基于网络处理器的防火墙安全过滤设计与实现

首先分析了当前的网络安全现状和网络处理器的应用背景，明确了本课题的研究意 义．研究了网络处理器的体系结构，分析了防火墙技术的发展，对IBM网络处理器的编程 环境介绍。其次，分析了网络处理器微码的执行环境，然后设计出微码的处理流程和防 火墙功能模块的处理流程。接着，本章对防火墙安全过滤分析和设计，各个功能模块的 设计原理和功能模块的工作流程。最后是对千兆防火墙各个安全过滤模块的测试结果 本文主要有以下一些创新： 1．实现一种不依赖操作系统协议栈进行安全过滤的技术。通过芯片中的微码，而不 用外围操作系统直接管理产品的所有硬件，在底层硬件设备中接管进出安全产品的数据 并进行处理，大大减少了防火墙本身的安全漏洞，提升了防火墙本身的安全性和抗攻击 能力。 2．提出状态表倍速检测算法。针对已建立连接，对数据包(请求和回应的数据包) 的状态检查一次完成，保证每秒2万个新建连接，支持100万个并发连接。 3．提出规则表非线性匹配算法。对安全规则集进行动态平衡分布，使防火墙对规则 集内任意一条规则的匹配时间近似恒定，突破了传统防火墙的性能限制，极大的提高了 网络处理性能。 4．数据重组技术。为了正确理解网络中的数据流，采用了IP分片重组和TCP流重 组技术，并使用了会话重组技术将多个连接组成单一的会话。通过数据重组技术，攻击 者恶意伪造的企图扰乱视线的异常数据包将被防火墙丢弃，重组后的数据流被送往入侵 过滤模块进行下一步检测。