论文部分内容阅读
随着信息化进程不断深入各行各业,在人们的日常生活和工作中网络正发挥着越来越重要的作用,已经是现代人生活不可缺少的一个重要组成部分。为提高影响力,各级政府和企事业单位也都利用网络宣传自己。但是在给人们带来极大方便和巨大收益的同时网络也造成了巨大的损失。因此网络用户已经开始广泛关注网络安全和信息安全问题。为建立更加安全可靠的信息网络,研究网络安全技术已变得非常必要和迫切。防火墙是目前最为流行也是使用最为广泛的一种网络信息安全技术。本论文给出了系统的各种架构、核心模块的处理流程、包分类算法的软硬件实现方案以及整机的功能和性能测试方案,具体内容如下:首先在深入分析各种防火墙技术以及常见防火墙架构的基础上,从总体架构、功能架构和运行架构各个侧面来讨论防火墙架构,确定了每个模块有哪些组成部分、运行时的形态、以及如何与外部模块交互等。在功能方面也从架构角度考虑,划分出整个系统的大功能模块,并且为暂时并不实现的模块预留接口。其次通过分析二三层数据包的交换和转发过程确定了转发模块的内部处理流程,并对比了包过滤和状态检测技术的模型和效率,确定本系统使用状态检测技术并给出了实现流程。再者研究了TCAM的特性和工作原理,给出了包分类算法的硬件实现方案、改进方法以及实际测试结果,接着,针对TCAM价格昂贵、功耗大并且容量小的缺点,讨论了软件实现方案并提出了改进方法,经测试后比硬件方案性能更好。最后给出了整机功能的自动化测试框架以及Bug定位流程,性能测试拓扑、测试工具和测试结果,从测试结果可以看出本系统比全球领先的互联网和安全性解决方案供应商Juniper的SRX5600/5800的性能还要好,填补了国内高性能防火墙市场的空白。