论文摘要
防火墙在保障网络安全方面至关重要,为了让防火墙满足当前网络的高速处理要求,和新协议新应用层出不穷的发展趋势,网络处理器被用作构建新一代高性能防火墙的硬件平台。然而传统的防火墙系统并不能直接移植到网络处理器中,其关键技术与算法有其自身的特点,需要进一步研究。 本文首先分别分析了网络处理器技术和防火墙技术,得出了基于网络处理器的防火墙需要重点研究的技术要点。在此基础上设计与实现了基于网络处理器的状态检测型防火墙的原型系统,包括系统设计、关键模块设计、原型系统的开发与部署等。为了更深层次地发掘网络处理器硬件优化的结构特点,本文在总结和分析已有的针对网络处理器的处理资源调度算法后,提出了异构多线程多处理器片上系统的处理资源调度算法,称为基于复制的部分动态调度算法(DPDS),并在模拟工具下实验分析了该算法的性能。 在技术上,本文所设计的基于网络处理器的防火墙与已有方案相比有诸多创新。在数据平面和控制平面上合理划分了任务,并通过信箱机制相互通信;设计出的数据结构具有读写快、占用存储空间小、管理简单等优点;充分利用了那些为优化网络处理而专门设计的硬件单元。 在算法上,本文所提出的DPDS是第一个将任务复制思想与部分动态映射思想相结合,以减少网络数据包延迟并增加吞吐量的研究。实验表明具有动态调度阶段的算法与没有动态调度阶段的算法相比,最大平均吞吐量有30%的提高。 随着对基于网络处理器的防火墙技术和算法的深入研究和工业界产品的日益成熟,网络安全将得到更好的保障。