收藏本站
《电子科技大学》 2008年
收藏 | 手机打开
二维码
手机客户端打开本文

基于Linux的千兆线速防火墙的设计与实现

胡波  
【摘要】: 随着互联网应用的日益普及,网络已成为主要的数据传输和信息交换平台,网络安全和信息安全是保障网上业务正常进行的关键。在构建安全网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。目前防火墙仍然起着最基本的预防作用,仍然是保护网络安全所必须的工具。 目前,传统的软件防火墙大多数是在Linux的Netfilter框架之下实现的。更准确地讲,Netfilter是Linux内核中一个包过滤框架,它实现了包过滤、状态检测、网络地址转换和包标记等多种功能。本文对Linux的Netfilter框架进行了深入的研究和探讨,利用Netfilter设计的开放性,在内核的数据链路层、网络层实现了自己的功能模块。本文在分析Netfilter框架的基础上,结合FPGA设计的灵活性,设计了一种具有可扩展性和高性能的硬件防火墙的体系结构。 鉴于防火墙产品功能不断完善的发展趋势,交换功能和路由功能几乎成了防火墙产品不可或缺的组成部分。本文将在FPGA芯片内部实现交换功能和路由功能,但考虑到交换和路由功能的软件的复杂性,采取了一种折衷的处理方法:Linux内核完成路由表和交换表的创建,FPGA芯片以规则的形式把路由表和交换表存储下来。 本文借鉴Linux内核提供的交换、路由以及Netfilter框架的设计及实现方法,在FPGA芯片内部实现了交换、路由以及防火墙功能。同时,利用Linux系统提供的动态模块加载机制,把对FPGA芯片的操作和驱动实现为动态模块加入Linux内核,从而成为Linux内核的一部分。通过在Linux内核适当位置挂接钩子函数,以及在动态模块中实现钩子函数的方式,使Linux内核的交换、路由及防火墙规则与FPGA硬件交换、路由及防火墙规则保持一致。 最后,对该框架实现的防火墙的功能和性能进行了测试,从测试结果可以看出,该防火墙达到了千兆线速的要求。分析整个防火墙产品的框架设计和测试结果,最终得出结论:Linux内核和动态模块实现软硬件规则的一致性,FPGA芯片完成对数据包的处理,这使得该防火墙同时具有了软件的灵活性和硬件的高速性,突破了软件防火墙的性能瓶颈,从而为硬件防火墙的设计开辟了一条新的思路。
【学位授予单位】:电子科技大学
【学位级别】:硕士
【学位授予年份】:2008
【分类号】:TP393.08

【参考文献】
中国期刊全文数据库 前4条
1 甘迎辉,刘勇,秦志光;netfilter技术分析及在入侵响应中的应用[J];电子科技大学学报;2005年01期
2 何海宾;基于Linux包过滤的防火墙技术及应用[J];电子科技大学学报;2004年01期
3 赵辉,李涛,刘峰,伍良富,徐春林,张巍,尹鹏;RSFW-I:一个基于Linux的防火墙系统[J];四川大学学报(自然科学版);2002年05期
4 李长胜;龙文;;基于FPGA的高速硬件防火墙报文检测系统设计[J];微计算机信息;2006年02期
【共引文献】
中国期刊全文数据库 前10条
1 曾凡锋;基于Linux的带宽分配软件的开发[J];北方工业大学学报;2002年03期
2 贺晓辉,鄢萍,刘飞,贺德强,郭建兴;网络化制造中嵌入式Linux操作系统的开发[J];兵工自动化;2004年03期
3 赵永驰,吴坚,陈波;网络地址转换技术在防火墙中的应用[J];兵工自动化;2005年01期
4 付迎利;王平;;基于EPA标准功能块的设计与实现[J];重庆邮电学院学报(自然科学版);2006年02期
5 张雪锋,马永强;μCLinux的软件移植应用研究[J];成都信息工程学院学报;2004年02期
6 吴晓勇,曾家智;操作系统内核中动态内存分配机制的研究[J];成都信息工程学院学报;2005年01期
7 唐洪英,龚箭,曹泽翰;OS扫描检测方法的研究[J];重庆工学院学报;2003年02期
8 刘畅;进程迁移中套接字迁移的研究与实现[J];重庆师范大学学报(自然科学版);2004年02期
9 刘露,王竹萍,刘炬;基于嵌入式Linux的视频网络实时监控系统的实现[J];电测与仪表;2004年12期
10 阎波,李广军;一种状态检测防火墙的攻击防御机制[J];电子科技大学学报;2005年04期
中国重要会议论文全文数据库 前6条
1 宁红;张升;;基于IEC870-5-101规约的RTU在Linux下的软件实现[A];华东六省一市电机(电力)工程学会输配电技术研讨会2004年年会论文集[C];2004年
2 马寒菲;陈华;;视景仿真系统中IRIX与WINDOWS操作系统通信接口研究[A];'2008系统仿真技术及其应用学术会议论文集[C];2008年
3 徐文峰;李勇;周芳;;移动核心网WAP监控分析系统的设计与实现[A];中国通信学会第五届学术年会论文集[C];2008年
4 王新中;;防火墙业务整合及其应用[A];中国通信学会第五届学术年会论文集[C];2008年
5 石为人;康静;彭世强;;基于四层网络体系结构的服务行业应用系统及其关键技术[A];中国仪器仪表学会测控技术在资源节约和环境保护中的应用学术会议论文集[C];2001年
6 尹家生;周健;洪燕;;校园网认证授权计费系统的设计[A];全国第16届计算机科学与技术应用(CACIS)学术会议论文集[C];2004年
中国博士学位论文全文数据库 前5条
1 刘六彬;嵌入式视频监控系统中uClinux的应用研究[D];浙江大学;2003年
2 刘年生;神经网络混沌加密算法及其在下一代互联网安全通信中的应用研究[D];厦门大学;2003年
3 毛佳;嵌入式实时系统中关键技术的研究[D];吉林大学;2004年
4 刘劲松;关于存储系统性能的测试、仿真与评价的研究[D];华中科技大学;2004年
5 邓玉辉;基于网络磁盘阵列的海量信息存储系统[D];华中科技大学;2004年
中国硕士学位论文全文数据库 前10条
1 周诚;基于多阶层状态检测技术的防火墙系统研究与实现[D];中南大学;2005年
2 李英伦;嵌入式视频模块的研究与开发[D];华中科技大学;2005年
3 王灵芝;用FPGA产生高斯随机数及其在量子密码中的应用[D];福州大学;2006年
4 吕明成;基于嵌入式Linux的网络视频监控系统的研究[D];浙江工业大学;2007年
5 常保丰;基于应用的嵌入式Linux裁剪技术研究[D];吉林大学;2005年
6 张升;基于嵌入式Linux的电力通信控制器的研究[D];合肥工业大学;2005年
7 周艳;无线标记语言浏览器的设计与实现[D];华中科技大学;2004年
8 刘彩红;分布式并行RPC的研究与实现[D];电子科技大学;2001年
9 张海波;网络流量检测与分析[D];西北工业大学;2001年
10 周波;构造基于Internet的虚拟环境开发平台的关键技术研究[D];西安电子科技大学;2002年
【同被引文献】
中国期刊全文数据库 前7条
1 刘国梅 ,郑安平;uClinux下动态Web技术的实现方法[J];单片机与嵌入式系统应用;2004年02期
2 刘建峰;潘军;李祥和;;Linux防火墙内核中Netfilter和Iptables的分析[J];微计算机信息;2006年03期
3 阎波,李广军;一种状态检测防火墙的攻击防御机制[J];电子科技大学学报;2005年04期
4 刘更楼,丁常福,姜建国;基于状态检测的防火墙系统研究[J];航空计算技术;2004年01期
5 祝鹏,杨宗凯;嵌入式命令行管理系统的设计与实现[J];计算机应用;2003年S2期
6 王代潮,曾德超;防火墙技术的演变及其发展趋势分析[J];信息安全与通信保密;2005年07期
7 李长胜;龙文;;基于FPGA的高速硬件防火墙报文检测系统设计[J];微计算机信息;2006年02期
中国博士学位论文全文数据库 前1条
1 陈文惠;防火墙系统策略配置研究[D];中国科学技术大学;2007年
中国硕士学位论文全文数据库 前10条
1 孙冰心;LINUX内核下基于内容过滤的防火墙的研究与实现[D];哈尔滨理工大学;2004年
2 张建中;基于Linux包过滤防火墙的研究与实现[D];安徽农业大学;2003年
3 刘传亮;基于Linux的混合增强型防火墙设计与实现[D];苏州大学;2004年
4 王晓华;面向网络处理器的编程模型研究[D];西北工业大学;2005年
5 王灵敏;面向网络处理器的资源调度研究[D];西北工业大学;2005年
6 赵凯;防火墙关键技术的研究与硬件实现[D];西北工业大学;2007年
7 唐妍;基于IXP425的防火墙的设计与实现[D];电子科技大学;2007年
8 邢燚;基于IXP425网络处理器的无线接入路由器[D];浙江大学;2008年
9 吴君怡;基于Web的网络管理及IP流量计费系统的研究与实现[D];合肥工业大学;2002年
10 周惠;基于目标度量和预估技术的软件过程评估[D];河海大学;2004年
【二级参考文献】
中国期刊全文数据库 前1条
1 曾重,卢显良,岩红;Linux环境下动态防火墙技术的研究及实现[J];计算机应用研究;2001年05期
【相似文献】
中国期刊全文数据库 前10条
1 林子杰;基于Linux的防火墙系统[J];电脑学习;2001年02期
2 秦涛;;在LINUX下使用Iptables作为防火墙研究[J];内蒙古电大学刊;2009年01期
3 杨泽;;关于计算机防火墙安全应用的思考[J];硅谷;2011年02期
4 郭静博;宫蕾;;关于计算机防火墙安全应用的思考[J];长春教育学院学报;2011年02期
5 薛庆吉;;在REDHAT环境中防火墙研究[J];科技信息(科学教研);2007年12期
6 袁洪阔;;在LINUX下使用iptables作为防火墙研究[J];计算机与数字工程;2007年08期
7 王继魁;;基于Linux的netfilter/iptables防火墙的实现[J];通化师范学院学报;2010年02期
8 郭斌;;Linux下基于iptables防火墙的设计与实现[J];信息与电脑(理论版);2010年02期
9 陈天华;基于Linux的防火墙技术[J];北京工商大学学报(自然科学版);2004年05期
10 郇涛;陈萍;;谈Linux下安全机制的实现[J];潍坊教育学院学报;2006年04期
中国重要会议论文全文数据库 前10条
1 康淮湘;何川;徐一川;;自己动手搭建Linux邮件服务器[A];天津市电视技术研究会2010年年会论文集[C];2010年
2 朱国正;侯整风;;基于Linux平台的智能卡通用驱动模型[A];全国第20届计算机技术与应用学术会议(CACIS·2009)暨全国第1届安全关键技术与应用学术会议论文集(下册)[C];2009年
3 燕东渭;;在LINUX下构建简单的INTERNET/INTRANET安全系统[A];第五届全国优秀青年气象科技工作者学术研讨会学术论文集[C];2002年
4 贾志洋;王勇刚;崔博文;杨玉婷;;应用型本科院校Linux操作系统的教学探索[A];Proceedings of 2010 National Vocational Education of Communications and Information Technology Conference (2010 NVCIC)[C];2010年
5 豆尚成;陈成细;奚学程;陈默;顾琳;赵万生;周志凯;顾岭;;基于Linux的线切割加工全软数控系统[A];第14届全国特种加工学术会议论文集[C];2011年
6 代健美;耿华芳;刘作学;;基于嵌入式Linux的DM9000CI设备驱动研究与实现[A];全国第4届信号和智能信息处理与应用学术会议论文集[C];2010年
7 姜斌;张君;;一种Linux平台下的可执行文件防篡改方法[A];浙江省电子学会2011学术年会论文集[C];2011年
8 赵德志;章勇;廖书红;;嵌入式Linux及BOA服务器在S3C2410上的移植[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(上册)[C];2010年
9 邵昌旭;陈默;赵万生;;基于Linux的嵌入式线切割数控系统[A];第14届全国特种加工学术会议论文集[C];2011年
10 王东升;;基于嵌入式Linux的路由器产品开发[A];AECC专题学术研讨会论文集[C];2007年
中国重要报纸全文数据库 前10条
1 李军;LINUX: CA巧打合作牌[N];中国计算机报;2003年
2 重庆 TL;Linux技巧园[N];电脑报;2004年
3 Subbo;实战多Linux共存[N];电脑报;2004年
4 余涉;全力推进中国linux应用[N];厂长经理日报;2000年
5 ;Linux下也用eMule[N];电脑报;2004年
6 魏春梅;LINUX进入成熟期[N];中国经营报;2001年
7 陕西 刘新念;自制Linux的开机画面[N];电脑报;2001年
8 小芳;随电子社进入LINUX精彩世界[N];中华读书报;2000年
9 ;Linux平台为互联互通带来益处[N];中国电子报;2009年
10 ;基于 Linux 平台的 Sybase 服务器[N];计算机世界;2004年
中国博士学位论文全文数据库 前10条
1 于晓;基于嵌入式Linux的仪器操作系统的研究[D];西安电子科技大学;2009年
2 蒙杨;高安全等级防火墙核心技术研究、设计与实现[D];中国科学院软件研究所;2001年
3 李伦;Linux及其伦理意蕴[D];湖南师范大学;2002年
4 郭锐;基于Linux的微细电火花加工数控系统及其相关关键技术的研究[D];哈尔滨工业大学;2007年
5 张宁;IP移动性研究[D];西安电子科技大学;2005年
6 武传宇;基于PC+DSP模式的开放式机器人控制系统及其应用研究[D];浙江大学;2002年
7 李明铎;短消息业务联网系统的设计与实现[D];中国人民解放军信息工程大学;2004年
8 刘晓红;互联网端到端网络性能影响因素的分析与评估[D];北京邮电大学;2007年
9 吴峰光;Linux内核中的预取算法[D];中国科学技术大学;2008年
10 史鸿声;可信嵌入式3D图形系统关键技术的研究[D];中国科学技术大学;2008年
中国硕士学位论文全文数据库 前10条
1 胡波;基于Linux的千兆线速防火墙的设计与实现[D];电子科技大学;2008年
2 刘志祥;Linux系统安全性研究及其新型Sniffer设计与实现[D];南昌大学;2005年
3 杜祥宇;基于Linux的复合防火墙设计与实现[D];大连理工大学;2000年
4 宋伟;基于netfilter防火墙的IPSEC协议研究与实现[D];天津工业大学;2005年
5 尹飞;IPv6下Linux防火墙的改进与提高[D];北京邮电大学;2006年
6 陈万志;基于Linux防火墙技术的应用研究[D];辽宁工程技术大学;2003年
7 孙强;一种基于嵌入式Linux的防火墙的设计与实现[D];中国科学院研究生院(西安光学精密机械研究所);2004年
8 王华萍;基于Linux的嵌入式系统研究及防火墙应用[D];浙江大学;2002年
9 孙亚军;基于ARM的嵌入式Linux平台的研究与实现[D];东北大学;2009年
10 张向艳;基于Linux的网络高清播放器的设计与实现[D];北京邮电大学;2010年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026