因特网的迅猛发展,使得网络的安全问题日益严重。防火墙作为最成熟的网络安全设备在短短的几年内异军突起,特别是加入了状态检测、网络地址转换、虚拟局域网、MPLS等功能的硬件包过滤防火墙,由于它的简洁、速度快、费用低、对用户透明、对网络的保护全面和强大等优点,被广泛的应用于各级网络中。规则是包过滤防火墙的核心工作基础,规则的管理和维护非常复杂,要是管理不当,会大大降低防火墙的性能,甚至产生安全漏洞。因此,规则管理技术对于包过滤防火墙非常重要,在提高防火墙性能的前提下,它使网络管理员不但能够更加容易和迅速地管理和维护防火墙的规则,而且能够很方便地扩展防火墙的功能。 本文在深入分析LINUX防火墙代码,特别是规则管理部分IPTABLES代码的基础上,从分组分类技术的角度,对各种软硬件算法进行了分析,结合包过滤防火墙的规则特点和工程实践的技术积累,提出采用基于Parricia树的快速多维分组分类算法和基于按内容寻址存储器(Content Addressable Memory,简称CAM)的硬件实现算法作为包过滤防火墙的规则管理实现基础。 基于此指导思想,本文首先对内嵌硬件基于Patricia树的快速多维分组分类算法的网络处理器(Network Processor,简称NP)进行了深入地分析和研究,并且结合包过滤防火墙的规则特点,提出了基于NP的包过滤防火墙规则管理技术的设计方案。其次,本文对CAM及其查找算法进行了深入地了解和分析,以此为基础提出了基于CAM的包过滤防火墙规则管理技术的设计方案,并进行了性能评价。