论文部分内容阅读
本文研究并实现了防火墙的前沿核心技术,同时研究了基于防火墙的网络安全整体解决方案,力求对电子商务的最大化支持。本系统在设计与实现的过程中采用了如下的技术。 安全防火墙操作系统:该操作系统已通过国家鉴定,具有自主版权,安全级达到B1安全级,同时在操作系统性能方面几乎没有损失。状态检测:对所有的经过的IP包的各协议层进行分析,对于TCP包进行状态机建立和监视,对UDP包建立虚拟的连接,对其建立方向的概念,同时对ICMP包进行分析,决定其与己有的TCP或UDP连接之间的关系。对应用层,分析其语义。包分类:本系统采用二维的PATRIE算法,该算法是NET/3中的分类算法PATRIE从一维向二维的扩展,该算法在理论上可能不是目前最好的,但是经过我们的数据测试,该算法的性能属于良好。高效密钥管理:采用密钥管理协议SIKE,该协议是IKE协议的一个发展版本,该协议具有IKE的所有优点,同时只采用IKE的预分发认证体制,使得系统的效率提高。灵活的认证技术:采用体制与协议分离、认证模块与其他模块分离的思路,认证结果通过相关协议与防火墙其他部分通讯,所以,可以容易地集成所有的认证技术。目前采用的协议有S/key,FWN1。细粒度存取控制:采用列表存取控制技术和强制存取控制技术。强制存取控制定义了粒度更为细的存取控制关系──用户与所执行的操作以及访问对象之间的存取关系,比如可以定义一个用户只读某一URI指定的资源。支持协议与服务的动态管理:根据应用环境的需求动态管理支持协议与服务。网络地址转换、负载平衡以及透明代理:该技术是防火墙向高端发展的关键技术。 在系统设计过程中,采用软件工程的设计流程。各个模块在经过严格测试后集成,具有较高的可靠性。同时,我们对防火墙的性能进行了测试之后发现,该系统是性能与功能的合理折中。