防火墙的基本概念

2.1.2 防火墙的分类

2.1.3 防火墙模型

2.1.4 防火墙功能

2.2 防火墙包过滤器的相关原理

2.2.1 包过滤器的工作原理

2.2.2 包过滤规则的工作模式

2.2.3 包过滤器规则的意义及作用

2.3 防火墙技术的现状及发展趋势

2.3.1 防火墙的现状

2.3.2 防火墙的发展趋势

2.4 本章小结

第三章防火墙策略的冲突检测

3.1 防火墙的策略模型

3.2 OBDD 数据结构的基本概要

3.2.1 OBDD 技术基本概念

3.2.2 OBDD 的基本操作

3.2.3 JAVABDD 库的介绍

3.3 防火墙规则的OBDD 表示

3.3.1 布尔表达式变量的定义

3.3.2 防火墙规则的OBDD 表示实例

3.4 防火墙策略冲突的分类

3.4.1 防火墙规则域间的关系

3.4.2 防火墙规则间的关系

3.5 防火墙策略冲突的表示

3.5.1 防火墙策略冲突的定义

3.5.2 防火墙策略冲突的集合表示

3.6 防火墙策略冲突的检测方法

3.7 防火墙策略冲突检测

3.7.1 防火墙规则的分割

3.7.2 防火墙规则分割结果的计算分析

3.7.3 防火墙规则的冲突检测

3.8 冲突检测相关算法

3.8.1 防火墙规则分割算法流程图

3.8.2 防火墙规则分割结果的计算分析算法流程图

3.8.3 防火墙策略冲突检测算法流程图

3.9 本章小结

第四章防火墙策略的可视化

4.1 可视化的基本概念

4.1.1 可视化的意义

4.1.2 可视化的步骤

4.1.3 可视化方法的分类

4.1.4 可视化技术的应用

4.2 基于网格的防火墙策略可视化

4.2.1 防火墙策略可视化目标

4.2.2 网格技术介绍

4.2.3 防火墙策略的网格可视化

4.3 本章小结

第五章防火墙策略冲突检测及可视化工具的实现

5.1 防火墙策略冲突检测及可视化工具的整体框图

5.2 防火墙策略冲突检测及可视化工具中的数据结构

5.2.1 单一过滤规则的表达模型

5.2.2 策略文件的表达模型

5.2.3 规则树的表达模型

5.2.4 网格的表达模型

5.3 各功能模块的实现

5.3.1 策略文件读取模块

5.3.2 冲突检测及显示模块

5.3.3 策略管理模块

5.3.4 策略的网格可视化模块

5.3.5 过滤模块

5.4 防火墙策略冲突检测及可视化工具的应用测试

5.4.1 测试目的

5.4.2 实验步骤和结果展示

5.5 本章小结

第六章全文总结与展望

参考文献

致谢

攻读硕士学位期间已发表或录用的论文

防火墙策略冲突检测及可视化

论文摘要

论文目录

相关论文文献

猜你喜欢