论文摘要
随着计算机网络的快速发展,尤其是互联网的出现,网络发挥着越来越重要的作用。而网络的开放性和互联性,导致网络容易遭受各种攻击,网络与信息安全由此作为一个重要的研究领域倍受关注。在网络与信息安全防护体系中,传统的集中式防火墙位于网络边界,隔离非信任区域和信任区域,阻止未授权的信息进出受保护的网络,预防各种攻击,筑起网络的第一道安全防线,有效地保护了内部网络。随着网络安全形势的日益严峻,集中式防火墙也暴露了一些缺陷,如过份依赖网络拓扑结构、不能防止内部攻击、流量集中易成为瓶颈等,而分布式防火墙的出现则有效地解决了这些问题,因此,分布式防火墙及其相关技术得到国内外学者的极大重视并被广泛研究。分布式防火墙将防火墙的防护功能推进到桌面(客户端),并通过策略服务器统一生成和分发策略,各客户端防火墙执行策略,对进出客户端和网络之间的信息进行控制。分布式防火墙有两种实现机制:基于软件实现和基于硬件实现。基于软件实现的分布式防火墙存在“功能悖论”问题,基于硬件实现的分布式防火墙通过与嵌入技术的结合,实现对客户端的有效防护,这种基于硬件实现的分布式防火墙称为嵌入式防火墙。本文围绕嵌入式防火墙的关键技术进行研究,对包分类、策略生成、策略分发及服务能力评估、嵌入式防火墙的实现机制等方面进行了深入探讨。论文的主要研究内容包括:1.提出一种基于启发式分割点计算的区域分割包分类算法。包分类的速度直接影响防火墙的性能,结合空间几何算法和启发式算法思想,本文提出一种基于启发式分割点计算的区域分割包分类算法并进行仿真。与相关的区域分割算法相比,该算法对策略库进行分割点的动态计算,通过调节因子使得规则尽量均匀分布,因此决策树的深度小,搜索时间和空间少,规则检索的时间复杂度为O( D + dM), D为决策树深度,d为维数,M为叶内节点最大规则数。2.提出基于角色限制的嵌入式防火墙策略生成算法。针对嵌入式防火墙处理能力有限、数量大、节点分散等特点,借鉴基于角色的访问控制思想,对角色进行扩展,提出基于角色限制的嵌入式防火墙策略生成算法。策略服务器制定全域策略和角色限制策略,通过集合运算制定出子域策略,再根据原子域角色限制策略集合将其划分为原子域角色策略。这种策略生成算法保证了各嵌入式防火墙策略的完整性、安全性和全局的一致性。3.提出基于改进推拉机制的嵌入式防火墙策略分发算法,并对策略服务器服务能力进行了分析和仿真。本文在分析了传统的策略分发采用的“推”和“拉”机制后,重点对客户端策略初始化和策略更新两种情况下引起的策略分发进行了研究和改进,减少策略分发对正常网络流量和策略服务器负载的影响。为衡量嵌入式环境下策略服务器的服务能力,采用M/M/1排队模型,引入嵌入式防火墙的指令周期和处理程序指令数等参数,计算出服务率与嵌入式设备参数的关系,为后续嵌入式防火墙的设计提供参考。4.给出了一种基于ARM处理器的嵌入式防火墙的实现机制。鉴于ARM处理器具备的强大控制功能、可编程和低廉成本等特点,本文设计了基于ARM处理器的嵌入式防火墙总体框架,并对嵌入式防火墙的软硬件进行模块化设计与实现。嵌入式防火墙硬件设计选择了带有ARM920T内核的S3C2410X芯片,性能较高,灵活性较强;在硬件布局上采用核心板和扩展板结合的方式,保证硬件的稳定性、可靠性和可扩展性。嵌入式防火墙软件设计主要包括BootLoader程序的定制与移植、嵌入式linux操作系统的定制与移植、文件系统的建立、网卡的驱动以及安全应用程序的开发等工作。在嵌入式防火墙硬件平台上,可以进一步构建具有自主版权和知识核心的信息安全产品。本文研制的嵌入式防火墙目前已经申请了国家专利(批复的发明专利申请号:200810018852.8,已获得的实用新型专利号:200820031113.8),籍此力推嵌入式防火墙从实验室转向实际应用,形成具有我国自主版权和知识核心的信息安全产品。