文档介绍：电子科技大学
硕士学位论文
基于IPv6的防火墙系统设计与实现
姓名:罗蔚
申请学位级别:硕士
专业:软件工程
指导教师:刘乃琦
20070424
摘要随着计算机网络在政治、经济、文化等诸多方面的飞速发展,网络已经逐渐成为我们日常生活中不可少的重要组成部分。与此同时,网络安全问题也随之凸现出来,并逐渐成为企业网络应用所面临的主要问题,网络安全技术也越来越受到前所未有的广泛重视。防火墙技术作为实现网络安全的重要方法之一,渐渐成为研究网络安全技术的一个重要的研究方向。防火墙是指在两个网络之间执行的一个系统,它按照事先约定的协议,控制着网络间相互访问的级别,从而保证系统及数据的安全。目前计算机网络的主干网是基于协议的,在的发展过程中,的局限逐渐暴露出来,这些局限性严重制约了技术的应用和未来网络的发展。协议作为下一代网络的基础以其鲜明的技术优势得到广泛的认可,世界各国都投入大量资金对其进行研究,以领先占领该技术,并且技术也已经在一些国家开始进行推广应用。在这样的背景下,对基于技术的应用进行研究有着十分重要的理论和实用价值。论文主要描述了一个防火墙的原型系统的设计与实现。论文首先阐述了课题背景、论文研究的主要内容和论文的组织结构。其次分析了协议和安全机%H缓蠖酝绨踩ê头阑鹎椒矫娴囊恍┍尘爸J督辛瞬觯氐对防火墙技术进行了讨论。在此基础上针对本文设计的防火墙做了总体架构的描述,并对防火墙的数据包过滤系统进行了设计与实现,其包括:数据包解析平台,静态规则匹配模块和状态检测模块三部分。数据包的包头同相比有较大的变化,而且数据包有可能携带一个或多个扩展报头。该防火墙的数据包解析平台能够解析数据包格式,对于带有扩展报头的数据包可链式遍历逐个扩展报头直至高层协议。防火墙静态规则的匹配本质上属于分类问题。本文介绍了一种下常用的分类算法谄浠∩仙杓剖迪至艘恢种С址段ヅ的多维分类算法。最后总结了本课题实现的功能以及没有实现的防火墙其它软件功能,分析了以后的工作,并提出了一些不足之处和改进设想。关键词:,网络安全,防火墙,分类,状态检测,数据包过滤
..,瓵,,畉,.,,甆..瓵,甀,/瓼甌.Ⅱ
垒塑堕——,岫....,篒.,猯
蒜签名:二啦导师签名:签名:缙强年炉月汀日日期:圳独创性声明关于论文使用授权的说明作及取得的研究成果。据我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。的规定,有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或C艿难宦畚脑诮饷芎笥ψ袷卮斯娑本人声明所呈交的学位论文是本人在导师指导下进行的研究工本学位论文作者完全了解电子科技大学有关保留、使用学位论文扫描等复制手段保存、汇编学位论文。
第一章绪论课题背景和研究内容互联网是将分布于不同地点的不同物理网络进行互连而形成的网间网,它的目标是建立一个统一协作的、向用户提供一致服务的通信系统。计算机网络提供了资源共享性,提高了系统的可靠性,通过分散工作负荷提高了工作效率,并且还具有可扩充性“’。然而这些特点也增加了网络安全的复杂性和脆弱性,资源共享和分布增加了网络受威胁和攻击的可能性。随着计算机网络的普及和发展,我们的生活和工作都越来越依赖于网络。与此相关的网络安全问题也随之凸现出来,并逐渐成为企业网络应用所面临的主要问题,网络安全技术越来越受到广泛重视。防火墙技术作为网络安全技术的重要实现方法之一,是研究网络安全技术的一个重要研究方向。防火墙从本质上说是一种保护装置,它保护数据、资源以及用户的声誉。防火墙可以用来限制人们从一个特别的控制点进入和离开,防止侵入者接近本地的其它设施,并且能够有效的阻止破坏者对本地计算机系统进行破坏。因此,防火墙通常被安装在受保护的内部网络连接到的点上。防火墙技术领域广泛采用以应用层代理技术为主、网络层包过滤技术为辅的方式构建防火墙系统,它通常有双重宿主机防火墙、屏蔽主机防火墙和屏蔽子网防火墙这几种结构形式。钡乃跣矗脖怀谱飨乱淮チM议——怯蒚设计并用来代替先行的协议的一种新的协议。。随着的发展,的局限越来越暴露出来,这些局限性严重制约了技术的应用和未来网络的发展。作为下一代网络的基础以其鲜明的技术优势得到广泛的认可。对一个支持协议的防火墙进行研究是很有必要的。本课题通过对协议、安全机制和网络安全与防火墙技术等方面的分析和研究,结合现有防火墙的特点,设计并实现了一个基于的防火墙系统。该系统包括一般防火墙所具备的