基于SSL的分布式防火墻服務(wù)器端的研究與實現(xiàn).pdf

1、傳統(tǒng)防火墻部署在網(wǎng)絡(luò)邊界，依賴網(wǎng)絡(luò)的物理拓撲結(jié)構(gòu)來保護內(nèi)網(wǎng)的安全。但隨著因特網(wǎng)的發(fā)展，網(wǎng)絡(luò)拓撲結(jié)構(gòu)越來越復(fù)雜，以及加密通信的出現(xiàn)和遠程接入訪問的需要，傳統(tǒng)邊界防火墻的局限性日益明顯，分布式防火墻技術(shù)應(yīng)運而生。分布式防火墻更符合網(wǎng)絡(luò)安全應(yīng)用發(fā)展的需要，代表了防火墻技術(shù)的研究和發(fā)展方向。 本文比較了傳統(tǒng)防火墻和分布式防火墻的優(yōu)缺點，深入研究了分布式防火墻技術(shù)和SSL(Secure Socket Layer)技術(shù)的原理和研究現(xiàn)狀。在此

2、基礎(chǔ)上，針對國內(nèi)小型混合網(wǎng)絡(luò)的實際需求，提出了將SSL技術(shù)用于分布式防火墻的思想，設(shè)計了一個基于SSL的分布式防火墻系統(tǒng)，并實現(xiàn)了在Windows操作系統(tǒng)下分布式防火墻系統(tǒng)服務(wù)器端的原型。 由于還沒有一個統(tǒng)一的安全策略描述語言，本文結(jié)合分布式防火墻系統(tǒng)的實際情況，采用巴科斯范式自定義了一個安全策略描述語言格式，并對安全策略的異常進行了初步研究。策略用于描述節(jié)點之間關(guān)鍵通信信息，除了包過濾規(guī)則外，還集成了簡單的網(wǎng)絡(luò)管理命令，保證了

3、有效的策略管理和節(jié)點管理。 該系統(tǒng)摒棄了傳統(tǒng)防火墻使用IP地址鑒別節(jié)點身份的做法，采用X.509證書與主機名相結(jié)合的方法，在該分布式防火墻系統(tǒng)中建立了一個CA(Certificate Authority)中心進行認證管理，消除了偽造IP地址攻擊帶來的危險。同時，針對分布式防火墻系統(tǒng)中各節(jié)點之間通信安全得不到保障的問題，在底層采用SSL加密通道進行數(shù)據(jù)傳輸，并對SSL握手中身份認證的缺陷進行了改進，較好地解決了分布式防火墻系統(tǒng)中通