基于fpga的硬件防火墙内容过滤技术研究-计算机系统结构专业论文.docxVIP

Classified Index: TP393.08 U.D.C.: 621.39 Dissertation for the Doctoral Degree in Engineering RESEARCH ON CONTENT FILTER IN HARDWARE FIREWALL BASED ON FPGA Candidate： Candidate： Wang Jie Supervisor： Prof. Hu M Academic Degree Applied for： Doctor of E Speciality： Computer A Affiliation： Departmen and Techn Date of Defence： September, Degree-Conferring-Institution： Harbin Inst ngineering rchitecture t of Computer Science ology 2009 itute of Technology 摘 摘 要 - - I - 摘 要 网络安全和信息内容安全问题一直伴随着 Internet 的发展。随着网络带宽 的不断迅速提高和网络应用的不断扩展，防火墙作为访问控制最有效的手段， 在性能不断提升的同时也有功能集成化的要求，如虚拟专用网(VPN)、入侵检 测系统(IDS)、网络地址转换(NAT)等，特别是内容过滤技术可以有效的支持明 文信息过滤和病毒特征码过滤。 基于现场可编程门阵列(FPGA)实现的网络硬件防火墙，不需要处理器和 操作系统的参与，完全用 FPGA 实现对数据包的所有处理逻辑。防火墙的安 全性与处理器及操作系统无关，免受硬件恶意后门和软件安全漏洞的影响。通 过可配置的寄存器、可配置的存储器、可编程 RISC 专用处理单元和可重配置 的 FPGA 四个方面保证硬件防火墙具有好的可编程性。在此系统上引入内容 过滤技术，良好的可编程能力和合理的设计成本保证了基于 FPGA 的内容过 滤防火墙的实用性和市场价值。 对已有的多模式匹配算法和硬件内容过滤方案的分析，结合基于 FPGA 的防火墙系统的特点提出了内容过滤设计的准则：低延迟，非定长模式匹配和 正向匹配，防火墙的内容过滤性能是数据包存储调度的时间和多模式匹配算法 的时间的综合评价。 针对适合 FPGA 硬件实现的状态机算法进行不同粒度下的并行层次分 析，将状态机并行分为状态机间并行、匹配单元间并行和匹配单元内并行三个 层次。提出了基于伺服器阵列的多状态机并行和基于匹配单元内并行的多子状 态机两种改进策略，通过压缩状态指针宽度优化状态机的硬件存储。 针对 TCP/IP 协议的特点提出了基于 FPGA 硬件防火墙的多层内容过滤结 构：通过访问控制加强协议的合法性检测以及辅助动态协议过滤，通过 FPGA 实现的 RISC 专用处理单元执行指令的方式高速过滤固定偏移信息，通过硬件 状态机进行正文信息过滤。这种多层过滤结构减少了过滤数据包数量，加速数 据包的转发。 内容过滤的实现方式直接影响防火墙自身的工作性能，通过硬件内容过滤 单元不同的实现策略和部署方案，进行硬件防火墙数据包转发性能的研究和验 证，数据链路层的内容过滤达到对防火墙数据转发性能无影响的最优模式，基 于监测的内容过滤抽样能够准确匹配实际网络环境中的敏感关键字访问而对防 火墙转发性能没有影响。 近似串匹配是用户主观意识较强的一种内容过滤方式，并且中文的近似串 哈尔滨工业大学工学博士学位论文 哈尔滨工业大学工学博士学位论文 - - II - 匹配存在很多如编码转换、字符替换、同音字转换等问题，复杂的查表操作降 低了内容过滤的性能。提出了基于 FPGA 实现的硬件近似串匹配内容过滤算 法，通过对状态机预处理和匹配的改进，有效支持面向网页和邮件应用的关键 字近似串匹配。 日志是检验防火墙工作状态的主要手段，设计了基于 FPGA 的硬件防火 墙的日志系统，硬件实现内容过滤日志的生成，软件实现驱动接口、数据库存 储和日志分析和审计。针对内容过滤日志的小文本空间的特点，通过 VSM 方 法和朴素贝叶斯分类进行日志审计网络对网络访问情况进行描述和衡量，作为 用户策略的依据。 在多核处理器平台上对状态机算法并行化，提出兼容 SPARC V8 指令 集、支持嵌入式实时多任务操作系统 RTEMS 的片上多核嵌入式处理器 FPEP 的结构，并在 FPGA 平台上进行验证。进行执行效率的加速比分析，可以获 得接近 0.7 的平均加速比。 关键词：硬件防火墙；FPGA；内容过滤；多模式匹配；近似串匹配；多核处 理器 Abs Abstract - - PAGE VIII - Abstract Network security an