探析安全策略中心與NP架構(gòu)防火墻的設(shè)計(jì)與實(shí)現(xiàn)

摘要：當(dāng)前形勢(shì)下，人們主要從兩個(gè)方面對(duì)網(wǎng)絡(luò)安全進(jìn)行研究，這兩個(gè)方面主要包括如何提升網(wǎng)絡(luò)安全防護(hù)設(shè)施的處理速度以及如果提升網(wǎng)絡(luò)安全防護(hù)設(shè)施的安全性。我們可以采用例如安全評(píng)估系統(tǒng)、入侵檢測(cè)系統(tǒng)以及防火墻等安全防護(hù)設(shè)施來(lái)提升安全性，以便能夠?qū)⒕C合安全防護(hù)體系很好地實(shí)現(xiàn)，通過(guò)各個(gè)安全設(shè)施相互之間聯(lián)動(dòng)相應(yīng)以及信息共享來(lái)將安全防范系統(tǒng)安全性提高。人們?yōu)榱颂嵘踩O(shè)施處理的速度，通常采用網(wǎng)絡(luò)處理器，網(wǎng)絡(luò)處理器為實(shí)現(xiàn)防火墻的硬件化提供了全新的途徑，本文就探析安全策略中心與NP架構(gòu)防火墻的設(shè)計(jì)與實(shí)現(xiàn)。

關(guān)鍵詞：安全策略；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)處理器；NP構(gòu)架防火墻；設(shè)計(jì)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 15-0000-02

伴隨著當(dāng)前互聯(lián)網(wǎng)的高速發(fā)展，計(jì)算機(jī)的網(wǎng)絡(luò)安全問(wèn)題已經(jīng)越來(lái)越多的受到了人們的重視，在當(dāng)今社會(huì)中，已經(jīng)實(shí)現(xiàn)了信息化，同樣實(shí)現(xiàn)了信息網(wǎng)絡(luò)全球互聯(lián)這一趨勢(shì)，人們的經(jīng)濟(jì)活動(dòng)以及社會(huì)活動(dòng)月計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)越來(lái)越依賴，最終使計(jì)算機(jī)的網(wǎng)絡(luò)安全性成為了我國(guó)實(shí)行信息化建設(shè)過(guò)程中一個(gè)核心的問(wèn)題，當(dāng)前市場(chǎng)上面那些主流的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)設(shè)施主要包括安全掃描分析器、入侵檢測(cè)系統(tǒng)以及防火墻等等，其中，占有最多市場(chǎng)份額的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)設(shè)施就是防火墻，但是，網(wǎng)絡(luò)安全防護(hù)方式并不能很好地適應(yīng)當(dāng)前網(wǎng)絡(luò)安全發(fā)展這一需要，下面就對(duì)安全策略中心與NP架構(gòu)防火墻的設(shè)計(jì)與實(shí)現(xiàn)進(jìn)行探析。

1 安全策略中心與NP架構(gòu)防火墻模型設(shè)計(jì)

我們提出安全策略中心的模型，原因就在于兩個(gè)方面，一個(gè)是提升計(jì)算機(jī)互聯(lián)網(wǎng)安全聯(lián)動(dòng)中聯(lián)動(dòng)行為所具有的合理性，一個(gè)是為了提升過(guò)去傳統(tǒng)的計(jì)算機(jī)互聯(lián)網(wǎng)安全設(shè)備可管理性。

首先，我們必須要明確安全聯(lián)動(dòng)中的聯(lián)動(dòng)行為具有合理性，伴隨著目前計(jì)算機(jī)網(wǎng)絡(luò)世界中安全威脅所具有的形式已經(jīng)越來(lái)越多的呈現(xiàn)了混合化以及多樣化，計(jì)算機(jī)網(wǎng)絡(luò)的安全設(shè)施也越來(lái)越多的體現(xiàn)出了相互之間合作這一特點(diǎn)，也就是我們所說(shuō)的計(jì)算機(jī)互聯(lián)網(wǎng)的安全設(shè)施通過(guò)進(jìn)行聯(lián)動(dòng)響應(yīng)來(lái)將各自所具有的優(yōu)點(diǎn)充分的發(fā)揮出來(lái)，最終共同實(shí)現(xiàn)這一整體安全的目標(biāo)，這一種聯(lián)動(dòng)機(jī)制最為常見(jiàn)的就是要把防火墻系統(tǒng)以及入侵檢測(cè)系統(tǒng)共同納入到同一個(gè)防護(hù)體系里面。通常情況下，計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)系統(tǒng)都采用了那些智能算法來(lái)發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)里面的入侵行為，但是，入侵檢測(cè)系統(tǒng)并沒(méi)有一個(gè)行之有效的手段來(lái)對(duì)檢測(cè)出來(lái)的入侵行為進(jìn)行組織，防火墻是網(wǎng)關(guān)設(shè)施，防火墻能夠很好的對(duì)進(jìn)出流量實(shí)行訪問(wèn)的控制，但是，防火墻系統(tǒng)所實(shí)施訪問(wèn)的控制依據(jù)僅僅是一個(gè)靜態(tài)防火墻的過(guò)濾規(guī)則表，這就說(shuō)明防火墻并不能夠提供一個(gè)動(dòng)態(tài)智能防護(hù)的策略。因此，我們通過(guò)聯(lián)動(dòng)機(jī)制將防火墻系統(tǒng)與入侵檢測(cè)系統(tǒng)結(jié)合在一起，這樣我們就能夠?qū)⒎阑饓ο到y(tǒng)和入侵檢測(cè)新系統(tǒng)這二者長(zhǎng)處和優(yōu)勢(shì)很好地發(fā)揮出來(lái)，為計(jì)算機(jī)網(wǎng)絡(luò)提供一個(gè)更加全面和嚴(yán)謹(jǐn)?shù)陌踩雷o(hù)。

安全聯(lián)動(dòng)一直都具有阻斷性、動(dòng)態(tài)性以及優(yōu)先性等特點(diǎn)，所謂的阻斷性就是指我們通過(guò)聯(lián)動(dòng)所添加防火墻的規(guī)則一定要組織某一個(gè)報(bào)文進(jìn)行通過(guò)，然而并不允許添加一個(gè)允許部分報(bào)文通過(guò)這一規(guī)則，安全聯(lián)動(dòng)規(guī)則所具有的阻斷性，在很大程度上都保證聯(lián)動(dòng)機(jī)制并不會(huì)被攻擊者利用來(lái)將報(bào)文通道添加進(jìn)去。動(dòng)態(tài)性就是指我們通過(guò)聯(lián)動(dòng)所添加防火墻的規(guī)則具有很強(qiáng)的時(shí)效性，因此就會(huì)在一段時(shí)間以后被刪除，這一舉措完全符合IDS所產(chǎn)生動(dòng)態(tài)安全的策略。而優(yōu)先性指的就是通過(guò)入侵檢測(cè)聯(lián)動(dòng)所添加防火墻過(guò)濾這一規(guī)則，要求我們必須要過(guò)濾規(guī)則集最前端，也就是計(jì)算機(jī)網(wǎng)絡(luò)子啊根據(jù)過(guò)濾規(guī)則進(jìn)行判斷對(duì)包處理的過(guò)程中，必須要對(duì)聯(lián)動(dòng)添加防火墻規(guī)則進(jìn)行優(yōu)先察看。

2 安全策略中心與NP架構(gòu)防火墻的框架和功能

2.1 安全策略中心與NP架構(gòu)防火墻的系統(tǒng)模塊

安全策略中心的系統(tǒng)模塊是整個(gè)安全策略中心最為主要的模塊，系統(tǒng)模塊也已經(jīng)對(duì)其他模塊起到了具有支撐性作用，系統(tǒng)模塊對(duì)整個(gè)系統(tǒng)在啟動(dòng)時(shí)候初始化的工作進(jìn)行負(fù)責(zé)。在我們將守護(hù)進(jìn)程這些初始化的工作完成以后，比如說(shuō)連接數(shù)據(jù)庫(kù)等工作，系統(tǒng)模塊創(chuàng)建本地進(jìn)行安全套接字監(jiān)聽(tīng)，接著又將服務(wù)這種方式看成守護(hù)進(jìn)程來(lái)等待其他的安全設(shè)備進(jìn)行連接。系統(tǒng)的模塊主要依賴在安全通信模塊以及其他的安全設(shè)備通信，我們通過(guò)完成安全通信模塊驗(yàn)證以后再和其他的安全設(shè)備建立起一個(gè)在SSL基礎(chǔ)之上安全的連接。系統(tǒng)的模塊會(huì)根據(jù)客戶端里面安全設(shè)備所發(fā)出的請(qǐng)求來(lái)實(shí)行任務(wù)調(diào)度，系統(tǒng)的模塊也會(huì)FORK出很多子進(jìn)程不相同安全設(shè)備通信。

2.2 安全策略中心與NP架構(gòu)防火墻的聯(lián)動(dòng)決策模塊

計(jì)算機(jī)互聯(lián)網(wǎng)安全策略中心聯(lián)動(dòng)決策模塊是整個(gè)安全策略中心中的關(guān)鍵模塊，原因就在于這一模塊能夠提升計(jì)算機(jī)互聯(lián)網(wǎng)的安全聯(lián)動(dòng)行為所具有的合理性，聯(lián)動(dòng)決策模塊接受輸入主要包括防火墻當(dāng)前的狀態(tài)、Scanner所進(jìn)行的內(nèi)網(wǎng)安全掃描以后聯(lián)動(dòng)的信息、IDS所發(fā)放出來(lái)安全告警的信息等等。與此同時(shí)，Scanner會(huì)把它所掃描內(nèi)網(wǎng)以后所得出的結(jié)果放置在數(shù)據(jù)庫(kù)里面，這一個(gè)掃描結(jié)果數(shù)據(jù)庫(kù)也會(huì)是聯(lián)動(dòng)決策模塊實(shí)行決策的依據(jù)和參考。安全策略中心聯(lián)動(dòng)模塊主要根據(jù)決策算法，在這些輸入基礎(chǔ)上面產(chǎn)生聯(lián)動(dòng)的規(guī)則，并且會(huì)通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)配置管理模塊來(lái)實(shí)施。

3 安全策略中心與NP構(gòu)架防火墻設(shè)計(jì)要提升設(shè)計(jì)人員能力

所謂的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)工作人員就是計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行、穩(wěn)定運(yùn)行以及一體化運(yùn)行直接的指揮人員，通過(guò)進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)操作命令這一種形式，來(lái)將互聯(lián)網(wǎng)設(shè)備狀態(tài)以及互聯(lián)網(wǎng)運(yùn)行方式進(jìn)行改變，并且進(jìn)行安全運(yùn)行的調(diào)整。不管是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的日常工作，還是計(jì)算機(jī)網(wǎng)絡(luò)發(fā)生異常事故進(jìn)行處理的時(shí)候，要求計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)人員所發(fā)布的每一道日常的計(jì)算機(jī)網(wǎng)絡(luò)操作命令必須要準(zhǔn)確無(wú)誤，要求計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)工作人員將安全這一個(gè)方針很好的貫徹和落實(shí)，對(duì)各種規(guī)章制度以及規(guī)程進(jìn)行十分嚴(yán)格的執(zhí)行，將設(shè)計(jì)失誤以及誤操作進(jìn)行避免，最終將計(jì)算機(jī)互聯(lián)網(wǎng)安全、互聯(lián)網(wǎng)設(shè)備一體化進(jìn)行確保。

計(jì)算機(jī)互聯(lián)網(wǎng)安全系統(tǒng)的設(shè)計(jì)人員必須要熟知互聯(lián)網(wǎng)安全系統(tǒng)可能運(yùn)行空間里面所包含的諸多規(guī)律，要求計(jì)算機(jī)互聯(lián)網(wǎng)安全系統(tǒng)技術(shù)人員要對(duì)自身日常工作中積累的實(shí)測(cè)數(shù)據(jù)來(lái)對(duì)計(jì)算機(jī)安全系統(tǒng)進(jìn)行一體化和穩(wěn)定性分析，進(jìn)行智能數(shù)據(jù)分析方法的思考和研究，盡自己最大努力來(lái)進(jìn)行計(jì)算機(jī)的應(yīng)用，計(jì)算機(jī)能夠幫助網(wǎng)絡(luò)安全系統(tǒng)技術(shù)人員來(lái)將巨大工作量的推導(dǎo)以及計(jì)算工作很好的完成，進(jìn)而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的工作具有十分重要的影響。比如說(shuō)，計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的技術(shù)人員要將計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)里面所潛在的對(duì)于我們工作有用的信息進(jìn)行挖掘，必須要采用數(shù)據(jù)挖掘技術(shù)，技術(shù)人員想要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)一體化以及穩(wěn)定性進(jìn)行控制和評(píng)價(jià)就必需要采用暫態(tài)穩(wěn)定的評(píng)估方法，還可以運(yùn)用數(shù)據(jù)倉(cāng)庫(kù)這樣的技術(shù)來(lái)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)日常管理中大量數(shù)據(jù)進(jìn)行有效的利用。

4 結(jié)語(yǔ)：

在當(dāng)今這一互聯(lián)網(wǎng)高速發(fā)展的信息化社會(huì)中，我們必須要保證計(jì)算機(jī)互聯(lián)網(wǎng)的安全，本文中，筆者主要從安全策略中心與NP架構(gòu)防火墻模型設(shè)計(jì)、安全策略中心與NP架構(gòu)防火墻的框架和功能以及安全策略中心與NP構(gòu)架防火墻設(shè)計(jì)要提升設(shè)計(jì)人員能力這三個(gè)方面分析了安全策略中心與NP構(gòu)架防火墻設(shè)計(jì)，在闡述安全策略中心與NP架構(gòu)防火墻的框架和功能時(shí)，筆者主要從安全策略中心與NP架構(gòu)防火墻的系統(tǒng)模塊以及安全策略中心與NP架構(gòu)防火墻的聯(lián)動(dòng)決策模塊這兩個(gè)方面展開(kāi)。

參考文獻(xiàn)：

[1]汪海航，譚成翔，孫為清，趙軼群.VPN技術(shù)的研究與應(yīng)用現(xiàn)狀及發(fā)展趨勢(shì)[J].計(jì)算機(jī)工程與應(yīng)用，2001，23.

[2]李奕男，錢志鴻，劉影，張旭.基于博弈論的移動(dòng)Ad hoc網(wǎng)絡(luò)入侵檢測(cè)模型[J].電子與信息學(xué)報(bào)，2010，09.

[3]張之剛，周寧，牛霜霞，莫堅(jiān)松，劉浩.遠(yuǎn)程緩沖區(qū)溢出攻擊及防護(hù)[J].重慶理工大學(xué)學(xué)報(bào)（自然科學(xué)版），2010，11.

[4]劉坤.結(jié)合逆向工程和fuzz技術(shù)的Windows軟件漏洞挖掘模型研究[J].成都信息工程學(xué)院學(xué)報(bào)，2008，02.

[作者簡(jiǎn)介]

李碩（1982.12-）男；漢族；籍貫：山東省聊城市；學(xué)歷：大學(xué)本科工學(xué)學(xué)士學(xué)位；職稱：助理工程師；研究方向：計(jì)算機(jī)；從事工作：消防部隊(duì)，計(jì)算機(jī)，網(wǎng)絡(luò)，信息通信