基于NETCONF的防火墙管理系统的设计与实现.doc

华 中 科 技 大 学 硕 士 学 位 论 文 上下文的信息，不能很好的适应网络应用发展的需要。 第二代防火墙是电路层防火墙，采用了状态检测技术。状态检测机制在基于五 元组执行包过滤的基础上引入了会话的概念，维护一个全局的连接状态表，使得访 问控制更加完善。 第三代防火墙是应用层防火墙，也称代理防火墙。代理防火墙出现，使得安全 软件迅速发展，并引发了对承载安全软件本身的操作系统的安全需求，也即对防火 墙本身的安全问题的安全需求。 第四代防火墙是UCS 信息科学院的Bob Braden 开发出的基于动态包过滤技术的 防火墙。它通过动态设置报过滤规则的方法，来避免静态包过滤所具有的问题，并 依据设置好的过滤逻辑，检查数据流中的每个数据包，根据源地址、目的地址以及 包的使用来确定是否允许该种类型的数据包通过。 第五代防火墙是一种自适应代理技术的防火墙[14]。 经历了这几代防火墙技术的发展后，防火墙的功能越来越完善，从早期的仅能 用来提供网络服务器的控制，来防止内部网络的直接攻击，到可以对每一层的数据 库进行检测和监控，同时，防火墙自身的安全性也在逐步提高。目前的防火墙可以 抵御常见的网络攻击手段，比如口令探寻攻击、邮件攻击、网络蠕虫、IP 地址诈骗 和特洛伊木马攻击等。防火墙已经逐步成为各企业网络中安全保护的核心[15]。 随着防火墙技术的发展，防火墙管理系统也随之发展，这主要体现在以下几个 方面： （1） 集中式管理、分布式和分层的安全结构是将来的发展趋势。集中式管理 可以降低管理的成本，并且能够保证大型网络中安全策略的一致性。高响应速度和 高防御反应也要求采用系统集中式管理。目前Cisco（思科）和3Com 等大型网络设 备开发商已经成功开发出这种分布式防火墙，这即是目前所说的“分布式防火墙” 和“嵌入式防火墙”。 （2） 强大的日志审计功能。日志审计功能的应用可以让管理员更早地发现网 络中潜在的威胁并预防攻击的发生。日志审计功能还可以使得管理员能有效地发现 系统中存的安全漏洞，这对及时地调整安全策略等具有非常重要的作用。早期的静 3 华 中 科 技 大 学 硕 士 学 位 论 文 态包过滤防火墙不具有这种日志审计的功能。 NETCONF 协议研究现状 NETCONF 协议是一个基于 XML 的全新的网络配置协议，由于它能够很好的满 足了现代网络配置管理的需求，因此将成为下一代防火墙技术发展的主流协议。目 前，很多科研机构和设备厂长都对 NETCONF 协议进行了很深入的研究，探索它的 体系结构和实现技术。作为下一代网络配置管理的主流技术，NETCONF 协议正在不 断的发展中，随着新的 RFC 的渐渐加入，NETCONF 的功能将会得到大幅度的提升， 开发也将变得更加便捷。 2003 年 5 月成立的 NETCONF 工作组，它的主要任务是提出了一个全新的网络 配置协议 XML。XML 技术及其配套的机制有助于解决 SNMP 现有的问题。这么些 年来，随着 XML 技术进一步的发展与逐步的完善，使得它在网络配置管理中得到了 更加广泛的运用，使用范围也越来越广。使用 XML 技术的一个好处是，它能够形成 一套全新的网络配置方案，并从而克服传统网络设备配置在功能、性能和安全性等 方面的缺陷，方便开发者的使用。 从 2006 年开始到现在，NETCONF 工作组总共通过了 14 个 RFC 标准，其中， RFC4741 和 RFC4742 是 NETCONF 协议中最基本的，是其他一切协议的基础，其他 的都是在他们的基础上进行扩展和补充，以得到逐步的完善。这两个标准定义了 NETCONF 协议的基本结构和传输层协议这些最近本的信息。其中，RFC4741 中定 义的 NETCONF 协议是一种基于会话的网络管理协议，它是通过使用 XML 封装远程 过程调用和配置管理数据的方式来对网络设备进行管理，它还规定设备必须实现对 安全传输层协议（SSH）的支持，并在 RFC4742 中详细的描述了使用 SSH 的具体方 法和实现的相关细节问题。NETCONF 中安全传输层的默认端口设置为 830，而且代 理端必须监听 830 端口的 NETCONF 子系统请求。RFC4743 规定 NETCONF 协议还 可以实现对简单对象访问协议（SOAP）的支持，同时还提出了使用两种不一样的传 输层协议来实现对 SOAP 的支持，他们分别是块可扩展交换协议和超文本传输协议 （HTTP）。同时，在 RFC4744 中定义了使用块可扩展交换协议来实现简单对象访问 协议的方法，它规定了 TCP 端口 833 为该协议的映射端口，这种方法被称之为“SOAP 4 华 中 科 技 大 学 硕 士 学 位 论 文 over BEEP”。RFC5539 定义了使用超文