| Session D1:網路規劃建置與管理營運
論文作者:趙啟時、紀彥丞
防火牆為網路安全之基本核心設備,它能保護網路避免其遭受攻擊或威脅,為了避免網路安全出現漏洞,防火牆過濾規則的撰寫、次序及佈署都必需經過詳細考慮與規劃。在多防火牆的網路環境中,網路管理者通常無法即時了解防火牆設定規則的影響範圍及結果,但網路管理者經常需要因應流量需求而更改防火牆規則的配置,因此在成千上萬的過濾或允許規則(Access Control List)中若發生錯誤,管理者根本無從找起,直到發生問題才知道防火牆規則設定異常。為了解決上述的問題,本研究將針對防火牆內部規則異常(Intra-Anomaly)、防火牆間規則異常(Inter-Anomaly)及防火牆間安全政策行為異常(Behavior Mismatching)之情形,提出一個嶄新的資料結構,固定跨距決定樹(Fixed-stride Trie)來解決這樣的問題。本文透過此架構開發固定跨距決定樹診斷系統,並且克服自適性規則異常關係樹[3]在某些情形下診斷效率低落的問題(如:散播規則分佈情形及IPv6 網路環境)。為了確保新的架構與演算法仍保有自適性規則異常關係樹高擴充性及診斷結果再利用等優點,進行一系列系統模擬與實作測試,比較新系統與舊系統之效能差異,最後整合視覺化工具來完成此系統開發。 |
