论文部分内容阅读
因特网的强大功能源于它的广泛连通性和开放性,而这也恰恰导致了它的不安全性。传统边界防火墙作为一种有效的网络安全技术,设置在内部网与外部网之间,依据预先设定的安全策略,对进出内部网络的数据包实施合法性过滤和检查,从而实现对内部网的保护。但是随着因特网的发展,日益多样化的连接方法、外联网、加密通信的出现、带宽的不断提高等,传统边界防火墙的局限性开始显露出来, 为了克服传统防火墙的缺陷,而又保留其优点,人们提出了分布式防火墙的概念。分布式防火墙的本质特征可概括为“策略集中制定分散实施,日志分散产生集中保存”。安全策略必须由管理员统一制定,策略必须被推到网络的边缘即主机上实施,日志必须统一收集、集中管理。 本文对分布式防火墙这一全新的防火墙体系结构进行了分析和研究,提出了一种充分利用现有技术和投资的分布式防火墙系统的设计方案,即在保留传统边界防火墙的同时,将防火墙延伸到内部网络终端,从而形成一个多层次、内外皆防的全方位安全体系。为了使边界防火墙更好的对全网进行安全防护,在边界防御系统设计中采用了防火墙与入侵检测系统内嵌式互动技术,防火墙实时截取网络数据包,若经过检测是合法数据包,则直接通过边界防御系统,减少入侵检测系统的匹配次数;若不是,将网络层数据包从内核态读到用户态,入侵检测系统接收数据包,进行匹配检测,若发现入侵,通知防火墙进行阻断,若未发现入侵,则根据防火墙设置的规则进行处理。管理中心与主机防火墙和边界防火墙之间的通讯都采用SSH加密通讯机制,使得管理中心与主机防火墙和边界防御系统的通信更加安全。