Разработка и исследование методов и алгоритмов автоматического построения правил фильтрации межсетевых экранов, адекватных заданной политике разграничения доступа в сети

Разработка и исследование методов и алгоритмов автоматического построения правил фильтрации межсетевых экранов, адекватных заданной политике разграничения доступа в сети

Автор: Мордвин, Денис Валериевич

Шифр специальности: 05.13.19

Научная степень: Кандидатская

Год защиты: 2010

Место защиты: Таганрог

Количество страниц: 183 с. ил.

Артикул: 4886232

Автор: Мордвин, Денис Валериевич

Стоимость: 250 руб.

Разработка и исследование методов и алгоритмов автоматического построения правил фильтрации межсетевых экранов, адекватных заданной политике разграничения доступа в сети  Разработка и исследование методов и алгоритмов автоматического построения правил фильтрации межсетевых экранов, адекватных заданной политике разграничения доступа в сети 

1. АНАЛИЗ МЕТОДОВ ПОСТРОЕНИЯ И ОЦЕНКИ НАБОРОВ ПРАВИЛ МЕЖСЕТЕВЫХ ЭКРАНОВ
1.1 Основные понятия
1.1.1 Ком пыотерная сеть
1.1.2 Адресация в сети
1.1.3 Бесклассовая адресация в сети.
1.1.4 Межсетевые экраны.
1.1.5 Пакетная фильтрация.
1.1.6 Маршрутизация.
1.2 Обзор проблем конфигурирования правил фильтрации
1.2.1 Основные проблемы разработки правил фильтрации
1.2.2 Проблема противоречий в списках правил
1.2.3 Противоречия в списке правил для одного фильтра в сети
1.2.3.1 Затенение.
1.2.3.2 Обобщение.
1.2.3.3 Пересечение.
1.2.4 Противоречия для правил в последовательных цепочках МЭ всети.
1.2.5 Противоречия для правил в параллельных цепочках МЭ в сети.
1.2.6 Проблема избыточности правил
1.2.6.1 Неиспользуемые правила
1.2.6.2 Многословность
1.2.3 Количественные показатели противоречий для списков правил.
1.2.4 Избыточное распределение правил.
1.3 Анализ существующих подходов к построению правил фильтрации.
1.3.1 Построение правил фильтрации вручную
1.3.2 Автоматизированная проверка конфигурации правил фильтрации МЭ.
1.3.3 Автоматизированное построение правил фильтрации для сети
1.4 Постановка основных задач работы
1.5 Выводы
2 РАЗРАБОТКА МЕТОДА ПОСТРОЕНИЯ ПРАВИЛ ФИЛЬТРАЦИИ МЕЖСЕТЕВЫХ
ЭКРАНОВ, АДКВАТНЫХ ЗАДАННОЙ ПОЛИТИКЕ РАЗГРАНИЧЕНИЯ ДОСТУПА
2.1 Общее определение метода
2.2 Построение модели защищаемой сети.
2.2.1 Представление основных характеристик ЛВС в модели.
2.2.2 Математическая модель сети
2.3 Построение модели представления заданной политики разграничения доступа
2.3.1 Правила разраничения доступа.
2.3.2 Список правил разграничения доступа.
2.3.3 Противоречия для списков правил разграничения доступа.
2.3.4 Отображение заданной политики разграничения доступа в сети
2.3.5 Разработка структуры представления правил разграничения доступа.
2.4 Минимизация множества правил политики разграничения доступа.
2.4.1 Операция устранения неиспользуемых правил.
2.4.2 Операция вычитания правил.
2.4.3 Операция сложения правил
2.5 Расчет эффективного распределения множества правил фильтрации для МЭ в сети
2.6 Расчет фактического разграничения достижимости
2.7 Выводы
3. РАЗРАБОТКА АЛГОРИТМОВ ДЛЯ МЕТОДА АВТОМАТИЧЕСКОГО ПОСТРОЕНИЯ ПРАВИЛ ФИЛЬТРАЦИИ МЕЖСЕТЕВЫХ ЭКРАНОВ
3.1 Разработка алгоритма расчета достижимости между узлами
3.2 Разработка алгоритмов построения и обработки дерева ПРД.
3.3 Разработка алгоритмов минимизации правил политики разграничения доступа
3.3.1 Удаление неиспользуемых правил для политики разграничения доступа.
3.3.2 Удаление многословности в дереве правил разграничения доступа.
3.3.3 Разработка алгоритма вычитания набора правил разграничения доступа
3.3.6 Разработка алгоритма сложения набора правил разграничения доступа.
3.4 Разработка алгоритма расчета возможностей распределение правил фильтрации
3.4.1 Представление возможностей распределение правил.
3.4.2 Разработка алгоритма расчета таблицы предикатов распределения правил
3.5 Разработка алгоритма расчета эффективного распределения правил фильтрации для заданного разграничения доступа
3.6 Выводы
4. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ МЕТОДА ПОСТРОЕНИЯ ПРАВИЛ, ЭКСПЕРИМЕНТАЛЬНОЕ ИССЛЕДОВАНИЕ И СРАВНЕНИЕ С АНАЛОГАМИ.
4.1 Описание программной реализации модулей.
4.1.1 Особенности программной реализации дерева ПРД.
4.1.2 Особенности программной реализации матрицы требуемой достижимости.
4.1.3 Особенности программной реализации метода распределения правил.
4.2 Экспериментальное исследование программной реализации разработанного метода Основные параметры компьютера на котором были проведены эксперименты процессор Х2 2. ГГц, установленная память ОЗУ 2, Гб.
4.2.1 Методика проведения экспериментальных исследований программной реализации разработанного метода.
4.2.2 Разработка принципов автоматического построения ЛВС.
4.2.3 Исследование работоспособности разработанного метода
4.2.4 Исследование алгоритмов минимизации заданного набора правил.
4.2.5 Исследование алгоритма эффективного распределения правил
4.3 Сравнение с аналогами.
4.3.1 Обзор аналогов и сравнение функциональных возможностей
4.3.2 Экспериментальное сравнение с аналогами.
4.4 Выводы
ЗАКЛЮЧЕНИЕ
СПИСОК ИСТОЧНИКОВ


Для упрощения таблиц маршрутизации и правил фильтрации можно объединять блоки адресов, указывая один большой блок вместо ряда мелких. Например, 4 смежные сети класса С 4 х 5 адресов, маска 5. И напротив, сети можно разбивать на более мелкие подсети и так далее. С точки зрения бесклассовой двоичной адресации, пространство Iадресов рассматривается как ультраметрическое. Разные блоки адресов являются в нм шарами, радиус которых убывает с увеличением п, и сами они формируют направленное двоичное дерево. То сеть, от каждого блока п для Iv4 можно перейти на один из двух блоков меньшего размера п1, из которых он состоит. Например, диапазон адресов с маской состоит из двух поддиапазонов с масками , каждая из которых в свою очередь состоит из двух поддиапазонов с масками . Межсетевой экран или сетевой экран комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели ОБ1 в соответствии с заданными правилами. Контроль доступа на сетевом уровне. Выполняется проверка того, какие компьютерные системы могут взаимодействовать через брандмауэрсистему. Контроль доступа на пользовательском уровне. Межсетевой экран определяет, каким пользователям разрешается отсылать данные в ЬпстеТ, а каким получать данные из 1Шете1. Для этого требуется аутентификация пользователя. Контроль доступа на уровне данных. Межсетевой экран определяет, какими данными разрешается манипулировать определенному пользователю. Для этого требуется определение аутентичности данных с помощью электронных подписей. Управление правами доступа. Управление правами доступа устанавливает, с помощью каких протоколов и служб и в какое время может осуществляться обмен данными через межсетевой экран. Контроль доступа на прикладном уровне. Межсетевой экран отфильтровывает любые переданные команды или данные, которые не попадают в заданный диапазон приложений. Функция оповещения. Любая активность пользователей может быть записана и. Данная работа посвящена первой из представленных задач МЭ контролю разграничению доступа на сетевом уровне. Данная задача решается с помощью пакетной фильтрации, реализуемой межсетевыми экранами. Пакетная фильтрация разграничение возможности прохождения сетевого трафика через определенные узлы сети в зависимости от параметров пакетов в самом трафике. Осуществляется с помощью отдельного компонента МЭ пакетного фильтра. Пакетные фильтры ПФ можно определить следующим образом . Каждый Iпакет проверяется на соответствие набору правил, определяющих разрешенные потоки данных. Фильтры пакетов не понимают прикладной уровень модели I. Они работают, применяя набор правил фильтрации, установленных в ядре I стека МЭ. Параметры трафика, на который направлено правило, аналогичные рассмотренным выше полям заголовков пакетов. Правила фильтрации могут оперировать как точечными значениями данных параметров, так и их диапазонами. Для определения диапазона адресов источника и получателя используется I представление ГРадреса, о котором речь шла выше. Ассоциативные действия, которые будут применяться ко всем входящим и исходящим пакетам, удовлетворяющим параметрам правил. Основные два действия, применяемые к пакетам разрешить его прохождение через МЭ и, соответственно, запретить ег о прохождение. Наиболее распространенная структура представления множества правил фильтрации линейный список, который последовательно просматривается в поиске подходящего правила для каждого пакета сетевого трафика. Существенной особенностью правил фильтрации является существование отношений включения и пересечения для правил. Диапазоны адресов источники и цели в правилах, не могут пересекаться, но могут включаться друг в друга, что определяется используемым представлением адресов в виде I. При этом для двух правил диапазон адреса источника одного правила может быть включен в диапазон адреса источника другого правила, для адресов назначения может быть обратная ситуация. Таким образом будет получено пересечение правил на уровне адресов. Диапазоны портов источника и цели могут как пересекаться, так и быть вложенными.

Рекомендуемые диссертации данного раздела

28.06.2016

+ 100 бесплатных диссертаций

Дорогие друзья, в раздел "Бесплатные диссертации" добавлено 100 новых диссертаций. Желаем новых научных ...

15.02.2015

Добавлено 41611 диссертаций РГБ

В каталог сайта http://new-disser.ru добавлено новые диссертации РГБ 2013-2014 года. Желаем новых научных ...


Все новости

Время генерации: 0.201, запросов: 244