復合型防火墻掃描防御與客戶端認證模塊的設計與實現(xiàn).pdf

1、隨著網(wǎng)絡規(guī)模的不斷擴大以及網(wǎng)絡應用的多樣化，網(wǎng)絡安全問題日益嚴峻，網(wǎng)絡安全愈發(fā)變得難以人工控制。在市場需求的推動下，產(chǎn)生了各式的網(wǎng)絡安全產(chǎn)品。在越來越多樣的網(wǎng)絡安全產(chǎn)品中，防火墻超越了其他網(wǎng)絡安全領域，成為發(fā)展最快的安全產(chǎn)品之一。在防火墻產(chǎn)品的升級過程中，傳統(tǒng)的純軟件式防火墻已經(jīng)不能夠適應當前市場對防火墻性能需求和多樣化的功能需求，專用的高性能防火墻設備成為大多數(shù)網(wǎng)絡服務商的必然選擇。
　　同樣由于多樣化的網(wǎng)絡安全功能需求，防火墻

2、的檢測方式也在不斷發(fā)生著變化。從最初始的單包過濾防火墻，到各種應用代理防火墻，防火墻體系結構與檢測方式都在不斷的向前發(fā)展。對于專業(yè)防火墻設備而言，綜合前人的智慧，去蕪存菁是一個必然的選擇。復合型防火墻就是這樣一種選擇的結果。復合型防火墻基本上兼容了前兩個階段防火墻的優(yōu)勢，既能在單包攻擊防御方面保持高效，同時又通過應用代理彌補單包防火墻的功能缺陷。
　　本文基于復合型防火墻架構，設計并實現(xiàn)了掃描攻擊防御和客戶端認證代理兩個業(yè)務模塊，

3、同時對這兩個業(yè)務處理過程中的一些關鍵部分提出了優(yōu)化思路與解決方案。
　　在整體結構設計方面，綜合了兩種防火墻的優(yōu)勢以及具體業(yè)務模塊的要求，在報文預處理，業(yè)務數(shù)據(jù)管理和攻擊日志管理等幾個方面進行了統(tǒng)一的處理，從整體上提高了防火墻的性能。
　　在掃描攻擊防御部分，提出了一個統(tǒng)一的報文統(tǒng)計流程，在簡化計數(shù)操作的同時，可以對目前公認的三種掃描攻擊做出有效而準確的識別。在客戶端認證代理部分，提供了面對目前三種主流網(wǎng)絡應用協(xié)議的多種代理