返回
分布式防火墙策略分发系统的设计(精)

分布式防火墙策略分发系统的设计(精)

ID:46383470

大小:79.50 KB

页数:4页

时间:2019-11-23

分布式防火墙策略分发系统的设计(精)_第1页
分布式防火墙策略分发系统的设计(精)_第2页
分布式防火墙策略分发系统的设计(精)_第3页
分布式防火墙策略分发系统的设计(精)_第4页
资源描述:

《分布式防火墙策略分发系统的设计(精)》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、分布式防火墙策略分发系统的设计武汉职业技术学院轻工学院叶莉摘要:随着网络技术的发展和网络规模的扩大,传统防火墙单一控制点逐渐成为网络性能的瓶颈和安全隐患。基于“策略集中定义,分散实施,日志集中收集”的思想,分布式防火墙很好的解决了传统防火墙面临的问题,更加适应了网络的发展需求。本文设计了一个基于SOAP的分布式防火墙安全策略分发方法,详细描述了服务器端和防火墙端的休系结构及各了功能模块,并给出了该系统关键技术的实现,并论证了基于SOAP的分布式防火墙策略分发方案的技术可行性。关键词:网络安全,分布式防火墙,策略分发1引言在对

2、分布式防火墙策略分发的实现方案研究的基础上,针对构建的新型三层分布式防火墙的体系结构屮“推送”、“索取”以及“查询”的策略分发机制,木文对汇聚防火墙以及边界防火墙“查询”策略的部分给了实现。2运行环境策略控制中心管理主机:Windows2003操作系统、SQLServer2000、ApacheWeb服务器、ApacheSOAP工具包;终端防火墙:RedhatLinux9>Netfulter/iptables防火墙。Netfulter/iptables的数据包过滤过程如卜•图:Droppcd/rcjcctcdincomingF

3、irewallpacketsacceptedacceptedInputchainInternalProcessesofsystemPacketsforward•—・Forwardchain(XitgoingpacketsacceptedOutputchain图1数据包过滤过程Netfilter是Linux网络防火墙实现的基础,它提供了一个抽彖、通用化的框架,包含5个部分:①为每种网络协议定义一套钩了函数,IPv4定义了5个钩了函数,对应协议的数据包将按照一定的规则通过这些钩子,每一个钩子都是处理函数挂载点;②内核模块可以在各

4、个钩子上注册处理函数,实现挂接,以操作经过对应钩子的数据包;③函数处理后,根据一定的策略返回给内核进行下步的处理;④任何在1P层要被抛弃的1P数据包在真正抛弃之前都要进行检杳;⑤5个钩子函数的位置如下:NF_TP_PRE_ROUTTNG:数据包在抵达路由Z前经过这个钩了;NF_TP_LOCAL_TN:冃的地为本地主机的数据包经过这个钩了,防火墙建立在这里;NF_IP_FORWARD:冃的地非本地主机的数据包经过这个钩子;NF_IP_LOCAL_OUT:木地主机发出的数据包经过这个钩子;NF_IP_POST_ROUTING:数

5、据包在离开本地主机之询经过这个钩子。在防火墙的实现过程中,NF_IP_LOCAL_IN被调用,并向Netfilter返回NF_ACCEPT和XF_DROP这两个值。Tptables组件是一种工具,也称为用户空间,它使插入、修改和除去数据包过滤表中的规则变得容易。通过使用用户空间,可以构建口己的定制规则,这些规则存储在内核空间的数据包过滤表filter表屮。当数据包进入系统时,系统百先根据路rfl表决定数据包发给哪一条链,则可能有三种情况:①如來数据包的目的地址是木机,则系统将数据包送往INPUT链。②如果数据包的冃的地址不是

6、木机,这个包将被转发,则系统将数据包送往FOR做RD链。③如果数据包是由本地系统进程产生的,则系统将其送往OUTPUT链。如果通过规则检查,则该包被发给相应的本地进程处理。如果没通过规则检查,系统就会将这个包丢掉。Netfilter/iptables系统使其用户可以完全控制防火墙配登和数据包过滤。它允许为防火墙建立可定制化的规则来控制数据和过滤。3系统的总体设计3.1服务器端的总体设计服务器端包括代理层、功能层和数据层。1)代理层代理层提供分布式防火墙管理的Web界而,管理员通过浏览器完成管理工作。管理工作具体包括:①组的管

7、理,添加、修改、删除、显示组。②防火墙管理:添加、修改、删除、显示防火墙。③防火墙的配置管理,包括策略管理:在防火墙小添加、修改、删除、显示策略。④发布策略及发布失败处理。⑤性能监测及日志察看。⑦用户管理及登录认证。2)功能层功能层包括身份验证模块、FI志管理模块、策略制定模块、策略实施模块。(1)身份验证模块当防火墙端发起获取策略请求吋,须首先对防火墙的身份进行验证,然后查看策略文件,决定是否允许対方的请求。身份验证模块通过系统密码、一次性密码、证书等身份验证方案來捉供安全保障。主要包括:用户身份验证、客户身份验证和会话身

8、份验证。用户身份验证可以提供Http,FTP,Telnet和Rlogin连接固有的身份验证,它岂接利用了这些应用层协议内部的身份验证功能。客户身份验证可以向那些自身未提供身份验证功能的服务提供身份验证。会话身份验证可以提供对远程端点主机的身份验证,主要采用证书鉴别的形式。每种验证类型都将维

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。