分布式防火墻原型及實(shí)現(xiàn).doc
約75頁(yè)DOC格式手機(jī)打開(kāi)展開(kāi)
分布式防火墻原型及實(shí)現(xiàn),自從有了人類(lèi)社會(huì)人們就不斷追求快速、高效、安全的通信方式,通信技術(shù)的每一次大發(fā)展都會(huì)大大地加快人類(lèi)社會(huì)的文明進(jìn)程。特別是計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)正在并將繼續(xù)深刻地改變?nèi)藗兊纳a(chǎn)和生活方式。然而,如同其他任何一種科學(xué)技術(shù)的發(fā)展在給人們帶來(lái)好處的同時(shí)也給人們帶來(lái)災(zāi)害一樣,計(jì)算機(jī)網(wǎng)絡(luò)也有負(fù)面效應(yīng),這就是網(wǎng)絡(luò)信息...
內(nèi)容介紹
此文檔由會(huì)員 反彈 發(fā)布
分布式防火墻原型及實(shí)現(xiàn)
自從有了人類(lèi)社會(huì)人們就不斷追求快速、高效、安全的通信方式,通信技術(shù)的每一次大發(fā)展都會(huì)大大地加快人類(lèi)社會(huì)的文明進(jìn)程。特別是計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)正在并將繼續(xù)深刻地改變?nèi)藗兊纳a(chǎn)和生活方式。然而,如同其他任何一種科學(xué)技術(shù)的發(fā)展在給人們帶來(lái)好處的同時(shí)也給人們帶來(lái)災(zāi)害一樣,計(jì)算機(jī)網(wǎng)絡(luò)也有負(fù)面效應(yīng),這就是網(wǎng)絡(luò)信息安全問(wèn)題。機(jī)密泄露、數(shù)據(jù)被盜和篡改、系統(tǒng)因?yàn)槭艿焦舳c瘓,諸如此類(lèi)的事件在網(wǎng)絡(luò)上時(shí)有發(fā)生。1986年美國(guó)digital公司安裝第一個(gè)商用防火墻,然而直到1988年的蠕蟲(chóng)事件才使人們真正認(rèn)識(shí)到網(wǎng)絡(luò)安全問(wèn)題的存在。最近幾年網(wǎng)絡(luò)迅猛發(fā)展,安全問(wèn)題也越來(lái)越突出,銀行、股票部門(mén)是攻擊的主要目標(biāo)。特別是從2001年的5月份中美黑客大戰(zhàn)以來(lái),安全問(wèn)題更加得到重視。中國(guó)的五星紅旗飄揚(yáng)在美國(guó)的許多網(wǎng)站主頁(yè)中,然而許多中國(guó)政府網(wǎng)站也被黑。網(wǎng)絡(luò)安全問(wèn)題上升為國(guó)家安全問(wèn)題。在2001年中安全軟件保持100%的增長(zhǎng)率,居軟件行業(yè)之首,其中有三大賣(mài)點(diǎn):加密、反毒和防火墻。目前,防火墻仍然是人們解決網(wǎng)絡(luò)安全問(wèn)題的首選辦法。
然而隨著網(wǎng)絡(luò)的爆炸式發(fā)展,網(wǎng)絡(luò)新技術(shù)的不斷出現(xiàn),傳統(tǒng)防火墻的弊端開(kāi)始顯露,如瓶頸問(wèn)題、防外不防內(nèi)、單點(diǎn)失效等。于是人們針對(duì)這些問(wèn)題提出了一種新解決方案——分布式防火墻。分布式防火墻從根本上克服了傳統(tǒng)集中式防火墻缺陷的根源,即網(wǎng)絡(luò)的拓?fù)湟蕾?lài)性,所以它能克服集中式防火墻的缺陷而又保留它的優(yōu)點(diǎn)。分布式防火墻一經(jīng)提出便得到廣泛關(guān)注,進(jìn)而設(shè)計(jì)并實(shí)現(xiàn)原型系統(tǒng),美國(guó)Network_1(網(wǎng)屹)公司在2001年率先推出了商用分布式防火墻CyberWallPLUS。而國(guó)內(nèi)還沒(méi)有分布式防火墻產(chǎn)品出現(xiàn),在這種形勢(shì)下我們展開(kāi)了分布式防火墻的研究。
本文是在南京郵電學(xué)院科研項(xiàng)目“基于agent分布式防火墻原型系統(tǒng)”的基礎(chǔ)上寫(xiě)成。原理是實(shí)現(xiàn)的基礎(chǔ),實(shí)現(xiàn)是原理的具體化,本文充分體現(xiàn)了理論與實(shí)踐的緊密結(jié)合,既有理論高度,又有模型實(shí)現(xiàn)。原理的探索是艱難的(資料少),代碼的實(shí)現(xiàn)更是困難。雖然傳統(tǒng)防火墻開(kāi)發(fā)技術(shù)已成熟,但由于網(wǎng)絡(luò)安全問(wèn)題涉及到太多的機(jī)密問(wèn)題,所以這項(xiàng)技術(shù)總是以原理的形式出現(xiàn),具體實(shí)現(xiàn)方法很少有人提及,防火墻代碼是不公開(kāi)的,微軟操作系統(tǒng)內(nèi)核也是不公開(kāi)的。然而所有這些困難在自己的努力下被一一化解,最終完成了項(xiàng)目和論文。在經(jīng)過(guò)一年時(shí)間深入、系統(tǒng)、全面的研究之后,我取得了“一項(xiàng)突破,四項(xiàng)成果”。一項(xiàng)突破是:掌握了Windows主機(jī)防火墻的開(kāi)發(fā)方法。四項(xiàng)成果是:①深刻地概括了分布式防火墻(簡(jiǎn)稱(chēng)DFW)的基本原理、體系結(jié)構(gòu)、運(yùn)作機(jī)制等一系列理論問(wèn)題。②設(shè)計(jì)了DFW模型的實(shí)現(xiàn)方案。③實(shí)現(xiàn)了DFW模型。④提出了DFW模型的改進(jìn)方案。
本文內(nèi)容安排如下:
在第一章中主要介紹了在DFW研究中所涉及到的基本理論和基本技術(shù)。DFW研究的基礎(chǔ)是掌握防火墻技術(shù)和分布式技術(shù)。介紹了Windows網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)和Windows主機(jī)防火墻的各種實(shí)現(xiàn)方法;介紹了數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)編程等基本的分布式技術(shù)。
在第二章中主要闡述了DFW的基本原理、本質(zhì)特征、體系結(jié)構(gòu)和運(yùn)作機(jī)制等基本問(wèn)題,這是至關(guān)重要的,因?yàn)橹挥姓莆樟吮举|(zhì)特征才能把握研究的方向。首先全面地概括了目前傳統(tǒng)防火墻的主要缺陷,分布式防火墻提出的背景;接著闡述了DFW的一系列基本理論問(wèn)題;介紹了目前實(shí)現(xiàn)的一些原型系統(tǒng)的基本原理;
在第三章中闡述了實(shí)現(xiàn)應(yīng)用層防火墻的關(guān)鍵技術(shù)——Winsock 2 SPI技術(shù)。
在第四章中闡述了實(shí)現(xiàn)核心層防火墻的關(guān)鍵技術(shù)——TDI鉤子驅(qū)動(dòng)程序、NDIS中間驅(qū)動(dòng)程序和NDIS鉤子驅(qū)動(dòng)程序的實(shí)現(xiàn)技術(shù)。
第五章具體介紹了DFW模型的設(shè)計(jì)與實(shí)現(xiàn)。設(shè)計(jì)本著實(shí)現(xiàn)DFW的本質(zhì)所要求的功能,基于C/S模式設(shè)計(jì),并且只在應(yīng)用層實(shí)現(xiàn)封包過(guò)濾。
第六章提出了DFW模型的改進(jìn)方案和努力方向。
自從有了人類(lèi)社會(huì)人們就不斷追求快速、高效、安全的通信方式,通信技術(shù)的每一次大發(fā)展都會(huì)大大地加快人類(lèi)社會(huì)的文明進(jìn)程。特別是計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)正在并將繼續(xù)深刻地改變?nèi)藗兊纳a(chǎn)和生活方式。然而,如同其他任何一種科學(xué)技術(shù)的發(fā)展在給人們帶來(lái)好處的同時(shí)也給人們帶來(lái)災(zāi)害一樣,計(jì)算機(jī)網(wǎng)絡(luò)也有負(fù)面效應(yīng),這就是網(wǎng)絡(luò)信息安全問(wèn)題。機(jī)密泄露、數(shù)據(jù)被盜和篡改、系統(tǒng)因?yàn)槭艿焦舳c瘓,諸如此類(lèi)的事件在網(wǎng)絡(luò)上時(shí)有發(fā)生。1986年美國(guó)digital公司安裝第一個(gè)商用防火墻,然而直到1988年的蠕蟲(chóng)事件才使人們真正認(rèn)識(shí)到網(wǎng)絡(luò)安全問(wèn)題的存在。最近幾年網(wǎng)絡(luò)迅猛發(fā)展,安全問(wèn)題也越來(lái)越突出,銀行、股票部門(mén)是攻擊的主要目標(biāo)。特別是從2001年的5月份中美黑客大戰(zhàn)以來(lái),安全問(wèn)題更加得到重視。中國(guó)的五星紅旗飄揚(yáng)在美國(guó)的許多網(wǎng)站主頁(yè)中,然而許多中國(guó)政府網(wǎng)站也被黑。網(wǎng)絡(luò)安全問(wèn)題上升為國(guó)家安全問(wèn)題。在2001年中安全軟件保持100%的增長(zhǎng)率,居軟件行業(yè)之首,其中有三大賣(mài)點(diǎn):加密、反毒和防火墻。目前,防火墻仍然是人們解決網(wǎng)絡(luò)安全問(wèn)題的首選辦法。
然而隨著網(wǎng)絡(luò)的爆炸式發(fā)展,網(wǎng)絡(luò)新技術(shù)的不斷出現(xiàn),傳統(tǒng)防火墻的弊端開(kāi)始顯露,如瓶頸問(wèn)題、防外不防內(nèi)、單點(diǎn)失效等。于是人們針對(duì)這些問(wèn)題提出了一種新解決方案——分布式防火墻。分布式防火墻從根本上克服了傳統(tǒng)集中式防火墻缺陷的根源,即網(wǎng)絡(luò)的拓?fù)湟蕾?lài)性,所以它能克服集中式防火墻的缺陷而又保留它的優(yōu)點(diǎn)。分布式防火墻一經(jīng)提出便得到廣泛關(guān)注,進(jìn)而設(shè)計(jì)并實(shí)現(xiàn)原型系統(tǒng),美國(guó)Network_1(網(wǎng)屹)公司在2001年率先推出了商用分布式防火墻CyberWallPLUS。而國(guó)內(nèi)還沒(méi)有分布式防火墻產(chǎn)品出現(xiàn),在這種形勢(shì)下我們展開(kāi)了分布式防火墻的研究。
本文是在南京郵電學(xué)院科研項(xiàng)目“基于agent分布式防火墻原型系統(tǒng)”的基礎(chǔ)上寫(xiě)成。原理是實(shí)現(xiàn)的基礎(chǔ),實(shí)現(xiàn)是原理的具體化,本文充分體現(xiàn)了理論與實(shí)踐的緊密結(jié)合,既有理論高度,又有模型實(shí)現(xiàn)。原理的探索是艱難的(資料少),代碼的實(shí)現(xiàn)更是困難。雖然傳統(tǒng)防火墻開(kāi)發(fā)技術(shù)已成熟,但由于網(wǎng)絡(luò)安全問(wèn)題涉及到太多的機(jī)密問(wèn)題,所以這項(xiàng)技術(shù)總是以原理的形式出現(xiàn),具體實(shí)現(xiàn)方法很少有人提及,防火墻代碼是不公開(kāi)的,微軟操作系統(tǒng)內(nèi)核也是不公開(kāi)的。然而所有這些困難在自己的努力下被一一化解,最終完成了項(xiàng)目和論文。在經(jīng)過(guò)一年時(shí)間深入、系統(tǒng)、全面的研究之后,我取得了“一項(xiàng)突破,四項(xiàng)成果”。一項(xiàng)突破是:掌握了Windows主機(jī)防火墻的開(kāi)發(fā)方法。四項(xiàng)成果是:①深刻地概括了分布式防火墻(簡(jiǎn)稱(chēng)DFW)的基本原理、體系結(jié)構(gòu)、運(yùn)作機(jī)制等一系列理論問(wèn)題。②設(shè)計(jì)了DFW模型的實(shí)現(xiàn)方案。③實(shí)現(xiàn)了DFW模型。④提出了DFW模型的改進(jìn)方案。
本文內(nèi)容安排如下:
在第一章中主要介紹了在DFW研究中所涉及到的基本理論和基本技術(shù)。DFW研究的基礎(chǔ)是掌握防火墻技術(shù)和分布式技術(shù)。介紹了Windows網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)和Windows主機(jī)防火墻的各種實(shí)現(xiàn)方法;介紹了數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)編程等基本的分布式技術(shù)。
在第二章中主要闡述了DFW的基本原理、本質(zhì)特征、體系結(jié)構(gòu)和運(yùn)作機(jī)制等基本問(wèn)題,這是至關(guān)重要的,因?yàn)橹挥姓莆樟吮举|(zhì)特征才能把握研究的方向。首先全面地概括了目前傳統(tǒng)防火墻的主要缺陷,分布式防火墻提出的背景;接著闡述了DFW的一系列基本理論問(wèn)題;介紹了目前實(shí)現(xiàn)的一些原型系統(tǒng)的基本原理;
在第三章中闡述了實(shí)現(xiàn)應(yīng)用層防火墻的關(guān)鍵技術(shù)——Winsock 2 SPI技術(shù)。
在第四章中闡述了實(shí)現(xiàn)核心層防火墻的關(guān)鍵技術(shù)——TDI鉤子驅(qū)動(dòng)程序、NDIS中間驅(qū)動(dòng)程序和NDIS鉤子驅(qū)動(dòng)程序的實(shí)現(xiàn)技術(shù)。
第五章具體介紹了DFW模型的設(shè)計(jì)與實(shí)現(xiàn)。設(shè)計(jì)本著實(shí)現(xiàn)DFW的本質(zhì)所要求的功能,基于C/S模式設(shè)計(jì),并且只在應(yīng)用層實(shí)現(xiàn)封包過(guò)濾。
第六章提出了DFW模型的改進(jìn)方案和努力方向。