导 师: 冯金垣;骆耀祖
授予学位: 硕士
作 者: ;
机构地区: 华南理工大学
摘 要: 网络信息安全的概念己被各方接受和认同,防火墙、入侵检测、防病毒、安全审计等安全技术己经得到了广泛的应用。在此基础上,如何构建一个动态的、全方位的安全防护体系,成为网络安全中研究的热点。 本文在与传统的网络防火墙、个人防火墙技术对比的基础上,对分布式防火墙这一全新的防火墙体系结构进行了分析,提出一个分布式防火墙系统的软件设计方案。本方案在保留传统网络边界防火墙的同时,设计了一种驻留在内部网络终端的主机防火墙及其控制中心,将防火墙延伸到内部网络的终端,从而有效防范来自网络内部的非法访问与恶意破坏。主机防火墙利用NDIS-HOOK与SPI相结合,在应用层利用SPI进行封包来过滤各种应用程序,而在核心层利用NDIS-HOOK来过滤各种非SOCKET通信的数据包。这种方法克服了单方面从用户态或核心态截获数据包的缺点,极大提高了系统的安全性能。主机防火墙利用进行网络通讯的应用程序、IP地址、TCP/UDP端口号等信息对计算机内部网络终端发出的数据包进行过滤,同时将日志信息发送到管控中心。过滤规则由管控中心统一设置,对网络终端的用户透明。该分布式防火墙能运行在基于WINDOWS操作系统的网络中。 最后,本文分析了校园网存在的安全问题和应用需求,设计了一个基于分布式防火墙的高校校园网信息安全解决方案。
分 类 号: [TP393.08 TP393.18]