【摘 要】
:
传统的网关设备,作为网络中的一个节点,主要用于连接两个使用不同通信协议的网络。然而,如今随着网络安全问题的增多,使用网关设备为其所在的内部网络提供安全网络安全防护也
论文部分内容阅读
传统的网关设备,作为网络中的一个节点,主要用于连接两个使用不同通信协议的网络。然而,如今随着网络安全问题的增多,使用网关设备为其所在的内部网络提供安全网络安全防护也变得更加重要。安全隔离与信息交换技术把内部和外部网络隔离开,使其不能直接进行通信,是网关设备提供安全防护最为适用的技术。目前的隔离交换技术基本都是基于网络层的,这对于使用TCP进行传输的应用层协议而言,由于无法对完整的数据流进行还原,单纯的IP包过滤无法对可能存在于TCP数据流中的安全威胁进行有效检测以及应对更深层次的网络攻击。深度的安全过滤必须要对应用协议交互的会话状态进行跟踪,提供会话层的安全保护。针对现有隔离交换技术的以上问题,本文设计并实现了一种基于传输层隔离与交换并结合流过滤机制的安全隔离网关设备,主要的研究内容以及创新点如下:(1)针对传统的基于网络层的隔离与交换技术无法对使用TCP的应用协议安全提供保护的缺陷,分析了分割TCP连接技术在隔离网关中实现的可能性,提出了一种基于传输层的安全隔离与交换技术,使得隔离网关作为中间介质隔离了通信双方在传输层以上的直接交互,并可直接获取到连接双方经过重组的TCP数据流,进而实现对应用层的深度安全过滤。(2)基于目前分割TCP连接技术中所存在的缓冲管理困难以及隔离网关中存在大量TCP连接条件下如何实现高效I/O控制的问题,给出了在分割连接条件下的I/O控制算法。实验结果显示,分割连接所带来的负载对于网关的网络传输性能影响在链路延迟较低情况下只有大约20%。(3)针对本文提出的安全过滤的负载可能对网关原始通信功能产生影响的问题,设计了一种分布式的安全负载架构,并对可能存在的拒绝服务攻击提出了一种网络协议栈的优化算法,该算法通过预淘汰机制对可能存在恶意的SYN进行过滤,直到三次握手完成之后才为该连接分配资源。本文最后搭建了系统的测试环境,经过实验分析表明,隔离网关实现了对内部网络的安全防护,并降低了隔离交换负载对于网关传输性能的影响。
其他文献
电力变压器作为电力系统的枢纽设备,其安全可靠的运行关系到电力系统的安全与稳定。在电能的传输和配送过程中,电力变压器是能源转换、传输的核心,是国民经济各行各业和千家万户能量来源的必经之路,是电网中最重要和最关键的设备。电力设备的安全运行是避免电网重大事故的第一道防线,而电力变压器是这道防御系统中最关键的设备。变压器的严重事故不但会导致自身的损伤,还会中断电力供应,给社会造成巨大的经济损失。针对变压器
为了减少个人主账号PAN在持卡人移动设备和商户等危险环节中的传播和存储过程,支付卡工业数据安全标准委员会提出了面向支付领域的Tokenization系统的概念,指出利用Token令牌
视频监控能够实时地观测被监视场景的运动目标,并且分析描述他们的行为,为更高层次的理解和决策提供辅助信息。目标的运动分析是计算机视觉领域内的一个研究热点也是当前视频
移动机器人正确完成定位和导航,顺利执行任务的关键问题之一是如何获取一致准确、信息充分的作业环境的地图。快速准确的建图能力不但保证移动机器人能够准确实现自主定位,还能
目前,在船舶设计中对CAD与CAE系统之间接口平台开发普遍采用的设计流程是:基于AutoCAD与Patran的并行设计,完成方案设计及详细设计;然后,通过船舶设计专业软件Tribon根据前期的
脉诊是传统中医的重要组成部分,它具有对人体生理病理情况整体评价的优势。但传统的中医脉诊往往过于主观,过分依赖医生的经验,难以学习与掌握。而脉诊客观化正是要运用现代
随着信息技术的迅猛发展,许多商业企业都实现信息化管理。但同时,企业积累的数据也越来越多,并且呈增量发展趋势。面对海量的数据,企业却不能从中提取出潜在的、有价值的信息
在面对巨大的市场压力和企业竞争的情况下,国内外各大企业都不断的通过建立信息系统和应用流程来提高生产效率和管理水平。随着信息技术的飞速发展,原先在企业内部建立的遗留系
移动自组织网(Mobile Ad Hoc Network, MANET)是一组带有无线通信收发装置的移动节点组成的一个临时多跳的网络,网络中的节点既是主机又是路由器。MANET网络这种无中心、自组
汽车侧翻已经成为危及人类交通安全、造成伤害最大的交通事故类型之一。近几年的国内外的交通事故数据表明,汽车侧翻事故是仅次于正面碰撞的高发性交通事故。一个侧翻事故导