XXX防火墙教育卫士设计报告.docVIP

XXX防火墙教育卫士 设计报告 江苏XXXXX软件股份有限公司 目 录 1.背景 1 2.系统总体设计 2 2.1.系统结构关系 3 2.2.主要技术 5 3.各子模块设计 11 3.1.安全操作系统 11 3.1.1.SoftOS的可信部分 11 3.1.2.SoftOS 安全功能描述 11 3.2. GUI系统设计 14 3.2.1. 系统配置设计 14 3.2.2. 安全策略配置设计 16 3.2.3. 实时监控设计 22 3.3.日志服务器系统设计 26 3.4.控制台服务器系统设计 29 3.5.内核代理系统设计 31 3.5.1. 策略传递模块设计 31 3.5.2. 数据传控模块设计 32 3.5.3. 缓冲管理模块设计 35 3.5.4. 用户注册模块设计 36 3.6.用户认证系统设计 38 4.系统功能 40 4.1 安全操作系统Soft OS 41 4.2 方便灵活的管理、配置功能 42 4.3 嵌入式安全操作系统对网络产品的安全支持 42 4.4 防地址欺骗 43 4.5 双向动态NAT 43 4.6 基于客户端的一次性密码认证 44 4.7 混合工作模式 45 4.8 实时监控 45 4.9 http协议安全、ftp协议安全、邮件协议安全 45 4.10 全状态包过滤 46 4.11 系统负载均衡 46 4.12 DHCP技术 47 4.13 多出口技术 47 4.14 源地址路由 47 4.15 抗攻击能力 48 4.16 非IP报文的转发控制 49 4.17 自适应规则调整 49 4.18 支持QOS 49 4.19 产品保护功能 49 5.安全性分析 51 6.存在问题和今后工作 66 1.背景 随着网络应用的日益复杂化，在现阶段的校园网络中网络流量日益增加，迫切需要具有高性能和高数据处理能力的防火墙系统，但是，现在防火墙系统远远不能满足这种大数据量的要求，因此防火墙系统往往会成为整个网络的瓶颈。而且，当出现突发性的峰值数据流量或者是各种黑客攻击（例如SYN Flooding 攻击）的时候，可以使通常的防火墙系统崩溃，从而导致网络运作不正常。由于校园网络中必须支持上万甚至数十万的并发用户连接，相应的网络安全设备也需要支持大量的并发用户连接，并对这些并发用户连接做出响应，现有的许多防火墙系统不能满足需求，就必须通过多台防火墙作负载分担来进行协助处理，但是多台防火墙的安全策略的同步管理必将大大增加了系统管理员的负担，还会因为安全策略的不一致而导致网络服务不正常。 当今世界，由于校园网络的复杂性，其信息安全的相关技术研究成为一个热点。我们的系统针对以上特殊的需求而设计，使得XXX防火墙教育卫士能够真正保护当前的教育网络，并使其更加安全可靠。 2.系统总体设计 XXX防火墙教育卫士是为了满足高校用户对网络高安全性、高性能的需求而研究的。 技术路线： 采用B2级安全操作系统实现防火墙自身安全 采用梯度过滤的策略提高防火墙安全性 2.1.系统结构关系 2.2.主要技术 2.2.1专用安全操作系统ESK ESK（Embedded Security Kernel）是在B2级安全增强操作系统SoftOS基础上设计开发的，满足网络安全工具特殊需求专用操作系统内核。 SoftOS是在Linux 内核2.4.x基础上开发的服务器专用安全操作系统。它在操作系统安全方面具有以下特性：采用了内核安全保护技术、安全存储器访问控制技术、进程通信和文件系统的自主和强制访问控制。提供对主体、客体安全标记、禁止客体重用、隐蔽信道检测、基于策略的强制访问控制、数据完整性保护和特殊文件（如安全程序文件、安全策略配置文件等）保护功能。 ESK在继承SoftOS 的B2级安全特性的基础上，对系统进行了合理的剪裁，剔除了不必要的应用服务和内核功能（如虚拟文件系统，等等），保留了一个能支持内核透明代理及其管理程序运行的最小完备集。同时，对网络协议栈进行了安全加固，消除了已知的各种协议栈安全漏洞，使其能够有效地抵御针对协议栈的攻击。此外增加了自身安全威胁检测及反馈机制。在发现遭受安全威胁时，能够及时报警并根据威胁类型采取调整策略、关闭服务等针对性措施，防止威胁的加剧和扩散。这些措施极大提高了ESK自身安全保障能力和可靠性，并能够确保即使是在黑客攻击成功的情况下，也不可能修改系统的安全策略，或以当前主机作为进一步攻击的跳板。ESK在一定程度上解决了操作系统与安全程序间“who protect who”的问题。 2.2.2内核支撑机制 可配置的调度策略