论文题目: 安全策略中心与NP架构防火墙的设计与实现
论文类型: 硕士论文
论文专业: 计算机软件与理论
作者: 郝宁
导师: 罗军舟
关键词: 网络安全,防火墙,网络处理器,安全策略中心,主动式安全防范系统
文献来源: 东南大学
发表年度: 2005
论文摘要: 当前网络安全的研究有两个侧重点,分别是如何提高安全防护设施的安全性和处理速度。提高安全性的研究致力于利用多种安全防护设施(包括防火墙,入侵检测系统和安全评估系统等)实现综合的安全防护体系,通过安全设施之间的信息共享和联动响应,提高安全防范系统的安全性。提高处理速度的研究主要是为了适应网络带宽的不断增长,研究如何提高网络安全设施的处理速度,特别是网络边界设备——防火墙的吞吐量,网络处理器的出现为防火墙硬件化提供了一条新的途径。本文的工作以江苏省科技计划项目“主动式安全防范系统的研究”(课题编号BG2004036)为背景,主要工作从提高安全性和处理速度出发,可以分为两大部分。第一部分是安全策略中心的设计与实现,改进了传统的入侵检测系统与核心防火墙直接联动的方式,综合利用IDS的入侵告警信息和内网安全扫描器提供的扫描结果制定联动策略并通过核心防火墙进行实施;同时安全策略中心能够发现防火墙策略中的存在的异常和冲突,辅助管理员对核心防火墙进行正确合理的配置。第二部分是基于网络处理器(NP)架构的防火墙的设计与部分实现,本文给出了基于Intel公司IXP2400网络处理器的防火墙系统详细设计方案,实现了简单包过滤防火墙系统SimFilter,并对其进行了测试与仿真。本文的具体工作主要包括:在主动式安全防范系统中,提出了安全策略中心模型,改进了直接联动方式,给出了安全策略中心的模块化详细设计,提高了联动响应行为的合理性。在主动式安全防范系统中实现了安全策略中心,并与系统中其他安全设施(入侵检测系统、面向内部网的安全扫描系统以及核心防火墙)进行了集成。在研究Intel IXP系列网络处理器软硬件体系结构的基础上,结合主动式安全防范系统项目需求,给出了具备包过滤、网络地址转换(NAT)和虚拟专用网(VPN)功能的防火墙系统详细设计方案。在Intel IXP2400网络处理器上实现了一个简单的包过滤防火墙系统SimFilter,提高了主动式安全防范系统中核心防火墙性能;并进行了功能测试和性能上的仿真,根据测试结果对下一步研究给出建议。
论文目录:
摘要
ABSTRACT
第1章 引言
1.1 研究背景
1.2 国内外研究现状
1.2.1 安全联动技术研究现状
1.2.2 基于网络处理器的硬件防火墙
1.3 主动式安全防范系统
1.4 论文研究内容及组织结构
第2章 安全策略中心的系统设计
2.1 入侵响应概述
2.1.1 入侵响应系统的分类
2.1.2 入侵响应方式
2.2 安全策略中心的整体设计
2.2.1 安全策略中心模型
2.2.2 安全策略中心框架及功能模块
2.3 安全联动策略的制定
2.3.1 针对安全扫描结果的决策
2.3.2 针对入侵检测告警的决策
2.4 防火墙策略的异常发现
2.4.1 防火墙规则的形式化
2.4.2 两条防火墙规则之间关系
2.4.3 防火墙策略中的异常
2.4.4 两条防火墙规则间的异常发现
2.4.5 防火墙规则集的树形表示
2.5 基于SSL的安全传输技术
第3章 安全策略中心的系统实现
3.1 安全策略中心系统模块的实现
3.1.1 安全策略中心系统进程
3.1.2 安全策略中心系统日志
3.2 联动策略制定模块的实现
3.3 防火墙策略异常发现模块的实现
3.3.1 防火墙策略树的实现
3.3.2 异常发现的实现
3.4 安全通信模块的实现
3.4.1 安全传输的实现
3.4.2 报文格式设计
3.5 安全策略中心小结
第4章 INTEL网络处理器体系结构研究
4.1 网络处理器的通用体系结构
4.2 网络处理器核心功能
4.3 INTEL IXA架构及IXP系列网络处理器
4.4 IXP2400 的硬件体系结构
4.4.1 INTEL XSCALE核
4.4.2 微引擎MICROENGINE V2
4.4.3 MSF(MEDIA AND SWITCH FABRIC)单元
4.4.4 SHAC单元
4.4.5 IXP2400 存储器控制单元
4.5 IXA软件体系结构
4.5.1 网络处理器软件体系结构
4.5.2 IXA 软件框架结构
4.6 微引擎编程模型
4.6.1 流水线模型(HTC)
4.6.2 线程池模型(POT)
4.6.3 选择合适的编程模型
4.7 网络处理器(NP)与通用处理器(GPU)的比较
第5章 基于IXP2400 网络处理器的防火墙系统
5.1 基于IXP2400 的防火墙系统整体设计
5.1.1 防火墙系统的功能
5.1.2 基于IXP2400 的设计方案
5.2 简单包过滤防火墙SIMFILTER的实现
5.2.1 SIMFILTER的设计
5.2.2 接收数据包模块RX的实现
5.2.3 包过滤模块FILTER的实现
5.2.4 发送数据包模块TX的实现
5.3 开发及测试环境
5.3.1 开发环境的搭建
5.3.2 测试环境的搭建
5.4 SIMFILTER的测试与仿真
5.4.1 功能测试
5.4.2 性能测试仿真
第6章 论文总结及展望
6.1 理论成果总结
6.2 实践成果总结
6.3 下一步工作
参考文献
缩写词列表
硕士阶段参加项目及发表论文情况
硕士阶段从事的科研工作:
硕士阶段发表的论文:
致谢
作者简介
发布时间: 2007-06-11
参考文献
- [1].基于NP的高端路由器线卡的硬件设计[D]. 齐剑.武汉邮电科学研究院2015
- [2].基于NP的高端路由器流量控制方案的研究与实现[D]. 王进伟.西南交通大学2011
- [3].NP防火墙中协议栈驱动系统设计与实现[D]. 韩志耕.东南大学2006
- [4].基于NP的防火墙开发中动态端口协议的实现[D]. 王风利.北京邮电大学2006
- [5].基于NP的高速网络入侵检测分流器的设计与实现[D]. 戴争辉.湖南大学2006
- [6].基于NP的多功能网关研究与设计[D]. 王彬.福州大学2006
- [7].NP型多网网关的软硬件模块的实现[D]. 张昊德.西安电子科技大学2015
- [8].基于NP的分组转发与流量控制模块的研究[D]. 高小冬.西安电子科技大学2015
- [9].ForCES架构安全网关中若干逻辑功能块的设计及在NP上的实现[D]. 陈坷.浙江工商大学2009
- [10].基于NP的P2P协议识别及流量控制[D]. 严平利.北京邮电大学2006
相关论文
- [1].分布式安全策略模型的改进与实现[D]. 马薇薇.大连理工大学2007
- [2].安全策略管理系统中策略描述及策略翻译关键技术研究[D]. 代向东.解放军信息工程大学2007
- [3].基于防火墙的企业网络安全策略及实现技术研究[D]. 田涛.中国科学院研究生院(计算技术研究所)2004
- [4].基于策略的防火墙技术的研究与实现[D]. 丁方.西北工业大学2007
- [5].Linux下IPSec的实现分析及其与防火墙协同工作的改进设计[D]. 代仁东.西安理工大学2006
- [6].网上认证系统实现及安全策略研究[D]. 李尊勇.山东大学2007
- [7].内容检测防火墙系统的设计与实现[D]. 刘洋.电子科技大学2007
- [8].基于防火墙技术的网络安全机制研究[D]. 曹莉兰.电子科技大学2007
- [9].防火墙配置的异常检测与优化研究[D]. 吴晓刚.广州大学2007
- [10].信息系统的安全策略及若干技术研究[D]. 闫树.武汉理工大学2007
标签:网络安全论文; 防火墙论文; 网络处理器论文; 安全策略中心论文; 主动式安全防范系统论文;