【摘要】：當今互聯(lián)網(wǎng)技術發(fā)展越來越快,互聯(lián)網(wǎng)帶寬出現(xiàn)跨越式增長。而防火墻作為網(wǎng)絡安全的第一道堅實堡壘,已經(jīng)由傳統(tǒng)包過濾產(chǎn)品進階為下一代防火墻。與此同時,持續(xù)不斷的全球性信息安全事件又提醒著人們,如果缺乏自主可控的信息技術,無法確保網(wǎng)絡安全,更難以在國際競爭中立足。本文在研究分析眾多防火墻架構及龍芯平臺的基礎上,提出了一種安全、自主、可控的千兆龍芯防火墻解決方案——基于FPGA的龍芯防火墻的設計與實現(xiàn)。本文主要研究的關鍵預期目標是:實現(xiàn)千兆線速的龍芯防火墻。系統(tǒng)設計將龍芯架構作為防火墻的策略控制平臺,采用FPGA技術利用硬件電路實現(xiàn)網(wǎng)絡數(shù)據(jù)流的線速處理和安全過濾。主要工作有:1)基于對防火墻產(chǎn)品發(fā)展歷史及不同架構平臺的研究,對現(xiàn)有的龍芯單路防火墻系統(tǒng)的架構進行分析。完成下一代防火墻架構和FPGA技術的技術研究。2)因原有單路防火墻平臺的性能羸弱和可擴展能力不足。首要工作需將龍芯防火墻系統(tǒng)升級到雙路龍芯平臺,經(jīng)過重新編譯內核并使得原有對單處理器的配置調整到雙處理器平臺的支持,以及對PMON、內核、驅動層等一系列優(yōu)化實現(xiàn)工作,使得防火墻系統(tǒng)順利運行在雙路龍芯平臺。同時,對雙路平臺進行了性能測試,比單路平臺性能得到大幅提升,但還未達到預期目標。3)為了實現(xiàn)預期目標。設計系統(tǒng)框架并對關鍵技術進行說明,包括FPGA硬件數(shù)據(jù)流、五元組數(shù)據(jù)流處理及零拷貝加速設計;其次,通過控制、數(shù)據(jù)平面的聯(lián)動實現(xiàn),將防火墻系統(tǒng)的訪問控制功能遷移到FPGA模塊;零拷貝驅動的實現(xiàn)及連接狀態(tài)跟蹤表狀態(tài)的同步,使FPGA模塊成為龍芯防火墻的高性能網(wǎng)卡并實現(xiàn)完整的狀態(tài)檢測和包過濾功能。通過以上的研究,本文作者利用實際的測試驗證了FPGA模塊的加速效果�；贔PGA的龍芯雙路防火墻在測試環(huán)境下得出理想的測試數(shù)據(jù),吞吐量、最大并發(fā)連接數(shù)和新建連接數(shù)等防火墻性能指標均能穩(wěn)定達到千兆線速。系統(tǒng)功能實現(xiàn)和性能提升都達到預期的效果。
[Abstract]:Nowadays the Internet technology develops more and more rapidly, the Internet bandwidth appears leaps and bounds growth. As the first solid fortress of network security, firewall has been advanced from traditional packet filtering products to the next generation firewall. At the same time, the continuous global information security events remind people that if they lack independent and controllable information technology, they can not ensure network security, and it is even more difficult to establish a foothold in international competition. Based on the research and analysis of many firewalls and their platforms, this paper puts forward a safe, autonomous and controllable gigabit firewall solution, which is based on the design and implementation of the Dragon Core Firewall based on FPGA. The key goal of this paper is to realize the Dragon Core Firewall with gigabit line speed. The system uses the core architecture as the policy control platform of the firewall, and adopts the FPGA technology to realize the line speed processing and security filtering of the network data flow by using the hardware circuit. The main work is as follows: 1) based on the research of firewall product development history and different architecture platforms, the architecture of the existing single-channel firewall system is analyzed. Complete the next generation firewall architecture and FPGA technology research. 2) the performance of the original single-way firewall platform is weak and scalability is insufficient. The most important work is to upgrade the Godson Firewall system to the dual-channel Godson platform, recompile the kernel and adjust the configuration of the single processor to the support of the dual-processor platform, as well as the PMON, kernel. A series of optimization work, such as driver layer, makes firewall system run smoothly on double channel core platform. At the same time, the performance of the dual-channel platform is tested, which is much better than that of the single-channel platform, but it has not reached the expected target. 3) in order to achieve the expected goal. The system framework is designed and the key technologies are described, including FPGA hardware data flow, five-tuple data stream processing and zero-copy acceleration design. Secondly, the access control function of firewall system is transferred to FPGA module through control and the linkage of data plane. The implementation of zero-copy driver and the synchronization of the state of the connected state tracking table make the FPGA module become the high-performance network card of the Dragon Core Firewall and realize the complete function of state detection and packet filtering. Through the above research, the author uses the actual test to verify the acceleration effect of the FPGA module. Under the test environment, the performance index of the dual-channel firewall based on FPGA can reach gigabit line speed stably, such as ideal test data, throughput, maximum concurrent connection number and new connection number. The system function realization and the performance enhancement all reach the anticipated effect.
【學位授予單位】：中國科學院大學(中國科學院工程管理與信息技術學院)
【學位級別】：碩士
【學位授予年份】：2017
【分類號】：TP393.08

【相似文獻】

相關期刊論文 前10條

1 毛翔昊;農(nóng)發(fā)行防火墻系統(tǒng)建設[J];中國金融電腦;2003年02期

2 陳平仲;防火墻系統(tǒng)的功能探討[J];中國教育技術裝備;2004年01期

3 曾志峰,楊義先;基于身份認證和加密技術的包過濾防火墻系統(tǒng)的設計與實現(xiàn)[J];計算機工程與應用;1999年12期

4 陳菊華;防火墻系統(tǒng)的設計方法[J];華南金融電腦;2000年09期

5 ;阿爾派推出新一代防火墻系統(tǒng)[J];制造業(yè)設計技術;2000年05期

6 張勵,葉曉國;一種改進的防火墻系統(tǒng)[J];電信快報;2001年10期

7 徐超漢;防火墻系統(tǒng)的設計[J];華南金融電腦;2001年05期

8 朱之偉 ,尹永良,韓會峰,陳杭;農(nóng)戶小額貸款防火墻系統(tǒng)設計與實現(xiàn)[J];中國金融電腦;2002年04期

9 李春艷,楊永田;新的防火墻解決方案——分級防火墻系統(tǒng)[J];計算機工程與應用;2003年19期

10 白躍彬,鄭守淇,侯宗浩,鄒勇;一種防火墻系統(tǒng)安全模型的形式描述[J];小型微型計算機系統(tǒng);2003年04期

相關會議論文 前4條

1 周曉俊;謝小權;;防火墻的失效狀態(tài)模型研究[A];第十七次全國計算機安全學術交流會暨電子政務安全研討會論文集[C];2002年

2 羅蓓蓓;邢鎮(zhèn)容;;計算機集成制造管理系統(tǒng)中信息的獲取與分析設計框架[A];先進制造技術論壇暨第五屆制造業(yè)自動化與信息化技術交流會論文集[C];2006年

3 張冬冬;李建中;王偉平;郭龍江;;分布式復式數(shù)據(jù)流的處理[A];第二十一屆中國數(shù)據(jù)庫學術會議論文集（研究報告篇）[C];2004年

4 楚紅濤;寒楓;張燕;王婷;;基于數(shù)據(jù)流的挖掘研究[A];計算機技術與應用進展·2007——全國第18屆計算機技術與應用（CACIS）學術會議論文集[C];2007年

相關重要報紙文章 前10條

1 李東亮;防火墻需要自免疫設計[N];網(wǎng)絡世界;2004年

2 王波;讓你自己管理防火墻[N];中國計算機報;2001年

3 李東亮;設計自免疫防火墻[N];計算機世界;2004年

4 李;分層布置安全規(guī)則[N];中國計算機報;2004年

5 ;政府信息安全共享[N];中國計算機報;2002年

6 ;東軟NetEye贏得國家首批信息安全產(chǎn)品自主原創(chuàng)資質[N];國際商報;2009年

7 ;構建以防火墻為核心的網(wǎng)絡安全體系[N];計算機世界;2001年

8 ;八仙過海，，各顯神通[N];中國計算機報;2000年

9 ;確保電信網(wǎng)安全[N];中國計算機報;2002年

10 ;聰明的防火墻[N];網(wǎng)絡世界;2003年

相關博士學位論文 前10條

1 郭方方;集群防火墻系統(tǒng)的研究[D];哈爾濱工程大學;2006年

2 李春艷;分級防火墻系統(tǒng)中動態(tài)訪問控制技術研究[D];哈爾濱工程大學;2004年

3 張麗;數(shù)據(jù)流上序敏感查詢處理關鍵技術研究[D];國防科學技術大學;2013年

4 李颯;數(shù)據(jù)流軟聚類理論及其在瓦斯災害預警中的應用[D];遼寧工程技術大學;2014年

5 陳華輝;基于遺忘特性的數(shù)據(jù)流概要結構及其應用研究[D];復旦大學;2008年

6 孔英會;數(shù)據(jù)流技術及其在電力信息處理中的應用研究[D];華北電力大學（河北）;2009年

7 崇志宏;基于屏蔽/匯總技術的數(shù)據(jù)流處理算法[D];復旦大學;2006年

8 姚遠;海量動態(tài)數(shù)據(jù)流分類方法研究[D];大連理工大學;2013年

9 曹振麗;面向養(yǎng)殖環(huán)境監(jiān)測的數(shù)據(jù)流處理方法研究[D];中國農(nóng)業(yè)大學;2015年

10 朱輝生;基于情節(jié)規(guī)則匹配的數(shù)據(jù)流預測研究[D];復旦大學;2011年

相關碩士學位論文 前10條

1 李汝鑫;基于FPGA的龍芯防火墻設計與實現(xiàn)[D];中國科學院大學(中國科學院工程管理與信息技術學院);2017年

2 夏弘睿;基于Linux平臺的校園防火墻系統(tǒng)的設計與實現(xiàn)[D];電子科技大學;2014年

3 張秋實;嵌入式Linux防火墻系統(tǒng)的設計與實現(xiàn)[D];電子科技大學;2014年

4 胡啟芳;LVS集群技術在防火墻系統(tǒng)中的研究與應用[D];電子科技大學;2014年

5 楊秀梅;個人防火墻系統(tǒng)的設計與實現(xiàn)[D];南京郵電大學;2016年

6 葉枝;江西省地方稅務防火墻系統(tǒng)的研究與應用[D];南昌大學;2011年

7 郭忠義;分布式并行防火墻系統(tǒng)研究與設計[D];電子科技大學;2004年

8 陳高輝;一種實用的微型防火墻系統(tǒng)設計[D];中國科學院研究生院（西安光學精密機械研究所）;2004年

9 李長松;具有入侵檢測功能的防火墻系統(tǒng)的設計與實現(xiàn)[D];電子科技大學;2003年

10 周誠;基于多階層狀態(tài)檢測技術的防火墻系統(tǒng)研究與實現(xiàn)[D];中南大學;2005年

本文編號：2304192