文件名称:基于网络处理器的防火墙安全过滤设计与实现
文件大小:2.5MB
文件格式:PDF
更新时间:2016-06-20 19:54:50
网络处理器 防火墙 安全过滤
首先分析了当前的网络安全现状和网络处理器的应用背景,明确了本课题的研究意 义.研究了网络处理器的体系结构,分析了防火墙技术的发展,对IBM网络处理器的编程 环境介绍。其次,分析了网络处理器微码的执行环境,然后设计出微码的处理流程和防 火墙功能模块的处理流程。接着,本章对防火墙安全过滤分析和设计,各个功能模块的 设计原理和功能模块的工作流程。最后是对千兆防火墙各个安全过滤模块的测试结果 本文主要有以下一些创新: 1.实现一种不依赖操作系统协议栈进行安全过滤的技术。通过芯片中的微码,而不 用外围操作系统直接管理产品的所有硬件,在底层硬件设备中接管进出安全产品的数据 并进行处理,大大减少了防火墙本身的安全漏洞,提升了防火墙本身的安全性和抗攻击 能力。 2.提出状态表倍速检测算法。针对已建立连接,对数据包(请求和回应的数据包) 的状态检查一次完成,保证每秒2万个新建连接,支持100万个并发连接。 3.提出规则表非线性匹配算法。对安全规则集进行动态平衡分布,使防火墙对规则 集内任意一条规则的匹配时间近似恒定,突破了传统防火墙的性能限制,极大的提高了 网络处理性能。 4.数据重组技术。为了正确理解网络中的数据流,采用了IP分片重组和TCP流重 组技术,并使用了会话重组技术将多个连接组成单一的会话。通过数据重组技术,攻击 者恶意伪造的企图扰乱视线的异常数据包将被防火墙丢弃,重组后的数据流被送往入侵 过滤模块进行下一步检测。