分布式防火墻系統(tǒng)安全問題的研究與實(shí)現(xiàn).pdf

1、防火墻在保護(hù)內(nèi)部網(wǎng)絡(luò)安全中發(fā)揮著重要作用,然而隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展和廣泛應(yīng)用,傳統(tǒng)防火墻的局限性逐漸暴露出來(lái).為了保留傳統(tǒng)防火墻的優(yōu)點(diǎn)同時(shí)克服它所存在的缺陷,美國(guó)AT&T實(shí)驗(yàn)室研究員Steven M.Bellovin于1999年首次提出了"分布式防火墻"(Distributed Firewalls,DFW)的概念,給出了分布式防火墻的基本框架.該文討論了分布式防火墻系統(tǒng)中的安全問題,分布式防火墻中的安全主要包括主機(jī)的安全和通信的安全

2、,主機(jī)的安全由主機(jī)防火墻來(lái)保護(hù),通信的安全包括通信數(shù)據(jù)的機(jī)密性、完整性和數(shù)據(jù)源的認(rèn)證,這通過使用密碼學(xué)技術(shù)來(lái)實(shí)現(xiàn).為了保障分布式防火墻系統(tǒng)中的主機(jī)安全,在應(yīng)用層和核心層上對(duì)進(jìn)出主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過濾,其中應(yīng)用層采用Winsock 2 SPI技術(shù),核心層使用NDISHOOK進(jìn)行過濾.為了防止策略數(shù)據(jù)的泄密,解決數(shù)據(jù)傳輸中的安全問題,設(shè)計(jì)了S-SPI安全通信方案.在分析總結(jié)現(xiàn)有的一些密碼協(xié)議的基礎(chǔ)上,設(shè)計(jì)了系統(tǒng)中進(jìn)行安全通信的認(rèn)證方案,并