2022年分布式防火墙策略分发系统的设计方案.docx

《2022年分布式防火墙策略分发系统的设计方案.docx》由会员分享，可在线阅读，更多相关《2022年分布式防火墙策略分发系统的设计方案.docx（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精品学习资源分布式防火墙策略分发系统的设计武汉职业技术学院轻工学院叶莉摘 要: 随着网络技术的进展和网络规模的扩大，传统防火墙单一掌握点逐步成为网络性能的瓶颈和安全隐患；基于“策略集中定义，分散实施，日志集中收集”的思想，分布 式防火墙很好的解决了传统防火墙面临的问题，更加适应了网络的进展需求；本文设计了 一个基于 SOAP的分布式防火墙安全策略分发方法，具体描述了服务器端和防火墙端的体系结构及各子功能模块，并给出了该系统关键技术的实现, 并论证了基于SOAP的分布式防火墙策略分发方案的技术可行性；关键词： 网络安全，分布式防火墙，策略分发1 引言在对分布式防火墙策略分发的实现方案讨论的基础上

2、，针对构建的新型三层分布式防火墙的体系结构中“推送”、“索取”以及“查询”的策略分发机制, 本文对汇聚防火墙以及边界防火墙“查询”策略的部分赐予实现；2 运行环境策略掌握中心治理主机:Windows2003操作系统、 SQL Server 2000、Apache Web 服务器、 Apache SOAP工具包；终端防火墙 :Redhat Linux9、Netfilter/iptables防火墙；Netfilter/iptables的数据包过滤过程如下图：图 1 数据包过滤过程Netfilter是 Linux网络防火墙实现的基础，它供应了一个抽象、通用化的框架，包含 5 个部分：为每种网络协议定

3、义一套钩子函数，IPv4 定义了 5 个钩子函数，对应协议的数据包将依据肯定的规章通过这些钩子，每一个钩子都是处理函数挂载点；内核模块可以在各个钩子上注册处理函数，实现挂接，以操作经过对应钩子的数据包；函数处理后，依据肯定的策略返回给内核进行下一步的处理；任何在 IP 层要被抛弃的 IP 数据包在真正抛弃之前都要进行检查； 5 个钩子函数的位置如下： NF_IP_PRE_ROUTIN：G数据包在抵达路由之前经过这个钩子； NF_IP_LOCAL_IN：目的地为本地主机的数据包经过这个钩子，防火墙建立在这里； NF_IP_FORWAR：D目的地非本地主机的数据包经过这个钩子；NF_IP_LOCA

4、L_OU：T 本地主机发出的数据包经过这个钩子； NF_IP_POST_ROUTIN：G数据包在离开本地主机之前经过这个钩子；在防火墙的实现过程中， NF_IP_LOCAL_IN 被调用，并向欢迎下载精品学习资源Netfilter返回 NF_ACCEPT和 NF_DROP这两个值；Iptables组件是一种工具，也称为用户空间，它使插入、修改和除去数据包过滤表中的规章变得简单；通过使用用户空间，可以构建自己的定制规章，这些规章储备在内核空间的数据包过滤表filter表中；当数据包进入系统时，系统第一依据路由表打算数据包发给哪一条链，就可能有三种情形：假如数据包的目的地址是本机，就系统将数据包送

5、往INPUT链；假如数据包的目的地址不是本机，这个包将被转发，就系统将数据包送往FOR 做 RD 链；假如数据包是由本地系统进程产生的，就系统将其送往OUTPUT链；假如通过规章检查，就该包被发给相应的本地进程处理；假如没通过规章检查，系统就会将这个包丢掉； Netfilter/iptables系统使其用户可以完全掌握防火墙配置和数据包过滤；它答应为防火墙建立可定制化的规章来掌握数据和过滤；3 系统的总体设计3.1 服务器端的总体设计服务器端包括代理层、功能层和数据层；1代理层代理层供应分布式防火墙治理的Web 界面，治理员通过浏览器完成治理工作；治理工作具体包括 : 组的治理，添加、修改、删

6、除、显示组；防火墙治理: 添加、修改、删除、显示防火墙；防火墙的配置治理，包括策略治理: 在防火墙中添加、修改、删除、显示策略；发布策略及发布失败处理；性能监测及日志观察；用户治理及登录认证；2功能层功能层包括身份验证模块、日志治理模块、策略制定模块、策略实施模块；1 身份验证模块当防火墙端发起猎取策略恳求时，须第一对防火墙的身份进行验证，然后查看策略文件，打算是否答应对方的恳求；身份验证模块通过系统密码、一次性密码、证书等身份验证方案来供应安全保证；主要包括: 用户身份验证、客户身份验证和会话身份验证；用户身份验证可以供应 Http ，FTP， Telnet和 Rlogin连接固有的身份验证

7、，它直接利用了这些应用层协议内部的身份验证功能；客户身份验证可以向那些自身未供应身份验证功能的服务供应身份验证；会话身份验证可以供应对远程端点主机的身份验证，主要采纳证书鉴别的形式；每种验证类型都将保护一个验证连接表，只有在连接初始化时才进行身份验证；身份验证后就可以建立连接，并将相关的连接信息写入连接表中；对于连接建立以后的过程中进行的后续分组交换，将依据源 / 目标 IP 地址及源 / 目标 TCP/UDP端口这样的参数进行身份识别，并和连接表内某条己有连接进行匹配；2 日志治理模块日志治理模块实现以下几种功能: 日志收集记录，定期从各主机收集日志文件，然后把全部文件所包含的信息导入到日志

8、库中；日志文件定位，实现用户自己定义条件的日志查询，查看系统的运行状况，查找反常等；日志轮换，答应用户循环使用自己的日志文件，即用户可以关闭现有的已经较大的日志文件，换成一个新的、空日志文件；进行日志轮换的时候，当前打开的日志文件会被关闭并且另存为一个新文件，文件名由用户手工配置或自动生成，其中包括当前的日期和时间标记，以保证用户知道日志文件轮换的时间；实现导出、清除日志文件功能，可以将当前的日志记录项导出为ASCLL 格式，并删除余外的和过时的数据等；阻挡连接，对日志库进行分析，假如检测到反常行为，可以阻挡未经授权的拜访；可以通过添加IP 黑名单、关闭主机的某项服务、关闭主机的全部网络通信、

9、关闭网关的全部网络通信等方式实施阻挡；3 策略制定模块在策略制定模块中，应依据业务的实时性变化，包括有以下功能: 策略的添加；策略欢迎下载精品学习资源的修改；策略的删除；策略的显示等；网络对象的治理: 将用户可以拜访的网络资源定义为对象，这可以使系统治理员用域名、子网形式进行描述网络资源；4 策略实施模块策略实施模块主要实施以下功能: 服务器端使用关系数据库SQL server储存策略信息，用 XML描述的策略存入该数据库中，因此要建立XML元素到数据库表的对应关系； 需要将防火墙策略信息进行SOAP封装和编码，并发布为防火墙端可拜访的SOAP服务；指定防火墙猎取SOAP服务所使用的方法；3数

10、据层数据层主要包括数据库治理系统；防火墙策略通过一些格式转换工具转化为XML 格式的文件并映射储备到关系数据库里；3.2 防火墙端的总体设计防火墙端包括代理层、规律功能层、物理功能层；l 代理层代理层供应防火墙端治理的Web 界面，治理员通过浏览器完成治理工作；治理工作具体包括 : 从服务器端查询最新的策略信息；恳求和接收新的策略；调用解读器将策略转成内部可识别的代码交给iptables执行；策略恳求及策略执行失败的处理；日志查看；2 规律功能层规律功能层为防火墙功能的规律实现，包括策略恳求模块和策略解读两个子模块；策略恳求模块策略恳求模块主要实施以下功能: 从服务器端查看最新的策略信息，以确

11、定是否要获取新的策略；设置策略恳求的细节: 创建一个远程 RPC调用对象；设置远程对象的URI； 设置从服务器端调用策略的方法名；设置SOAP编码的风格；创建URL 对象；发送SOAP PRPC恳求的具体操作等；策略解读子模块策略解读子模块主要负责调用解读器将策略转成内部可识别的代码交给下层的iptables执行；本文采纳DOM接口将描述防火墙策略规章的XML对象转换成 LINUX 下的可执行脚本；3 物理功能层物理功能层为防火墙功能的真正实现；本文采纳Netfilter/iptables作为客户端的策略执行组件； iptables接收进入系统的数据包，对每一个数据包，遍历防火墙规章库，寻找有

12、无与之符合的规章；对匹配的包进行的处理可有以下几种: 丢弃、拒绝、转发、跳到其他链、进行时间限制、放入队列中等待用户空间的程序进行处理、记入日志等；前述服务器 / 防火墙端体系结构有以下特性: 使用相同的语言描述策略，供应一样的界面，减轻治理员的治理难度；防火墙无论是独立使用仍是在分布式环境中使用，用户看到的是同样的界面；防火墙的规律实现和物理实现分开，代码可以重用，降低产品开发的工作量；这样的服务器、防火墙端体系结构在用统一的语言描述信息时，可以使分布式防火墙治理系统的开发与具体的防火墙系统开发分开，易于与分布式入侵检测集成实现网络动态防护，易于与网络治理系统集成；4 小结本文设计了基于 S

13、OAP的分布式防火墙策略发布系统，具体描述了服务器端和防火墙端的体系结构及各子功能模块，并对此系统的关键技术进行了实现，论证了基于SOAP的分布式防火墙策略分发方案的技术可行性；欢迎下载精品学习资源参考文献1.王岩 . 分布式防火墙的讨论及小型混合网络分布式防火墙策略. 吉林高校， 2004 2.Steven M. Bellovin. Distribute Firewalls. 19993.王秉琰 . 分布式防火墙策略的分析与设计. 南京理工高校， 20064.王薇 , 杨鑫坤 . 分布式防火墙系统的讨论与实现. 中国科技信息 ,2006.065.陈玉群 , 陈玉毅 , 叶朝辉 . 基于 C/S架构的分布式防火墙 .Network & Computer Security技术篇欢迎下载