防火墻配置規(guī)則沖突檢測關鍵技術研究.pdf

1、網(wǎng)絡技術極大的方便了人們的生活，但是網(wǎng)絡安全問題也給人們帶來極大的威脅。防火墻是保護網(wǎng)絡安全的重要措施之一，而防火墻的配置策略是其最核心的功能。防火墻的策略配置是否正確與合理直接影響到防火墻的性能。
　　向防火墻配置策略中添加規(guī)則往往會引起防火墻規(guī)則產(chǎn)生沖突，而防護墻中冗余規(guī)則的存在，又會增加數(shù)據(jù)包的匹配時間，二者都會嚴重降低防火墻的性能，因此針對上述兩種情況，本文重點研究了以下兩個關鍵技術：
　　引起防火墻策略發(fā)生錯誤的一

2、個主要原因就是對防火墻配置策略的更改。網(wǎng)絡是不斷發(fā)展變化的，網(wǎng)絡安全問題也是層出不窮的，防火墻背后的用戶經(jīng)常需要防火墻規(guī)則管理員修改原有的防火墻配置策略，以便允許或者保護一些新服務的運行。本文首先提出一種基于trie樹的防火墻規(guī)則沖突檢測算法，該算法將一條新規(guī)則加入到防火墻已有配置中，并將該規(guī)則對原有防火墻造成的精確效果改變提交給管理員。管理員可以根據(jù)改變的效果對防火墻進行評估，然后考慮該條規(guī)則的添加位置甚至是否有必要添加該條規(guī)則。

3、r>　　防火墻的配置策略以序號為優(yōu)先級進行排列，序號越靠前的規(guī)則優(yōu)先級越高，數(shù)據(jù)包在與防火墻規(guī)則進行匹配時，從前往后進行順序匹配。因此可以通過縮小防火墻的配置策略來提高防火墻的匹配效率。隨著企業(yè)規(guī)模的逐漸變大，防火墻的規(guī)則可以達到上百條甚至上千條，由于同一個防火墻的策略可能由不同的管理員進行配置，因此規(guī)則之間發(fā)生冗余覆蓋是在所難免的。目前對冗余規(guī)則的沖突檢測都是基于兩兩規(guī)則之間，多條規(guī)則之間的冗余覆蓋只能用蠻力法或者窮舉法來查找，在此基