防火墻規(guī)則沖突檢測(cè)研究與實(shí)現(xiàn).pdf

1、防火墻作為一種應(yīng)用最為廣泛的網(wǎng)絡(luò)設(shè)備，通常被部署在機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的邊界位置。防火墻通過(guò)檢測(cè)數(shù)據(jù)包來(lái)控制內(nèi)外網(wǎng)的數(shù)據(jù)訪問(wèn)和傳輸，從而使內(nèi)部網(wǎng)絡(luò)不受來(lái)自非法未受授權(quán)的外部訪問(wèn)，以及對(duì)不良信息進(jìn)行有效過(guò)濾。
　　隨著信息安全問(wèn)題得到人們?nèi)找骊P(guān)注，防火墻作為內(nèi)部網(wǎng)絡(luò)防護(hù)的第一道防線，其安全性就顯得尤其重要。防火墻管理員一個(gè)核心的工作就是要檢測(cè)規(guī)則集中是否存在規(guī)則沖突。規(guī)則沖突，一方面可能違背安全策略，影響防火墻安全;另一方面可

2、能降低防火墻的性能。
　　針對(duì)規(guī)則沖突檢測(cè)，本文首先分析了當(dāng)前研究現(xiàn)狀，基于課題研究目標(biāo)，提出了一種基于非完全決策樹(shù)的沖突檢測(cè)算法。該算法定義了規(guī)則的一般形式化表達(dá)方式，在通過(guò)分析規(guī)則之間的相互關(guān)系，定義了適用于多條規(guī)則之間的三種沖突類型?；诜峭耆珱Q策樹(shù)的沖突檢測(cè)算法，不僅能夠?qū)崿F(xiàn)對(duì)不同種類的沖突類型識(shí)別，還能實(shí)現(xiàn)對(duì)規(guī)則沖突源的回溯，為進(jìn)一步消除規(guī)則沖突提供了所需的必要信息。
　　為了驗(yàn)證該算法的正確性，我們實(shí)現(xiàn)了基于該算