淡江大學覺生紀念圖書館 (TKU Library)
進階搜尋


下載電子全文限經由淡江IP使用) 
系統識別號 U0002-2706201109400000
中文論文名稱 準網路實體隔離技術之研究與實現
英文論文名稱 Research and Implementation of Quasi Physical Isolation Network
校院名稱 淡江大學
系所名稱(中) 資訊管理學系碩士班
系所名稱(英) Department of Information Management
學年度 99
學期 2
出版年 100
研究生中文姓名 曾光毅
研究生英文姓名 Kuang-Yi Tseng
學號 698631412
學位類別 碩士
語文別 中文
口試日期 2011-05-28
論文頁數 37頁
口試委員 指導教授-梁德昭
委員-楊欣哲
委員-李鴻璋
中文關鍵字 網路實體隔離 
英文關鍵字 Physical Isolation 
學科別分類 學科別社會科學管理學
學科別社會科學資訊科學
中文摘要 本研究為實現網路實體隔離中協定隔離的方法,又因實現過程中無使用開關方式的網閘,我們將這樣的架構稱為準網路實體隔離架構。準網路實體隔離技術使用通訊協定隔離的網路屏蔽技術。透過通訊協定不同,讓資料的傳輸過程不存在一個實際的TCP/IP連線,達成網路屏蔽的效果。
有別於一般屏蔽技術是利用黑名單阻擋的方式,此種屏蔽技術在傳遞資料時,是透過白名單的方式將信任的應用程式或通訊協定來傳遞。這樣可以阻擋機敏網路中因使用者使用習慣而產生的蠕蟲攻擊無效。而透過協定的隔離,我們可以防止IP協定中利用Optional data欄位中產生的各樣攻擊行為,例如ICMP attack,來威脅我們的機敏網路。
這樣的技術與架構可以使用在存在有機密敏感性資料的區域網路中,使得機密敏感性資料不因網路的連結而外流。在效果上比起傳統使用防火牆的屏蔽技術,準網路實體隔離可以阻擋因TCP/IP漏洞所產生的各種威脅與攻擊。實現方法使用了虛擬化的作業系統,兩主機間使用的通道為虛擬的橋接器,確保隔離兩主機間的通道專屬於兩主機。
英文摘要 This research is to implement the protocol isolation of the physical isolation net-work. Because of the implementation process without using physical switching gate-way, we will call that the quasi physical isolation network. Quasi physical isolation network technology is using internet protocol isolation technology. Through different protocols, data transmission does not exist a real TCP/IP connection, to reach the network shielding.
Unlike ordinary shielding technology blocking connections use blacklists. This shielding technology passes connections using white lists of trusted applications or protocols. In this way, we can block worms due to bad user habits. And through the protocol of separation, we can prevent attack from using Optional data field in IP protocol, such as ICMP attack.
We can use this architecture in the sensitive information confidential in the pres-ence of the local area network, so sensitive information would not outflow because of the network connection. Comparing with traditional firewalls, quasi isolation network can block threats and attacks which exercise shortcoming of TCP/IP modules. We use VM systems to Implement and use virtual bridges between two virtual machines to ensure two virtual machines has privacy tunnel.
論文目次 第一章 緒論 1
第二章 網路屏蔽技術探討 3
2.1 網路實體隔離技術 3
2.1.1 第一代 - 完全的實體隔離 3
2.1.2 第二代 - 網路卡隔離 4
2.1.3 第三代 - 資料轉送隔離 5
2.1.4 第四代 - 空氣開關隔離 6
2.1.5 第五代 - 專用通道隔離 7
2.2 防火牆技術 8
2.2.1 網路層防火牆 8
2.2.2 應用層防火牆 10
2.3 代理服務 11
2.4 屏蔽技術部署方式 12
2.5 TCP/IP協定下的問題 14
2.5.1 SYN Flood 14
2.5.2 TCP Hijacking 15
2.5.3 ICMP Tunneling 16
第三章 架構與設計 17
3.1 網路實體隔離之架構 17
3.2 準網路實體隔離之架構 20
3.3 準網路實體隔離資料流設計 23
3.4 準網路實體隔離管理系統設計 24
第四章 雛形架構之實現 26
4.1 軟硬體環境 26
4.2 模組系統 27
4.2.1 輸入封包剝離檢查模組 28
4.2.2 輸出封包重組遞送模組 34
4.2.3 資料擺渡模組 35
第五章 結論與未來研究方向 36
第六章 參考文獻 37

圖目錄
圖 1完全實體隔離架構 4
圖 2 網路卡隔離架構 5
圖 3 資料轉送隔離架構 6
圖 4 空氣開關隔離架構 7
圖 5 專用通道隔離架構 8
圖 6 網路拓樸中放置屏蔽技術設備的區塊 12
圖 7 屏蔽技術之部屬 13
圖 8 網路實體隔離由外部主機傳遞資料 18
圖 9 網路實體隔離由網閘傳遞資料 19
圖 10 準網路實體隔離架構 22
圖 11 準網路實體隔離資料流 24
圖 12 雛形系統架構 27
圖 13 模組系統關聯性 28
圖 14 內部網路封包剝離檢查模組運作圖 29
參考文獻 [1] 王俊斌,〈FreeBSD入門應用〉, 博碩文化公司,2002。
[2] 史蒂芬斯W. Richard Stevens著 ; 林慶德譯,〈UNIX網路程式設計〉,臺灣培生教育出版公司,2002。
[3] 行政院科技顧問組,〈2010資通安全政策白皮書〉,2010。
[4] 貝克Michael Beck著 ; 張耀仁譯.,〈LINUX 核心研究篇 = Linux kernel internals〉,和碩科技文化公司,1999。
[5] 林國棟譯、Schwaderer, W. David著,〈NetBIOS,IPX與SPX:C程式設計指引〉,眳p資訊公司,1993。
[6] 南西Barry Nance原著 ; 鍾興國譯.,〈網路程式設計 : 使用C語言〉,松崗電腦圖書資料公司, 1994。
[7] 徐千洋,〈Linux C函式庫參考手冊〉,旗標出版公司,民90。
[8] 莊李福,〈網路隔離技術之研究-從資訊安全管理角度探討〉,淡江大學碩士論文,2010。
[9] 顧思捷, 陳錦輝著,〈Linux C/C++網路程式設計〉,金禾資訊公司,2004。
論文使用權限
  • 同意紙本無償授權給館內讀者為學術之目的重製使用,於2011-06-27公開。
  • 同意授權瀏覽/列印電子全文服務,於2011-06-27起公開。


  • 若您有任何疑問,請與我們聯絡!
    圖書館: 請來電 (02)2621-5656 轉 2281 或 來信