分布式防火墻體系結(jié)構(gòu)及協(xié)同防御架構(gòu)研究.pdf

1、傳統(tǒng)的邊界防火墻存在單點(diǎn)失效和性能瓶頸的局限性，而且依賴于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)實(shí)施其安全策略。在網(wǎng)絡(luò)高速發(fā)展的今天，傳統(tǒng)防火墻的局限性越發(fā)顯得明顯。分布式防火墻正是在這樣的背景下產(chǎn)生的。通過(guò)將防火墻分布到具體的受保護(hù)主機(jī)上，分布式防火墻可以解決單點(diǎn)失效和性能瓶頸的問(wèn)題。同時(shí)網(wǎng)絡(luò)信息安全的意識(shí)己被各方接受和認(rèn)同，防火墻、入侵檢測(cè)、防病毒、安全審計(jì)等安全技術(shù)己經(jīng)得到了廣泛的應(yīng)用。在分布式防火墻基礎(chǔ)上，如何構(gòu)建一個(gè)動(dòng)態(tài)的、全方位的協(xié)同防護(hù)體系，也成

2、為網(wǎng)絡(luò)安全中研究的熱點(diǎn)。 分布式防火墻是相對(duì)較新的技術(shù)，目前還沒(méi)有固定的模式。本文在分析了防火墻研究現(xiàn)狀的基礎(chǔ)了提出了一個(gè)分級(jí)的分布式防火墻體系結(jié)構(gòu)。通過(guò)建立一套集邊界防火墻、匯聚防火墻、桌面防火墻、中央策略服務(wù)器和日志服務(wù)器為一體的安全防護(hù)體系，采用“策略集中制定分散執(zhí)行，日志分散產(chǎn)生集中管理，安全由外到內(nèi)全面保障”的方法來(lái)強(qiáng)化對(duì)網(wǎng)絡(luò)的安全保障。以分布式防火墻為中心設(shè)計(jì)協(xié)同防御框架，將入侵檢測(cè)技術(shù)技術(shù)與防火墻技術(shù)進(jìn)行整合，在提

3、高防火墻自身功能和性能的同時(shí)，由入侵檢測(cè)技術(shù)完成防火墻所缺乏的功能，以適應(yīng)網(wǎng)絡(luò)安全整體化、立體化的要求，實(shí)現(xiàn)全方位的網(wǎng)絡(luò)安全防護(hù)。 本文首先研究了現(xiàn)有的傳統(tǒng)防火墻和分布式防火墻體系結(jié)構(gòu)及其關(guān)鍵技術(shù)，指出了其中存在的問(wèn)題。在此基礎(chǔ)上設(shè)計(jì)出基于分級(jí)的分布式防火墻體系結(jié)構(gòu)，明確該體系結(jié)構(gòu)的各組成部分及其相應(yīng)功能并對(duì)之進(jìn)行了詳細(xì)的設(shè)計(jì)。接著分析了目前的各種協(xié)同防御技術(shù)(尤其是入侵檢測(cè)技術(shù))，在此基礎(chǔ)上提出了協(xié)同防御的設(shè)計(jì)目標(biāo)，具體構(gòu)建了