收藏
下载资源

嵌入式防火墙及其关键技术研究

上传人:ldj****22 文档编号:35743163 上传时间:2018-03-19 格式:PDF 页数:30 大小:1.88MB
返回 下载 相关 举报
嵌入式防火墙及其关键技术研究_第1页
第1页 / 共30页
嵌入式防火墙及其关键技术研究_第2页
第2页 / 共30页
嵌入式防火墙及其关键技术研究_第3页
第3页 / 共30页
嵌入式防火墙及其关键技术研究_第4页
第4页 / 共30页
嵌入式防火墙及其关键技术研究_第5页
第5页 / 共30页
点击查看更多>>
资源描述

《嵌入式防火墙及其关键技术研究》由会员分享,可在线阅读,更多相关《嵌入式防火墙及其关键技术研究(30页珍藏版)》请在金锄头文库上搜索。

1、2014中国教育和科研计算机网中国教育和科研计算机网 华东北地区教育信息化技术研讨会华东北地区教育信息化技术研讨会嵌入式防火墙及其 关键技术研究南京航空航天大学计算机科学与技术学院南京航空航天大学计算机科学与技术学院 陈陈 兵兵问题的引出问题的引出1研究内容之一研究内容之一: :包分类包分类研究内容之二研究内容之二: :策略生成策略生成23展望展望研究内容之三研究内容之三: :策略分发策略分发4研究内容之四研究内容之四: :实现机制实现机制56主主 要要 内内 容容网络威胁来自何处?网络威胁来自何处?各种恶意攻击各种恶意攻击(Virus,Trojan horse etc.)系统本身的安全缺陷(

2、系统本身的安全缺陷(patch)各种应用软件的漏洞(各种应用软件的漏洞(update)校园网校园网网络安全防范技术网络安全防范技术物 理 层 面 安 全 防 护软件平台 安全防护应用 层面网络平台安全防护VPNFirewallIDS网络安全防范的对象网络安全防范的对象Internet内部网络: 可信任外部网络: 不可信任80%集中式防火墙集中式防火墙William Cheswick和和Steve Beilovin(1994):):防火墙是放置在两个网络之间的一组组件,性质:防火墙是放置在两个网络之间的一组组件,性质:1.只允许本地安全策略授权的通信信息通过只允许本地安全策略授权的通信信息通过2

3、.双向通信信息必须通过防火墙双向通信信息必须通过防火墙3.防火墙本身不会影响信息的流通防火墙本身不会影响信息的流通集中式防火墙集中式防火墙特别依赖拓扑结构特别依赖拓扑结构流量集中点流量集中点不能防止内部攻击不能防止内部攻击80%嵌入式防火墙的引出嵌入式防火墙的引出保护内部网络防护到桌面防护到桌面 硬件实现保护内部网络 保护各子网网络边界网络及子网边界网络边界+各节点网络边界+各节点集中式 防火墙分布的 集中式 防火墙分布式 防火墙嵌入式 防火墙嵌入式防火墙的相关关键技术嵌入式防火墙的相关关键技术包分类器实现实现 机制机制包包分类分类 算法算法策略策略分发分发 算法算法策略策略生成生成 算法算法

4、策略库TextHeaderIP Packet研究内容之一:包分类研究内容之一:包分类研究目的研究目的嵌入式防火墙需要将进出网络和主机之间的分组遵循防火墙策略,嵌入式防火墙需要将进出网络和主机之间的分组遵循防火墙策略, 进行快速的分类和处理进行快速的分类和处理包分类技术规则库划分技术维度分解技术线性匹配算法基于Trie分割几何区域分割元祖空间分割维度分解RFCABVP2Cuple Space SearchAQTHyperCutsHicutsFIS基本分层Trie集合归并 Trie网格TrieEGT-PC基于TCAM的 分类TCAM范围编 码技术BVSub_tuple Space SearchCo

5、mpact RFCTICBitmap RFC穷举算法研究内容之二:策略生成研究内容之二:策略生成研究目的研究目的传统集中式防火墙:管理员在线编辑策略传统集中式防火墙:管理员在线编辑策略分布式防火墙策略分布式防火墙策略Keynote:Bellovin等等IPSec:Charles等等特点:功能强,可认证和加密,运算量和特点:功能强,可认证和加密,运算量和网络负载影响大网络负载影响大,资,资 源要求高源要求高嵌入式防火墙嵌入式防火墙特点:运算能力有限、节点数量多且分散,不可能对每个嵌入特点:运算能力有限、节点数量多且分散,不可能对每个嵌入 式防火墙进行策略设置式防火墙进行策略设置适合于嵌入式环境下

6、的轻型策略生成算法适合于嵌入式环境下的轻型策略生成算法IPSec对网络负载的影响对网络负载的影响未启用未启用 IPSec启用启用 IPSecRBAC基于基于RBAC描述描述嵌入式防火墙的用户、角色和权限嵌入式防火墙的用户、角色和权限RBAC缺陷缺陷所有节点需与所有节点需与PS通信;无层次结构;对于不同逻辑组中的相似角色通信;无层次结构;对于不同逻辑组中的相似角色 需要单独定义需要单独定义EFW需求需求访问规则的分发与客户端访问规则的分发与客户端EFW本身是相关的,不能直接在嵌入式防本身是相关的,不能直接在嵌入式防 火墙体系中应用火墙体系中应用RBAC模型,必须对模型,必须对RBAC进行扩展,根

7、据各进行扩展,根据各EFW 特征对角色进行限制和运算,实现用户角色的动态生成特征对角色进行限制和运算,实现用户角色的动态生成RBAC扩展扩展安全域、安全子域和原子域安全域、安全子域和原子域Firewall原子域A原子域A原子域A原子域AEFWEFWEFWEFW院系安全子 域S部门安全子 域S校校 园园 网网 安安 全全 域域RBAC的角色扩展( , , ,)DU R SR OR RH P PA( , , ,)DU R UA RH P PARBACRBAC 扩展U:表示全域安全系统用户集合 R:表示全域安全系统角色集合 UA:表示全域安全系统用户与角色分配集合 RH:表示全域安全系统角色继承关系

8、集合,是一个偏序关系 P:权限集合 PA:表示权限与角色分配集合 SR:子域角色限制域, S表示安全子域 OR:原子域角色限制域, B表示原子域SRR S ORR BRHR R(, )RHUAURK角色限制域与扩展角色角色限制域与扩展角色角色限制域:继承关系,层次关系角色限制域:继承关系,层次关系扩展角色:处于角色限制域中的角色,可继承,所有扩展角扩展角色:处于角色限制域中的角色,可继承,所有扩展角 色组成的继承关系,构成层次关系色组成的继承关系,构成层次关系自反性自反性反对称性反对称性传递性传递性子域角色继承于全域角色,拥有全域角色子域角色继承于全域角色,拥有全域角色 的所有属性,且可以扩展

9、;的所有属性,且可以扩展;原子域角色继承于子域角色,拥有子域角色的所有属性,且可以扩展原子域角色继承于子域角色,拥有子域角色的所有属性,且可以扩展 kKkk12122112,k kK kkkkkk123122313,k k kK kkkkkk子域子域/原子域角色策略的生成原子域角色策略的生成安全子域原子域安全域全域策略集合 GDPRS运算子域限制策略集合 SDRRPRS子域角色 策略集合 SDRPRS分 发原子域角色 策略集合 ADRPRS原子域限制策略集合 ADRRPRS全域策略集合全域策略集合 GDPRS子域限制策略集合子域限制策略集合 SDRRPRS原子域限制策略集合原子域限制策略集合

10、ADRRPRS子域角色子域角色 策略集合策略集合 SDRPRS原子域角色原子域角色 策略集合策略集合 ADRPRS运算运算运算运算子域子域/原子域角色策略的生成原子域角色策略的生成sRS dRS = dRS oRS = sRS oRS = SDRPRSsRSdRSoRS 且:= inRSoutRS inRSoutRS = ADRPRS且 子域角色策略子域角色策略 sRS禁止访问安全子域内的任何客禁止访问安全子域内的任何客 户端的策略集合户端的策略集合 dRS禁止安全子域内的客户端访问禁止安全子域内的客户端访问 的远程站点或网络范围的策略集合的远程站点或网络范围的策略集合 oRS表示角色策略集合

11、中不属于表示角色策略集合中不属于 sRS和和dRS的其它规则的其它规则原子域角色策略:原子域角色策略: inRS中的规则负责检验进入中的规则负责检验进入EFW 的数据的数据 outRS中的规则负责检验从中的规则负责检验从EFW中中 发出去的数据发出去的数据结合结合EFW特点:特点: 对网络内部和外部的对网络内部和外部的 访问控制;访问控制; 网络分组进出的方向网络分组进出的方向特点特点对传统对传统RBAC进行角色扩充进行角色扩充通过角色限制生成子域通过角色限制生成子域/原子域角色策略原子域角色策略结合嵌入式防火墙特性结合嵌入式防火墙特性对网络内部和外部的访问控制子集划分对网络内部和外部的访问控

12、制子集划分网络分组进出方向子集的划分网络分组进出方向子集的划分不管是子域策略集合还是原子域策略集合,都继承于不管是子域策略集合还是原子域策略集合,都继承于 全域策略,子域或原子域可在此基础上进一步扩展策全域策略,子域或原子域可在此基础上进一步扩展策 略,以对子域或者原子域进一步访问控制,保证了各略,以对子域或者原子域进一步访问控制,保证了各 嵌入式防火墙策略的完整性、安全性和全局的一致性嵌入式防火墙策略的完整性、安全性和全局的一致性研究内容之三:策略分发研究内容之三:策略分发研究目的研究目的“推”方式是指策略服务器有新的策略后,“推”到在线的客户端“推”方式是指策略服务器有新的策略后,“推”到

13、在线的客户端 防火墙,易引起短时间内的爆发流,策略服务器负载急剧上升防火墙,易引起短时间内的爆发流,策略服务器负载急剧上升“拉”方式是指各客户端防火墙定期向策略服务器发送请求,下载“拉”方式是指各客户端防火墙定期向策略服务器发送请求,下载 新的策略,易造成策略服务器的负载较大新的策略,易造成策略服务器的负载较大SOAP + XML,适用于分布的边界防火墙,适用于分布的边界防火墙去除去除Policy server,采用,采用P2P思想,节点之间的信任?思想,节点之间的信任?传统的传统的 分发模式分发模式策略分发算法策略分发算法改进的策略分发过程改进的策略分发过程客户端嵌入式防火墙将策略保存在非易

14、失存储器中客户端嵌入式防火墙将策略保存在非易失存储器中策略服务器检测到版本更新后,发送广播通知客户端主策略服务器检测到版本更新后,发送广播通知客户端主 动更新动更新正在运行的客户端收到版本更新广播后,为减少并发性,正在运行的客户端收到版本更新广播后,为减少并发性, 通过一个随机延迟后再进行策略拉取通过一个随机延迟后再进行策略拉取策略服务器端使用一个队列来存放等待下载的客户端请策略服务器端使用一个队列来存放等待下载的客户端请 求,丢弃重复请求求,丢弃重复请求初始化算法初始化算法 策略更新算法策略更新算法推拉结合初始化算法初始化算法客户端EFWVersion_req( )Auth_req( )Au

15、th_reply( )Init( )Version_reply( )CompareVer( )Policy_req( )Policy_reply( )RunEFW( )初始化 仅开启与PS通信向PS发送EFW身 份信息,进行认证认证通过后,取PS 的策略版本信息与本地策略比较, 如果是最新版本则退出如果不是最新版本, 则下载最新策略开启EFW 开启分类器等 开放所有通信策略服务器010203040506080100120140160180200220240260平均延迟(微秒)仿真时间(分钟)无EFW有EFW串联EFW 对网络延 迟的影响策略更新算法策略更新算法客户端EFW策略服务器Broad

16、Cast( )Delay( )Policy_req( )Policy_reply( )RunClassifier( )PS检测策略是否 更新,如果有更 新则发送广播客户端EFW收到广 播后,产生一个随 机延迟 启动定时器,取PS 的策略版本信息开启分类器,进 行规则更新IsUpdate( )QueueChk( )PS检查队列是否满 或是否在队列中, 如果是,则不处理QueueDel( )删除队列中已经处 理的客户端请求0102030405060120140160180200220240260280平均延迟(微秒)仿真时间(分钟)1-15s延迟1-30s延迟1-60s延迟策略拉取延策略拉取延 迟对网络延迟对网络延 迟的影响迟的影响0102030405060012345CPU负载(%)仿真时间(分钟)1台策略服务器2台策略服务器多服务器多服务器 负载均

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号