防火墻與IDS聯(lián)動(dòng)在校園網(wǎng)部署的研究與應(yīng)用.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展，網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性已經(jīng)成為網(wǎng)絡(luò)用戶所關(guān)注的焦點(diǎn)，對(duì)于校園網(wǎng)而言，由于用戶數(shù)量大，安全隱患多，網(wǎng)絡(luò)安全也越來(lái)越受到學(xué)校的重視。傳統(tǒng)的網(wǎng)絡(luò)安全防范措施主要包括防火墻、入侵檢測(cè)、防病毒、安全審計(jì)等，雖然可以有效的保障網(wǎng)絡(luò)安全，但是由于單一的產(chǎn)品在使用時(shí)存在不同的缺陷，因此，聯(lián)動(dòng)系統(tǒng)的研究成為網(wǎng)絡(luò)安全研究的熱點(diǎn)。
　　本文重點(diǎn)研究如何在校園網(wǎng)中將防火墻和入侵檢測(cè)系統(tǒng)進(jìn)行有機(jī)整合，設(shè)計(jì)并實(shí)現(xiàn)了SFI(schoo

2、l-firewall-IDS)防火墻和入侵檢測(cè)聯(lián)動(dòng)系統(tǒng)。本文首先對(duì)防火墻和入侵檢測(cè)的關(guān)鍵技術(shù)進(jìn)行了說(shuō)明，分析了各自的優(yōu)缺點(diǎn)，同時(shí)，對(duì)聯(lián)動(dòng)的基本特征進(jìn)行了描述，對(duì)現(xiàn)有的聯(lián)動(dòng)技術(shù)進(jìn)行了說(shuō)明，提出選用開(kāi)放接口的聯(lián)動(dòng)技術(shù);然后，在對(duì)目前的校園網(wǎng)所面臨的安全形勢(shì)進(jìn)行了調(diào)研的基礎(chǔ)上，對(duì)校園網(wǎng)防火墻和入侵檢測(cè)聯(lián)動(dòng)系統(tǒng)進(jìn)行了需求分析，提出了聯(lián)動(dòng)系統(tǒng)的總體需求分析和聯(lián)動(dòng)系統(tǒng)各模塊的需求分析;接著本文提出了校園網(wǎng)防火墻和入侵檢測(cè)聯(lián)動(dòng)系統(tǒng)的設(shè)計(jì)思想和聯(lián)動(dòng)模型

3、，并說(shuō)明了聯(lián)動(dòng)系統(tǒng)各模塊設(shè)計(jì)和實(shí)現(xiàn)的方法，在該部分重點(diǎn)對(duì)聯(lián)動(dòng)模塊進(jìn)行了設(shè)計(jì)和實(shí)現(xiàn)。
　　本文主要的工作集中在聯(lián)動(dòng)模塊的設(shè)計(jì)和實(shí)現(xiàn)上，為了保證聯(lián)動(dòng)模塊的有效性，首先必須有統(tǒng)一的通信報(bào)文格式，其次，必須保證防火墻和入侵檢測(cè)系統(tǒng)之間的通信具有安全性，為此，本文采用開(kāi)源的Stunnel來(lái)實(shí)現(xiàn)防火墻和入侵檢測(cè)的數(shù)據(jù)交互及安全傳輸，對(duì)聯(lián)動(dòng)模塊中的Stunnel進(jìn)行了配置，制定了策略響應(yīng)方案，威脅評(píng)估等級(jí)標(biāo)準(zhǔn)，然后，根據(jù)威脅等級(jí)對(duì)策略時(shí)效進(jìn)行了