收藏本站
《国防科学技术大学》 2010年
收藏 | 手机打开
二维码
手机客户端打开本文

基于Netfilter的包分类优化技术的研究与实现

周东浩  
【摘要】:随着现代网络技术应用的不断深入,网络安全问题日益突出,人们对防火墙的功能、性能要求也越来越高。Linux操作系统从内核2.4开始配置Netfilter/IPtables软件作为防火墙,既提供了强大的过滤功能,同时又具有很强的功能扩展能力,方便用户自己定义和扩展新的过滤模块。随着防火墙规则集中规则数量越来越大,规则中包含的扩展模块日渐多样化,传统的Netfilter防火墙性能下降明显。针对这一现实需求,本文围绕Netfilter防火墙的性能优化技术展开了深入研究。 首先通过对基于Netfilter/IPtables架构的防火墙进行深入分析,发现传统的Netfilter防火墙包分类系统采用顺序规则组织和线性规则匹配方法,随着规则数目的增大,其性能明显下降。本文提出了一个基于协议和端口的两级包分类技术以提高防火墙性能,该技术基于分治法原则,首先根据规则的传输层协议类型,将规则集分为TCP、UDP、ICMP和无协议规则四类。大量防火墙规则统计显示,80%以上的IPtables规则中包含端口这个域,所以在TCP、UDP和协议无关规则中根据源端口或目的端口对规则进行二级分类。实现上以源端口或者目的端口的哈希值作为分类依据,哈希冲突采用链表形式解决。数据包通过防火墙时,首先经过两级分类,只和其对应的二级规则链进行匹配,有效减少了规则匹配次数。 对互联网IP流的分析显示,IP流具有本地性,即当前活跃的IP流很在近段时间继续活跃的概率较大。根据该统计规律,本文提出了动态规则调序算法,将最近匹配成功的规则在规则链表中的位置动态前移,以减少该流的后续包通过防火墙时规则匹配次数。实际性能测试表明,在400条规则下,采用了动态规则调序算法的包分类技术使报文处理吞吐率方面比传统的Netfilter系统提高110%以上。同时,该算法与同类算法相比对内存的占用较少,规则组织的空间复杂的也相对较低。 随着网络应用种类增多、复杂性的提高,防火墙对报文中越来越多的协议域都有过滤需求,因此规则中匹配(match)模块的应用越来越广泛,也会导致防火墙性能下降。在具有较多扩展match模块的大规则集防火墙中,针对不同规则中的同一扩展match模块,本文提出了一种“一次解码,多次匹配”(One-Decoding, Much-Matching,缩写为缩写为ODMM)的优化算法。实际测试结果表明,在200条规则下,改进后算法的防火墙吞吐率比改进前提高30%以上。 最后,本文基于以上关键技术,设计并实现了一个软件原型系统,通过系统测试,不仅检验了包分类功能的正确性,也充分验证了所提优化算法可有效提高系统吞吐量,降低包处理时延。
【学位授予单位】:国防科学技术大学
【学位级别】:硕士
【学位授予年份】:2010
【分类号】:TP393.08

手机知网App
【引证文献】
中国硕士学位论文全文数据库 前4条
1 杜大跃;基于深度包数据检测技术的应用特征识别系统的设计与实现[D];北京交通大学;2012年
2 艾悦;网络处理器快速总线接口中哈希单元的设计与研究[D];西安电子科技大学;2012年
3 刘庆;P2P应用下网络监控系统的研究与实现[D];北京交通大学;2013年
4 张浔;基于嵌入式平台的网络实训系统设计与实现[D];西安电子科技大学;2013年
【参考文献】
中国期刊全文数据库 前5条
1 朱立才;杨寿保;宋舜宏;;Netfilter/iptables防火墙性能优化方案与实现[J];计算机工程与应用;2006年15期
2 赵启斌,梁京章;防火墙过滤规则异常的研究[J];计算机工程;2005年12期
3 刘胤;杨世平;;基于RFC算法的快速多维数据包分类算法[J];计算机工程;2008年06期
4 周东浩;王勇军;;防火墙扩展match模块匹配算法优化[J];计算机工程与设计;2011年03期
5 郑卫斌,段中兴,高磊,张德运;基于IP流本地性的状态检测性能优化方法[J];西安交通大学学报;2004年04期
中国硕士学位论文全文数据库 前1条
1 雷渊明;基于Netfilter的包分类研究与设计[D];湖南大学;2009年
【共引文献】
中国期刊全文数据库 前10条
1 巫钟兴;李辉;;一种数据加密传输方案的设计与实现[J];北京化工大学学报(自然科学版);2011年02期
2 徐伟华;谭永东;;基于AMD DBAu1200的嵌入式PMP研究及实现[J];成都信息工程学院学报;2009年01期
3 施文佳;杨斌;;对称多处理器下基于调度域的超线程实现[J];成都信息工程学院学报;2010年02期
4 邹秋艳;徐红云;;基于Linux2.6的进程隐藏机制的实现[J];重庆理工大学学报(自然科学版);2010年05期
5 赵国义;;嵌入式Linux内核的配置与编译系统研究[J];电脑编程技巧与维护;2006年11期
6 朱裕禄;;Linux系统下的ELF文件分析[J];电脑知识与技术;2006年26期
7 胡晓霞;陈俊;刘章发;;基于Linux的视频采集系统的研究[J];电脑知识与技术;2006年36期
8 王春娟;;基于WAS的集群性能测试研究[J];电脑知识与技术;2009年27期
9 王以伍;任宇;舒晖;;一种基于双栈的双效防火墙设计[J];电脑知识与技术;2009年33期
10 乾正光;王田苗;魏洪兴;;XScale PXA270在Linux下的FPGA设备驱动[J];单片机与嵌入式系统应用;2006年06期
中国重要会议论文全文数据库 前4条
1 张玉民;陈定方;;Linux下USB驱动程序的设计与实现[A];湖北省机械工程学会机械设计与传动专业委员会第十五届学术年会论文集(一)[C];2007年
2 高晋轩;蒙山;喻建平;黄敬雄;;一种基于ADSP-BF561和uClinux的多串口通信的实现[A];全国第一届嵌入式技术联合学术会议论文集[C];2006年
3 赵立芳;马向南;;WLAN中双链路负载均衡的研究与应用[A];中国通信学会第六届学术年会论文集(下)[C];2009年
4 朱国正;侯整风;;基于Linux平台的智能卡通用驱动模型[A];全国第20届计算机技术与应用学术会议(CACIS·2009)暨全国第1届安全关键技术与应用学术会议论文集(下册)[C];2009年
中国博士学位论文全文数据库 前4条
1 黄鹂声;基于被动测量的IP网络性能与故障管理技术研究[D];电子科技大学;2011年
2 郭方方;集群防火墙系统的研究[D];哈尔滨工程大学;2006年
3 陈文惠;防火墙系统策略配置研究[D];中国科学技术大学;2007年
4 邓文俊;基于答案集程序的防火墙策略分析方法[D];武汉大学;2010年
中国硕士学位论文全文数据库 前10条
1 卞传旭;基于TOS架构的防火墙性能研究与改进[D];山东科技大学;2010年
2 王佳;并行系统零拷贝通信优化技术的研究[D];辽宁师范大学;2010年
3 崔运涛;基于ARM+DSP的捷联航姿系统设计[D];哈尔滨工程大学;2010年
4 柏宁宁;多工作模式的IEEE802.11无线接入点的设计与实现[D];苏州大学;2010年
5 何飞雄;基于Filter-hook网络防火墙的设计与实现[D];华东师范大学;2010年
6 胡柏;筛选规则智能化生成的研究与设计[D];江苏大学;2010年
7 刘芳华;基于ARM的WiFi无线通信终端的研究与实现[D];武汉科技大学;2010年
8 冀谦祥;基于Linux的嵌入式网络视频监控系统设计与实现[D];电子科技大学;2010年
9 刘青;PF_RING研究及其在网络流高速采集中的应用[D];昆明理工大学;2009年
10 陈晓东;基于ARM-LINUX的网络流量监测系统[D];东华大学;2011年
【同被引文献】
中国期刊全文数据库 前10条
1 孙建召;;OSI参考模型与TCP/IP体系结构的比较研究[J];才智;2010年01期
2 李世勇;肖竟华;;基于Linux驱动程序的编写技术[J];电脑与信息技术;2006年03期
3 段文军;;基于网络处理器关键技术的研究与应用[J];电脑知识与技术;2011年09期
4 季刚;姚艳;唐怀瓯;;Linux下基于Netfilter/iptables防火墙的构建[J];电脑知识与技术;2011年19期
5 胡章勇;蒋朝根;;Linux的键盘驱动与Qt/E的键盘映射[J];单片机与嵌入式系统应用;2008年09期
6 段世惠;郭建勋;;P2P文件共享网络的不良信息监测[J];电信网技术;2008年07期
7 潘贤;;Linux内核中Netfilter/Iptables防火墙的技术分析[J];计算机安全;2008年08期
8 胡朝强;黄利斌;;针对应用层过滤的Iptables防火墙扩展功能应用研究[J];计算机安全;2010年05期
9 王德正;;基于协议分析的网络入侵检测技术研究[J];大众科技;2009年01期
10 张宏科;苏伟;;新网络体系基础研究——一体化网络与普适服务[J];电子学报;2007年04期
中国博士学位论文全文数据库 前2条
1 邹连英;嵌入式TCP/IP以太网控制器芯片研究与设计[D];华中科技大学;2006年
2 杨波;密码学Hash函数的设计和应用研究[D];北京邮电大学;2008年
中国硕士学位论文全文数据库 前10条
1 陈敬洋;基于多核包处理器的高速数据交换总线设计研究[D];西安电子科技大学;2011年
2 何科;网络处理器高性能数据交换接口设计研究[D];西安电子科技大学;2011年
3 霍延生;基于Linux系统的防火墙分析与研究[D];西安电子科技大学;2010年
4 姚传奇;基于linux2.6的状态检测防火墙的研究与实现[D];山东大学;2011年
5 胡晋;电力企业信息网络防火墙的研究与设计[D];华中科技大学;2010年
6 齐行程;基于数据报文特征的即时通讯软件监测与控制技术研究[D];南京航空航天大学;2010年
7 廖海红;通信系统中的CRC算法的研究和工程实现[D];北京邮电大学;2006年
8 刘云;Linux下的包过滤算法的分析和研究[D];贵州大学;2007年
9 何宇雄;基于网络处理器IXP2400的NIPS快速分流器的研究与设计[D];汕头大学;2007年
10 刘强;P2P流量监控技术研究与实现[D];北京邮电大学;2007年
【二级参考文献】
中国期刊全文数据库 前10条
1 朱立才;杨寿保;宋舜宏;;Netfilter/iptables防火墙性能优化方案与实现[J];计算机工程与应用;2006年15期
2 陈海军;李仁发;杨磊;;基于Linux内核扩展模块的P2P流量控制[J];计算机工程;2007年01期
3 杨奕;杨树堂;陈健宁;陆松年;;基于统计分析与规则冲突检测的防火墙优化[J];计算机工程;2008年15期
4 高峰,许南山;防火墙包过滤规则问题的研究[J];计算机应用;2003年S1期
5 李青;吴少校;乔崇;史岗;刘金刚;;基于龙芯处理器的网络防火墙系统的设计与实现[J];计算机应用;2008年06期
6 郑超;张建勋;;Linux防火墙Netfilter-iptables扩展机制及应用研究[J];计算机与数字工程;2009年06期
7 孙毅;刘彤;蔡一兵;胡金龙;石晶林;;报文分类算法研究[J];计算机应用研究;2007年04期
8 陈鑫,方宁,沈金龙;对Linux系统中的iptables过滤模块的改进[J];南京邮电学院学报;2005年02期
9 王卫平;王旭虓;陈赫然;陈家耀;;基于信息增益的防火墙过滤域排序优化[J];计算机系统应用;2009年07期
10 刘莹,焦丽梅,孙凝晖;基于ServerScope的TCP/IP负载发生器的研究[J];小型微型计算机系统;2005年05期
【相似文献】
中国期刊全文数据库 前10条
1 刘建彪,杨寿保;Netfilter功能框架及其在校园网中的应用[J];计算机应用;2003年02期
2 陈五友,刘万里,尹治本;利用Netfilter构建防火墙[J];通信技术;2003年01期
3 张锦祥;基于Netfilter/Iptables的嵌入式防火墙的设计与实现[J];计算机时代;2005年07期
4 蒋中国;汪晓茵;;一种对基于Netfilter后门模块的检测方法[J];网络安全技术与应用;2006年10期
5 余勇;王伟;;Building Traversing NAT IPv6 Tunnel Gateway System Relies on Netfilter/Iptable Framework[J];Journal of Electronic Science and Technology of China;2006年04期
6 张磊;;基于Netfilter和属性证书的网络设备身份认证[J];中国新通信;2007年05期
7 肖蓉;;基于Netfilter框架的防火墙设计[J];现代计算机;2007年04期
8 曹成;周健;黄方剑;钱田芬;;Netfilter框架下防火墙模型总体结构设计[J];计算机应用;2007年S1期
9 刘传领;刘敏;;一种Netfilter防火墙过滤功能的实现[J];网络与信息;2007年09期
10 李尚;刘传领;;Netfilter防火墙内容过滤的实现[J];商丘职业技术学院学报;2007年05期
中国重要会议论文全文数据库 前6条
1 ;Implementation and Performance Evaluation of IPSec VPN Based on Netfilter[A];Proceedings of the 1st Chinese Conference on Trusted Computing and Information Security[C];2004年
2 袁方方;安宝宇;郑世慧;;基于Netfilter的内容过滤系统的研究与实现[A];第十三届中国科协年会第11分会场-中国智慧城市论坛论文集[C];2011年
3 周健;孙海霞;;基于Netfilter防火墙的Per-IP限速的研究与实现[A];全国第20届计算机技术与应用学术会议(CACIS·2009)暨全国第1届安全关键技术与应用学术会议论文集(上册)[C];2009年
4 李峰;张玉清;;Linux防火墙的扩展应用研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
5 王宝生;王涛;郦苏丹;;天基网络链路仿真器的研究与设计[A];节能环保 和谐发展——2007中国科协年会论文集(一)[C];2007年
6 项锐;毛玉明;;在Linux下快速构建防火墙研究[A];2006中国西部青年通信学术会议论文集[C];2006年
中国硕士学位论文全文数据库 前10条
1 雷渊明;基于Netfilter的包分类研究与设计[D];湖南大学;2009年
2 胡连勇;基于Netfilter框架的校验字过滤防火墙的设计与实现[D];电子科技大学;2006年
3 周东浩;基于Netfilter的包分类优化技术的研究与实现[D];国防科学技术大学;2010年
4 吴良敏;基于Netfilter框架的审计监测防火墙的研究与实现[D];湖南大学;2012年
5 吴鼎;基于Netfilter框架流量识别系统的设计与实现[D];北京邮电大学;2013年
6 汤立浩;基于Netfilter内容过滤系统[D];汕头大学;2004年
7 王少伟;基于Netfilter机制的应用层协议过滤[D];暨南大学;2006年
8 杜敏;结合入侵检测机制的Netfilter防火墙的研究[D];中南大学;2008年
9 袁方方;基于Netfilter的内容过滤系统的设计与实现[D];北京邮电大学;2012年
10 刘晓磊;基于Netfilter机制的智能协议识别技术研究与实现[D];武汉理工大学;2010年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026