合作式防火牆之設計與應用

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：28

、訪客IP：18.224.138.39

姓名

游啟勝(Chi-Sheng Yu) 查詢紙本館藏

畢業系所

資訊管理學系

論文名稱

合作式防火牆之設計與應用
(The Design and Applications of Cooperative Firewalls)

相關論文

★ 應用數位版權管理機制於數位影音光碟內容保護之研究	★ 以應用程式虛擬化技術達成企業軟體版權管理之研究
★ 以IAX2為基礎之網頁電話架構設計	★ 應用機器學習技術協助警察偵辦詐騙案件之研究
★ 擴充防止詐欺及保護隱私功能之帳戶式票務系統研究-以大眾運輸為例	★ 網際網路半結構化資料之蒐集與整合研究
★ 電子商務環境下網路購物幫手之研究	★ 網路安全縱深防護機制之研究
★ 國家寬頻實驗網路上資源預先保留與資源衝突之研究	★ 以樹狀關聯式架構偵測電子郵件病毒之研究
★ 考量地區差異性之隨選視訊系統影片配置研究	★ 不信任區域網路中數位證據保留之研究
★ 入侵偵測系統事件說明暨自動增加偵測規則之整合性輔助系統研發	★ 利用程序追蹤方法關聯分散式入侵偵測系統之入侵警示研究
★ 一種網頁資訊擷取程式之自動化產生技術研發	★ 應用XML/XACML於工作流程管理系統之授權管制研究

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

[檢視]

[下載]

本電子論文使用權限為同意立即開放。
已達開放權限電子全文僅授權使用者為學術研究之目的，進行個人非營利性質之檢索、閱讀、列印。
請遵守中華民國著作權法之相關規定，切勿任意重製、散佈、改作、轉貼、播送，以免觸法。

摘要(中)

隨著網路應用的普及與多元化，網路的安全問題逐漸被人們所重視。目前防火牆已經成為大多數企業的第一道網路安全防線，同時也是最重要的攻擊回應機制，且未來幾年內，防火牆仍然會是相當重要的網路安全防禦機制。但現有的防火牆因為部署位置及運作架構的限制，遭遇愈來愈多的問題，也漸漸無法防禦日新月異的攻擊手法。
本研究首先整理及分析防火牆的演進及目前的問題，進而以分散式防火牆為基礎，加上縱深防禦及合作防禦的概念，提出一套合作式防火牆系統，各合作式防火牆主機與其它防禦機制可進行合作防禦來達到入侵預防的目的。本研究將探討合作式防火牆的數種合作防禦方式及其中的困難點，並提出對應的解決方案，包括提出一種以 XML 為基礎的通用規則來解決合作防禦時的溝通及分散式防火牆的管理問題，及一種網蟲防禦方法以解決網蟲擴散時的內部網路癱瘓問題。
論文中也將說明合作式防火牆的系統架構、運作流程及模組設計，並以系統雛型展示解決網蟲的內部網路癱瘓問題及與入侵偵測系統進行合作防禦來抵禦攻擊，藉此說明合作式防火牆系統的效用及應用方式。

摘要(英)

Because of the popularity and variety of network applications, network security is getting respected by people. Today, firewalls are the first line of defense of network security in most enterprises, and are also the most important mechanism of attack response. However, firewalls that are restricted by deployed positions and their architectures now suffer more and more challenges, and they also can’t defend more and more new attacks.
In this thesis, we analyze the evolutions and problems of firewalls, and then develop a cooperative firewall system which is based on the distributed firewall and the concepts of defense in depth and cooperative defense. All firewalls in the cooperative firewall system can cooperate with other defense mechanisms to achieve intrusion prevention. We first present some possible schemes of cooperative defense with cooperative firewall system and discuss their difficulties. Then we propose solutions to solve these difficulties. The solutions include a new generic rule based on XML to solve the communication problems in cooperative defense and the management problem of distributed firewalls, and a detection and defense method of internet worm to solve the problem of network jam when worms spreading.
We also propose the system architecture, operating procedures, and module design of our cooperative firewall system and build a prototype system that is able to solve the network jam of internet worm and make cooperative defense with intrusion detection system to explain the efficiency and applications of the cooperative firewall system.

關鍵字(中)

★ 分散式防火牆
★ 縱深防禦
★ 合作防禦
★ 網路安全
★ XML
★ 入侵預防

關鍵字(英)

★ Network Security
★ Distributed Firewall
★ Intrusion Prevention
★ Defense in Depth
★ Cooperative Defense
★ XML

論文目次

目錄 I
圖目錄 III
表目錄 IV
第一章緒論 1
第一節研究背景 1
第二節研究動機及目的 3
第三節研究範圍與限制 4
第四節研究流程 4
第五節章節架構 5
第二章相關研究 7
第一節防火牆演進分析 7
2.1.1 網路式及主機式防火牆 8
2.1.2 分散式防火牆 10
2.1.3 防火牆面臨的挑戰 12
第二節縱深防禦與合作防禦 15
第三節入侵預防 16
第四節本章小結 18
第三章合作防禦方式與困難點分析 20
第一節防火牆之間進行合作防禦 20
第二節防火牆與入侵偵測系統進行合作防禦 21
第三節防火牆與漏洞掃描系統進行合作防禦 22
第四節通用規則 24
3.4.1 採用通用規則的原因及目的 24
3.4.2 通用規則概念 25
3.4.3 相關作法回顧 26
3.4.4 通用規則語法 27
3.4.5 通用規則的套用方式 33
3.4.6 通用規則的支援模組 36
第五節網蟲的內部網路癱瘓問題 37
3.5.1 網蟲的偵測方式 38
3.5.2 門檻值的建立 40
第六節本章小結 41
第四章系統架構與設計 42
第一節設計原則 42
第二節系統概觀 43
第三節運作流程 44
第四節內部模組設計 49
4.4.1 防火牆節點 50
4.4.2 註冊節點 52
4.4.3 管理節點與DNS Server 52
目錄 I
圖目錄 III
表目錄 IV
第一章緒論 1
第一節研究背景 1
第二節研究動機及目的 3
第三節研究範圍與限制 4
第四節研究流程 4
第五節章節架構 5
第二章相關研究 7
第一節防火牆演進分析 7
2.1.1 網路式及主機式防火牆 8
2.1.2 分散式防火牆 10
2.1.3 防火牆面臨的挑戰 12
第二節縱深防禦與合作防禦 15
第三節入侵預防 16
第四節本章小結 18
第三章合作防禦方式與困難點分析 20
第一節防火牆之間進行合作防禦 20
第二節防火牆與入侵偵測系統進行合作防禦 21
第三節防火牆與漏洞掃描系統進行合作防禦 22
第四節通用規則 24
3.4.1 採用通用規則的原因及目的 24
3.4.2 通用規則概念 25
3.4.3 相關作法回顧 26
3.4.4 通用規則語法 27
3.4.5 通用規則的套用方式 33
3.4.6 通用規則的支援模組 36
第五節網蟲的內部網路癱瘓問題 37
3.5.1 網蟲的偵測方式 38
3.5.2 門檻值的建立 40
第六節本章小結 41
第四章系統架構與設計 42
第一節設計原則 42
第二節系統概觀 43
第三節運作流程 44
第四節內部模組設計 49
4.4.1 防火牆節點 50
4.4.2 註冊節點 52
4.4.3 管理節點與DNS Server 52
第五章模擬實驗 54
第一節模擬實驗一 54
第二節模擬實驗二 56
第三節模擬實驗結果討論 58
第六章結論 61
第一節研究結論 61
第二節研究貢獻 61
第三節未來研究方向 62
參考文獻 63
中文參考文獻 63
英文參考文獻 63

參考文獻

[1] 王凱，「我國資訊安全市場發展現況與趨勢」，財團法人資訊工業策進會市場情報中心研究報告，民國 91 年 12 月。
[2] 李勁頤，「利用程序追蹤方法關聯分散式入侵偵測系統之入侵警示研究」，國立中央大學資訊管理學系碩士論文，民國 91 年 6 月。
[3] Simson Garfinkel 及 Gene Spafford 原著，林逸文、蔣大偉翻譯，「UNIX 與 Internet 安全防護 – 網路篇」，第264 至 265 頁，美商歐萊禮台灣分公司，2001 年 12 月。
[4] 曾宇瑞，「網路安全縱深防禦機制之研究」，國立中央大學資訊管理學系碩士論文，民國 89 年 6 月。
[5] Carlton R. Davis 原著，劉良棟翻譯，「IPSec – VPN 安全架構與實作」，9-3 至 9-8 頁，麥格羅‧希爾國際出版公司，民國 91 年 6 月。
[6] 林宸堂，「IPsec VPN 的難題：Firewall 與 NAT 的配置」，http://www.iii.org.tw/ncl/document/IPSecVPN.htm，民國 90 年 9 月。
[7] Power, Richard, “1999 CSI/FBI Computer Crime and Security Survey”, Computer Security Journal, Volume XV, Number 2. San Francisco, CA: Computer Security Institute, 1999.
[8] CERT/CC, “Overview of Attack Trends”, Software Engineering Institute, Carnegie Mellon University, 2002.
(Available at http://www.cert.org/archive/pdf/attack_trends.pdf)
[9] Ed Skoudis, “Infosec’s Worst Nightmares”, Information Security Magazine, November 2002.
(Available at http://www.infosecuritymag.com/2002/nov/nightmares.shtml)
[10] W. R. Cheswick and S. M. Bellovin, “Firewalls and Internet Security, Repelling the Wily Hacker ”, Addision-Wesley Publishing Company, 1994.
[11] DistributedFirewalls.com, http://www.distributedfirewalls.com.
[12] Steven M. Bellovin, “Distributed Firewalls”, ;login:, November 1999, pp. 39-47.
[13] Sotiris Ioannidis, Angelos D. Keromytis, Steven M. Bellovin, and Jonathan M. Smith, “Implementing a Distributed Firewall”, ACM Conference on Computer and Communications Security, Athens, Greece, November 2000.
[14] Wei Li, “Distributed Firewall”, December 2000.
(Available at http://www.cs.helsinki.fi/u/asokan/distsec/documents/li.ps.gz)
[15] Utz Roedig, Ralf Ackermann, and Christoph Rensing et al., “A Distributed Firewall for Multimedia Applications”, Proceedings of the Workshop "Sicherheit in Mediendaten", September 2000.
[16] Steve Bridge, “Achieving Defense-in-Depth with Internal Firewalls”, August 2001. (Available at http://www.sans.org/rr/paper.php?id=797)
[17] Edward Hurley, " Intrusion prevention: IDS' 800-pound gorilla”, http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci892744,00.html, April 2003.
[18] Kathleen A. Jackson, “Intrusion Detection System Product Survey”, June 1999.
[19] Martin Roesch and Chris Green, “Snort Users Manual”, http://www.snort.org/docs/writing_rules/chap2.html#tth_sEc2.3.22, 2003.
[20] Snort inline Projects, http://www.honeynet.org/papers/honeynet/tools/.
[21] FireHOL Project, http://firehol.sourceforge.net/, September 2002.
[22] Nessus Project: A free, powerful, up-to-date and easy to use remote security scanner, http://www.nessus.org/.
[23] SARA Project: Security Auditor's Research Assistant, http://www-arc.com/sara/.
[24] ISS Internet Scanner, http://www.iss.net/products_services/enterprise_protection/ vulnerability_assessment/scanner_internet.php.
[25] Stuart Staniford, Vern Paxson, and Nicholas Weaver, “How to 0wn the Internet in Your Spare Time”, Proceedings of the 11th USENIX Security Symposium, May 2002. (Available at http://www.icir.org/vern/papers/cdc-usenix-sec02/)
[26] Gregory R. Ganger, Greg g Economou and Stanley M. Bielski, “Self-Secure Network Interfaces: What, Why and How”, CMU-CS-02-144, School of Computer Science Carnegie Mellon University Pittsburgh, PA 15213, May 2002.
[27] Matthew M. Williasmson, “Throttling Viruses: Restricting propagation to defeat malicious mobile code”, 18th Annual Computer Security Applications Conference, December 2002.
[28] Anil Somayaji and Stephanie Forrest, ”Automated Response Using System-Call Delays”, Proceedings of the 9th USENIX Security Symposium, August 2000.
[29] Guardian Project, http://www.chaotic.org/guardian/.
[30] CERT/CC, “CERT Advisory CA-2003-04 MS-SQL Server Worm”, January 2003.
[31] Microsoft Corporation, “PSS Security Response Team Alert – New Worm: W32.Slammer”, January 2003. (Available at http://www.microsoft.com/technet/ security/virus/alerts/slammer.asp )
[32] Cisco System Inc., “Using Network-Based Application Recognition and ACLs for Blocking the "Code Red" Worm”, September 2002.
[33] Cisco System Inc., “SAFE SQL Slammer Worm Attack Mitigation”, January 2002.
[34] Kerio Personal Firewall, http://www.kerio.com/us/kpf_home.html.
[35] Nmap, http://www.insecure.org/nmap/index.html, 2003.
[36] Snort: The Open Source Network Intrusion Detection System, http://www.snort.org/.
[37] S. Cheung, R.Crawford, and M. Dilger et al., “The Design of GrIDS: A Graph-Based Intrusion Detection System”, Technical Report CSE-99-2, U.C. Davis Computer Science Department, January 1999. (Available at http://seclab.cs.ucdavis.edu/arpa/grids/grids.ps)
[38] S. Staniford-Chen, S. Cheung, R. Crawford et al., “GrIDS: A graph based intrusion detection system for large networks”, In Proceedings of the 19th National Information Systems Security Conference, pages 361 ~ 370, 1996.
[39] Robert Gwaltney, “Protecting the Next Generation Network – Distributed Firewalls”, http://www.sans.org/rr/firewall/next_gen.php.
[40] Thomas Toth and Christopher Kruegel, “Connection-history based anomaly detection”, Proceedings of the 2002 IEEE Workshop on Information Assurance and Security, June 2002.
[41] CNET Networks, Inc., “Counting the cost of Slammer”, January 2003.
(Available at http://news.com.com/2100-1001-982955.html)
[42] High Level Firewall Language Projects, http://www.hlfl.org and http://freshmeat.net/projects/hlfl/.
[43] VulXML Project: A Web Application Security Vulnerability Description Language, http://www.owasp.org/vulnxml/, October 2002.
[44] OVAL, Open Vulnerability Assessment Language, http://oval.mitre.org/, October 2002.
[45] AVDL, Application Vulnerability Description Language, http://www.avdl.org/, April 2003.

指導教授

陳奕明(Yi-Ming Chen)

審核日期

2003-7-16

推文