大型網(wǎng)絡(luò)統(tǒng)一訪(fǎng)問(wèn)控制模型的研究.pdf

1、當(dāng)今社會(huì)，網(wǎng)絡(luò)的觸角已經(jīng)深入人們社會(huì)生活的各個(gè)方面，很多企事業(yè)單位對(duì)網(wǎng)絡(luò)的依賴(lài)性越來(lái)越高，其安全性也就越來(lái)越受到人們的重視，這就對(duì)網(wǎng)絡(luò)管理提出了更高要求。在日常的網(wǎng)絡(luò)管理中，最常做的工作就是訪(fǎng)問(wèn)控制，訪(fǎng)問(wèn)控制是網(wǎng)絡(luò)受到攻擊后能夠立刻采取的最有效的抵御辦法。然而大型網(wǎng)絡(luò)由于其拓?fù)涞膹?fù)雜性和設(shè)備的多樣性，使得管理員很難在發(fā)現(xiàn)異常的第一時(shí)間實(shí)施恰當(dāng)?shù)脑L(fǎng)向控制，具體說(shuō)就是，對(duì)于單個(gè)設(shè)備的各個(gè)端口之間以及設(shè)備與設(shè)備之間的ACL的配置和部署，難于保

2、證沒(méi)有沖突或重復(fù)。 基于策略的網(wǎng)絡(luò)管理(PBNM)是網(wǎng)絡(luò)管理技術(shù)中的熱門(mén)話(huà)題，以其諸多優(yōu)點(diǎn)而備受推崇。采用基于策略的網(wǎng)絡(luò)管理能夠更好的實(shí)現(xiàn)QoS和IPSec，鑒于網(wǎng)絡(luò)管理各個(gè)領(lǐng)域之間的相通性，本文將基于策略的網(wǎng)絡(luò)管理的思想運(yùn)用于訪(fǎng)問(wèn)控制。采用了基于策略的網(wǎng)絡(luò)管理之后，策略由策略專(zhuān)家制定，并存儲(chǔ)到LDAP中去，這樣的策略可以提高訪(fǎng)問(wèn)控制的一致性。發(fā)現(xiàn)網(wǎng)絡(luò)攻擊以后，管理員可以提取現(xiàn)成的策略，去對(duì)特定的傳輸層端口進(jìn)行封堵，減少其出現(xiàn)錯(cuò)

3、誤的可能性。 基于策略的網(wǎng)絡(luò)管理中關(guān)鍵的，核心的步驟就是為策略信息建立模型，并映射到目錄中去。本文針對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)上的訪(fǎng)問(wèn)控制策略，對(duì)策略進(jìn)行基于CIM/PCIM標(biāo)準(zhǔn)的建模，這種建模是根據(jù)DMTF/IETF所制定的相關(guān)標(biāo)準(zhǔn)進(jìn)行的。經(jīng)過(guò)策略專(zhuān)家精心建模的策略可以提高策略在全局內(nèi)的一致性，從而減少執(zhí)行策略實(shí)施所產(chǎn)生的動(dòng)作在整個(gè)大型網(wǎng)絡(luò)中引起沖突或重復(fù)的可能性。因?yàn)镻BNM是以目錄驅(qū)動(dòng)網(wǎng)絡(luò)(DEN)為標(biāo)準(zhǔn)的，隨后還將對(duì)策略模型進(jìn)行向LDA