文档介绍：中国人民解放军信息工程大学
硕士学位论文
基于IXP2400网络处理器的包过滤防火墙的设计与实现
姓名:李烨
申请学位级别:硕士
专业:计算机应用技术
指导教师:张红旗
20061001
摘要随着网络应用的不断发展,网络需求的不断增加,千兆防火墙成为目前网络安全领域的一个热点。网络处理器作为专门为网络应用领域设计的一种高性能的可编程设备,能够同时提供强大的性能和很高的灵活性,是开发千兆防火墙的更好的选择。本论文研究的内容是应用网络处理器杓朴胧迪中乱淮母咝阅芨烧紫咚俜火墙。论文重点探讨如何充分利用绱砥鞯奶氐憷刺岣叻阑鹎降母髦中阅苤标,关注微引擎的利用开发,研究多处理器多线程并行相关的问题,在保证性能的前提下在其多处理器结构上更好的实现防火墙功能。在千兆防火墙的具体实现上,最主要的工作是微引擎上的编程开发,在峁┑脑绰氲幕∩辖行薷暮土樱迪址火墙各微引擎功能模块并添加静态包过滤、动态包过滤、裙δ埽瓜低衬芄辉谇д网络环境下线速转发所有数据包。论文的研究内容如下:绱砥鞯娜碛不肪常胖夭鯥牟⑿写砦侍狻·对计划开发的防火墙进行总体设计,主要是在微引擎上的开发,初步实现防火墙各微引擎功能,使系统能够在千兆网络环境下线速转发所有数据包。·对防火墙的性能进行试验测试,由结果说明基于Ⅸ绱砥鞯姆阑鹎降募术优势。关键词:千兆防火墙,网络处理器,⒁·分析信息撼檀笱妒柯畚第
,信息工程大学硕士论文甀瓵甆:,第页—..畆·疭·瓺,·,篏
爹辫阮听劾日期:沙/.少.,日期:矽占.,甪论文原创性声明和使用授权本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了本文中特别加以标注和致谢中所罗列的内容外,论文中不包含其它人已经发表或撰写过的研究成果;也不包含为获得信息工程大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。本人完全了解信息工程大学电子技术学院有关保留和使用学位论文的规定,即:学院有权保留论文的复印件,允许查阅和借阅论文;可以公布论文的全部或部分内容;可以采用影印,缩印或其它手段保存论文。涉密论文按保密规定执行。本论文取得的研究成果归学院所有,学院对该研究成果享有处置权。本人签名:导师签名:
,是确保网络安全的重要手段。防火墙最基本、最核心的技术是包过滤技术,它通过控制进出网络的数据流保证网络网络;哪些类型的数掘包传输应该被拦截【O衷诘摹┌朔阑鹎交共捎昧嘶诹接状态检测的包过滤,将属于同一连接的所有包作为一个整体的数据流看待,通过规则表和会话状态表的共同配合,大大地提高了系统的性能和安全性。防火墙是网络的开放性和安全性矛盾对立的产物,网络的优势是互联互通,用户都希望可以快捷顺畅地通过网络进行通信,然而网络也是不安全的,所以需要使用防火墙对网络进行安全控制。防火墙的使用不应使用户感到操作过于繁琐,特别是不能大幅降低网络性能,以安全性换取可用性,所以需要高性能的防火墙系统来突破这种障碍。另外,随着上网用户的增加以及新业务的不断出现,网络带宽的需求增长态势达到了一个高潮,高带宽网络开始在国内大规模推广应用。目前很多骨干网,都会采用千兆的结构,以前的骨干网也都在逐渐从骨干到边缘逐步进行千兆改造,这种趋势迫切要求与之相适应的高速网络设备来支持带宽的升级。原来的防火墙硬件结构已经不能满足性能和速度两方面的需求,一般认为,防火墙的硬件已经处于更新换代的门槛上。新一代的防火墙产品不仅在转发能力方面要有很大的提升,对其性能的需求也已经上升到了一个前所未有的高度。目前防火墙的硬件实现技术主要有三种:芄构た鼗布铀偌际和网络处理器加速技术。由于采用芟呓涌冢琁芄沟挠布砺凵夏艽锏浇咏耐掏铝浚导视τ弥校绕涫窃谛“榭鱿拢对洞锊坏奖瓿菩阅埽ㄓ肅墓惴河τ茫芏嗤绻セ鳎绕涫且绯龉击很容易实现,设备自身的安全性较低。采用专用硬件加速的防火墙可以明显提升防火墙的吞吐性能,但对于升级维护的灵活性和扩展性不够,而且开发费用高,开发周期长,一般需要两年以上的时间【浚焕诟路阑鹎讲贰网络处理器结合了通用处理器可编程和线速的优点。与啾龋绱砥在处理层的分组数据上比通用处理器具有明显的优势【浚矣捎诓捎昧薠芊婪洞蠖嗍囊绯龉セ鳎岣吡俗陨淼陌踩浴S階相比,网络处理器是一种非基于的或芯片组,利用软件编程,网络处理器可以像那样快速地处理数据包,同时可以升级芯片上的固件增加新的功能。其固件即可以由网络设备厂商编写,也可由第三方加载到处理器中。一般来说,网络处理器不需要安全。系统管理员可以设定一系列规则,允许指定哪些类型的数据包可以流入或流出内部的处理能力也很有限。而且,由于或信息工程大学硕士论文