基于NetFPGA的动态可配置在线过滤技术研究与实现

摘要

随着网络技术的迅猛发展,越来越多的信息通过互联网传送,信息共享已成为当今网络社会的发展趋势,然而人们在享受网络信息共享的同时,也不得不面对因互联网而滋生的一些病毒、网络攻击等非法手段带来的困扰,防火墙便应运而生。网络带宽的提高、网络应用的增多和攻击行为的多样化给防火墙提出了严峻的挑战,传统单一的包过滤、状态检测等软件防火墙已远远满足不了需求,性能的瓶颈和功能的单一成为当前网络安全面临的挑战。
　　 本文首先介绍了安全过滤系统的研究现状,分析各种安全过滤架构的利弊,就FPGA(Field-Programmable Gate Array)在网络处理上体现的高性能和灵活性,提出了基于NetFPGA的动态可配置在线过滤系统。其次简单介绍系统的整体设计框架,接着详细介绍系统每个模块的实现方法和过程,最后总结了整个设计过程并提出需要改进的地方。
　　 本文用FPGA实现包过滤和状态检测防火墙,针对传统状态检测中状态表占用空间大的情况,提出了一种新的存储状态表方法,其空间占用量远小于传统的状态检测;用FPGA实现部分snort规则,参照计算机的RISC(Reduced InstructionSet Computer)指令集思想,对snort规则进行分类统计,将规则集中常用的规则字段提取出来,设计内容检测模板,然后用硬件实现,其他的规则用软件实现。包过滤提供对数据包头部的静态过滤,状态和内容检测提供对有效载荷的动态检测,及时发现并报告网络中异常或未授权现象的系统,一动一静,相得益彰。同时提出首尾并行匹配的字符串匹配方法,实现30条规则的并行匹配,对内容检测进行加速匹配;用RAW Socket编程,实现对NetFPGA中存储的过滤规则进行远程配置。
　　 本文较系统地从软硬件实现、算法设计完成关于动态可配置在线过滤技术的研究。

目录

文摘

英文文摘

第一章 绪论

1.1 论文的研究背景与意义

1.2 研究现状

1.2.1 安全过滤系统

1.2.2 基于硬件的安全过滤系统

1.3 研究内容与创新点

1.4 论文的组织结构

第二章 系统的整体设计

2.1 防火墙技术

2.1.1 防火墙技术概述

2.1.2 防火墙体系结构的发展趋势

2.2 基于FPGA的安全过滤系统

2.3 基于NETFPGA的安全过滤系统整体设计

2.3.1 整体设计

2.3.2 各功能模块作用

2.4 小结

第三章 基于NETFPGA的包过滤技术设计与实现

3.1 硬件开发平台

3.1.1 开发平台简介

3.1.2 NETFPGA工程

3.2 包过滤技术简介

3.3 基于NETFPGA的包过滤技术设计与实现

3.4 小结

第四章 基于NETFPGA的状态检测系统设计与实现

4.1 状态检测技术原理

4.2 基于NETFPGA的TCP状态检测系统

4.3 以太网控制器的设计与实现

4.3.1 以太网控制器简介

4.3.2 以太网控制器设计与实现

4.4 TCP状态检测的设计与实现

4.4.1 数据结构

4.4.2 FCP状态检测算法设计

4.4.3 空间占用量分析

4.5 实验与结果

4.6 小结

第五章 基于NETFPGA的内容检测系统设计与实现

5.1 内容检测技术原理

5.2 基于NETFPGA的内容检测系统

5.3 snort入侵检测系统分析

5.3.1 入侵检测技术

5.3.2 snort简介

5.3.3 snort结构

5.3.4 snort工作机制

5.3.5 snort规则

5.4 内容检测系统的设计与实现

5.4.1 设计思路

5.4.2 数据结构

5.4.3 内容检测系统设计

5.5 首尾并行匹配算法

5.6 动态可配置技术

5.6.1 设计思路

5.6.2 实现方法

5.7 实验结果

5.8 小结

第六章 结论与展望

参考文献

致谢

附录