防火墙体系下的IPSEC及其策略

来源 :中国科学院软件研究所 | 被引量 : 1次 | 上传用户:commander_ocean
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
本文采取链式结构,对一个以防火墙为主体的整体的网络安全架构进行了 描述,并重点讨论了网络安全体系中的网络层安全IPSec与新型的状态检测型 防火墙的结合使用,进一步地,对其策略管理进行了探讨性的研究。 首先,从传统防火墙解决方案的不足,我们引出了对两种先进技术的讨 论:网络跟踪技术(连接跟踪技术)和状态检测技术。 网络跟踪技术实现在网络层,它为每一个网络连接建立连接跟踪项,收集 与安全有关的信息。之后,该连接上通过的所有网络包都将被跟踪。各种安全 机制,如包过滤,认证,地址转换等都在连接跟踪项中有相应的接口,通过连 按跟踪模块的网络包可以直接进入各层策略检测模块。 状态检测技术则以不同的服务区分应用类型,汲取相关的通讯和应用程 序的状态信息。根据网络通讯中的状态转换,它不断动态地更新连接跟踪表 中的状态信息,结合预定义好的规则,实现安全策略。 其次,文章介绍了运用以上两种技术的状态检测防火墙,并拓展地描绘了 以该防火墙为主体的安全体系架构。从而引出了这个架构中的另一个重要的部 分──网络层安全IPSec。对于一个完整的安全解决方案,提供端对端的安全是 必不可少的。但是,当IPSec实现在状态检测防火墙中,与连接跟踪技术结合 时,又产生了一些新的情况。 第三部分,说明了IPSec是如何适当地契合入状态检测防火墙中的。连接 跟踪项中安全关联链的使用,使得对IPSec的处理与其他安全机制保持了统 一,模块更清晰。但是,如果要充分发挥IPSec的长处,其策略管理的规范化 必将是进一步发展的趋势。 第四部分,IPSec的策略管理。文章介绍了“可信管理”的概念。这是一 个具有普遍推广意义的管理策略模式。它使用一种统一的“安全策略说明语 言”来描述应用的安全策略。可信管理机构接收应用提交的使用安全策略说明 语言书写的行为请求以及其自身策略,进行一致性检查,以确定该行为是否被 允许以及有何种限制条件。文章进一步分析了目前已经实现了的一个可信管理 系统──KeyNote。通过对其设计与实现的研究,为今后在我们的防火墙体系 中实施这种更完善的策略模式做好了前期的准备。
其他文献
Z作为软件工程中的一种形式规格说明语言,对Z规格说明的求精,即从规格说明到机器可执行代码的变换,始终是人们关注的问题,也是Z语言研究的热点和难点.到目前为止,还没有任何
怎样办好企业报的一版?这是长期没有很好解决的问题。党的十一届三中全会以来,《四川石油报》坚持以改革的精神办好一版,在“深、新、广、活”四字上下功夫,已经收到了一些
区系是海藻生物地理研究的基本单位,是以一定时间、空间范围内的全部海藻为对象划分的生物地理单元,具有相对稳定的温度性质、物种组成和边界范围,且区系之间具有较明显的差
系统安全系统的主要任务是建立、强化和实施系统的安全策略.安全管理通过对系统中各要素进行有效的管理,保障整个系统的安全运行.安全管理是保障系统安全的最直接的手段,因此
本文重点讨论了目前应用最为广泛的对称加密算法AES以及非对称加密算法RSA。AES方面,本文提出将种子密钥与第一轮扩展密钥之间的递推关系“打断”的方法去克服原密钥扩展算法
对渐变描述的直接支持是PostScriptLevel3引入的一项新功能,该文介绍了PostScript语言的规范说明中关于渐变的定义,讨论了渐变技术在PSPNTRIP中的基本实现方法,并重点针对其
该文提出了LT-30-2快速以太网交换机交换模块的设计与实现方案.交换模块是交换机的核心部分,它与管理模块相结合构成带管理的交换机系统.论文概述了基本的交换方法,阐述了LT-
近年来,随着P2P技术飞速发展,P2P流量在网络总流量中占据的比重越来越大,P2P流量的识别与控制技术日益受到人们的关注。然而,人们目前对于P2P流量识别与控制技术仍缺乏行之有效的
该论文提出了利用数据发掘的计算智能方法对银行业务数据进行发掘,最终构造出一个原型系统,用于对企业的信用评估,以促进贷款决策的科学化.
本文以科学引文索引扩展版(science citation index expanded,SCIE)数据库和社会科学引文索引(social sciences citation index,SSCI)数据库中有关海沟研究的文献为数据源,利