基于IXP425网络处理器的嵌入式防火墙设计

论文摘要

互联网己经进入一个崭新的时代,日益成为我们日常生活的一部分,但同时,带来的安全问题也日益突出,成为一个不得不重视的问题。嵌入式平台作为一种安全、高效、低成本的平台,已经被广泛的运用到各个领域,这其中当然也包含网络安全领域。传统的杀毒软件依赖于庞大的病毒库来提供对计算机的防御和保护,但随着近年来病毒数量和类型的剧增,病毒库呈现出巨大的膨胀,而且病毒库的更新永远赶不上病毒的传播,这种网络的防御方式呈现出极大的缺陷。国内的硬件防火墙多是基于Intel X86系列架构的产品,由于X86架构本身的缺陷,使它的性能无法实现突破。而采用ASIC专用硬件加速的防火墙虽然可以明显提升防火墙的吞吐性能,但对于升级维护的灵活性和扩展性不够,而且开发费用高,开发周期长。网络处理器结合了通用处理器可编程和ASIC的优点。网络处理器是专门为网络设备处理网络流量而设计的处理器,其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。本文提出一种将网络处理器与嵌入式Linux相结合的防火墙,采用默认禁止一切,明确地允许被选择的数据包通过的数据包默认策略,设计出一种能够很大程度上保护内网安全的包过滤防火墙。本设计在全面分析IXP425硬件开发平台的基础上,定制了Redboot作为启动引导程序,采用经过剪裁的Linux2.4作为操作系统平台,为上层软件实现提供了稳定可靠的支持。并深入研究了Linux防火墙内核,掌握Linux防火墙内核框架的实现机制,在集成IXP425网络处理器的硬件平台上,实现了一个拥有基本包过滤功能的嵌入式防火墙,并设计出人性化的图形化配置界面,能够使用户方便的实时配置防火墙,加入用户的自定义规则。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 研究背景

1.2 国内外研究现状

1.3 本文的主要工作

第二章防火墙技术

2.1 防火墙的概念和功能

2.2 LINUX 防火墙

2.3 数据包过滤技术

2.4 LINUX 防火墙管理程序IPTABLES

2.4.1 iptables 简介

2.4.2 iptables 的运作原理

2.4.3 iptables 的实现命令

2.5 本章小结

第三章 IXP425 系统硬件平台

3.1 IXP4XX 系列网络处理器

3.2 IXP425 的结构

3.2.1 IXP425 的内核

3.2.2 网络处理引擎（NPE）

3.3 IXP425 硬件开发平台

3.3.1 SDRAM 模块电路

3.3.2 基于NPE 扩展的WAN/LAN 模块

3.3.3 基于PCI 总线的以太网接口模块

3.3.4 FLASH 接口电路

3.3.5 UART 接口电路

3.3.6 JTAG 接口电路

3.4 本章小结

第四章防火墙总体功能设计和实现

4.1 软件平台环境搭建

4.1.1 主机开发环境建立

4.1.2 引导程序Bootloader

4.1.3 定制Linux 内核

4.1.4 根文件系统的定制

4.2 建立基本的防火墙规则

4.2.1 选择默认的数据包过滤策略

4.2.2 利用iptables 配置工具完成防火墙的具体设计

4.2.3 URL 过滤功能设计

4.3 基于WEB 的图形化配置界面

4.3.1 BOA web 服务器的配置

4.3.2 CGI 设计

4.3.3 URL 过滤功能的远程配置

4.3.4 客户端配置界面

4.4 本章小结

第五章总结和展望

5.1 总结

5.2 展望

参考文献

致谢

附录攻读硕士期间发表的文章

基于IXP425网络处理器的嵌入式防火墙设计

论文摘要

论文目录

相关论文文献

猜你喜欢