嵌入聯(lián)動代理的流過濾個人防火墻研究與設計.pdf

1、防火墻與入侵檢測作為保障網(wǎng)絡安全的重要技術手段被廣泛應用，但現(xiàn)有的安全方案往往將防火墻與入侵檢測系統(tǒng)分開單獨使用，這樣不能滿足網(wǎng)絡安全整體化、立體化的要求。 實現(xiàn)防火墻與入侵檢測系統(tǒng)的聯(lián)動，可以對網(wǎng)絡進行動靜結合的保護。現(xiàn)有的聯(lián)動方案都是針對網(wǎng)絡邊界的防火墻和入侵檢測系統(tǒng)，它們不能抵御網(wǎng)絡內部主機間的攻擊。本文將防火墻與入侵檢測系統(tǒng)聯(lián)動的思想應用于局域網(wǎng)，基于開放分布式技術實現(xiàn)多個個人防火墻與入侵檢測系統(tǒng)的聯(lián)動，并利用聯(lián)動平臺的

2、優(yōu)勢實現(xiàn)對入侵的主動防御。但個人防火墻由于其局限性，功能較為單一，對于數(shù)據(jù)通信行為控制能力較弱，為改變此局面，必須采用新的防火墻技術與入侵檢測系統(tǒng)聯(lián)動，來加強局域網(wǎng)內部網(wǎng)絡用戶的安全。 首先，研究了防火墻、入侵檢測關鍵技術，通過比較和分析目前流行的安全聯(lián)動技術，提出了本文安全聯(lián)動系統(tǒng)的設計目標。然后設計了局域網(wǎng)開放分布式安全聯(lián)動模型，對其網(wǎng)絡結構和工作原理進行了全面分析，提出個人防火墻和IDS聯(lián)動系統(tǒng)進行集成的方法。 其

3、次，本文采用新提出的防火墻技術來加強個人防火墻的安全功能。流過濾技術不同于傳統(tǒng)的包過濾技術、狀態(tài)檢測技術和應用代理，它具有TCP/IP體系結構所有層次的通信控制能力，它工作在數(shù)據(jù)鏈路層和網(wǎng)絡層。本論文嘗試著在個人防火墻中應用流過濾技術，同時結合NDISHook技術。首先，設計一個基于共享內存和事件對象的驅動程序與應用程序通信模型，在捕獲數(shù)據(jù)包后通過此模型指示給應用層的流過濾模塊；流過濾模塊通過重組TCP報文段成為完整的應用層協(xié)議命令、命