| 【中文题名】 | 高性能防火墙技术的研究与实现 |
| 【英文题名】 | Study and Implement of High Performance Firewall Technology |
| 【学科专业】 | 控制理论与控制工程 |
| 【论文级别】 | 硕士论文 |
| 【投稿时间】 | 2005-7-8 |
| 【中关键词】 | 网络安全,防火墙,状态包过滤,窗口跟踪机制,Linux,Netfilter |
| 【英关键词】 | Network security,Firewall,Stateful packet filtering,Window-tracking mechanism,Linux,Netfilter,Firewall penetration test, |
| 【分类导航】 | 工业技术>自动化技术、计算机技术>计算技术、计算机技术>计算机的应用>计算机网络>一般性问题 |
| 【论文摘要】 | Internet以惊人的速度在全球发展,正广泛渗透到人们生活的各个领域。然而,随之而来的网络安全问题,使人们在享受网络便利的同时,还要面对网络入侵的威胁。为了应对日益严峻的网络安全形势,出现了各种各样的安全技术。防火墙技术是其中一种非常重要的防御手段,正被广泛应用于各种网络环境中。
随着防火墙技术的发展,出现了各种实现技术。比较有代表性的有传统包过滤技术、应用网关技术和状态包过滤技术。传统包过滤技术具有较高的处理速度,但由于其缺乏对数据包高层信息的理解,导致其安全性比较低。应用网关技术则恰恰相反,它能对数据包在高层应用协议中的合法性进行检查,具有比较高的安全性,但却具有处理速度比较低的弱点。而状态包过滤技术则很好的融合了传统包过滤和代理网关的优点,既具有很高的处理转发速度,又具有较好的安全性,是当今防火墙领域的主流实现技术。
状态包过滤是一种高性能的防火墙技术,状态检测机制作为其核心,与它的性能息息相关,是本文研究的重点。本文的工作安排如下:
我们根据Guido van Rooij提出的利用TCP数据包中序列号和确认号的变化规律进行状态匹配的思想,设计了窗口跟踪机制。本文对... |
| 【论文题纲】 |
|
摘要 |
5-7 |
|
Abstract |
7-11 |
|
第一章 引言 |
11-14 |
|
1.1 研究背景 |
11-12 |
|
1.2 论文的工作及意义 |
12-13 |
|
1.3 论文的内容组织 |
13-14 |
|
第二章 传统防火墙技术 |
14-20 |
|
2.1 防火墙的分类 |
14-16 |
|
2.2 防火墙实现技术 |
16-20 |
|
第三章 TCP协议相关技术 |
20-28 |
|
3.1 TCP协议首部结构 |
20-22 |
|
3.2 TCP连接的生命周期 |
22-24 |
|
3.3 TCP滑动窗口协议 |
24-25 |
|
3.4 TCP数据缓冲区分析 |
25-28 |
|
第四章 新型的状态包过滤技术 |
28-45 |
|
4.1 基本原理 |
28-31 |
|
4.2 速度分析 |
31-33 |
|
4.3 安全性分析 |
33-35 |
|
4.4 状态检测机制的设计 |
35-45 |
|
4.4.1 序列号验证窗口界限的确定 |
37-42 |
|
4.4.2 确认号验证窗口界限的确定 |
42-45 |
|
第五章 状态包过滤技术在原型系统上的实现 |
45-76 |
|
5.1 系统的设计目标 |
45-50 |
|
5.2 系统的组成结构及处理流程 |
50-51 |
|
5.3 系统具体实现 |
51-66 |
|
5.3.1 内核状态检测模块的实现 |
51-65 |
|
5.3.2 用户控制模块的实现 |
65-66 |
|
5.4 实现过程中存在的问题 |
66-67 |
|
5.5 测试实验 |
67-68 |
|
5.6 实验数据分析 |
68-76 |
|
第六章 总结与展望 |
76-78 |
|
参考文献 |
78-80 |
|
附录A 状态包过滤原型系统源代码 |
80-96 |
|
攻读学位期间发表(录用)的学术论文 |
96-97 |
|
致谢 |
97 |
|
| 【DOI】 | LunWen.ID:2.2008.370644 |
