文档介绍:学校代号 10532 学号 S1024W143
分类号 TP311 密级普通
工程硕士学位论文
基于防火墙决策图算法的网络可达性
查询引擎研究
学位申请人姓名李文杰
培养单位信息科学与工程学院
导师姓名及职称秦拯教授于秋芳高级工程师
学科专业软件工程
研究方向网络与信息安全
论文提交日期 2013 年 4 月 19 日
学校代号:10532
学号:S1024W143
密级:普通
湖南大学工程硕士学位论文
基于防火墙决策图算法的网络可达
性查询引擎研究
学位申请人姓名: 李文杰
导师姓名及职称: 秦拯教授于秋芳高级工程师
培养单位: 信息科学与工程学院
专业名称: 软件工程
论文提交日期: 2013 年 4 月 19 日
论文答辩日期: 2013 年 5 月 22 日
答辩委员会主席: 林亚平
Research work Reachability Query Engine Based on Firewall
Decision Diagram Algorithm
by
LI Wenjie
.(Hunan University)2010
A thesis submitted in partial satisfaction of the
requirements for the degree of
Master of Engineering
in
Software Engineering
in the
Graduate school
of
Hunan University
Supervisor
Professor QIN Zheng
Senior Engineer YU Qiufang
April, 2013
工程硕士学位论文
学位论文原创性声明和学位论文版权使用授权书
湖南大学
学位论文原创性声明
本人郑重声明:所呈交的论文是本人在导师的指导下独立进行研究所
取得的研究成果。除了文中特别加以标注引用的内容外,本论文不包含任
何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡
献的个人和集体,均已在文中以明确方式标明。本人完全意识到本声明的
法律后果由本人承担。
作者签名: 日期: 年月日
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意
学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文
被查阅和借阅。本人授权某大学可以将本学位论文的全部或部分内容编入
有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编
本学位论文。
本学位论文属于
1、保密□,在______年解密后适用本授权书。
2、不保密□。√
(请在以上相应方框内打“√”)
作者签名: 日期: 年月日
导师签名: 日期: 年月日
I
基于防火墙决策图算法的网络可达性查询引擎研究
摘要
为使用户方便访问网络资源,网络应保证结点之间通信顺畅,即应具备可达
性。随着网络规模的日益庞大,防火墙和路由器作为网络中必不可少的设备,使
用也日益广泛,特别是防火墙已经成为目前使用最广泛的互联网安全设备之一,
直接影响网络可达性。因此,通过研究防火墙来探究网络可达性将能比较客观地
反映网络可达性。
防火墙、路由器等设备能对网络可达性产生影响主要是由于其具有ACL,通过
ACL可以控制数据包的流向,从而影响网络可达性。随着网络安全设备部署的数量、
种类增多,越来越多的非ACL形式的安全策略被部署在网络中,这些安全策略虽然
与ACL形式不一样,但是也具有包过滤功能,对网络可达性影响日益明显。而现有
的网络可达性研究主要是基于ACL的研究对象,针对ACL的网络可达性建模存在着
形式单一,难以全面反映网络可达性的缺陷;目前大多数通过ping等方式来查询
网络可达性,这些查询方式具有瞬时性、不全面、必须在线等缺点,同时难以统
一描述用户查询请求,缺乏高效的查询方法。
本文基于项目组前期研究成果,结合IDS和IPS等系统中存在的非ACL形式安全
策略,提出将ACL和非ACL安全策略作为研究对象,基于防火墙决策图算法对网络
可达性进行建模,以更全面、准确地描述网络可达性;研究结构化可达性查询语
言,提出高效的查询处理算法,设计高效实用的可达性查询机制,通过实验结果
表明,一方面网络可达性查询引擎不仅能够查询瞬时的网络可达性,还能查询网
络