基于主机防护策略的防火墙技术研究

英文题名：Research on Firewall Based on the Protected Host
作者：唐龙业
论文级别：硕士
学科专业名称：计算机应用技术
中文关键词：网络安全 ; 防火墙 ; 保护区 ; 服务矩阵 ; 临时户籍
英文关键词：network security ; firewall ; protected zone ; service matrix ; registered temporary residence
学位年度：2003
导师：周宗平
学科代码：081203
学位授予单位：山东科技大学
论文提交日期：2003-06-01

摘要

作为一种有效的网络安全技术，防火墙通常被设置在Internet和内部网络之间，依据预先设定的安全策略，对进出内部网络的数据包实施合法性过滤和检查，从而实现对内部网络的保护。
本文针对局部网络面临的安全问题，首先介绍了现有防火墙技术的发展现状，详细分析了在发展变化的网络环境下现有防火墙技术存在的不足。然后，提出了一种基于主机防护策略的防火墙体系结构和思想，并给出了其详细的思想阐述。最后，在对两种流行操作系统网络结构的分析基础上，分别给出了基于两种不同操作系统的防火墙程序设计方法。
Firewall is a separator located between the Internet and LAN such that all packets between them pass through it.Based on the predefined security policy, The firewall inspects each packet to see whether it is safe.It allows only safe packets to pass and denies all others.
In this dissertation,the author first introduces the state of the art of the current firewall technology,and analyzes its limitations and drawbacks unsuited to the changing network environment in detail.Then,aimming at the above discussion , puts forward a new firewall architecture based on the protected host,and gives its detailed implementing policy. Finally,gives the programming methods of firewall implementation based on the analysis of two different OSs,respectively.

引文

[1]杨守君黑客技术与网络安全北京：中国对外翻译出版公司 2000．4
    [2]陈莉君深入分析Linux内核源代码北京：人民邮电出版社 2002．8
    [3]孙雨生等 Windows注册表使用问答(第二版) 北京：中国电力出版社 2001．5
    [4]网络安全技术白皮书深圳华为技术有限公司北京研究所 2000．2．16
    [5]朱雁辉等 windows防火墙与封包截获技术北京：高等教育出版社 2001
    [6]Andrew S.Tanenbaum COMPUTER NETWORKS(third edition) Prentice Hall 1996
    [7]IEEE P1363a:Password-based authentication and key agreement cryptography http://grouper.ieee.org/groups/1363/StudyGroup/(1996)
    [8]David Sammut The Complete Firewall System HTTP://citeseer.nj .nec .com/cs(2002)
    [9]S.Loannidis and A.D.Keromytis Implementing a distributed firewall HTTP://www.cis.upenn.edu/～angelos/papers/df.ps.gz(2000)
    [10]RFC791 IP protocol IETF Sep,1981
    [11]RFC793 TCP protocol IETF Sep,1981
    [12]RFC2588:IP Multicast and Firewalls IETF May,1999
    [13]S.Loannidis and A.D.Keromytis.Implementing a distributed firewall. HTTP://www.cis.upenn.edu/～angelos/papers/df.ps.gz(2000)
    [14]李信满等基于防火墙的网络入侵检测系统东北大学学报(自然版)2001．10(489-491)
    [15]王爱华等 PCCS部分聚类方法：一种快速的WEB文档聚类方法计算机研究与发展 2001．4(415-421)
    [16]黄晨春等 Linux的TCP／IP层结构计算机应用研究(127-129) 2002．5
    [17]楚狂等网络安全与防火墙技术北京：人民邮电出版社 2000．4
    [18]郑慧华分布式防火墙堵住内部网漏洞

    HTTP://www.zdnet.com/(2001.9)
    [19]段海新等防火墙在传输网络中的吞吐量与管理问题及解决方案计算机工程与应用 2000．11
    [20]Firewall of Academic Evironments HTTP://www.stanford.edu/papers/firewall/
    [21]Sasha Holistic Approaches to Attack Detection HTTP://www.phrack.org/phrack/57/p57-oxob(2001)
    [22]Approaches to Access Management HTTP://www.cni.org/projects/authentication7/authentication-wp.html
    [23]Mehran Sahami A Bayesian Approach to Filtering Junck E-mail HTTP://citeseer.nj.nec.com/cs(1998)
    [24]Jun Xu, Mukesh Singhal Logical firewall:A Mechanism for Security in Future Networking Environment HTTP://citeseer.nj.nec .com/cs(1996)
    [25]Sami Uskela Security in Wireless Local Area Networks HTTP://www.tml.hut.fi/opinnot/tik-110501/1997/wireless-lan.html
    [26]Nichole K.Boscia Wireless Firewall Gateway White Paper HTTP://www.nas.nasa.gov/groups/networks/projects/wireless/orig. 08.20.01-nkb
    [27]郑志蓉等基于操作系统安全的应用层安全研究计算机应用研究 2002．5(43-45)
    [28]STEVE J.Chapin A New Model of Security for Metasystems HTTP://citeseer.nj.nec.com/cs(1997)
    [29]王锁萍等对基于OTP的代理型防火墙的攻击与防止计算机应用 2001．5(47-49)
    [30]王常杰等基于Ipv6的防火墙设计计算机学报 2001．2 (219-223)
    [31]防火墙技术报告 HTTP://www.ccnet.net.cn/(2000)
    [32]朱革媚等网络安全与新型防火墙技术计算机工程与设计 2001．2(16-19)


    [33]徐国爱等 PC防火墙的设计和实现计算机工程与应用 2000．4(116-118)
    [34]防火墙远程管理技术 http://it.rising.com.cn/safety/subject/firewall/firewall.htm
    [35]防火墙性能指标详解互联网时空 2001．8
    [36]吴世忠互联网防火墙技术的回顾与展望 http://www. chinatelecom.com.cn/tel_specialist/tel_specialist_zjlt/tel_specialist_wangluo/tel_specialist_wangluo_6.htm
    [37]Jephe wu传统代理，透明代理，plug-gw，Apache反向代理，IP伪装，端口转发绿盟科技／www.nsfocus.com／
    [38]全国信息技术标准化技术委员会信息安全标准化简况 http://www.chinatelecom.com.cn/tel_specialist/tel_specialist_zjlt/tel_specialist_wangluo/tel_specialist_wangluo_4.htm
    [39]杨义先等信息安全综论 http://www.chinatelecom.com.cn/tel_specialist/tel_specialist_zjlt/tel_specialist_wangluo/tel_specialist_wangluo_5.htm
    [40]李如琳网络安全隐患及对策 http://www. chinatelecom.com.cn/tel_specialist/tel_specialist_zjlt/tel_specialist_wangluo/tel_specialist_wangluo_9.htm
    [41]木林森等 Visual c++6.0使用与开发北京：清华大学出版社(1999．4)
    [42]唐宁等基于Linux的最新防火墙技术研究计算机应用研究 2002。4
    [43]黄发文等计算机网络安全技术初探计算机应用研究 2002。5
    [44]朱树人等防火墙HTTP代理用户认证的实现技术计算机工程与应用 2001。6(29-31)
    [45]韩德志等一种安全操作系统的防火墙设计技术计算机工程 2000。11(141-143)
    [46]曾志峰等网络安全的发展与研究计算机工程与应用 2000。10(1-3)
    [47]赵海波等网络入侵智能化实时检测系统上海交通大学学报 1999。1(76-79)
    [48]刘克龙等一种新型的防火墙系统计算机学报 2000。3(231-236)
    [49]邹勇等增强型包过滤防火墙规则的形式化及推理机的设计与实现计

    算机研究与发展 2000。12(1471-1476)
    [50]朱树人等代理防火墙的设计与应用计算机工程与科学 2001。1(16-20)
    [51]李信满等分布式网络协议分析系统的设计与实现小型微型计算机系统 2000。10(1082-1085)
    [52]张文彬等基于UNIX流机制的包过滤防火墙的研究及实现计算机工程与设计 2000。12(35-39)
    [53]许强等基于图像内容过滤的只能防火墙系统研究与实现计算机研究与发展 2000。4(458-464)
    [54]David M。Martin Jr etc. blocking java applets at the firewall http://citeseer. nj.nec.com/cs(2002)
    [55]Scott Hazelhurst A Protocol for Dynamic Access Lists for TCP/IP Packet Filtering http://citeseer.nj.nec.com/cs(2002)