网络数据包深度内容过滤设备的研制

摘要

在互联网日益发展的今天，人们通过互联网自身的眼界和认知也随之日益广阔和加深。随着交流日益的方便和及时，网络信息的安全也越来越受人们的关注和重视。早期的防火墙虽然在访问控制方面性能优越，但是对于网络报文的数据内容缺乏分析。传统的基于x86架构的软件网络报文分析系统虽然可以保证信息安全，但是其系统整体速度让人无法忍受。现在虽然有NP一类专有技术平台可以满足报文深度过滤的要求，但是由于其移植性差，价格昂贵等原因一般客户是无法接受的。因此，研究和设计高性价比的网络数据包深度内容过滤设备显得异常必要。
　　本文对现阶段已有的技术平台进行了分析和比较，对各种防火墙技术和内容过滤算法进行了研究，把防火墙控制技术和深度内容过滤技术进行了融合，将网络数据包深度内容过滤分为访问控制和报文深度内容检索两个阶段，前者根据IP报文中的固定信息进行处理和控制，后者根据IP报文中的内容部分进行分析和处理。
　　在本项目研制中，采用FPGA硬件平台构建了网络数据包深度内容过滤设备。网络数据包深度内容过滤通过规则表对IP报文进行初步的分类处理；只有根据规则表认为是受怀疑的IP报文才交给下一步骤进行内容部分的分析和处理，采用这一方案获得了较高的系统吞吐率。此外为了进一步提高系统的吞吐率，采用了“状态表”和多个并行“内容搜索引擎”技术手段。“状态表”对已经根据规则表进行了处理的，来自同一IP和端口的报文进行快速搜索和处理；并行“内容搜索引擎”通过并行的内容搜索引擎来提高深度内容搜索的吞吐率。
　　最后，基于项目设计要求，完成硬件原理图设计和有关系统硬件的FPGA程序设计，验证了其设计的合理性和正确性。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 引 言

1.1 课题背景

1.2 项目实用价值

1.3 国内外研究动态

1.4 项目目标及论文内容

第二章 网络数据包深度内容过滤设备功能分析与结构设计

2.1网络数据包深度内容过滤设备的网络拓扑结构

2.2网络数据包深度内容过滤设备的物理结构

2.3 设备的吞吐率设计

2.4网络数据包深度内容过滤设备的功能模块分析

2.5 网络数据包深度内容过滤设备的架构设计

2.6 本章小结

第三章 访问控制逻辑的设计

3.1 规则表逻辑的设计

3.2 状态表逻辑的设计

3.3 本章小结

第四章 深度内容过滤的逻辑设计

4.1 深度内容过滤模块的设计

4.2 过滤器的双缓冲方案

4.3 内容匹配的并发设计---过滤器匹配模块组

4.4 本章小结

第五章 网络数据包深度内容过滤设备的硬件设计

5.1 FPGA的选型

5.2 PHY芯片的选型

5.3 规则表存储器件的选型

5.4 数据包存储器件的选型

5.5 硬件电源器件的选型

5.6系统时钟电路的选型

5.7系统硬件设计架构

5.5 本章小结

第六章 网络数据包深度内容过滤设备FPGA试验仿真

6.1 zbtsram控制模块的功能验证

6.2 DDR2控制模块的功能验证

6.3 MAC 控制模块的功能验证

6.4 本章小结

第七章 结论

致谢

参考文献