防火墻是網(wǎng)絡安全的核心元素，是保證企業(yè)信息安全的中流砥柱，已在多數(shù)企業(yè)網(wǎng)絡中被廣泛使用。防火墻的基本功能是根據(jù)內(nèi)置的規(guī)則表來決定每一個經(jīng)過的數(shù)據(jù)包的過濾行為，即接收或丟棄。面對日趨惡化的網(wǎng)絡環(huán)境及日益增大的網(wǎng)絡速率，優(yōu)化防火墻的包過濾技術，增強防火墻抵御網(wǎng)絡攻擊的能力，提高防火墻包過濾速度，具有重要的社會現(xiàn)實意義。本文以優(yōu)化防火墻的過濾技術為目標，同時面向下一代IPv6因特網(wǎng)，提出了防火墻包過濾的兩個具體優(yōu)化和創(chuàng)新方案，力求取得更好的防御網(wǎng)絡攻擊和提高處理速度的效果。本文研究工作的創(chuàng)新點主要體現(xiàn)在以下兩個方面：（1）傳統(tǒng)防火墻與路徑標識（Pi）相結合的數(shù)據(jù)包過濾方案（CTFPi）。針對已有防火墻包過濾的缺陷，我們發(fā)現(xiàn)傳統(tǒng)包過濾技術與Pi技術有可結合之處，因此提出了一種新的防火墻規(guī)則優(yōu)化方案-CTFPi方案，即將防火墻技術與Pi相結合的方法。根據(jù)CTFPi方案，一方面期望將數(shù)據(jù)包的過濾任務從受害主機轉(zhuǎn)移到防火墻，減輕受害主機的負擔；另一方面將目標主機放在一個安全域中，對經(jīng)過防火墻過濾之后的數(shù)據(jù)包不再進行安全性檢查，讓數(shù)據(jù)包直接在安全域中傳輸，提高傳輸性能。更重要的是，我們將兩項防御技術進... 

【文章來源】：寧波大學浙江省

【文章頁數(shù)】：87 頁

【學位級別】：碩士

【部分圖文】：

DDoS攻擊架構示意圖

傳統(tǒng)包過濾防火墻的部署和工作原理圖

跳數(shù)分布圖

【參考文獻】：
期刊論文
[1]基于非均勻切割的HiCuts分類算法[J]. 汪文勇,任春梅,黃鸝聲.  計算機應用. 2013(02)
[2]一種基于攻擊圖的安全威脅識別和分析方法[J]. 吳迪,連一峰,陳愷,劉玉嶺.  計算機學報. 2012(09)
[3]DDoS攻擊檢測和控制方法[J]. 張永錚,肖軍,云曉春,王風宇.  軟件學報. 2012(08)
[4]基于擴展網(wǎng)絡攻擊圖的網(wǎng)絡攻擊策略生成算法[J]. 王會梅,鮮明,王國玉.  電子與信息學報. 2011(12)
[5]大規(guī)模網(wǎng)絡中攻擊圖的節(jié)點概率計算方法[J]. 葉云,徐錫山,齊治昌.  計算機應用與軟件. 2011(11)
[6]依據(jù)流統(tǒng)計特性的報文分類規(guī)則集動態(tài)優(yōu)化[J]. 楊贊,楊林,王保進,張琨.  計算機應用研究. 2011(05)
[7]融合路徑追溯和標識過濾的DDoS攻擊防御方案[J]. 金光,張飛,錢江波,張洪豪.  通信學報. 2011(02)
[8]基于規(guī)則集壓縮的高效包分類算法[J]. 畢夏安,謝高崗,張大方.  計算機應用. 2010(11)
[9]基于攻擊圖的網(wǎng)絡安全概率計算方法[J]. 葉云,徐錫山,賈焰,齊治昌.  計算機學報. 2010(10)
[10]基于Hash和AQT的類決策樹包分類算法研究[J]. 趙國鋒,陳群麗.  通信技術. 2010(02)

博士論文
[1]防火墻規(guī)則集關鍵技術研究[D]. 李林.電子科技大學 2009
[2]基于數(shù)據(jù)包標記的拒絕服務攻擊防御技術研究[D]. 金光.浙江大學 2008



本文編號：3391236