跳到主要內容

臺灣博碩士論文加值系統

(44.220.247.152) 您好!臺灣時間:2024/09/15 09:40
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

我願授權國圖
: 
twitterline
研究生:嚴大中
研究生(外文):Ta-chung Yen
論文名稱:網路防火牆系統安全之設計與分析
論文名稱(外文):A Study of Design and Analysis of Secure Network Firewall Systems
指導教授:江清泉江清泉引用關係蔡向榮蔡向榮引用關係
指導教授(外文):Ching-Chuan ChiangHsiang-jung Tsai
學位類別:碩士
校院名稱:國防管理學院
系所名稱:國防資訊研究所
學門:電算機學門
學類:電算機一般學類
論文種類:學術論文
論文出版年:2002
畢業學年度:90
語文別:中文
論文頁數:98
中文關鍵詞:防火牆入侵偵測日誌稽核
外文關鍵詞:firewallintrution detectionlog audit
相關次數:
  • 被引用被引用:3
  • 點閱點閱:576
  • 評分評分:
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:2
網路防火牆是在網路的咽喉點檢查進出的封包,視其是否合乎防火牆設計政策(存取控制規則)來決定是否允許其通過。它可以集中組織的安全政策以大幅改善內部網路個別主機的安全。但是,對一般的網路防火牆的管理者而言,他不但要構想如何的配置網路防火牆以增進安全,也要費許多精神去小心設定設計政策,更要耗用更多的精力去檢視日誌中可疑的記錄,造成管理者嚴重的工作負荷。目前對於上述問題並沒有一個完整而可行的方法來解決。首先,本研究提出一個網路防火牆系統安全架構及其組成模組,其次,在這個網路防火牆系統安全架構之下,提出兩個方法來解決網路防火牆設計政策的檢查及日誌的線上分析的問題,其中網路防火牆設計政策的檢查是由一個演算法來找出其中衝突、多餘或無效的規則,另一日誌線上的分析是利用限狀態機的狀態轉移的方法來實作,經由此實作可以偵測出對網路掃描的行為並可察覺出阻斷式網路服務攻擊,前一個方法優點是可以使管理者正確的依照組織安全政策來組態網路防火牆設計政策,後者的優點是可以取代批次、人工及事後的日誌分析,在線上分析日誌偵測網路掃描或阻斷式網路服務攻擊,最後,對本研究所提出之入侵偵測方法以程式實作驗證。
The firewall is used as a filter which has function to screen each of packages based on the rule specified. Due to the security consideration, the firewall is supposed to pass the packets that are matched with access control rules only. However, most of the current firewalls still heavily rely on the effort from the administrator to configure the firewall system and the access control rules. It is also necessary to take lots of efforts for checking the suspicious log from the firewall. There are not many available tools that can be used to cross-check the access control rules and the firewall log instantly. This thesis proposes a framework of secure firewall system and the associated modules. We also design two methods that can be used to check the firewall rule and audit firewall log. The rule-check method provides an algorithm for checking the conflicted, redundant or invalid rules. The log-audit method is implemented according to the automata state translation concept. The final product can detect the activities from the network scanning and the denial of service attack. The advantage of this product is easily to configure the access control rules correctly for the firewall. It is also capable of detecting attacks from firewall log on-line. Finally, we design and code the programs to implement the proposed method on the intrusion detection.
誌謝 I
摘要 II
ABSTRACT III
目錄 V
第一章 緒論 1
第一節 研究動機與背景 1
第二節 研究目的 3
第三節 研究範圍 4
第四節 研究方法及流程 5
第五節 論文架構 7
第二章 網路防火牆相關文獻探討 9
第一節 網路防火牆之現況 9
第二節 網路防火牆之技術 10
第三節 網路防火牆之架構 11
第四節 網路防火牆與安全政策 13
第五節 網路防火牆日誌 15
第三章 網路防火牆安全之探討 17
第一節 網路防火牆安全探討 17
第二節 網路防火牆技術與架構之安全分析 20
(一)網路防火牆技術安全分析 20
(二)網路防火牆架構安全分析: 22
第三節 網路防火牆安全政策探討 25
第四節 網路防火牆日誌探討 27
(一)線上分析: 27
(二)日誌關聯性分析: 27
(三)自動稽核: 28
(四)事件回饋及行動: 28
第四章 網路防火牆系統安全分析 29
第一節 系統架構分析 29
第二節 系統模組功能需求分析 31
(一)政策設定模組:(如圖4.4所示) 32
(二)屏蔽過濾模組:(如圖4.5所示) 34
(三)日誌檢視模組:(如圖4.6所示) 35
(四)入侵偵測模組:(如圖4.7所示) 36
(五)入侵反應模組:(如圖4.8所示) 38
(六)網路安全資料庫模組:(如圖4.9所示) 39
第三節 系統功能模組 40
(一)系統功能流程: 40
(二)模組功能演算法: 43
(1)政策檢視演算法 43
(2)有限狀態機分析演算法 48
第四節 整體設計分析實作考量 55
(一)網路政策: 55
(二)日誌的伺服器之安全: 56
第五章 網路防火牆安全系統實作 57
第一節 網路防火牆系統安全架構 57
第二節 模組功能設計 58
(一)政策設定設計 58
(1)網路防火牆設計政策介面 58
(2)政策檢視 59
(3)網路防火牆安全政策決策設計 64
(4)安全政策產生設計 64
(二)屏蔽過濾模組 64
(三)日誌檢視模組 65
(1)日誌分類設計: 65
(2)程式試探分析: 69
(3)有限狀態機分析: 70
(四)入侵反應模組 77
(1)入侵反應分類 77
(2)回饋及政策修訂設計 77
(3)入侵記錄及入侵警告 77
第三節 整體實作分析 78
(一)實作功能 78
(二)系統測試 82
(1)模擬測試一: 83
(2)模擬測試一: 84
(3)實況測試一: 86
(4)實況測試一: 87
第六章 結論 89
第一節 本研究貢獻 89
第二節 未來研究方向 90
參考文獻 91
中文部分 91
英文部分 92
自傳 98
中文部分
[1] 王旭譯,D.Brent Chapman,Elizabeth,D.Zwicky 著(民八八),架設防火牆,台北,美商歐萊禮台灣分公司。
[2] 東海大學,大度資訊安全教學網站(民九一‧五月),「防火牆」, http://dado.thu.edu.tw/research/p2/6/firewall.htm.
[3] 富揚資訊,網路安全(民九一‧五月),「White Paper」, http://www.adcom.com.tw/product/sonicw/firewall_wp.htm。
[4] 劉良棟、錢盈秀、吳曜呈譯,Goncalves, M.著(民九十),防火牆完全指南,台北,美商麥格羅.希爾台灣分公司。
[5] 陳志昌、林逸文、蔣大偉譯,Garfinkel,S.;Spafford,G.著(民九十),UNIX與INTERNET安全防護系統篇,台北,美商歐萊禮台灣分公司。
[6] 林育生、嚴大中、廖百齡、俞齊醒、陳寶騏、江清泉(民九十),「整合式網路安全系統」,國防通信電子及資訊季刊,第二期,頁23-36。
英文部分
[7]Cobb, S.[1996] ,“Establishing firewall policy,”Southcon/96. Conference Record, pp. 198 —205.
[8] Lyu, M.R.; Lau, L.K.Y.[2000] , “Firewall security: policies, testing and performance evaluation,”Computer Software and Applications Conference, 2000. COMPSAC 2000. The 24th Annual International , pp. 116 —121.
[9] CERT/CC [Jan. 2001]“CERT/CC Statistics 1988-2001, ” Statistics, 1988-2001, http://www.cert.org/stats/.
[10] Mayer, A.; Wool, A.; Ziskind, E.[2000], “Fang: a firewall analysis engine,”Security and Privacy, 2000. S&P; 2000. Proceedings. 2000 IEEE pp. 177 —187.
[11] Bellovin, S.M.; Cheswick, W.R.[1994], “Network firewalls,” IEEE Communications Magazine , Volume: 32 Issue: 9 , Sept, pp. 50 —57.
[12] Knobbe, R.; Purtell, A.; Schwab, S.[1999] , “Advanced security proxies: an architecture and implementation for high-performance network firewalls,”DARPA Information Survivability Conference and Exposition, 2000. DISCEX ''00. Proceedings , vol.1, pp. 140 —148.
[13] Burns, J.; Cheng, A.; Gurung, P.; Rajagopalan, S.; Rao, P.; Rosenbluth, D.; Surendran, A.V.; Martin, D.M., Jr.[2001], “ Automatic management of network security policy,”DARPA Information Survivability Conference & Exposition II, 2001. DISCEX ''01., vol.2, pp. 12 —26.
[14] Patton, S.; Doss, D.; Yurcik, W.[2000], “ Open source versus commercial firewalls: functional comparison,”Local Computer Networks, 2000. LCN 2000. Proceedings. 25th Annual IEEE Conference , pp. 223 —224.
[15] Noureldien, N.A.; Osman, I.M.[2000],“On firewalls evaluation criteria,”TENCON 2000. Proceedings , Volume: 2 , pp. 104 -110 vol.3
[16] Noureldien, N.A.; Osman, I.M. [2000] ,“A stateful inspection module architecture,”TENCON 2000. Proceedings , 2000 ,vol.2, pp. 259 —265.
[17] Fung, K.P.; Chang, R.K.C [2000] , “A transport-level proxy for secure multimedia streams,”IEEE Internet Computing , Volume: 4 Issue: 6 , Nov.-Dec. 2000 , pp. 57 —67.
[18] John P.,Wack,Lisa J. Carnahan [1995], “Keeping Your Site Comfortably Secure:An Introduction to Internet Firewalls,”NIST, Special Publication 800-10.
[19] CERT/CC,“Establish a policy and procedures that prepare your organization to detect signs of intrusion,”
.http://www.cert.org/security-improvement/practices/p092.html.
[20] Duan Haixin; Wu Jianping; Li Xing [2000] , “Policy based access control framework for large networks,”Networks,. (ICON 2000). Proceedings. IEEE International Conference on , pp. 267 —272.
[21] Michael, C.C.; Ghosh, A.[2000], “Two state-based approaches to program-based anomaly detection ,” Computer Security Applications, 2000. ACSAC ''00. 16th Annual Conference , pp. 21 —30.
[22] Shepard, S.J. [Jan.-Feb.2000] , “Policy-based networks: hype and hope,”IT Professional , Volume: 2 Issue: 1 , pp. 12 —16.
[23]Dave Wreski [Jan .2001] ,“Packet Mangling,” http://wwwlinuxsecurity.com/feature_stories/kernel-netfilter-1.html.
[24] Kent, S.,[Dec.2000], “On the trail of intrusions into information systems,”IEEE Spectrum , Volume: 37 Issue: 12 , pp. 52 —56.
[25] Brenton,C.,Hunt,C. [2001] ,Active defense,USA,SYBEX Inc.
[26] Schuba, C.L.; Krsul, I.V.; Kuhn, M.G.; Spafford, E.H.; Sundaram, A.; Zamboni, D. [1997], “Analysis of a denial of service attack on TCP,” Security and Privacy, Proceedings., IEEE Symposium , pp. 208 —223.
[27] Donna M. Gregg; William J. Blackert; David V. Heinbuch; Donna Furnanage [2001], “Assessing And Quantifying Denial of Service Attacks,”Communications for Network-Centric Operations: Creating the Information Force. IEEE , Volume: 1.
[28] Guo Xiaobing; Qian Depei; Liu Min; Zhang Ran; Xu Bin [2001] , “Detection and protection against network scanning: IEDP,”Computer Networks and Mobile Computing, pp. 487 —49.
[29] Lau, F.;. Rubin, S. H; Smith, M. H.; Trajkovic, L. [2000], “Distributed Denial of Service Attacks ,” 2000 IEEE International Conference
[30] Strother, E ,[2000] , “Denial of service protection the nozzle,”Computer Security Applications,ACSAC ''00. 16th Annual Conference , pp. 32 —41.
[31] Nikolaidis, I. [2001] , “Firewalls: a complete guide,”IEEE Network , Volume: 14 Issue: 2 , March-April 2000, pp. 6 —6.
[32] Chung-Ping Young; Wei-Lun Juang; Devaney, M.J. [June 2000] , “ Real-time Intranet-controlled virtual instrument multiple-circuit power monitoring,”Instrumentation and Measurement, IEEE Transactions on , Volume: 49 Issue: 3 , pp. 579 —584.
[33] Singhal, M. [2000] , “Security mechanisms in high-speed networks,”Computer Communications and Networks, 2000. Proceedings. Ninth International Conference , pp. 482.
[34] Hazelhurst, S.; Attar, A.; Sinnappan, R. [2000] , “Algorithms for improving the dependability of firewall and filter rule lists,”Dependable Systems and Networks, 2000. DSN 2000. Proceedings International onference , pp. 576 —585.
[35] Hari, A.; Suri, S.; Parulkar, G. [2000] , “Detecting and resolving packet filter conflicts,”INFOCOM 2000. Nineteenth Annual Joint Conference of the IEEE Computer and Communications Societies. Proceedings. IEEE , vol, pp. 1203 —12123.
[36] Tsau Young Lin [2000] , “Chinese Wall security model and conflict analysis,”Computer Software and Applications Conference, 2000. COMPSAC 2000. The 24th Annual International , pp. 122 —127.
[37] Gangadharan, M.; Kai Hwang [2001] ,“Intranet security with micro-firewalls and mobile agents for proactive intrusion response,”Computer Networks and Mobile Computing, pp. 325 —332.
[38] Hwang, K; Gangadharan, M. [2001]. , “Micro-firewalls for dynamic network security with distributed intrusion detection,” Network Computing and Applications, NCA 2001. IEEE International Symposium on , pp. 68 —79.
[39] [Sep.2000], “Configuration Guide for the Cisco Secure PIX Firewall Version 5.2,” Cisco System,Inc.
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top