论文部分内容阅读
当前网络安全的研究有两个侧重点,分别是如何提高安全防护设施的安全性和处理速度。提高安全性的研究致力于利用多种安全防护设施(包括防火墙,入侵检测系统和安全评估系统等)实现综合的安全防护体系,通过安全设施之间的信息共享和联动响应,提高安全防范系统的安全性。提高处理速度的研究主要是为了适应网络带宽的不断增长,研究如何提高网络安全设施的处理速度,特别是网络边界设备——防火墙的吞吐量,网络处理器的出现为防火墙硬件化提供了一条新的途径。本文的工作以江苏省科技计划项目“主动式安全防范系统的研究”(课题编号BG2004036)为背景,主要工作从提高安全性和处理速度出发,可以分为两大部分。第一部分是安全策略中心的设计与实现,改进了传统的入侵检测系统与核心防火墙直接联动的方式,综合利用IDS的入侵告警信息和内网安全扫描器提供的扫描结果制定联动策略并通过核心防火墙进行实施;同时安全策略中心能够发现防火墙策略中的存在的异常和冲突,辅助管理员对核心防火墙进行正确合理的配置。第二部分是基于网络处理器(NP)架构的防火墙的设计与部分实现,本文给出了基于Intel公司IXP2400网络处理器的防火墙系统详细设计方案,实现了简单包过滤防火墙系统SimFilter,并对其进行了测试与仿真。本文的具体工作主要包括:在主动式安全防范系统中,提出了安全策略中心模型,改进了直接联动方式,给出了安全策略中心的模块化详细设计,提高了联动响应行为的合理性。在主动式安全防范系统中实现了安全策略中心,并与系统中其他安全设施(入侵检测系统、面向内部网的安全扫描系统以及核心防火墙)进行了集成。在研究Intel IXP系列网络处理器软硬件体系结构的基础上,结合主动式安全防范系统项目需求,给出了具备包过滤、网络地址转换(NAT)和虚拟专用网(VPN)功能的防火墙系统详细设计方案。在Intel IXP2400网络处理器上实现了一个简单的包过滤防火墙系统SimFilter,提高了主动式安全防范系统中核心防火墙性能;并进行了功能测试和性能上的仿真,根据测试结果对下一步研究给出建议。