分布式防火墙原型及实现.doc
约75页DOC格式手机打开展开
分布式防火墙原型及实现,自从有了人类社会人们就不断追求快速、高效、安全的通信方式,通信技术的每一次大发展都会大大地加快人类社会的文明进程。特别是计算机网络的出现正在并将继续深刻地改变人们的生产和生活方式。然而,如同其他任何一种科学技术的发展在给人们带来好处的同时也给人们带来灾害一样,计算机网络也有负面效应,这就是网络信息...
内容介绍
此文档由会员 反弹 发布
分布式防火墙原型及实现
自从有了人类社会人们就不断追求快速、高效、安全的通信方式,通信技术的每一次大发展都会大大地加快人类社会的文明进程。特别是计算机网络的出现正在并将继续深刻地改变人们的生产和生活方式。然而,如同其他任何一种科学技术的发展在给人们带来好处的同时也给人们带来灾害一样,计算机网络也有负面效应,这就是网络信息安全问题。机密泄露、数据被盗和篡改、系统因为受到攻击而瘫痪,诸如此类的事件在网络上时有发生。1986年美国digital公司安装第一个商用防火墙,然而直到1988年的蠕虫事件才使人们真正认识到网络安全问题的存在。最近几年网络迅猛发展,安全问题也越来越突出,银行、股票部门是攻击的主要目标。特别是从2001年的5月份中美黑客大战以来,安全问题更加得到重视。中国的五星红旗飘扬在美国的许多网站主页中,然而许多中国政府网站也被黑。网络安全问题上升为国家安全问题。在2001年中安全软件保持100%的增长率,居软件行业之首,其中有三大卖点:加密、反毒和防火墙。目前,防火墙仍然是人们解决网络安全问题的首选办法。
然而随着网络的爆炸式发展,网络新技术的不断出现,传统防火墙的弊端开始显露,如瓶颈问题、防外不防内、单点失效等。于是人们针对这些问题提出了一种新解决方案——分布式防火墙。分布式防火墙从根本上克服了传统集中式防火墙缺陷的根源,即网络的拓扑依赖性,所以它能克服集中式防火墙的缺陷而又保留它的优点。分布式防火墙一经提出便得到广泛关注,进而设计并实现原型系统,美国Network_1(网屹)公司在2001年率先推出了商用分布式防火墙CyberWallPLUS。而国内还没有分布式防火墙产品出现,在这种形势下我们展开了分布式防火墙的研究。
本文是在南京邮电学院科研项目“基于agent分布式防火墙原型系统”的基础上写成。原理是实现的基础,实现是原理的具体化,本文充分体现了理论与实践的紧密结合,既有理论高度,又有模型实现。原理的探索是艰难的(资料少),代码的实现更是困难。虽然传统防火墙开发技术已成熟,但由于网络安全问题涉及到太多的机密问题,所以这项技术总是以原理的形式出现,具体实现方法很少有人提及,防火墙代码是不公开的,微软操作系统内核也是不公开的。然而所有这些困难在自己的努力下被一一化解,最终完成了项目和论文。在经过一年时间深入、系统、全面的研究之后,我取得了“一项突破,四项成果”。一项突破是:掌握了Windows主机防火墙的开发方法。四项成果是:①深刻地概括了分布式防火墙(简称DFW)的基本原理、体系结构、运作机制等一系列理论问题。②设计了DFW模型的实现方案。③实现了DFW模型。④提出了DFW模型的改进方案。
本文内容安排如下:
在第一章中主要介绍了在DFW研究中所涉及到的基本理论和基本技术。DFW研究的基础是掌握防火墙技术和分布式技术。介绍了Windows网络协议结构和Windows主机防火墙的各种实现方法;介绍了数据库和网络编程等基本的分布式技术。
在第二章中主要阐述了DFW的基本原理、本质特征、体系结构和运作机制等基本问题,这是至关重要的,因为只有掌握了本质特征才能把握研究的方向。首先全面地概括了目前传统防火墙的主要缺陷,分布式防火墙提出的背景;接着阐述了DFW的一系列基本理论问题;介绍了目前实现的一些原型系统的基本原理;
在第三章中阐述了实现应用层防火墙的关键技术——Winsock 2 SPI技术。
在第四章中阐述了实现核心层防火墙的关键技术——TDI钩子驱动程序、NDIS中间驱动程序和NDIS钩子驱动程序的实现技术。
第五章具体介绍了DFW模型的设计与实现。设计本着实现DFW的本质所要求的功能,基于C/S模式设计,并且只在应用层实现封包过滤。
第六章提出了DFW模型的改进方案和努力方向。
自从有了人类社会人们就不断追求快速、高效、安全的通信方式,通信技术的每一次大发展都会大大地加快人类社会的文明进程。特别是计算机网络的出现正在并将继续深刻地改变人们的生产和生活方式。然而,如同其他任何一种科学技术的发展在给人们带来好处的同时也给人们带来灾害一样,计算机网络也有负面效应,这就是网络信息安全问题。机密泄露、数据被盗和篡改、系统因为受到攻击而瘫痪,诸如此类的事件在网络上时有发生。1986年美国digital公司安装第一个商用防火墙,然而直到1988年的蠕虫事件才使人们真正认识到网络安全问题的存在。最近几年网络迅猛发展,安全问题也越来越突出,银行、股票部门是攻击的主要目标。特别是从2001年的5月份中美黑客大战以来,安全问题更加得到重视。中国的五星红旗飘扬在美国的许多网站主页中,然而许多中国政府网站也被黑。网络安全问题上升为国家安全问题。在2001年中安全软件保持100%的增长率,居软件行业之首,其中有三大卖点:加密、反毒和防火墙。目前,防火墙仍然是人们解决网络安全问题的首选办法。
然而随着网络的爆炸式发展,网络新技术的不断出现,传统防火墙的弊端开始显露,如瓶颈问题、防外不防内、单点失效等。于是人们针对这些问题提出了一种新解决方案——分布式防火墙。分布式防火墙从根本上克服了传统集中式防火墙缺陷的根源,即网络的拓扑依赖性,所以它能克服集中式防火墙的缺陷而又保留它的优点。分布式防火墙一经提出便得到广泛关注,进而设计并实现原型系统,美国Network_1(网屹)公司在2001年率先推出了商用分布式防火墙CyberWallPLUS。而国内还没有分布式防火墙产品出现,在这种形势下我们展开了分布式防火墙的研究。
本文是在南京邮电学院科研项目“基于agent分布式防火墙原型系统”的基础上写成。原理是实现的基础,实现是原理的具体化,本文充分体现了理论与实践的紧密结合,既有理论高度,又有模型实现。原理的探索是艰难的(资料少),代码的实现更是困难。虽然传统防火墙开发技术已成熟,但由于网络安全问题涉及到太多的机密问题,所以这项技术总是以原理的形式出现,具体实现方法很少有人提及,防火墙代码是不公开的,微软操作系统内核也是不公开的。然而所有这些困难在自己的努力下被一一化解,最终完成了项目和论文。在经过一年时间深入、系统、全面的研究之后,我取得了“一项突破,四项成果”。一项突破是:掌握了Windows主机防火墙的开发方法。四项成果是:①深刻地概括了分布式防火墙(简称DFW)的基本原理、体系结构、运作机制等一系列理论问题。②设计了DFW模型的实现方案。③实现了DFW模型。④提出了DFW模型的改进方案。
本文内容安排如下:
在第一章中主要介绍了在DFW研究中所涉及到的基本理论和基本技术。DFW研究的基础是掌握防火墙技术和分布式技术。介绍了Windows网络协议结构和Windows主机防火墙的各种实现方法;介绍了数据库和网络编程等基本的分布式技术。
在第二章中主要阐述了DFW的基本原理、本质特征、体系结构和运作机制等基本问题,这是至关重要的,因为只有掌握了本质特征才能把握研究的方向。首先全面地概括了目前传统防火墙的主要缺陷,分布式防火墙提出的背景;接着阐述了DFW的一系列基本理论问题;介绍了目前实现的一些原型系统的基本原理;
在第三章中阐述了实现应用层防火墙的关键技术——Winsock 2 SPI技术。
在第四章中阐述了实现核心层防火墙的关键技术——TDI钩子驱动程序、NDIS中间驱动程序和NDIS钩子驱动程序的实现技术。
第五章具体介绍了DFW模型的设计与实现。设计本着实现DFW的本质所要求的功能,基于C/S模式设计,并且只在应用层实现封包过滤。
第六章提出了DFW模型的改进方案和努力方向。
