一体化安全网关防火墙报文过滤技术研究与实现

作     者：杨赞 

作者单位：解放军信息工程大学 

学位级别：硕士

导师姓名：程东年

授予年度：2009年

学科分类：08[工学] 0839[工学-网络空间安全] 

主      题：安全网关 防火墙 报文过滤 过滤结构 过滤引擎 动态优化 TCAM 

摘      要：随着网络承载业务多元化的发展趋势,用户对接入级网络设备的功能与性能同时提出了更高的需求。将网络通信与网络安全相融合,支持多种服务功能的新型、高性能设备体系结构成为了业界的研究热点。对报文进行复杂而高效的过滤是此类设备的核心技术。 论文结合国家863项目“可重构路由器及其构件组研制以及江苏省科技厅项目“IPv4/IPv6融合网络芯片研究与产业化中“一体化安全网关防火墙设备研制子课题,以已有报文分类研究成果为理论基础,以设备线速、多维、多目的的报文过滤需求为导向,针对现有研究的不足,围绕着如何保证设备过滤功能并提高其性能,在报文过滤结构、过滤引擎设计、规则集动态优化、TCAM表项维护等方面做出有针对性及普遍意义的研究,概述如下: ■针对目前过滤结构方面研究的不足:缺乏标准化的结构以确保功能、“单层过滤造成系统性能损失或实现代价过高,提出了一种OML(Orientation-differentiated, Multi-stepped and Layered)过滤结构。其中分向和分步是对功能正确性的保证,而分层是为了提高系统性能或性能/代价比。仿真结果验证了本结构的有效性。 ■为满足设备线速、多维、多目的的报文过滤需求,应用OML过滤结构,采用软硬件协同方式设计并实现了一种功能完备且性能优越的高速报文过滤引擎。目前该引擎已应用于设备中,实测结果表明其具备较高的网络性能,而且可满足多种功能需求。 ■针对线性搜索算法时间效率较低的弱点和现有规则集动态优化研究的不足,以提高软件过滤性能为目标,设计了依据流统计特性的规则集动态优化算法,包括规则权重计算、规则优化排序、动态优化综合算法等。仿真结果表明本算法实用意义较强,目前已于设备中应用调试。 ■TCAM在设备中承担了大部分的报文过滤任务。基于其最低地址命中的特性和尽量缩短离线更新时间的约束条件,为满足多种表项放于同一TCAM、实现策略路由等设计要求,设计并实现了TCAM表项维护方案及算法,既可保证功能实现又最小化了维护操作带来的系统负担,目前已在设备中成功应用。