学位论文 > 优秀研究生学位论文题录展示

防火墙包过滤规则框架的设计与实现

作 者: 刘君宇
导 师: 高岩
学 校: 东北大学
专 业: 计算机技术
关键词: 防火墙 规则框架 包过滤 Netfilter
分类号: TP393.08
类 型: 硕士论文
年 份: 2010年
下 载: 51次
引 用: 1次
阅 读: 论文下载
 

内容摘要


随着经济社会的不断发展和各种网络应用的进一步普及,各类企事业单位及行业用户对网络安全防护的需求也在不断增加,对于网络安全防护设备的要求也在逐步提高,传统的安全防护设备防火墙已经很难满足用户复杂应用的需要,其功能正在不断扩充,逐步向统一威胁管理系统UTM进行过渡。随着网络安全设备功能的日益扩充,作为安全功能基础的安全规则,其种类也在随之增多。如果针对每种新规则都独立的开发一套规则管理和规则匹配功能,那必将耗费不小的开发与维护代价,而且也不利于产品的快速开发。因此,开发一种易于扩展的安全规则框架来使新规则的集成模块化,降低新规则开发和维护的成本,便成为了一个亟待解决的问题。本文通过对防火墙转发流程和各安全规则特点的分析,提出了抽象规则的概念,并设计实现了一个通用的防火墙包过滤规则管理与匹配的框架系统,为防火墙各安全规则模块提供了可复用的规则匹配和规则管理接口。全文详细介绍了整个规则框架的设计与实现过程,并举例说明了基于规则框架实现IP包过滤规则模块的过程与方法,最后对规则框架的功能和性能进行了测试验证。本课题所实现的规则框架,不但可以实现各类规则的添加、删除、匹配等基本功能的通用操作接口,使得新集成的规则模块可以复用之前开发的功能,并且为扩展的规则匹配算法也提供了接口,对扩展匹配算法进行了统一的组织和管理,解决了各类规则模块对规则匹配算法复用的问题,使得产品的规则系统更具扩展性,集成新规则时更加方便,提高了系统的模块化程度和代码复用率,节约了开发成本。基于规则框架所开发完成的具体应用IP包过滤规则功能也成功的集成到了东软最新版本的UTM产品中,新的规则匹配算法的使用,也使得规则匹配的性能有了很大的提升。论文结尾总结了规则框架所取得的成果以及还存在的问题,并提出了后续的改进方向。

全文目录


摘要  5-6
Abstract  6-11
第一章 绪论  11-15
  1.1 项目背景  11-12
  1.2 目标与内容  12
  1.3 论文章节安排  12-15
第二章 开发平台和相关技术  15-21
  2.1 Linux防火墙技术  15-17
    2.1.1 Linux防火墙  15
    2.1.2 Netfilter  15-16
    2.1.3 Iptables  16-17
  2.2 NetEye防火墙系统平台NEOS  17-18
  2.3 工具及方法  18-21
    2.3.1 Gcc  18
    2.3.2 动态链接库  18
    2.3.3 系统调用  18-19
    2.3.4 SmartBits测试仪  19
    2.3.5 VMware  19-20
    2.3.6 软件框架设计方法  20-21
第三章 防火墙规则框架需求分析  21-27
  3.1 规则框架设计背景  21-24
    3.1.1 规则框架相关概念  21-22
    3.1.2 UTM功能框架  22
    3.1.3 防火墙数据包转发流程  22-24
  3.2 规则框架设计要求  24-27
    3.2.1 规则管理操作对规则框架的要求  25
    3.2.2 规则匹配对规则框架的要求  25
    3.2.3 扩展匹配算法对规则框架的要求  25-27
第四章 防火墙规则框架总体设计  27-39
  4.1 规则原型定义  27-28
  4.2 规则存储和组织  28-32
    4.2.1 规则的存储结构  28-30
    4.2.2 规则的组织形式  30-32
    4.2.3 Hipac算法的规则组织形式  32
  4.3 规则框架层次划分  32-34
  4.4 规则框架结构  34-35
  4.5 规则框架工作过程  35-39
    4.5.1 规则框架的初始化过程  35-36
    4.5.2 用户态命令行向内核态添加规则过程  36-37
    4.5.3 规则匹配过程  37-39
第五章 规则框架内核模块的设计与实现  39-51
  5.1 规则管理接口与规则匹配接口的设计与实现  39-48
    5.1.1 规则管理接口  39-41
    5.1.2 规则匹配接口  41-44
    5.1.3 扩展规则匹配算法  44-46
    5.1.4 规则框架内核接口调用方法  46-48
  5.2 规则框架内核模块的实现  48-51
    5.2.1 规则框架内核模块开发环境  48
    5.2.2 规则框架内核模块开发成果  48-49
    5.2.3 规则框架内核模块提供的内核函数接口  49-51
第六章 IP包过滤规则模块和IP包过滤规则用户态管理程序的实现  51-63
  6.1 IP包过滤规则模块的设计与实现  51-58
    6.1.1 IP包过滤规则匹配接口  52-55
    6.1.2 IP包过滤规则管理接口  55-57
    6.1.3 IP包过滤规则模块初始化和退出过程  57-58
  6.2 IP包过滤功能用户态管理程序的实现  58-63
    6.2.1 IP包过滤规则模块用户态接口的实现  59-61
    6.2.2 IP包过滤规则配置工具的实现  61-63
第七章 测试与分析  63-71
  7.1 功能及性能测试  63-68
  7.2 测试结果分析  68-71
结论  71-73
参考文献  73-75
致谢  75

相似论文

  1. 船山区电子政务外网网络安全方案的设计与实现,TP393.08
  2. 基于Linux的流量控制系统的研究与实现,TP393.06
  3. 基于防火墙和三层交换机的校园网络安全策略研究,TP393.08
  4. 甘肃富源化工综合办公平台的分析与设计,TP311.52
  5. 安全网关中流量采集和监控代理的设计与实现,TN915.08
  6. 基于防火墙的快速协议识别系统的设计与实现,TP393.08
  7. 面向IPv6防火墙的高性能规则匹配关键技术研究与实现,TP393.08
  8. 基于软交换的SIP网关的设计与实现,TN915.05
  9. 基于XML-RPC计费安全网关的设计和实现,TP393.08
  10. 基于Linux系统的防火墙分析与研究,TP393.08
  11. 网络打印安全系统研究与嵌入式软件平台设计,TP393.08
  12. 基于SIP协议的VoIP技术在校园网络上的实现,TN916.2
  13. 基于包捕获技术的网络监听系统的研究与实现,TP393.08
  14. 基于Linux的网络行为管理网关系统内核模块设计与实现,TP393.05
  15. 基于Netfilter的包分类优化技术的研究与实现,TP393.08
  16. 电子政务专网的优化研究与实现,TP399-C2
  17. 状态检测防火墙的设计与实现,TP393.08
  18. 拒绝服务攻击检测与响应的研究,TP393.08
  19. 基于ARM的嵌入式防火墙的研究与实现,TP393.08
  20. 基于众志863芯片的状态防火墙设计实现,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com