论文部分内容阅读
在网络安全中,防火墙是建立网络边界、加强网络安全的重要设备。根据防火墙工作的层次和方式,防火墙上可以分成包过滤防火墙、代理防火墙。包过滤防火墙由于出色的性能而被广泛使用。但随着攻击手段的不断改进,P2P技术的兴起,病毒的泛滥,单一的包过滤防火墙难以提供有效的保护手段,而代理防火墙由于工作方式和对应用协议的理解能力,能提供更好的安全保障。包过滤防火墙代理有出色的性能,但其无法理解应用层协议,无法阻断应用层非法的数据包。代理防火墙具有阻断应用层非法的数据包,但代理防火墙的缺点主要体现在性能不高、功能难以扩展性上。由于网络带宽的提高,代理防火墙处理功能的复杂度越来越高,单纯采用更高性能的硬件平台提升代理防火墙的性能,从成本,功能及扩展性上都难以满足要求。采用并行技术,将包过滤技术和代理技术结合起来,将网络数据分流分阶段、并行的由包过滤和代理防火墙处理,以达到提升整体性能及安全的目的。本文工作主要包括:
(1)设计了一个高性能的结合包过滤和代理功能的并行防火墙系统。通过分析实现并行防火墙系统所要解决的问题,即访问控制功能的实现,并行方式的结构,负载均衡和容错问题。提出了一个并行防火墙系统,该系统由两部分组成。一部分完成包过滤功能和数据流调度功能,称之为前端防火墙,另一部分完成代理功能,称之为后端防火墙。
(2)论述了在网络处理器上实现包过滤和数据流调度功能的前端防火墙。前端防火墙是并行防火墙系统性能的关键。需要强大的处理能力,结合新一代网络处理器(NP),完成并行系统中的数据包过滤功能、调度功能和NAT功能。
(3)重点讨论整个前端防火墙中最关键的包分类部分。在详细分析了各种现有的基于软件及硬件的各种多维包分类的算法基础上,利用NP的多线程并行编程技术,设计了多维高数包分类算法,并在理论上加以分析。
(4)设计了一种提供透明代理的后端防火墙框架。后端防火墙采用基于状态机的协议分析方法,可以灵活的支持多种代理服务。提供应用层数据安全。