网络的迅猛发展,使人们发布信息和搜索信息的需求变得非常的容易和便捷,但与此同时带来了信息被篡改、污染、破坏、泄露等威胁,网络信息传输的安全性问题也受到越来越多的人的关注。
现有网络主要存在两类安全性问题:
1)、现有网络架构服务本身所固有的脆弱性;
2)、防火墙主机配置和策略维护过于复杂,现有技术难以适应复杂多变的网络环境,从而产生的一系列未经发现或者难以弥补的安全漏洞;
由于互联网具有跨国界,无主管等特性,所以其具备完全开放性,这是互联网能快速普及的一个重要因素,也正因为如此,才导致了无处不在的网络攻击的存在。网络攻击者可以轻易的利用已有或未被公布的网络漏洞对互联网上的任意存在漏洞的主机发起攻击[10]。
据国家互联网应急中心发布的数据显示,2014年上半年,我国有626万台网络主机感染了木马或僵尸程序,有205万余个网站被篡改。我国是网民大国,据不完全统计,2016年中国网民数量已超6。68亿稳居世界第一的位置,同时也是网络攻击的重灾区。在互联网越来越重要的今天,提升网络安全意识,加强网络安全防御才符合广大网民的迫切利益。
网络安全体系的建立需要简单高效的防火墙技术,然而现有防火墙技术的成果部署并不能保证其内部主机的绝对安全,甚至会由于其透明性让内部主机在无意识的情况下遭受更大的伤害。众所周知,防火墙实现安全策略的基础是其内置的IPTables,然而防火墙规则表的维护和管理不仅需要大量的人力物力投入,还容易出错。
因此发现规则表中的异常情况并给出优化方案就显的尤为重要,这关乎着防火墙安全性能的发挥。论文网
1。3论文主要结构组成
本文的研究主要是在文献[1]中提到防火墙规则关系模型基础上,深入分析,提出异常发现算法的优化实现方案,并最终使用PHP、HTML、CSS、JavaScript和AJAX等技术编程实现了一个用户图形友好型规则集优化在线工具,并实验得到良好的实验效果。本文的组织结构如下:
第一章,绪论。主要讲解本课题的研究背景及其研究意义,通过大量的数据分析和文献阅读,阐述现有网络安全状况,以及防火墙在网络安全领域的地位。接着,就防火墙本身的弱点进行说明,引出本文的研究重点。最后给出了本文的整体组织构成。
第二章,防火墙背景基础。主要是将防火墙的一般定义及分类和其在网络安全中发挥的重要作用,最后着重介绍了本文要研究的包过滤防火墙的工作原理、版本进化,以及包过滤技术的优缺点及其应用范围。
第三章,防火墙策略建模与优化实现。这一节先从前辈已有的文献资料基础开始,分析包过滤规则优化中的规则关系定义与策略建模,然后提出自己的优化方案,最终使用HTML进行界面搭建,PHP语言编程实现优化算法。这一节是本文重点,也展示了本文在规则优化算法方面做出的研究贡献。
第四章,测试结果分析。这一节,主要是用测试用例对上一章编程实现的在线优化工具进行测试,并分析测试结果,最终得到本次实验的结果分析。
第五章,结果与展望。主要是分析本文实验最终得到的结论,并在此基础上说明自己研究的不足或未考虑到、未实现的功能,展望了未来该课题的研究方向。
2 防火墙背景基础
2。1 防火墙基础
防火墙是位于网络之间用于访问控制的一种网络设备,它并不是一个单一的计算机程序或者一个设备,而是像计算机一样,由硬件和软件两大部分组成,在内部局域网和外部网络之间构成一道虚拟的保护屏障,使网络与网络之间建立起一个安全网关,从而保护局域网免受未经授权的数据或用户侵入被保护网络。如图1。1所示为防火墙示意图: 防火墙根据其类型的不同可以分为网络层防火墙和应用层防火墙,网络层防火墙一般称之为包过滤防火墙,因其对通过的IP包的包头信息进行过滤而得名。其只允许符合管理员根据特定的网络安全策略制定的特定规则的IP封包通过,其余的数据包一概禁止。随着包过滤防火墙性能及功能的逐步改进,现在包过滤防火墙已经可以基于多种包属性值进行过滤,例如:源IP地址、端口号,目的IP地址、端口号,服务类型,通信协议,TTL值,来源网络名称或网段等等属性。