4。1 相关实现技术 14

4。2 界面搭建 14

4。3 数据库设计 18

4。4 主要代码分析 21

5 测试用例及结果分析 25

5。1 登录用例 25

5。2 注册用例 25

5。3 修改密码用例 26

5。4 规则集选择用例 27

5。5 规则修改用例 27

5。6 异常发现用例 28

5。7 异常优化用例 29

6 总结与展望 30

6。1 总结 30

6。2 展望 30

致  谢 32

参 考 文 献 33

1  绪论

1。1  课题背景及其意义

随着全球互联网的普及，网络安全议题已经不仅仅是学术界所关心的问题，大到国家机密，小到个人资料无一不受到日益严重的网络攻击的威胁，因此防火墙已经成为包括企业网络以及家庭网络在内的不可或缺的重要组成部分。

2014年2月27日，中央网络安全和信息化领导小组在国家的领导下宣告成立，这意味着网络安全问题被进一步提升至国家安全战略的高度。那么作为网络基础防御的前沿设备，防火墙设备本身的安全防御性能就会牵引到整个被保护网络的安全。

防火墙可以限制未经授权的网络数据包流经被保护的网络，网络管理人员先规定好安全策略；然后设置添加过滤规则，包过滤防火墙将用管理员添加的过滤规则与IP数据包的包头信息进行对比，从而判断数据包是否合法，进而做出例如deny或者accept等一系列反应动作。

虽然防火墙技术的部署是保护网络安全的重要步骤，但是防火墙策略的管理也是威胁到防火墙的安全性的重要环节，可以说正确的部署只是一个开端，最重要的就是对复杂的防火墙策略进行管理和维护。实际上，复杂的网络拓扑关系加之动态的网络策略需求使得防火墙策略的维护变的非常的困难。一般的，由于防火墙的透明性，用户很难发现防火墙异常，这将是灾难性的，可以想想，用户电脑正在被攻击，而用户却浑然不觉，所以我们迫切的需要对防火墙进行过滤规则添加，然而盲目的增加过滤规则的数量，会减慢整个系统的运行速度，减低其他安全组件的工作效率，更严重的后果是规则间逐渐复杂化的相互关系将导致规则语义不能正确的执行。正常情况下，下面两种问题会随着规则集中的规则数量的不断激增而显示出来，并且会变得越来越难以控制。

1）、规则间的关系变得越来越复杂，并且难以理解；防火墙策略语义会发生细微改变，这将导致防火墙执行错误的安全策略，并且一般的用户或者有一定经验的管理员都难以察觉；系统开销增加，维护IPTables变得异常困难。

2）、修改、删除或者添加规则时，规则间会存在大量的遮蔽、冗余、泛化、相关异常。这会导致防火墙性能急剧下降，甚至花费大量性能做无用功。

因此，本文着重介绍关于防火墙规则优化模型定义及其编程实现，这将有益于现阶段大多数包过滤防火墙的性能优化。

1。2  防火墙网络安全现状