关键字 |
| 防火墙优化、隐私、冗余性、安全性、IP网络 |
I.INTRODUCTION |
防火墙被广泛使用的各种机构、组织、个人网络等等。所以,确保防火墙
成为一个需要将依次为网络提供安全。在这个网络的世界里,防火墙是定居
入口点的私有网络提供了一个安全的访问和网络。这意味着它将
检查每一个数据包网络或从网络数据包。根据
政策设计的网络将接受或丢弃数据包。设计政策意味着设计的顺序
防火墙规则和基于此规则将执行其功能。我们称这些规则集作为访问控制列表(ACL)。
这个列表是组织在规则表。每一个规则都有条件分组头字段,并决定是否接受
或拒绝数据包。包时,系统根据规则的第一场比赛将政策决定。
在防火墙的规则数量显著影响网络的吞吐量。也大幅增长
部署在互联网上的各种服务,防火墙策略的规模迅速增长。因此,它是
需要优化防火墙策略,提高网络性能。 |
以前的工作在防火墙优化节目只有intra-firewall优化[2],[3]或inter-firewall
优化。这是观察到在一个管理域的secracy防火墙政策不是
考虑在内。Intra-firewall优化方法优化单一防火墙最小化的政策。它是
通过去除冗余规则[3],或重写规则[2]、[4]、[5]。以前的工作在inter-firewall
优化需要两个防火墙策略没有提供隐私保护,因此它只能被使用
在一个管理域。但在现实中,通常两个防火墙属于独立的管理
域不能与对方分享自己的政策。保持这种防火墙的保密政策是重要的
因为一个防火墙策略可能会很容易被攻击者利用的安全漏洞。这是
发生的原因,大多数防火墙的配置错误。机密性是很重要的另一个原因是,如防火墙策略通常包含一个秘密信息。服务器的IP地址可以被攻击者滥用
推出更精确的攻击。 |
二世。调查防火墙优化 |
| 答:跨域防火墙优化 |
漫游用户使用隧道保持隐私的交流例如虚拟专用网络,但这交通
不适当的检查和控制的外国网络防火墙由于其加密的性质。因为这个不同
可能发生的攻击。防止这两种方法可以用在第一,用户发布他们的网络对外国网络
在第二个案例这个网络可能释放防火墙规则隧道结束。但这两个的实际实现
方法是不可能的。建议的解决方案给了我们一个跨域合作在虚拟专用防火墙
网络防火墙策略适用于虚拟私人网络隧道与保持安全的远程加密
网络的防火墙策略。他们实际上分发跨网络防火墙的基本规则和他们的结果表明,
这种技术防止外部网络ciphered隧道。通过使用相同的技术如上Alex x刘范
陈,我们提出了一个新的技术来去除冗余规则出现在interfirewall不知道彼此的
政策。他们提出一种保护框架的工作协作和执行防火墙
政策。这个解决方案比提出跨域合作防火墙(CDCF),因为加密
技术用于CDFC低于三个大小顺序提出的亚历克斯·范x刘数据包的线性搜索
处理更多的时间比使用防火墙决策图。所以这种技术比前一个好。 |
所有以前的工作给予重点优化inter-firewall或优化intra-firewall在一个管理域
不考虑隐私策略的指标。内部防火墙优化工作在我们单独的防火墙
可以实现防火墙优化通过冗余删除或重写这些冗余的规则。但工作
在此基础上揭示其政策需要一个防火墙与他人或一个防火墙应该知道另一个防火墙的策略。
但在实际的防火墙是不可能出现在不同的领域不共享任何东西。作为防火墙包含安全
孔保持防火墙政策自信是非常重要的。范,陈、BezawadaBruhadeshwar和亚历克斯x刘[1]
提出了一种跨域合作环境中优化技术和隐私保护。为实现这一目标
提出了两种技术在第一他们给了一个新颖的方法,设计一个检测inter-firewall协议
冗余删除一个防火墙,他们专注于第二部分去除冗余规则。但是,尽管
设计这个协议他们考虑威胁模型,考虑两个防火墙半诚实。他们第一次转换
每个防火墙到非重叠规则序列。在他们的工作范围比较隐私保护。在
下一步他们检测单规则冗余和多规则冗余检测和最后他们删除
在防火墙冗余。这种技术适用于几千2000规则的冗余删除
和防火墙保护隐私是主要的问题,因为没有两个防火墙需要告诉政策。在这个
研究显示从一个防火墙防火墙优化到第二个防火墙和反方向也是可能的。
范陈、BezawadaBruhadeshwar和亚历克斯·x刘后得到了巨大的业绩评估这个协议。他们
评估该协议得到好的效率真实和合成防火墙。他们在五组进行了评价
防火墙。会检查5个重要的源IP地址、目的IP地址,源和
目的港地址,源和目标协议。范围从1到很多的规则数量和要做
加密他们利用Pohling-Hellman算法[1]。该协议提出了处理和高效
比较真实和合成防火墙。同样是有效的沟通成本发生真正的和合成
防火墙。这样的隐私规则保护和优化的防火墙在两个不同的管理
域是要做。 |
三世。提出工作 |
| 答:防火墙冗余删除 |
前删除intrafirewall冗余工作集中在检测在一个冗余的规则
防火墙[3]。两个防火墙策略的知识需要删除冗余,因此这是适用的
只有单一的管理域。提出系统侧重于优化不同的防火墙
域。 |
| b系统模型 |
防火墙是有序列表的规则,每个谓词了packetthat匹配的字段和决定
谓词。通常5个字段检查防火墙,源IP地址、目的地IP地址、源端口地址,
目的港地址和协议类型。防火墙决策通常包括接受、丢弃,接受与日志记录
丢弃和日志记录。拟议的工作集中在接受和丢弃的防火墙规则。 |
| c .保护隐私Inter-firewall冗余去除 |
拟议中的隐私保护协议检测inter-firewall冗余规则在防火墙的两对
防火墙。这么做每个防火墙的转换为等效的非重叠序列规则,因为
重叠规则设置匹配的规则集。 |
提出了系统架构 |
Fig.显示提出的系统架构工作。防火墙策略文件包含不同的规则
接受提供的数据包标识和安全使用安全的加密技术
传播[6]。冗余规则识别和更新。防火墙的处理完成的防火墙
从不同的领域。定义和更新防火墙政策通过优化它们。 |
V。结论和未来的范围 |
在这篇文章中,我们发现和研究问题时发生检测冗余保护
防火墙策略。拟议中的协议保护隐私的检测和消除这种冗余。保持
私人的保密规则加密技术是用于一个管理域,在两个不同的
管理域。优化的防火墙可以通过使用去除冗余规则或重写
这些规则。在提出防火墙工作规则优化演示了从一个到另一个,反之亦然,
提高了防火墙的负载性能。该系统降低了通信成本
处理开销。 |
数据乍一看 |
 |
| 图1 |
|
引用 |
- 范陈;Bruhadeshwar b;Liu A.X.,"Cross-Domain Privacy-Preserving Cooperative Firewall Optimization,"网络、IEEE / ACMTransactions,月不。3,pp.857,868, June 2013.
- 问:越南盾,s . Banerjee d . Agrawal, a . j . Wang Shukla说。数据包分类器在三元凸轮可以更小。在ACM SIGMETRICS2006年,pages311 - 322。
- 刘,A.X.;干酪,M.G.,"Complete Redundancy Removal for Packet Classifiers in TCAMs,"并行和分布式系统、IEEETransactions,月不。4,pp.424,437, April 2010.
- Meiners C.R.;刘,A.X.;Torng E。,"TCAM Razor: A Systematic Approach Towards Minimizing Packet Classifiers in TCAMs,"NetworkProtocols, 2007年。ICNP 2007。IEEE国际会议,卷,不。,pp.266,275, 16-19 Oct. 2007.
- 刘,A.X.;Torng大肠;Meiners, C.R.,"Firewall Compressor: An Algorithm for Minimizing Firewall Policies,"INFOCOM 2008。27个thconference计算机通信。IEEE,卷,不。,pp.,, 13-18 April 2008.
- k·h·d·r·Safford和d . l .最晚。安全RPC身份验证(SRA) TELNET、FTP。中欧。代表,1993。
- 辛格,f . Baboescu g . Varghese和j·王。报文分类使用多维切割。在ACM SIGCOMM,2003年。
- 美国阿;王,j .;ZihuiGe;Znati T.F.;阿尔伯特·格林伯格,“Traffic-Aware防火墙优化策略,”通讯,2006年。刑事法庭06年。IEEE国际会议,第5卷,不。,pp.2225,2230, June 2006.
- 沙和h·哈米德防火墙策略顾问异常检测和规则编辑,“在Proc。综合管理(IM), 2003年。
- 郝阳杰瑞•程帕H.Y. Wong PetrosZergos, Songwu,“跨域防火墙的设计与实现。”,2007年,IEEE。
- 沙和h·哈米德发现异常在分布式防火墙的政策”,在Proc, IEEE INFOCOM 2004。
- s . loannidis a . Keromytis s Bellovin和j·史密斯,“实现一个防火墙,”在Proc。ACM CCS, 2000。
- j·j·李全k .柳,“防火墙、安全方案保护securitypolicies”SIGOPS操作系统复习,38卷,第二页。69 - 72年,2004年。
- p·古普塔和n .部”为报文分类算法,“IEEENetwork 15卷,没有。2 /,2001页。
- b .冲激着,美国Mehrotra g . Tsudik“保护隐私指数forrange查询,”在Proc。VLDB、2004。
|
菜单