基于IXP2400的防火墻應(yīng)用設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn),計(jì)算機(jī)網(wǎng)絡(luò)安全成為了目前全球網(wǎng)絡(luò)發(fā)展中尚待解決的一個(gè)重要問(wèn)題,而防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全的一個(gè)重要手段.在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型,通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域(即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連線,同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn).但是,防火墻作為必備的安全手段,其性能又可能成為限制網(wǎng)絡(luò)帶寬的瓶頸.傳統(tǒng)的代理型防火墻雖然可以提高到較高級(jí)別的安全保護(hù),但同時(shí)它也成為限制網(wǎng)

2、絡(luò)帶寬的瓶頸,極大地限制了在網(wǎng)絡(luò)中的實(shí)際應(yīng)用.本課題采用INTEL IXA架構(gòu)開(kāi)發(fā)的新一代防火墻,它不僅能夠更好地保護(hù)防火墻內(nèi)部網(wǎng)絡(luò)的安全,而且也保證了高速網(wǎng)絡(luò)環(huán)境下千兆防火墻產(chǎn)品的數(shù)據(jù)處理包括過(guò)濾、內(nèi)容檢查、高速交換、加密等諸多方面的要求,具有更加優(yōu)良的整體性能.本課題中的整個(gè)防火墻系統(tǒng)主要由IXP2400網(wǎng)絡(luò)處理器、主機(jī)系統(tǒng)、防火墻管理軟件構(gòu)成.整個(gè)系統(tǒng)建立在網(wǎng)絡(luò)之上,以包過(guò)濾技術(shù),NAT技術(shù)為核心,實(shí)現(xiàn)包過(guò)濾、NAT轉(zhuǎn)換、日志、系

3、統(tǒng)管理等功能.本文中涉及的Intel IXA是以Intel IXP網(wǎng)絡(luò)處理器為核心,這些網(wǎng)絡(luò)處理器的特征在于一種有多處理器的結(jié)構(gòu),Intel IXA架構(gòu)包括三個(gè)決定性的單元:微引擎,Intel Xscale微結(jié)構(gòu),Intel IXA硬件抽象層.在設(shè)計(jì)和實(shí)現(xiàn)的過(guò)程中,在此架構(gòu)上采用MicroC語(yǔ)言設(shè)計(jì)防火墻,將防火墻的過(guò)濾、NAT、VPN等功能結(jié)合在一起,提供從第二層到第七層的安全保護(hù),課題中可采用C語(yǔ)言開(kāi)發(fā)日志分析處理程序和網(wǎng)絡(luò)流量分析

4、統(tǒng)計(jì)程序,并結(jié)合數(shù)據(jù)庫(kù)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)計(jì)費(fèi)功能,在系統(tǒng)管理方面針對(duì)不同的管理需求和應(yīng)用方式,設(shè)計(jì)不同的管理應(yīng)用系統(tǒng).本文首先介紹了網(wǎng)絡(luò)安全和防火墻方面的一些背景知識(shí),對(duì)傳統(tǒng)防火墻的優(yōu)缺點(diǎn)進(jìn)行了分析,結(jié)合IXA網(wǎng)絡(luò)處理器本身所具有的優(yōu)點(diǎn),說(shuō)明使用該系列網(wǎng)絡(luò)處理器開(kāi)發(fā)防火墻產(chǎn)品是下一代防火墻的最好選擇.本文也詳細(xì)敘述了Intel IXA架構(gòu),闡述了IXP2400網(wǎng)絡(luò)處理器的硬件、軟件結(jié)構(gòu)和功能函數(shù),在此基礎(chǔ)上針對(duì)本文設(shè)計(jì)的防火墻做了軟件和硬件的