论文部分内容阅读
Internet的一小步使社会前进了一大步。然而Internet在消除时空阻隔的同时,也将安全威胁瞬间从地球这头传到地球那头,网络上的无辜用户身不由己、倍受牵连。网络的安全问题日趋严重,已经成为网络运营所要考虑的当务之急。防火墙是企业网用户广泛使用的网络安全工具之一,然而传统的防火墙产品在新形势下显得力不从心。集成虚拟专用网(VPN)的分布式防火墙技术是解决安全与费用矛盾,实现安全传输的重要手段。 首先,本文分析了分布式防火墙、扩展的IPsec VPN技术,根据彼此间的关联将两者有机结合,构建了一套灵活、高效的企业网络安全控制系统。为了进一步了解该安全控制系统,论文概括了系统的主要功能,描述相关数据表结构、功能与数据库(表)的关系及维护数据库的管理程序与数据库(表)之间的关系。接着,在分析软件形式、硬件形式的分布式防火墙执行代理后,本文选择了用硬件方式实现分布式防火墙执行代理。论文给出基于硬件实现的分布式防火墙的结构,描述了增强型网络接口卡(ENIC)与主机、网络的接口部分,以及用户与策略服务器之间的交互过程。在ENIC实现部分,论文中比较了用网络处理器、现场可编程门阵列实现ENIC的各自特点,并给出用网络处理设计ENIC的方案。最后,论文从策略管理规划及策略实施两方面展开对访问控制的策略的讨论。在策略管理规划部分,本文提出了域分组概念、基于用户对象的策略、策略规则间的关系及增加规则的算法。策略实施部分介绍了Ponder语言后,给出基于Ponder语言的策略实施部署。