Введение
1. Анализ методов построения и оценки наборов правил межсетевых экранов 11
1.1 Основные понятия 11
1.1.1 Компьютерная сеть 11
1.1.2 Адресация в сети 12
1.1.3 Бесклассовая адресация в сети 14
1.1.4 Межсетевые экраны 15
1.1.5 Пакетная фильтрация 15
1.1.6 Маршрутизация 17
1.2 Обзор проблем конфигурирования правил фильтрации 18
1.2.1 Основные проблемы разработки правил фильтрации 18
1.2.2 Проблема противоречий в списках правил 19
1.2.3 Противоречия в списке правил для одного фильтра в сети 20
1.2.3.1 Затенение 20
1.2.3.2 Обобщение 21
1.2.3.3 Пересечение 21
1.2.4 Противоречия для правил в последовательных цепочках МЭ в-сети 22
1.2.5 Противоречия для правил в параллельных цепочках МЭ в сети 23
1.2.6 Проблема избыточности правил 23
1.2.6.1 Неиспользуемые правила 24
1.2.6.2 Многословность 25
1.2.3 Количественные показатели противоречий для списков правил 25
1.2.4 Избыточное распределение правил 26
1.3 Анализ существующих подходов к построению правил фильтрации 28
1.3.1 Построение правил фильтрации вручную 28
1.3.2 Автоматизированная проверка конфигурации правил фильтрации МЭ 28
1.3.3 Автоматизированное построение правил фильтрации для сети 30
1.4 Постановка основных задач работы 30
1.5 Выводы 31
2 Разработка метода построения правил фильтрации межсетевых экранов, адкватных заданной политике разграничения доступа ...32
2.1 Общее определение метода 32
2.2 Построение модели защищаемой сети 33 -
2.2.1 Представление основных характеристик ЛВС в модели 34
2.2.2 Математическая модель сети 39
2.3 Построение модели представления заданной политики разграничения доступа 40
2.3.1 Правила разграничения доступа ь 41
2.3.2 Список правил разграничения доступа 42
2.3.3 Противоречия для списков правил разграничения доступа 43
2.3.4 Отображение заданной политики разграничения доступа в сети 44
2.3.5 Разработка структуры представления правил разграничения доступа 46
2.4 Минимизация множества правил политики разграничения доступа 50
2.4.1 Операция устранения неиспользуемых правил 50
2.4.2 Операция вычитания правил 51
2.4.3 Операция сложения правил 54
2.5 Расчет эффективного распределения множества правил фильтрации для МЭ в сети57
2.6 Расчет фактического разграничения достижимости 60
2.7 Выводы 60
3. Разработка алгоритмов для метода автоматического построения правил фильтрации межсетевых экранов 62
3.1 Разработка алгоритма расчета достижимости между узлами 62
3.2 Разработка алгоритмов построения и обработки дерева ПРД 66
3.3 Разработка алгоритмов минимизации правил политики разграничения доступа 75
3.3.1 Удаление неиспользуемых правил для политики разграничения доступа 75
3.3.2 Удаление многословности в дереве правил разграничения доступа 77
3.3.3 Разработка алгоритма вычитания набора правил разграничения доступа 77
3.3.6 Разработка алгоритма сложения набора правил разграничения доступа 81
3.4 Разработка алгоритма расчета возможностей распределение правил фильтрации 83
3.4.1 Представление возможностей распределение правил 83
3.4.2 Разработка алгоритма расчета таблицы предикатов распределения правил 83
3.5 Разработка алгоритма расчета эффективного распределения правил фильтрации для заданного разграничения доступа 90
3.6 Выводы 93
4. Программная реализация метода построения правил, экспериментальное исследование и сравнение с аналогами 95
4.1 Описание программной реализации модулей 95
4.1.1 Особенности программной реализации дерева ПРД 96
4.1.2 Особенности программной реализации матрицы требуемой достижимости 97
4.1.3 Особенности программной реализации метода распределения правил 98
4.2 Экспериментальное исследование программной реализации разработанного метода99
Основные параметры компьютера на котором бьши проведены эксперименты: процессор AMD Athlon 64 Х2 Dual Core 3800+ 2.00 ГГц, установленная память (ОЗУ) 2,00 Гб 99
4.2.1 Методика проведения экспериментальных исследований программной реализации разработанного метода 99
4.2.2 Разработка принципов автоматического построения ЛВС 100
4.2.3 Исследование работоспособности разработанного метода 102
4.2.4 Исследование алгоритмов минимизации заданного набора правил 106
4.2.5 Исследование алгоритма эффективного распределения правил 107
4.3 Сравнение с аналогами 109
4.3.1 Обзор аналогов и сравнение функциональных возможностей 109
4.3.2 Экспериментальное сравнение с аналогами 112
4.4 Выводы 114
Заключение 116
Список источников 117
