首页> 正文

面向IPv6防火墙的高性能规则匹配关键技术研究与实现

2020-12-16阅读(911)

面向IPv6防火墙的高性能规则匹配关键技术研究与实现

论文摘要

随着Internet技术的发展,网络安全问题也成为了人们日益关注的焦点。作为内网和外网之间进行安全性访问的桥梁,防火墙在互联网时代有着不可替代的作用。同时,由于IPv4地址空间的不足以及IPv4暴露出的许多缺点,使得互联网技术体制将由IPv4向IPv6的过渡和转变成为必然。因此,面向IPv6的高性能防火墙技术也成为了网络安全领域的研究重点。本文以最终能在Linux内核中实现高性能的IPv6防火墙为目标,对包处理过程中的快速规则匹配算法和实现关键技术进行了深入研究,主要完成了以下工作:首先,对Linux防火墙的架构及其处理流程进行了详尽分析,重点对内核包处理的收发流程、Netfilter框架中的Hook管理以及IPtables机制中的安全规则数据结构进行了整理和阐述,通过实际系统的调测试,掌握了关键实现细节,为下一步实现完整的IPv6防火墙奠定了良好的实现基础;其次,对防火墙包分类算法的相关研究现状进行了深入分析。其中,Linux内核中基于顺序查找算法实现规则匹配的方式,在规则数增加时,尤其是企业级防火墙和核心路由器的应用环境中,将导致其性能急剧下降。比较典型的一种优化算法是基于范围定位的HiPAC(High Performance Packet Classification for Netfilter)算法。通过对每个匹配进行范围划分,构建一个B+树,把规则的匹配问题转变为范围的定位问题。当规则数增大时,其性能要远远胜过于基于顺序查找的的规则匹配算法,并且查找速度几乎不受规则的增加影响。但是,HiPAC算法内存空间消耗太大,其空间复杂度基于随着规则的增长呈指数增长的趋势。在分析了现有IPv4算法之后,对IPv6防火墙的特征进行了分析,发现基于IPv4的高性能规则匹配算法并不适用于IPv6,其主要原因是IPv6的地址空间比IPv4要大得多,这将导致地址范围的急剧增大,使得空间复杂度很高,进而提出了一种适用于IPv6的高性能规则匹配算法HiPACv6。该算法综合了范围定位匹配和线性匹配各自的优点,折中了算法的时间复杂度和空间复杂度。首先根据协议域和目的端口域特征,将整个规则集分成20个子规则集,然后再对源IPv6地址和目的IPv6地址的组合进行位选取,构建二叉查找树。最后分别把20个子集分成若干个小的规则集合。当报文匹配到某个小的规则集合时,再线性匹配小规则集中的规则。这样防火墙性能比较于Linux内核中的Ip6tables实现有了极大的提高,并且有效地控制了内存的使用。最后,我们在Linux内核中实现了基于HiPACv6算法的IPv6防火墙原型系统,并对其关键实现技术进行了分析,包括HiPACv6对UDP分片包的处理,HiPACv6对加密报文的处理和位选取法。通过实验验证,在大规则集(3000条规则以上)下,两台千兆网卡主机之间的通信带宽仍可达到700Mbps,远远高于Ip6tables 100M左右的带宽。表明基于HiPACv6算法实现的IPv6防火墙具有较高的处理性能,可以满足企业级防火墙的应用需求。

论文目录

  • 摘要
  • Abstract
  • 第一章 概述
  • 1.1 课题背景
  • 1.2 研究内容
  • 1.3 国内外研究现状
  • 1.4 论文组织和结构安排
  • 第二章 Linux 防火墙架构和处理流程分析
  • 2.1 Linux 内核包处理流程
  • 2.1.1 Linux 内核包处理总体流程
  • 2.1.2 Linux 内核包发送流程分析
  • 2.1.3 Linux 内核包接收流程分析
  • 2.1.4 网卡收发报文软中断分析
  • 2.2 Netfilter 框架
  • 2.2.1 Netfilter 架构
  • 2.2.2 Linux 内核钩子点
  • 2.2.3 hook 的管理
  • 2.2.4 sockopt 的管理
  • 2.3 Iptables 机制
  • 2.3.1 Iptables 整体架构分析架构
  • 2.3.2 Iptables 相关数据结构分析
  • 2.4 Netfilter/Iptables 内核用户通信机制
  • 2.5 本章总结
  • 第三章 IPv6 防火墙高性能规则匹配算法HiPACv6 研究
  • 3.1 包分类算法
  • 3.2 IPv4 防火墙高速规则匹配算法分析
  • 3.2.1 目前高速规则匹配算法概述
  • 3.2.2 HiPAC 算法
  • 3.2.3 选择HiPAC 算法的原因
  • 3.2.4 IPv6 下HiPAC 算法的性能瓶颈
  • 3.3 IPv6 高性能规则匹配算法HiPACv6
  • 3.3.1 特征分析
  • 3.3.2 IPv6 高性能规则匹配算法基本思想
  • 3.3.3 位选取法
  • 3.3.4 包的匹配流程
  • 3.3.5 HiPACv6 算法实例分析
  • 3.4 本章总结
  • 第四章 系统实现与关键技术分析
  • 4.1 Linux 内核编程简介
  • 4.1.1 内核编程与用户态编程比较
  • 4.1.2 进程上下文与中断上下文区别
  • 4.1.3 内核编程同步机制
  • 4.1.4 内核与用户态通信机制
  • 4.1.5 内核内存管理函数
  • 4.1.6 内核开发调试
  • 4.2 HiPACv6 算法的Linux 内核实现
  • 4.2.1 系统总体结构
  • 4.2.2 用户态部分实现
  • 4.2.3 内核部分实现
  • 4.2.4 内核接收命令接口
  • 4.3 关键技术及难点分析
  • 4.3.1 HiPACv6 对UDP 分片包的处理
  • 4.3.2 HiPACv6 对加密报文的处理
  • 4.3.3 位选取法难点分析
  • 4.4 本章总结
  • 第五章 系统测试及结果分析
  • 5.1 IPv6 防火墙原型系统配置
  • 5.2 测试方案设计
  • 5.3 防火墙算法的功能测试
  • 5.4 性能分析
  • 5.5 本章总结
  • 第六章 总结与展望
  • 6.1 总结
  • 6.2 展望
  • 致谢
  • 参考文献
  • 作者在学期间取得的学术成果

    • 相关论文文献

    • [1].IPv6网络体系结构与网络改造[J]. 通讯世界 2019(12)
    • [2].关于校园网IPv6升级的思考[J]. 电脑编程技巧与维护 2019(12)
    • [3].电子政务外网IPv6网络部署安全风险及对策探究[J]. 江西通信科技 2019(04)
    • [4].IPV6网络环境下网络攻击探讨[J]. 数字通信世界 2019(12)
    • [5].基于5G和IPv6的闸门远程控制系统解决方案[J]. 四川水利 2020(02)
    • [6].运营级物联网IPv6演进方案研究与实践[J]. 信息通信技术与政策 2020(06)
    • [7].探讨物联网发展所需的5G技术和IPV6协议[J]. 中国新通信 2020(13)
    • [8].IPv6环境下基于超融合架构的智慧图书馆基础平台改造与实践[J]. 信息技术与信息化 2020(09)
    • [9].基于IPv6的网络运维机器人系统移动端设计与实现[J]. 数字通信世界 2020(10)
    • [10].关于金融业IPv6规模部署中的相关问题及对策[J]. 金融科技时代 2019(11)
    • [11].基于IPv6的校园网的设计与建设研究[J]. 山西电子技术 2016(06)
    • [12].基于IPv6的校园网技术升级及性能测量研究[J]. 中国新通信 2016(23)
    • [13].IPv6及其在电力自动化系统中的应用分析[J]. 中国电力 2016(12)
    • [14].基于IPv6环境下的网络安全关键技术研究[J]. 电脑知识与技术 2016(34)
    • [15].基于IPv6的视频会议系统中安全的关键技术的研究[J]. 民营科技 2017(05)
    • [16].IPv6环境面临的网络安全问题及对策探讨[J]. 江苏通信 2017(02)
    • [17].基于IPv6的智慧校园网络的设计与实现[J]. 科教文汇(上旬刊) 2017(03)
    • [18].IPv6下一代互联网带来网络安全新机遇[J]. 信息安全与通信保密 2017(07)
    • [19].基于校园网的IPv6过渡技术研究[J]. 电脑知识与技术 2017(23)
    • [20].企业物联网环境下IPv6技术应用分析[J]. 中国管理信息化 2016(06)
    • [21].一种适用于IPv6网络的可用带宽测量方法[J]. 世界科技研究与发展 2013(03)
    • [22].探究物联网中轻量级IPv6协议的研究与应用[J]. 电子测试 2015(08)
    • [23].基于IPv6的物联网技术及其标准化研究[J]. 信息技术与标准化 2015(05)
    • [24].基于IPv6的校园网建设研究与思考[J]. 计算机时代 2015(07)
    • [25].家庭网关IPv6宽带上网故障智能诊断方法研究与实践[J]. 电信技术 2015(10)
    • [26].天地互连-全球IPv6培训中心主任李震 下一代互联网实践与创新[J]. 中国教育网络 2017(01)
    • [27].IPv6技术和应用[J]. 农村科学实验 2017(03)
    • [28].部署IPv6正当时[J]. 中国教育网络 2017(08)
    • [29].物联网中轻量级IPv6协议实现技术概述[J]. 科技视界 2013(36)
    • [30].IPv6地址协议一致性测试系统设计与实现[J]. 计算机应用与软件 2013(11)

    标签:;  ;  ;  ;  

    面向IPv6防火墙的高性能规则匹配关键技术研究与实现
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5