文档介绍:东南大学
硕士学位论文
NP防火墙中协议栈驱动系统设计与实现
姓名:韩志耕
申请学位级别:硕士
专业:计算机软件与理论
指导教师:罗军舟;王健
20050801
摘要【关键词】协议栈驱动,防火墙,网络处理器,包分类,主动式安全防范系统优势使核上疘檎荒芄淮肀镜啬康牡乇ㄎ模3沟捉饩稣庖晃侍猓癖匦枰T赥/协议栈与硬协议栈驱动系统体系结构的研究和挖掘,描述协议栈驱动系统的基本组成和内在机制;在此基础上针对目前系统具体实现情况,同时确保遵循整个系统功能兼容和芄狗植闵杓屏皆颍韵低持行枰J迪值协议栈驱动系统进行了详细设计和功能模块的划分;并由此出发对虑绦蛏杓萍际踅醒芯浚火墙中基于教ㄏ碌男檎磺低常煌倍允迪种星I娴降闹匾J萁峁购凸丶莅鞒谈俜析,并对协议栈驱动系统进行多方位功能测试。第二部分从协议栈驱动系统体系结构中包分类思想出发,础上拓展到对防火墙中所采用的包分类算法进行研究,给出了各种算法优缺点;周时基于对惴ê势的包分类算法,并从理论上进行性能分析。最后一部分对全文的研究工作从理论和实践两个方面进行总主动式防火墙技术旨在克服传统防火墙功能单一并且依赖于。内部网安全”的假设,可有效防御“数据驱动”的攻击方式。同时技术上采用了可以有效避免传统防火墙架构的性能障碍以厦功能与协议快速支持障碍的网络处理器平台。但鉴于其采用多处理器的硬件架构以及分层体系结构,迫切要求充分发挥结构件光口设备驱动之间设计协议栈驱动,彻底打通网络处理器光口到本地网络协议栈之间的通路,同时也为操作系统用户态下配置光口提供方便。针对协议栈驱动系统的设计与实现,论文主要围绕三个部分展开:第一部分是通过对芄怪明了驱动程序需要解决的一般问题,在此基础上结‘虑?樯杓频囊话隳J剑咛迨迪至薔在具体实现了协议栈驱动系统中简单包分类功能基础上对目前业界所采用的包分类算法进行分析,在此基惴ǖ纳钊胪诰颍杓瞥隽艘恢挚梢允视糜贜阑鹎降慕岷蟁以及剿惴ㄓ结,并且对进一步的工作进行了分析和展望。
.,埘,...猵瑃簍瓾,.,瑆珹甌,,
研究生签名:耸脚一日期:趔缈日东南大学学位论文独创性声明东南大学学位论文使用授权声明研究生签名:本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得东南大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印件和电子文档,可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外,允许论文被查阅和借阅,可以公布ǹ论文的全部或部分内容。论文的公布括刊登谌ǘ洗笱а芯可喊炖怼
第乱研究背景也不便于修改和升级;深层次包分析针黾覣母丛佣龋荒苈惴阑鹎讲范酝缧论文以江苏省科技项目“主动式安全防范系统”嗪臖1尘埃愿孟低持行檎磺系统进行设计和实现。主动式安全防范系统⋯是一种以防火墙为核心,集成了多种网络安全技术如入侵检测、安全扫描等,能主动进行安全检测并动态防御攻击的分布式网络安全设施。它克服了传统防火墙功能单一并且依赖于“内部网络安全”的假设;可以抵御来自网络内部的攻击,有效抵御了“数据驱动”的攻防火墙从实现上可分为硬件防火墙和软件防火墙两种,存在三种架构:基于芄沟姆阑鹎剑ǔ2捎霉た鼗由戏阑鹎饺砑男问剑盍榛畹阅芙喜睢7阑鹎讲⒉皇用来进行数据包转发,而是需要对经过的数据进行判断和处理。所以,随着网络带宽的快速增长和新的应用,如、视频会议、炔欢铣鱿郑瑇防火墙陷入了困境。尤其是在电信、电力、金融、教育等高带宽、应用复杂、稳定性要求苛刻的环境中,芄沟姆阑鹎揭丫晌M缧阅芎涂煽啃的瓶颈。基于架构的防火墙,将防火墙逻辑固化到特定芯片,性能最高但灵活性差且成本较高。技术由于把指令或计算逻辑固化到硬件中,因而获得了很高的处理能力。采用技术可以为防火墙应用设计专门的数据包处理流水线,优化存储器等资源的利用,是公认的使防火墙达到线速转发、满足高速网络环境骨干级应用的技术方案。但是将指令或计算逻辑固化到了硬件中,缺乏灵活性,进行二到七层处理的需求;的开发周期长,设计费用昂贵且风险较大;硬件的防火墙缺乏可编程性,对新功能的实施周期长,很不灵活,使得它难以跟上当今防火墙功能的快速发展。ǔ仆绱砥鳍架构的防火墙,采用为包处理优化的硬件加上按照其特定指令集编写的软件,因此它兼顾功能和性能,成本适中。是专门为处理数据包而设计,它采用分布式存储系统,突破了存储瓶颈,实现多个微处理器的并发操作,可以支持高带宽的线速处理,还具有完全可编程的特点,为有效缓解网络传输高