摘要：當(dāng)前形勢下，人們主要從兩個方面對網(wǎng)絡(luò)安全進(jìn)行研究，這兩個方面主要包括如何提升網(wǎng)絡(luò)安全防護設(shè)施的處理速度以及如果提升網(wǎng)絡(luò)安全防護設(shè)施的安全性。我們可以采用例如安全評估系統(tǒng)、入侵檢測系統(tǒng)以及防火墻等安全防護設(shè)施來提升安全性，以便能夠?qū)⒕C合安全防護體系很好地實現(xiàn)，通過各個安全設(shè)施相互之間聯(lián)動相應(yīng)以及信息共享來將安全防范系統(tǒng)安全性提高。人們?yōu)榱颂嵘踩O(shè)施處理的速度，通常采用網(wǎng)絡(luò)處理器，網(wǎng)絡(luò)處理器為實現(xiàn)防火墻的硬件化提供了全新的途徑，本文就探析安全策略中心與NP架構(gòu)防火墻的設(shè)計與實現(xiàn)。

關(guān)鍵詞：安全策略；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)處理器；NP構(gòu)架防火墻；設(shè)計

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 15-0000-02

伴隨著當(dāng)前互聯(lián)網(wǎng)的高速發(fā)展，計算機的網(wǎng)絡(luò)安全問題已經(jīng)越來越多的受到了人們的重視，在當(dāng)今社會中，已經(jīng)實現(xiàn)了信息化，同樣實現(xiàn)了信息網(wǎng)絡(luò)全球互聯(lián)這一趨勢，人們的經(jīng)濟活動以及社會活動月計算機互聯(lián)網(wǎng)絡(luò)越來越依賴，最終使計算機的網(wǎng)絡(luò)安全性成為了我國實行信息化建設(shè)過程中一個核心的問題，當(dāng)前市場上面那些主流的計算機網(wǎng)絡(luò)安全防護設(shè)施主要包括安全掃描分析器、入侵檢測系統(tǒng)以及防火墻等等，其中，占有最多市場份額的計算機網(wǎng)絡(luò)安全防護設(shè)施就是防火墻，但是，網(wǎng)絡(luò)安全防護方式并不能很好地適應(yīng)當(dāng)前網(wǎng)絡(luò)安全發(fā)展這一需要，下面就對安全策略中心與NP架構(gòu)防火墻的設(shè)計與實現(xiàn)進(jìn)行探析。

1 安全策略中心與NP架構(gòu)防火墻模型設(shè)計

我們提出安全策略中心的模型，原因就在于兩個方面，一個是提升計算機互聯(lián)網(wǎng)安全聯(lián)動中聯(lián)動行為所具有的合理性，一個是為了提升過去傳統(tǒng)的計算機互聯(lián)網(wǎng)安全設(shè)備可管理性。

首先，我們必須要明確安全聯(lián)動中的聯(lián)動行為具有合理性，伴隨著目前計算機網(wǎng)絡(luò)世界中安全威脅所具有的形式已經(jīng)越來越多的呈現(xiàn)了混合化以及多樣化，計算機網(wǎng)絡(luò)的安全設(shè)施也越來越多的體現(xiàn)出了相互之間合作這一特點，也就是我們所說的計算機互聯(lián)網(wǎng)的安全設(shè)施通過進(jìn)行聯(lián)動響應(yīng)來將各自所具有的優(yōu)點充分的發(fā)揮出來，最終共同實現(xiàn)這一整體安全的目標(biāo)，這一種聯(lián)動機制最為常見的就是要把防火墻系統(tǒng)以及入侵檢測系統(tǒng)共同納入到同一個防護體系里面。通常情況下，計算機網(wǎng)絡(luò)安全的入侵檢測系統(tǒng)都采用了那些智能算法來發(fā)現(xiàn)計算機網(wǎng)絡(luò)里面的入侵行為，但是，入侵檢測系統(tǒng)并沒有一個行之有效的手段來對檢測出來的入侵行為進(jìn)行組織，防火墻是網(wǎng)關(guān)設(shè)施，防火墻能夠很好的對進(jìn)出流量實行訪問的控制，但是，防火墻系統(tǒng)所實施訪問的控制依據(jù)僅僅是一個靜態(tài)防火墻的過濾規(guī)則表，這就說明防火墻并不能夠提供一個動態(tài)智能防護的策略。因此，我們通過聯(lián)動機制將防火墻系統(tǒng)與入侵檢測系統(tǒng)結(jié)合在一起，這樣我們就能夠?qū)⒎阑饓ο到y(tǒng)和入侵檢測新系統(tǒng)這二者長處和優(yōu)勢很好地發(fā)揮出來，為計算機網(wǎng)絡(luò)提供一個更加全面和嚴(yán)謹(jǐn)?shù)陌踩雷o。

安全聯(lián)動一直都具有阻斷性、動態(tài)性以及優(yōu)先性等特點，所謂的阻斷性就是指我們通過聯(lián)動所添加防火墻的規(guī)則一定要組織某一個報文進(jìn)行通過，然而并不允許添加一個允許部分報文通過這一規(guī)則，安全聯(lián)動規(guī)則所具有的阻斷性，在很大程度上都保證聯(lián)動機制并不會被攻擊者利用來將報文通道添加進(jìn)去。動態(tài)性就是指我們通過聯(lián)動所添加防火墻的規(guī)則具有很強的時效性，因此就會在一段時間以后被刪除，這一舉措完全符合IDS所產(chǎn)生動態(tài)安全的策略。而優(yōu)先性指的就是通過入侵檢測聯(lián)動所添加防火墻過濾這一規(guī)則，要求我們必須要過濾規(guī)則集最前端，也就是計算機網(wǎng)絡(luò)子啊根據(jù)過濾規(guī)則進(jìn)行判斷對包處理的過程中，必須要對聯(lián)動添加防火墻規(guī)則進(jìn)行優(yōu)先察看。

2 安全策略中心與NP架構(gòu)防火墻的框架和功能

2.1 安全策略中心與NP架構(gòu)防火墻的系統(tǒng)模塊

安全策略中心的系統(tǒng)模塊是整個安全策略中心最為主要的模塊，系統(tǒng)模塊也已經(jīng)對其他模塊起到了具有支撐性作用，系統(tǒng)模塊對整個系統(tǒng)在啟動時候初始化的工作進(jìn)行負(fù)責(zé)。在我們將守護進(jìn)程這些初始化的工作完成以后，比如說連接數(shù)據(jù)庫等工作，系統(tǒng)模塊創(chuàng)建本地進(jìn)行安全套接字監(jiān)聽，接著又將服務(wù)這種方式看成守護進(jìn)程來等待其他的安全設(shè)備進(jìn)行連接。系統(tǒng)的模塊主要依賴在安全通信模塊以及其他的安全設(shè)備通信，我們通過完成安全通信模塊驗證以后再和其他的安全設(shè)備建立起一個在SSL基礎(chǔ)之上安全的連接。系統(tǒng)的模塊會根據(jù)客戶端里面安全設(shè)備所發(fā)出的請求來實行任務(wù)調(diào)度，系統(tǒng)的模塊也會FORK出很多子進(jìn)程不相同安全設(shè)備通信。

2.2 安全策略中心與NP架構(gòu)防火墻的聯(lián)動決策模塊

計算機互聯(lián)網(wǎng)安全策略中心聯(lián)動決策模塊是整個安全策略中心中的關(guān)鍵模塊，原因就在于這一模塊能夠提升計算機互聯(lián)網(wǎng)的安全聯(lián)動行為所具有的合理性，聯(lián)動決策模塊接受輸入主要包括防火墻當(dāng)前的狀態(tài)、Scanner所進(jìn)行的內(nèi)網(wǎng)安全掃描以后聯(lián)動的信息、IDS所發(fā)放出來安全告警的信息等等。與此同時，Scanner會把它所掃描內(nèi)網(wǎng)以后所得出的結(jié)果放置在數(shù)據(jù)庫里面，這一個掃描結(jié)果數(shù)據(jù)庫也會是聯(lián)動決策模塊實行決策的依據(jù)和參考。安全策略中心聯(lián)動模塊主要根據(jù)決策算法，在這些輸入基礎(chǔ)上面產(chǎn)生聯(lián)動的規(guī)則，并且會通過計算機網(wǎng)絡(luò)安全系統(tǒng)配置管理模塊來實施。

3 安全策略中心與NP構(gòu)架防火墻設(shè)計要提升設(shè)計人員能力

所謂的計算機網(wǎng)絡(luò)安全系統(tǒng)設(shè)計工作人員就是計算機網(wǎng)絡(luò)安全運行、穩(wěn)定運行以及一體化運行直接的指揮人員，通過進(jìn)行計算機網(wǎng)絡(luò)安全系統(tǒng)操作命令這一種形式，來將互聯(lián)網(wǎng)設(shè)備狀態(tài)以及互聯(lián)網(wǎng)運行方式進(jìn)行改變，并且進(jìn)行安全運行的調(diào)整。不管是計算機網(wǎng)絡(luò)系統(tǒng)的日常工作，還是計算機網(wǎng)絡(luò)發(fā)生異常事故進(jìn)行處理的時候，要求計算機網(wǎng)絡(luò)安全系統(tǒng)設(shè)計人員所發(fā)布的每一道日常的計算機網(wǎng)絡(luò)操作命令必須要準(zhǔn)確無誤，要求計算機網(wǎng)絡(luò)安全系統(tǒng)工作人員將安全這一個方針很好的貫徹和落實，對各種規(guī)章制度以及規(guī)程進(jìn)行十分嚴(yán)格的執(zhí)行，將設(shè)計失誤以及誤操作進(jìn)行避免，最終將計算機互聯(lián)網(wǎng)安全、互聯(lián)網(wǎng)設(shè)備一體化進(jìn)行確保。

計算機互聯(lián)網(wǎng)安全系統(tǒng)的設(shè)計人員必須要熟知互聯(lián)網(wǎng)安全系統(tǒng)可能運行空間里面所包含的諸多規(guī)律，要求計算機互聯(lián)網(wǎng)安全系統(tǒng)技術(shù)人員要對自身日常工作中積累的實測數(shù)據(jù)來對計算機安全系統(tǒng)進(jìn)行一體化和穩(wěn)定性分析，進(jìn)行智能數(shù)據(jù)分析方法的思考和研究，盡自己最大努力來進(jìn)行計算機的應(yīng)用，計算機能夠幫助網(wǎng)絡(luò)安全系統(tǒng)技術(shù)人員來將巨大工作量的推導(dǎo)以及計算工作很好的完成，進(jìn)而對計算機網(wǎng)絡(luò)安全系統(tǒng)的工作具有十分重要的影響。比如說，計算機網(wǎng)絡(luò)安全系統(tǒng)的技術(shù)人員要將計算機網(wǎng)絡(luò)安全系統(tǒng)里面所潛在的對于我們工作有用的信息進(jìn)行挖掘，必須要采用數(shù)據(jù)挖掘技術(shù)，技術(shù)人員想要對計算機網(wǎng)絡(luò)安全系統(tǒng)一體化以及穩(wěn)定性進(jìn)行控制和評價就必需要采用暫態(tài)穩(wěn)定的評估方法，還可以運用數(shù)據(jù)倉庫這樣的技術(shù)來對計算機網(wǎng)絡(luò)安全系統(tǒng)日常管理中大量數(shù)據(jù)進(jìn)行有效的利用。

4 結(jié)語：

在當(dāng)今這一互聯(lián)網(wǎng)高速發(fā)展的信息化社會中，我們必須要保證計算機互聯(lián)網(wǎng)的安全，本文中，筆者主要從安全策略中心與NP架構(gòu)防火墻模型設(shè)計、安全策略中心與NP架構(gòu)防火墻的框架和功能以及安全策略中心與NP構(gòu)架防火墻設(shè)計要提升設(shè)計人員能力這三個方面分析了安全策略中心與NP構(gòu)架防火墻設(shè)計，在闡述安全策略中心與NP架構(gòu)防火墻的框架和功能時，筆者主要從安全策略中心與NP架構(gòu)防火墻的系統(tǒng)模塊以及安全策略中心與NP架構(gòu)防火墻的聯(lián)動決策模塊這兩個方面展開。

參考文獻(xiàn)：

[1]汪海航，譚成翔，孫為清，趙軼群.VPN技術(shù)的研究與應(yīng)用現(xiàn)狀及發(fā)展趨勢[J].計算機工程與應(yīng)用，2001，23.

[2]李奕男，錢志鴻，劉影，張旭.基于博弈論的移動Ad hoc網(wǎng)絡(luò)入侵檢測模型[J].電子與信息學(xué)報，2010，09.

[3]張之剛，周寧，牛霜霞，莫堅松，劉浩.遠(yuǎn)程緩沖區(qū)溢出攻擊及防護[J].重慶理工大學(xué)學(xué)報（自然科學(xué)版），2010，11.

[4]劉坤.結(jié)合逆向工程和fuzz技術(shù)的Windows軟件漏洞挖掘模型研究[J].成都信息工程學(xué)院學(xué)報，2008，02.

[作者簡介]

李碩（1982.12-）男；漢族；籍貫：山東省聊城市；學(xué)歷：大學(xué)本科工學(xué)學(xué)士學(xué)位；職稱：助理工程師；研究方向：計算機；從事工作：消防部隊，計算機，網(wǎng)絡(luò)，信息通信