基于网络处理器的防火墙安全过滤设计与实现

作     者：李秋江 

作者单位：中国科学院研究生院（计算技术研究所） 

学位级别：硕士

导师姓名：贺志强

授予年度：2004年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：网络处理器 防火墙 安全过滤 访问控制 转发功能 

摘      要：网络处理器作为一种面向网络应用的协议处理器,由于其能够同时满足高性能和灵活性两方面的要求,正受到越来越广泛的应用。本文主要讨论基于网络处理器的防火墙安全过滤的设计与实现,主要有以下内容: 首先分析了当前的网络安全现状和网络处理器的应用背景,明确了本课题的研究意义.研究了网络处理器的体系结构,分析了防火墙技术的发展,对IBM网络处理器的编程环境介绍。其次,分析了网络处理器微码的执行环境,然后设计出微码的处理流程和防火墙功能模块的处理流程。接着,本章对防火墙安全过滤分析和设计,各个功能模块的设计原理和功能模块的工作流程。最后是对千兆防火墙各个安全过滤模块的测试结果本文主要有以下一些创新: 1.实现一种不依赖操作系统协议栈进行安全过滤的技术。通过芯片中的微码,而不用外围操作系统直接管理产品的所有硬件,在底层硬件设备中接管进出安全产品的数据并进行处理,大大减少了防火墙本身的安全漏洞,提升了防火墙本身的安全性和抗攻击能力。 2.提出状态表倍速检测算法。针对已建立连接,对数据包(请求和回应的数据包)的状态检查一次完成,保证每秒2万个新建连接,支持100万个并发连接。 3.提出规则表非线性匹配算法。对安全规则集进行动态平衡分布,使防火墙对规则集内任意一条规则的匹配时间近似恒定,突破了传统防火墙的性能限制,极大的提高了网络处理性能。 4.数据重组技术。为了正确理解网络中的数据流,采用了IP分片重组和TCP流重组技术,并使用了会话重组技术将多个连接组成单一的会话。通过数据重组技术,攻击者恶意伪造的企图扰乱视线的异常数据包将被防火墙丢弃,重组后的数据流被送往入侵过滤模块进行下一步检测。