文档介绍：华中科技大学
硕士学位论文
基于网络处理器多线程防火墙的设计与实现
姓名:黄力
申请学位级别:硕士
专业:计算机应用技术
指导教师:李之棠
20061028
华中科技大学硕士学位论文摘要随着千兆网络的建设和升级,传统防火墙在硬件和结构上已不能满足日益增长的性能方面的要求。针对当前防火墙的不足,以互联网交换架构,;。杓撇⒉糠质迪至嘶贜,网络处理器的防火墙。在阐述了网络处理器和防火墙的一些背景和技术后,对传统防火墙的优缺点进行了分析。在此基础上,充分利用互联网交换架构的网络处理器本身所具有的优点,选择合适的多线程编程模式,设计了一个多线程防火墙。系统设计的核心是利用微引擎多线程实现对数据包的高速处理和转发。微引擎具有的线速转发能力。设计方案中,绝大多数网络数据包只流经微引擎,通过微引擎/线程的合理分配,,在实现过程中,重点对三个难点模块莅邮漳?椤⑹莅四?楹褪虬7⒛?的数据结构进行了分柝和描述,流程图绘制,及其程序开发实现。对系统程序的功能正确性、时空问复杂度、系统稳定性以及系统吞吐率等系统性能进行了分析和测试,结果表明;基于姆阑鹎交臼迪至俗茨罴觳狻过滤、流量控制、;缓腿罩镜鹊鼻坝布阑鹎降墓δ堋S捎诜阑鹎酱蟛糠止δ由软件实现,在功能升级时,只需要对某些部分进行软件修改,不需要硬件的重新设计,降低了开发的周期和费用。基于的防火墙在性能和功能可扩展等方面具有较大的发展潜力。关键字:防火墙,互联网交换架构,网络处理器,网络地址转换,包过滤
华中科技大学硕士学位论文瑃,.篎琁甀,.瓸..】,琩,,琋瓵,瑈痶甋,琋
指导教师笔兰璐/⒅亳为日期:啡骸掠日期:驯辏琽月日学位论文作者签名:学位论文版权使用授权书独创性声明日期:历旧‘年,聑的研究成果。尽我所知,除文中已经标明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体,本学位论文作者完全了解学校有关保留、使用学位论文的规定,即:学校有权保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。本论文属于朐谝陨戏娇蚰诖颉”本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得均己在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。学位论文作者签名保密口,在年解密后适用本授权书。不保密囵。、/、
华中科技大学硕士学位论文引言研究背景软硬结合一直是防火墙设计和实现的主要方法,对于提高性能来说,硬件技术是维护的灵活性和扩展性不够,而且开发费用高,开发周期长,不利于更新防火墙产品。随着干兆网络的建设和升级,出现了新的问题:带宽提高了叮上低匙芟撸接口没变,拇砟芰θ床荒芴岣倍,对于要完成包括包过滤、代理、防攻击等多项任务的防火墙来说,原有的硬件和结构不可能满足千兆环境的性能要求。这就决定了在下一阶段,性能将成为防火墙产品的竞争焦点。关键。高速网络环境下千兆防火墙产品的数据处理包括包过滤、内容检查、高速交换、加解密等诸方面,没有高性能的硬件就不能保证千兆以上的线速处理,而缺乏灵活性就不能满足千兆防火墙产品对网络协议进行七层处理的需求。这就需要使用有高性能、高灵活性以及高可靠性的专用网络设备。网络处理器以其杰出的包处理性能和可编程性形成为构筑网络转发引擎不可替代的核心,它已经成为新一代网络设备的核心处理器,是未来网络设备的发展趋势】。目静千兆防火墙的硬件实现技术主要有三种:架构工控机、硬件加速技术和网络处理器加速技术。由于采用芟呓涌冢琁芄沟挠布虽然理论上能达到接近耐掏铝浚导视τ弥校绕涫窃谛“榭鱿拢远达不到标准性能,通用拇砟芰σ埠苡邢蕖6遥捎赬墓惴应用,很多网络攻击,尤其是溢出攻击很容易实现,设备自身的安全性较低。而网络处理器不但处理性能高,由于采用了、或芊范大多数的溢出攻击,提高了自身的安全性。采用专用硬件加速的防火墙可以明显提升防火墙的吞吐性能,但对于升级而网络处理器是一种非基于的或芯片组,利用软件编程,网络处理器可以像那样快速地处理数据包,同时可以升级芯片上的固件增加新的功能。其固件即可以由网络设备厂商编写。也可由第三方加载到处理其中。一般来说,网络处理器比基于的设计解决方案能缩短上市时间,并能节约资会。同时由于知识产权包含在软件而不是硬件中,因而,网络设备制造商可以很方便地重复应用他们的秘
华中科技大学硕士学位论文国内外研究现状密,从而使下一代产品的设计成本进一步减少,上市时间更短。由此可见采用网络处理器进行千兆防火墙的开发是一种最好的选择【。网络处理器被认为是推动下一代网络