一種分布式防火墻模型策略的研究.pdf

1、由于傳統(tǒng)的邊界防火墻存在單點(diǎn)失效和性能瓶頸的問題，并且依賴于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)實(shí)施其安全策略，使其局限性越來越明顯。正是在這種背景下人們提出了分布式防火墻的概念。在分布式防火墻中，安全策略統(tǒng)一制定，由各主機(jī)負(fù)責(zé)設(shè)施，通過將防火墻分布式的配置到各個受保護(hù)節(jié)點(diǎn)之上，分布式防火墻可以解決單點(diǎn)失效和性能瓶頸的問題。 分布式防火墻是一項比較新的技術(shù)，因此，它還沒有固定的模式。本文首先對分布式防火墻的現(xiàn)有結(jié)構(gòu)模型進(jìn)行了分析和論述，特別是對這些模

2、型所依賴的Keynote，Agent，Kerberos，Ipsec技術(shù)進(jìn)行闡述，分析了他們各自的特點(diǎn)，并對由這些特點(diǎn)所衍生出的分布式防火墻的特性進(jìn)行了比較。 其次，本文在對現(xiàn)有分布式防火墻結(jié)構(gòu)模型研究的基礎(chǔ)上提出了基于E_Keynote策略描述語言的M模型，E-Keynote語言是對Keynote語言的擴(kuò)展與增強(qiáng)。該模型通過數(shù)字簽名與認(rèn)證來建立節(jié)點(diǎn)之間的信任關(guān)系，采用控制中心簽名的證書表示通信節(jié)點(diǎn)的身份。該模型由策略控制中心和執(zhí)

3、行節(jié)點(diǎn)構(gòu)成，策略控制中心負(fù)責(zé)策略的制定、分發(fā)、管理、認(rèn)證等等一系列工作，執(zhí)行節(jié)點(diǎn)負(fù)責(zé)策略的執(zhí)行。 再次，本文詳細(xì)介紹了策略的表示方法，用E Keynote語言描述策略，包括如何標(biāo)志內(nèi)部主機(jī)，描述分布式網(wǎng)絡(luò)環(huán)境中的信任管理，策略管理以及定義安全通訊協(xié)議等。策略描述語言的好壞是策略控制中心能夠順利實(shí)施其功能的前提條件。模型中各個功能模塊的實(shí)現(xiàn)都依賴于策略描述語言對策略的描述能力。 最后，在執(zhí)行節(jié)點(diǎn)部分，本文給出了策略語言解析