复合型防火墙扫描防御与客户端认证模块的设计与实现-软件工程专业论文.docx

万方数据 万方数据 Classified Index：TP311 U.D.C:621.3 Dissertation for the Master’s Degree in Engineering Design and Implementation of Scan-Defense and Client-Verify modules for Hybrid Firewall Candidate: Supervisor: Associate Supervisor: Academic Degree Appliedfor: Speciality: Affiliation： Date of Defense: Degree-Conferring-Institution: Wang Hong Prof. Deng Shengchun Senior Engineer Li Weichen Master of Engineering Software Engineering School of Software June, 2014 Harbin Institute of Technology 哈尔滨工业大学工程硕士学位论文 哈尔滨工业大学工程硕士学位论文 摘要 随着网络规模的不断扩大以及网络应用的多样化，网络安全问题日益严峻， 网络安全愈发变得难以人工控制。在市场需求的推动下，产生了各式的网络安 全产品。在越来越多样的网络安全产品中，防火墙超越了其他网络安全领域， 成为发展最快的安全产品之一。在防火墙产品的升级过程中，传统的纯软件式 防火墙已经不能够适应当前市场对防火墙性能需求和多样化的功能需求，专用 的高性能防火墙设备成为大多数网络服务商的必然选择。 同样由于多样化的网络安全功能需求，防火墙的检测方式也在不断发生着 变化。从最初始的单包过滤防火墙，到各种应用代理防火墙，防火墙体系结构 与检测方式都在不断的向前发展。对于专业防火墙设备而言，综合前人的智慧， 去芜存菁是一个必然的选择。复合型防火墙就是这样一种选择的结果。复合型 防火墙基本上兼容了前两个阶段防火墙的优势，既能在单包攻击防御方面保持 高效，同时又通过应用代理弥补单包防火墙的功能缺陷。 本文基于复合型防火墙架构，设计并实现了扫描攻击防御和客户端认证代 理两个业务模块，同时对这两个业务处理过程中的一些关键部分提出了优化思 路与解决方案。 在整体结构设计方面，综合了两种防火墙的优势以及具体业务模块的要求， 在报文预处理，业务数据管理和攻击日志管理等几个方面进行了统一的处理， 从整体上提高了防火墙的性能。 在扫描攻击防御部分，提出了一个统一的报文统计流程，在简化计数操作 的同时，可以对目前公认的三种扫描攻击做出有效而准确的识别。在客户端认 证代理部分，提供了面对目前三种主流网络应用协议的多种代理方式。在业务 处理流程中，设计了一个有效的老化数据维护的层次结构模型，减少系统计时 器中断频率。 本文最后提供了系统的主要测试数据，通过功能测试与性能测试两个角度， 证明了本系统功能的正确性与高效性。在功能测试部分，模拟了实际业务中的 不同情景，全面对业务逻辑进行测试。在性能测试中，在相同环境下，通过新 模块对转发性能影响对比，验证了系统的高效性。 关键词：复合型防火墙；扫描防御；认证代理；老化性能优化 I - Abstract With the growing of network size and network applications diversity, network security issues become increasingly severe. Therefore, many kinds of network security products are developed. In the types of network security products, firewall, beyond other network security field, become one of the most important security products. With the development of firewall, traditional pure software firewall is not able to adapt to current market demand for firewall requirements for performance and diverse functions. Dedicated high-performance firewall device has become an inevitable choice for most Inte