分布式防火墻系統(tǒng)中訪問控制技術(shù)的研究.pdf

1、隨著Internet在全球的飛速發(fā)展，Internet應(yīng)用越來越融入人們的日常生活。而用戶之間的信任關(guān)系卻越來越復(fù)雜，在原有信任模型一防火墻實(shí)施點(diǎn)內(nèi)部都是可信的，其外部都是不可信的一的基礎(chǔ)上建立起來的傳統(tǒng)防火墻結(jié)構(gòu)模型己不能很好的適應(yīng)當(dāng)前的Internet應(yīng)用環(huán)境。 本文首先敘述了網(wǎng)絡(luò)安全的現(xiàn)狀以及存在的問題。其次，在Steyen M.Bellovin提出的分布式防火墻概念的基礎(chǔ)上，分析了傳統(tǒng)防火墻所面臨的問題。描述了分布式防火

2、墻的特點(diǎn)，關(guān)鍵問題，并給出了其拓?fù)浣Y(jié)構(gòu)及管理結(jié)構(gòu)模型。以及介紹了分布式防火墻的主要功能，從而對(duì)比得出分布式防火墻的優(yōu)勢(shì)所在。隨后，重點(diǎn)討論了分布式防火墻系統(tǒng)中的核心技術(shù)——訪問控制技術(shù)。并對(duì)訪問控制技術(shù)中的兩個(gè)組成部分：狀態(tài)檢測(cè)，數(shù)據(jù)包分類算法，進(jìn)行了改進(jìn)。 對(duì)狀態(tài)檢測(cè)技術(shù)的改進(jìn)，主要是在考慮防火墻安全和速度性能的前提下，給出了針對(duì)TCP，UDP，ICMP和ARP等TCP/IP協(xié)議棧中主要協(xié)議的狀態(tài)檢測(cè)的結(jié)構(gòu)設(shè)計(jì)，解決了以往狀態(tài)

3、檢測(cè)僅的局限性問題。并且采用了TCP序列號(hào)檢查、UDP虛連接、ICMP數(shù)據(jù)包檢測(cè)引擎等辦法保證網(wǎng)絡(luò)的安全性和高效性。 對(duì)數(shù)據(jù)包分類的改進(jìn)，主要是集中在其算法部分。通過對(duì)傳統(tǒng)算法的研究，本文提出了基于決策樹的數(shù)據(jù)包分類的算法。其主要思想是通過預(yù)處理，利用規(guī)則集的結(jié)構(gòu)特點(diǎn)構(gòu)建一棵決策樹，然后對(duì)數(shù)據(jù)包進(jìn)行分類。該算法適用于多維及多類型的數(shù)據(jù)分類問題，并能適應(yīng)規(guī)則集的動(dòng)態(tài)更新的需求。本文還提出使用有限直接插入法來解決決策樹節(jié)點(diǎn)的動(dòng)態(tài)遞增