作為在保障網(wǎng)絡安全方面扮演著至關重要角色的防火墻技術從出現(xiàn)到發(fā)展至今一直是網(wǎng)絡安全研究中的關鍵技術之一,隨著互聯(lián)網(wǎng)的迅猛發(fā)展,它在信息化、網(wǎng)絡化的過程中也變的越來越重要。為了使防火墻能快速且深入地對網(wǎng)絡數(shù)據(jù)傳輸過程中的海量信息進行安全檢測,并能應對來自各個網(wǎng)絡層的威脅,將傳統(tǒng)的基于軟件的防火墻轉向硬件平臺實現(xiàn)是不可阻擋的發(fā)展趨勢。 首先闡述了網(wǎng)絡安全的現(xiàn)狀、網(wǎng)絡安全研究的重大意義、防火墻目前的發(fā)展狀況及未來的發(fā)展趨勢,然后介紹了防火墻的概念、功能和分類。重點分析了著名的開源入侵檢測系統(tǒng)Snort的功能實現(xiàn)及數(shù)據(jù)結構,對Linux中自帶的網(wǎng)絡安全工具Iptables/Netfilter的工作原理做了簡要介紹,然后對現(xiàn)在較流行的基于軟件的字符串匹配算法和硬件實現(xiàn)方法進行對比分析,通過對已存在的解決方法的深入研究,提出了基于ARM處理器并采用內容可尋址存儲器(CAM)的硬件防火墻系統(tǒng)設計方案。將Snort中對數(shù)據(jù)包載荷檢測部分中的順序檢測替換為由CAM結合Wu-Manbcr多模式匹配算法實現(xiàn),其中CAM完成短模式匹配,Wu-Manber算法完成長模式匹配,并將Snort與Iptables/Netfilter有機結合移植到基于ARM的嵌入式平臺中,系統(tǒng)可以通過主機對防火墻的狀態(tài)進行實時監(jiān)控和規(guī)則更新。 設計了防火墻的整個硬件電路,其中重點分析了CAM模塊的設計。通過對Sourcefire的Snort VRT2.4版免費規(guī)則庫的統(tǒng)計分析和計算模擬得出了對規(guī)則集的最佳劃分長度;在軟件部分研究了Bootloader制作、Linux內核的裁減與移植及根文件系統(tǒng)制作等內容。重點分析了摩托羅拉公司的專用CAM芯片MCM69C432的驅動程序設計和相應的調用方法,并結合主機軟件部分的功能分析了雙方的通信協(xié)議及實現(xiàn),最后通過程序對系統(tǒng)仿真并選用林肯數(shù)據(jù)集進行模擬測試,測試結果表明系統(tǒng)比以前效率有了大幅提高,過濾速度已達到最初設計目標,證明了此硬件防火墻方案的可行性。 最后總結了本人的工作并指出此種方案的硬件防火墻的不足、需要改進之處和它的良好應用前景。
標簽:
ARM
硬件
防火墻
上傳時間:
2013-07-24
上傳用戶:lanwei
