基于IntelIXA架构的防火墙技术的设计与实现.docVIP

下载本文档

4
0
约5.12万字
约 77页
2017-09-08 发布于江苏
举报
版权申诉

基于IntelIXA架构的防火墙技术的设计与实现.doc

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

摘要防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中。但是，防火墙作为必备的安全手段，其性能直接决定了网络速度。例如传统的代理型防火墙虽然可以提供较高级别的安全保护，但它同时也成为限制网络带宽的瓶颈，这极大地制约了在网络中的实际应用。新一代防火墙系统不仅应该能更好地保护防火墙后面内部网络的安全，而且应该具有更为优良的整体性能。本文总结了在基于Intel公司的IXA（Intel Internet Exchange）架构上开发一种高性能防火墙的所涉及的若干关键技术。该防火墙具有包过滤、NAT、VPN以及应用代理等功能。其中，最基本的功能是包过滤，主要是根据定义好的过滤规则审查每个数据包，根据匹配过滤规则来确定对数据包如何动作。与一般包过滤不同的还有动态包过滤，它是根据数据包前面的报文描述的会话状态来检查包，从而确定如何对包进行过滤。网络地址转换（NAT）是为了解决传统1P网络地址紧张的问题而产生的它将每个局域网节点的地址转换成一个IP地址，反之亦然，从而可隐藏内部网络地址。VPN是虚拟专用网络，是在公司网中形成企业专用的链路。应用代理也叫应用层网关，通过一种代理（Proxy）技术参与到一个TCP连接的全过程，能达到隐藏内部网结构的作用。此外，该防火墙还具有健全的日志和审计功能。本系统采用模块化层次化设计，具有高性能性、健壮性、可靠性等特点。本文具体介绍了基于Intel公司IXA架构的防火墙的设计思想和实现，具体内容分为如下5个章节来说明：第一章介绍了设计背景，包括防火墙技术的发展和现状，Intel IXA架构，本人承担的工作。第二章是防火墙的需求分析，指出了防火墙的设计目标，安全特性。第三章描述了防火墙的总体设计，包括硬件和软件的设计，以及接口描述。第四章是详细设计，阐述了防火墙各功能的实现，详述如何实现包过滤和NAT功能。第五章总结了系统现状，特色，创新，需要进一步探讨的问题和系统的发展改进方向。关键词：防火墙，IXA架构，微引擎，包过滤，NAT Abstract As a basic application security technology based on modern communication and information security, firewall is more and more applied in Internet. However, the performance of traditional firewalls can be bottleneck as it limits the bandwidth of the net, though they provide high-level security protection. This problem restricts practical application. A firewall of new generation should not only protect better the net behind firewall but also provide better performance. The basic function of firewall is packet filter, which checks every packet according to specified filter rules, so that to determine how to act to the packet. The filter rules are established based on packet header information such as IP source address, IP destination address, transmission protocol, TCP/UDP port, ICMP information type, etc. Dynamic filter checks packets according to the session state, which means its action should depend on the previous packets. NAT is a way to solve the intense demanding of Internet IP address, and can hide LAN address. NAT has two types which are static translation and dynamic translation.