VPN在基于NP的硬件防火墙的研究与实现

VPN在基于NP的硬件防火墙的研究与实现

论文摘要

随着互联网的飞速发展,网络带宽不断提升,伴随着网络技术的不断推陈出新,最早用于解决高速网络的ASIC等技术的开发周期过长,不容易升级等问题越来越被人们所重视,新的技术——网络处理器(NP)诞生了,它专门针对网络数据处理进行了硬件优化,能适应现代网络的高速度;可编程,能够快速升级以适应新的网络技术和应用。在此基础上开发的硬件防火墙将具有更强的功能和更好的处理性能。VPN即虚拟专用网(Virtual Private Network),是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输,在一个公用网络(通常是Internet)建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。本文主要研究VPN在基于Intel网络处理器的防火墙系统的设计。本文分为四部分:第一部分(本文第二章)介绍课题所涉及到的背景知识,包括防火墙,网络处理器,VPN基础知识等等,介绍其定义、发展史以及现状,为论文后续设计部分做知识铺垫。第二部分(本文第三章)进入VPN实现平台的介绍。介绍了硬件平台Intel IXP2400网络处理器,基于该网络处理器的防火墙的总体设计、功能分配等,对本项目中VPN的实现平台做了全面的介绍。第三部分(本文第四、第五章),详细叙述作者在本课题中所承担的工作。第四章是VPN相关的理论研究和设计思路。阐述了VPN实现过程中需要考虑得问题,以及这些问题的解决方案,包括VPN选用安全协议、选用IPSec中加密选项的安全性研究,密码算法选择以及VPN和NAT在防火墙上的兼容性研究。第五章是VPN模块的具体实现过程,详细地描述了VPN在防火墙中的实现。第四部分(本文第六章)对全文作了一个总结,总结了本系统的特点,指出了系统的不足之处,并提出改进意见,以及需要进一步探讨的问题。

论文目录

  • 摘要
  • Abstract
  • 目录
  • 图表目录
  • 第一章 序言
  • 1.1 项目来源及意义
  • 1.2 国内外发展状况
  • 1.2.1 网络处理器的发展状况
  • 1.2.2 VPN的发展状况
  • 1.3 研究内容
  • 1.4 论文结构
  • 第二章 VPN基础知识简介
  • 2.1 防火墙基础知识
  • 2.1.1 防火墙的概念
  • 2.1.2 防火墙的原理与分类
  • 2.1.3 防火墙的常见技术
  • 2.2 网络处理器介绍
  • 2.2.1 数据平面与控制平面
  • 2.2.2 快速通道与慢速通道
  • 2.2.3 主流网络处理器产品
  • 2.3 VPN基础知识
  • 2.3.1 VPN的概念
  • 2.3.2 VPN的分类
  • 2.3.3 VPN的实现要求
  • 第三章 VPN实现平台研究及设计
  • 3.1 Intel IXP2400网络处理器
  • 3.1.1 Intel IXA架构
  • 3.1.1.1 Intel IXA定义
  • 3.1.1.2 微引擎技术
  • 3.1.1.3 Intel XScale技术
  • 3.1.1.4 Intel IXA可移植性框架
  • 3.1.2 Intel IXP2400网络处理器
  • 3.1.2.1 上层核心处理器Intel Xscale Core
  • 3.1.2.2 微引擎
  • 3.1.2.3 SRAM控制器
  • 3.1.2.4 DRAM控制器
  • 3.1.2.5 PCI控制器
  • 3.1.2.6 介质和交换结构接口MSF
  • 3.1.3 IXP2400的主要特征和优点
  • 3.2 基于NP的防火墙总体设计目标
  • 3.2.1 主要创新点
  • 3.2.2 系统的配置使用模式
  • 3.2.3 开发和运行环境
  • 3.3 基于NP的防火墙硬软件结构
  • 3.3.1 防火墙硬件结构
  • 3.3.2 防火墙软件结构
  • 3.3.2.1 数据高速通道
  • 3.3.2.2 核心控制平面
  • 3.4 微引擎功能划分
  • 3.5 核心模块功能划分
  • 3.6 基于NP的防火墙系统总体流程
  • 第四章 VPN在基于NP的防火墙上的设计
  • 4.1 VPN安全协议设计
  • 4.1.1 基于PPTP协议的VPN架构
  • 4.1.1.1 协议概述
  • 4.1.1.2 VPN中PPTP协议数据传输过程
  • 4.1.2 L2TP协议
  • 4.1.3 IPsec协议
  • 4.1.3.1 AH协议
  • 4.1.3.2 ESP协议
  • 4.1.3.3 IKE协议
  • 4.1.4 各种协议实现VPN的优缺点
  • 4.2 VPN中IPsec的ESP加密选项设计
  • 4.2.1 基于目的地址重写的攻击
  • 4.2.2 基于IP选项处理的攻击
  • 4.2.3 基于协议字段的操纵的攻击
  • 4.2.4 影响和措施
  • 4.3 VPN中密码算法设计
  • 4.3.1 加密算法和散列算法简介
  • 4.3.2 各种算法的优缺点比较
  • 4.4 VPN和NAT的兼容性研究与设计
  • 4.4.1 NAT的特性
  • 4.4.2 NAT与VPN的不兼容性
  • 4.4.3 NAT和VPN兼容性要求
  • 4.4.4 VPN的防火墙穿透设计方案
  • 4.4.5 方案的安全性分析
  • 4.5 本章小结
  • 第五章 VPN在基于NP的防火墙上的实现
  • 5.1 VPN总体设计
  • 5.1.1 VPN的设计目标
  • 5.1.2 VPN的模块划分
  • 5.2 VPN初始化处理
  • 5.3 VPN包处理过程
  • 5.3.1 入站包处理过程
  • 5.3.2 出站包处理过程
  • 5.3.3 NAT穿透的VPN处理过程
  • 5.4 VPN密码和散列算法模块
  • 5.5 VPN主要数据结构
  • 5.5.1 VPN动态表
  • slist表'>5.5.2 VPN服务器端VPNslist表
  • link表'>5.5.3 VPN连接表VPNlink表
  • 5.6 本章小结
  • 第六章 展望与总结
  • 6.1 VPN的发展前景展望
  • 6.2 本文总结
  • 致谢
  • 参考文献
  • 攻硕期间取得的成果
  • 相关论文文献

    标签:;  ;  

    VPN在基于NP的硬件防火墙的研究与实现
    下载Doc文档

    猜你喜欢