安全策略中心與NP架構防火墻的設計與實現.pdf

1、當前網絡安全的研究有兩個側重點，分別是如何提高安全防護設施的安全性和處理速度。提高安全性的研究致力于利用多種安全防護設施(包括防火墻，入侵檢測系統和安全評估系統等)實現綜合的安全防護體系，通過安全設施之間的信息共享和聯動響應，提高安全防范系統的安全性。提高處理速度的研究主要是為了適應網絡帶寬的不斷增長，研究如何提高網絡安全設施的處理速度，特別是網絡邊界設備——防火墻的吞吐量，網絡處理器的出現為防火墻硬件化提供了一條新的途徑。 本

2、文的工作以江蘇省科技計劃項目“主動式安全防范系統的研究”(課題編號BG2004036)為背景，主要工作從提高安全性和處理速度出發，可以分為兩大部分。第一部分是安全策略中心的設計與實現，論文在主動式安全防范系統中提出了安全策略中心模型，改進了傳統的入侵檢測系統與核心防火墻直接聯動的方式，綜合利用IDS的入侵告警信息和內網安全掃描器提供的掃描結果制定聯動策略并通過核心防火墻進行實施，設計并實現了安全策略中心，提高了聯動響應行為的合理性；同時

3、安全策略中心能夠發現防火墻策略中的存在的異常和沖突，輔助管理員對核心防火墻進行正確合理的配置。第二部分是基于網絡處理器(NP)架構的防火墻的設計與部分實現，論文在研究IntelIXP系列網絡處理器軟硬件體系結構的基礎上，結合主動式安全防范系統項目需求，給出了具備包過濾、網絡地址轉換(NAT)和虛擬專用網(VPN)功能的防火墻系統詳細設計方案，并實現了簡單包過濾防火墻系統SimFilter，并對其進行了測試與仿真，根據測試結果對下一步研究