分布式防火墻的策略分發(fā)與執(zhí)行.pdf

1、目前,中國存在著大量的中小型企業(yè)、實驗室等單位,這些機構內部拓撲簡單、通過網關上網,網絡中存在著Web服務器、FTP服務器等用于對外提供服務.這類網絡中可能有遠程用戶要求接入,對內部網資源進行存取,需要對不同的內部子網采用不同的訪問控制,這些需求都是針對網絡中的部分用戶進行的網絡安全管理,采用傳統(tǒng)的防火墻不能很好的達到要求.該文針對這種實際需求,將分布式防火墻技術應用于小型網絡環(huán)境中,利用其分布性特征來解決小型網絡條件下對特定服務的需求

2、,并實現(xiàn)了一個分布式防火墻的模型系統(tǒng).當前分布式防火墻的發(fā)展還不成熟,很多方向還沒有形成統(tǒng)一的解決方案,面對小型網絡用戶群的產品也比較少,采用分布式防火墻技術滿足這種需求具有良好的實用價值和應用前景.該文比較了傳統(tǒng)防火墻與分布式防火墻的優(yōu)缺點,對將分布式防火墻技術應用于小型混合網絡下存在的問題進行研究,設計并實現(xiàn)了一個Windows系統(tǒng)下的分布式防火墻原型系統(tǒng)HywaveGuard,并詳細闡述了實現(xiàn)其中策略分發(fā)與執(zhí)行機制采用的關鍵技術.

3、策略分發(fā)機制采用了一種"推"、"拉"式的策略分發(fā)協(xié)議,節(jié)點防火墻按照協(xié)議與策略控制中心建立連接,確認身份,采用加密通信"拉"回安全策略.而策略服務器更新策略之后,可直接"推"到網絡邊界進行執(zhí)行.策略執(zhí)行機制由網絡主機上的節(jié)點防火墻完成,節(jié)點防火墻可以與控制中心及其他節(jié)點防火墻通信,并接收控制中心的安全策略,將安全策略解析成規(guī)則后載入內核進行訪問控制,節(jié)點防火墻采用了多規(guī)則鏈的包過濾方法.分布式防火墻的分布性可以很好的滿足用戶對服務的特定