文档介绍：北京邮电大学
硕士学位论文
基于网络处理器的防火墙规则匹配模块及入侵检测系统预处理
模块的设计与实现
姓名:王钰
申请学位级别:硕士
专业:通信与信息系统
指导教师:武穆清
20070128
基于网络处理器的防火墙规则匹配模块及入侵检测系统预处理模块的设计与实现摘要策控制出入网络的心细流,且本身具有较强的抗攻击能力。防火火墙的有力补充,最终实现与防火墙的联动。然而,与路由器、交换机不同的是,防火墙和入侵检测系统这些方案各有优缺点,基于通用中央处理器迪制鹄醋钗简单,但是处理速度成为很大的瓶颈:基于专用集成电路器实现既有高速处理能力,又有很好的可编程特性。实验室研究随着人们对语音、视频等多媒体业务的需求不断增加,网络得到了迅猛的发展。学校、企业、银行、政府机关等单位都拥有了自己的局域网。这些局域网最终都通过因特网实现互联,并通过它来传递一些商业信息及其他重要数据。而互联网飞速发展的同时,网络犯罪案件也在急剧的上升,网络安全已经作为一个非常严峻的问题摆在人们面前,受到越来越多的关注与重视。因此,保护局域网的安全成为一项十分重要的课题。防火墙是如今最主要的网络安全设备之一。它部署在可信网络和不可信网络之间,并对经过的网络流量进行检查,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政墙在受信任的网络和不受信任的网络之间占据了一个独一无二的位置。入侵检测系统则是防火墙的有力补充。它能够检测到网络上的攻击行为,如果采用异常检测技术,还能够发现新的网络攻击行为。由予入侵检测系统和其它主机是并联工作的,所以对应用层的检测不会对网络性能造成什么样的影响。因此入侵检测是防需要对经过的数据包进行复杂的处理,因此,对性能有着很高的要求,要求处理速度足够快。面对千兆网络的安全需求,人们提出了不少的解决方案,主要有基于通用中央处理器迪帧基于专用集成电路实现和基于网络处理器实现这三种。实现则处理速度快,但灵活性差、开发周期长;而基于网络处理
本文作者在防火墙和入侵检测系统的研究与并发项目中,具位终端的总体设计;最后详细阐述了中央处理模块的设计与实现。开发的防火墙和入侵检测系统是基于英特尔绱砥来实现的,本文第一章便对网络处理器进行了介绍,并且详细介绍了英特尔绱砥鳌体设计的是防火墙中的规则匹配模块和入侵检测系统中的解码预处理模块。因此,在第二章介绍了防火墙技术和入侵检测技术,第三章介绍了研发系统的整体设计之后,重点在第四章阐述了防火墙规则匹配模块中各子模块的功能设计和实现流程,在第五章阐述了入侵检测系统中解码预处理模块的功能设计和实现流程。此外,本文的第二部分诹介绍了作者在实验室另一个项目“基于疓绲幕旌隙ㄎ幌低车难芯靠7ⅰ敝凶的工作。第六章首先介绍了定位业务的发展;接着介绍了混合定关键词:网络处理器阑鹎饺肭旨觳庀低
,硒瑃,￡..瑃,,...‘
.瑃簄,疓疭琾琲瓵琤,;,,瓽/—疘,,.....
英文缩略语索引ḿ蛑戳钤怂慵ㄓ梅肿槲尴咭滴僮飨低撤癫,同步动态随机存,静态随机存储器网络辅助的全球定位系统τ帽喑探涌ㄓ眉傻缏,相联存储器巳砑?,非军事化区,目的网络地址转换,快通道转发过滤,文件传输协议蛞贫ㄐ畔低,互联网控制报文协议绲刂纷;绱砥绱砥髀厶,周边元件扩展接口储器赐绲刂纷;ǖ雷7⒐瓽曙∞√气—
墨丝婴垒圣旦￡旦声明成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得北京邮电大学或其他教育机构的学位或证书而使用过的材料。与我一周工作的同毒对本研究所做的任申请学位论文与资料若有不实之处,本人承担一切相关责任。关于论文使用授权的说明学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定,即:研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许学位论文被查阅和借阅:学校可以公布学位论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存、汇编学位论文。C艿难宦畚脑诮饷芎笞袷卮斯娑本学位论文不属于保密范围,适用本授权书。本人签名:日期;独创性虼葱滦声明本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究何贡献均已在论文中作了明确的说明并表示了谢意。导师签名:日期:
刖吾随着多媒体应用和语音传输需求的日益增加,网络带宽面僮判碌奶战。如今,千兆以太网已经成为金融、商业、教育及政府机关等各行业的首备,如何在最短时间内用最低成本开发出高效的千兆防火墙已经成为众多安全厂商的一个重大课题。传统的通用中央处理器薹ㄊと胃咚偻中的数据包线速处理,而基于硬件实现的专用集成电路由于开发周期长且技术门槛高而无法占据很大市场。在这种情况下,具有