Abstract ：

在互联网技术迅速普及的今天，网络信息的安全问题越来越受到人们的关注。防火墙虽然在访问控制方面性能卓越，基于软件的内容过滤技术也可以保证信息的安全，但要达到高速过滤，对计算机处理能力要求较高，因此日益增大的网络带宽和计算机处理能力之间的矛盾也日益突出。基于FPGA的硬件过滤系统具有访问控制和内容过滤的双重功效，是解决此类问题的很好的一个选择。本文采用软硬件结合的方法，实现了一种基于FPGA的高速网络数据流过滤与捕获系统。首先，本文深入研究了各种防火墙和内容过滤算法，对基于软件和硬件的过滤算法进行了大胆的融合，提出了把过滤系统分为包头过滤和内容过滤两部分。前者针对包头内关键信息进行过滤；后者针对包内容关键字进行过滤。这两个过滤器串行运行，经过速度较快的包头过滤器的过滤，有效的减少了耗时较多的包内容过滤器过滤的内容。这种分级过滤方法对提高系统的吞吐率意义重大。其次，针对两个阶段的设计目标引入了相应的解决方案。对于包头过滤阶段，先进行包头解析，把关键信息提取出来，根据匹配规则控制寄存器的要求把需要的信息存放在相应的寄存器中；而匹配字符串已经存放在匹配链中，然后立刻进行数据的匹配。对于数据包内容过滤阶段，则只对包体内容进行过滤，采用了多匹配链并行处理和关键字拆分过滤的方法，提高过滤速度。最后，本文设计了基于Java和C语言的辅助控制界面，用来实现系统控制及结果显示。为了验证系统的性能，本文搭建了基于SmartBits的测试环境，对所设计系统进行了速度、准确性等多种性能指标的测试。测试结果表明，在1Gbps的网络环境下，本文所设计的系统包头解析完全正确，过滤准确率达到99%以上。

Keyword ：

FPGA Hash 数据包捕获 数据包过滤 字符串匹配

Cite：

Copy from the list or Export to your reference management。

Abstract ：

提出一种基于网络处理器并行处理能力的多维快速IP数据包分类算法.首先对包过滤规则库进行有效的预处理,以使对规则的分组能够最大限度地发挥并行算法的优势;在合理分组之后对每一组规则实施相关的三值TRIE树最优编码,这种最优编码形式从根本上消除了在对规则库进行压缩编码时产生的规则扩展问题.算法的最终实现,仅需要对数据包进行一次索引表的哈希查询和一次规则匹配,因此有效提高了包分类运算的效率.

Keyword ：

trie树 包分类算法 网络处理器

Cite：

Copy from the list or Export to your reference management。

Abstract ：

Internet的快速增长使网络服务器的访问数量快速增加，服务器需要具备提供大量并发访问的能力，对于大负载服务器来讲，CPU、I/O处理能力将会成为瓶颈，采用多服务器和负载均衡技术能满足大量访问的需求。Linux虚拟服务器系统LVS采用多台服务器和一台负载均衡器，但当用户的服务请求很多时，前端的负载均衡会成为系统的性能瓶颈。针对LVS系统存在的可扩展性差、容易成为系统性能瓶颈的不足，设计了新型网络服务器系统。新型网络服务器系统采用多台负载均衡器同时工作，其中每台负载均衡器只处理用户的一部分请求服务，实现了系统的可扩展性和高可用性。传统的网络服务器系统采用软件的方式实现请求负载的分流，这种方式不仅延缓了数据包的处理时间，而且增加了负载均衡器的调用开销。因此，设计并实现基于硬件方式的新型网络服务器系统中负载均衡器的数据包分流具有很重要的意义。本文以863重点项目“新型网络服务器”为背景，致力于减轻新型网络服务器中负载均衡器的负担，改善服务器系统的性能。本文中的数据包过滤网卡采用FPGA芯片Xc2s100和以太网控制芯片AX88796实现对负载均衡器接收的请求数据包进行过滤分流，使每台负载均衡器只处理一部分请求数据包。本文重点介绍了数据包过滤网卡的功能需求和总体设计方案，并根据设计方案利用Protel 99SE软件实现了整体硬件电路的原理图和PCB版图设计；重点介绍了利用硬件描述语言VHDL设计并实现主控FPGA要完成的功能，对主控FPGA中的数据包过滤模块和PCI接口模块的设计与实现进行了详细的描述；同时在Linux操作环境下，根据Linux内核中的NE2000兼容网卡驱动程序8390.c和ne2k_pci.c实现了数据包过滤网卡的驱动程序设计；最后对主控FPGA芯片的主要模块分别进行了仿真验证，结果表明功能满足设计要求，同时对数据包过滤网卡进行了实时测试。通过对数据包过滤网卡的测试和分析，结果表明该过滤网卡能很好地实现网络上数据包的过滤功能，并且能有效地提高负载均衡器的性能。

Keyword ：

新型网络服务器、LVS、PCI、数据包过滤

Cite：

Copy from the list or Export to your reference management。

Abstract ：

多用户并发的视频点播（VOD）是数字电视发展的重要方向。借助于视频压缩技术、高性能CPU和大容量高速硬盘，作者创造性地将视频服务器和播出服务器集成到一台主机里，提高了性能，降低了系统成本。作者根据通视公司研发部提出的第四代（多用户并发）视频点播系统的具体设计要求，实现了第四代MPEG-4视频播出服务器的全部功能。本文概述了通视公司第四代MPEG-4视频播出系统的组成原理，分别介绍了该视频播出服务器各个模块的编程与实现。这些模块包括：①DVB系统常用数据表的编、解码函数库；②从局域网捕获IP数据包及其快速、准确过滤算法；③频道组带宽分配的统计调控算法；④应用多协议封装技术，把IP数据包封装为传输流；⑤定义归一化视频文件接口并读取AVI文件；⑥快进、后退等交互功能；⑦文件视频播出速度控制算法；⑧内嵌Web服务器。其中交互功能响应及时，如同播放本机上的视频文件；频道组统计调控功能，可以同时独立调控多组实时视频编码机，显著提高视频压缩质量；灵活快速的IP数据包过滤算法，可以适应绝大多数的IP数据应用。该视频播出服务器已经应用到通视公司第四代VOD系统中，通过近2个月的测试，整个系统稳定运行，达到设计要求。该服务器具有成本低、高性能、易维护的特点，为今后的大量推广应用奠定了基础。

Keyword ：

VOD,DVB,MPEG-4,数字电视,视频点播

Cite：

Copy from the list or Export to your reference management。

Abstract ：

随着Internet的飞速发展，网上丰富的资源对人们产生着巨大的吸引力，Internet已经成为人们获取信息的重要手段之一，这就使得接入和访问Internet成为当今信息业最为迫切的需求，同时伴随而来的网络安全问题也越来越受到人们的重视。本文的主要工作是结合当前用户的需求，对研究所以前开发的IPMAN系统进行改进。目标是实现一个具有NAT和VPN功能并具有一定防火墙功能的IP地址管理与计费系统，满足中小型企业的需要。本文首先介绍了课题的研究背景、目的和意义，接下来对IPMAN系统进行了系统的分析，提出了改进方案。本文对IPMAN系统所做的改进主要有：重新设计了管理软件，用SNMP实现过滤器和管服务器之间的通信；增加了数据库系统，实现比较完善的流量统计和费用管理功能；重新编写了过滤软件，采用Netfilter框架实现包过滤和流量统计功能；增加了NAT和VPN模块，以完成网络地址转换和构建虚拟专用网；在认真分析FreeS/Wan源代码、进行相关测试并对测试结果进行分析后，设计了VPN加速卡取代原FreeS/Wan系统中的加密、认证模块，以提高IPSec的处理速度。通过对系统的功能和性能进行测试，结果表明：改进后的系统比原系统的功能更加完善，而且性能也有较大的提高，可以满足中小企业网络用户的管理需求。本论文工作所完成的系统具有结构简单、使用方便、投入费用少等特点，可为中小型企业构建和维护网络基础设施提供良好的解决方案，研究成果具有良好的应用价值。

Keyword ：

包过滤NATVPNSNMPFPGA3DESSHA-1

Cite：

Copy from the list or Export to your reference management。

Abstract ：

随着网络技术和网络应用的不断发展，用户对网络服务器的性能和I/O带宽提出了更高的要求。高性能服务器受到人们越来越多的关注，其中基于集群架构的高性能服务器尤其引人瞩目。与其它高性能的计算机系统相比，集群服务器系统具有使用方便、可靠性高、可扩展性好、成本低等优点。Linux虚拟服务器LVS集群将若干台服务器通过交换机相连，前端连接一台负载均衡器对外提供服务，整个系统的结构对用户是透明的。系统中服务器的数目可以根据网络流量的变化进行增删，但前端只有一台负载均衡器工作，影响了系统的可扩展性。新型网络服务器系统基于LVS的结构，将其中的负载均衡器由一台扩展为多台，实现了可扩展负载均衡器的高可用集群。多台负载均衡器通过集线器相连，每台负载均衡器只需要处理其中一部分的数据包，同时负载均衡器之间互相作备份，实现了高可用性。但在多负载均衡器结构中，集线器将接收到的数据包转发给所有的负载均衡器，负载均衡器要对接收到的数据包进行软件判断，来决定是否归自己处理。这样既延长了执行时间又增加了负载均衡器的负载。本文以国家十五计划“863”重点项目“新型网络服务器”为背景，致力于减轻多负载均衡器集群中负载均衡器的负担，提高数据包的处理速度。首先，根据数据包预处理网卡所要完成的功能及网卡芯片AX88796和PCI接口芯片CH365的工作原理、操作要求，对数据包预处理网卡的结构进行了分析，提出了以数据包预处理芯片为中心的结构同时定义了数据包预处理芯片的功能，对数据包预处理网卡进行了电路设计。接下来，对FPGA设计流程进行了详细了解，并熟悉了VHDL语言，利用FPGA设计了一颗具有数据包预处理功能的芯片，使对数据包的判断过滤在该芯片上实现。随后，通过对Linux内核下驱动程序ne2k_pci.c和8390.c的修改，开发了适应于数据包预处理网卡的驱动程序。利用Modelsim软件对数据包预处理芯片的工作过程进行了仿真，利用逻辑分析仪对网卡进行了调试，实验结果满足设计要求。最后将数据包预处理网卡安装在一台负载均衡器上，分别测试了网卡的基本功能和数据包预处理功能，并与软件处理的方式进行性能比较。结果显示，用硬件实现数据包过滤大大缩短了处理时间，提高了负载均衡器的性能。

Keyword ：

Linux虚拟服务器新型网络服务器负载均衡器现场可编程门阵列数据包预处理

Cite：

Copy from the list or Export to your reference management。

Abstract ：

随着计算机和网络技术的广泛应用，各种攻击和病毒的危害越来越大，使得网络安全问题日益严重。单一的软件安全解决方案不能满足复杂网络环境下系统对安全的要求，而且会降低系统性能。因此，本文提出一种综合了多种安全措施的嵌入式网络安全解决方案。该方案通过嵌入式网络板卡系统的设计，建立起包括安全设备的管理，安全策略的制定等各个方面的整套网络安全解决方法。本文是国家985计划二期的预研项目，对于抵御网络攻击，防范病毒，保障实际系统的高可靠性具有重要的研究和应用价值。本文借鉴统一威胁管理思想，设计了基于嵌入式板卡的网络安全系统构架。构架的核心是嵌入式网络板卡(ENC)系统，ENC除了实现网卡的功能，还集成了数据加解密，包过滤以及防病毒等相关安全功能。系统通过设置管理中心和管理代理，负责ENC的管理、通信以及安全策略的制定和分发等控制功能，各个ENC设备共同作用，构建一种可以保障大型网络中各个节点安全的安全平台。本文详细地描述了系统的构架和设计思想，提出了系统的功能模块划分，分析了各模块的作用。重点论述了ENC的设计过程，其中包括系统方案设计，芯片选择，系统实现、调试，以及嵌入式操作系统的移植等，给出了一个建立嵌入式应用环境的完整流程。系统选用三星公司的基于ARM940T内核的S3C2510作为处理器，μClinux作为嵌入式操作系统。本文最后结合ENC开发实际，给出了ENC中一些重要模块的开发流程和算法实现，包括与主机PCI通信驱动开发，网络驱动开发，安全过滤引擎的开发等主要内容。本文的工作为基于嵌入式板卡的网络安全系统的后续开发实现提供了理论基础和硬件平台，对于嵌入式网络安全设备的研究和开发有着重要的参考价值。

Keyword ：

嵌入式系统ARMμClinux嵌入式网络板卡

Cite：

Copy from the list or Export to your reference management。

Abstract ：

防火墙是隔离在本地网络与外界网络之间的防御系统，也是网络防护的核心设备。随着IPv6的实施与应用，带来IPv4向IPv6过渡时期的安全问题，如何解决IPv6和IPv4混合部署网络的防火墙安全保护是一个急待解决的问题。本论文在宁夏电信DCN网络项目的基础上，通过对相关理论和宁夏电信网络现状的分析研究，设计并实现了基于IPv6和IPv4的双协议防火墙系统。论文所做的主要工作如下：(1) 对IPv4/IPv6的数据报头格式、IPv4到IPv6的过渡策略、双协议栈的安全性和防火墙体系结构等进行研究，提出适合双协议栈防火墙使用的网络协议。(2) 给出了一个采用屏蔽主机体系结构、基于IPv4/IPv6双协议栈防火墙的系统的结构设计，及包过滤器和应用网关设计。(3) 采用Linux下的Netfilter包过滤管理工具实现了系统中的包过滤路由器，通过管理工具中iptables和ip6tables模块对IPv4及IPv6访问控制列表进行配置完成了对双协议栈中现有的纯IPv4、纯IPv6数据包以及IPv4隧道分组（6to4数据包）的访问控制。(4) 采用Socks64技术实现了支持双协议栈的应用代理网关以及对双协议栈系统中数据包的应用层过滤。(5) 对IPv4/IPv6双协议栈防火墙的性能进行了分析比较，并讨论了它在宁夏电信DCN网内的扩展应用。

Keyword ：

DCNIPv6网络安全防火墙双协议栈

Cite：

Copy from the list or Export to your reference management。

Abstract ：

Internet上传输的丰富多彩的内容极大的方便了人们的生活，但其带来的内容安全方面的问题也变得越来越严峻。如何对网络传输的有害信息进行快速高效的过滤是当前防火墙研究领域的难点和热点，本论文正是在这种大背景下产生的。本论文所做的主要工作如下：1）通过对相关协议的深入分析，对目前流行的防火墙技术的优缺点的比较，并结合本单位网络安全的现状，提出了一种基于Windows平台的、适合于中小网络的NDIS中间层驱动防火墙设计方案。该方案结合了包过滤技术和应用代理技术的优点，使防火墙能够对WEB和Email内容进行快速准确的过滤，在实际的部署过程中避免了原有网络结构大的调整。2）依据该方案实现了基于NDIS（Network Device Interface Specifica tion）中间层驱动程序的防火墙并完成了该防火墙的状态检测功能，使该防火墙达到了芯片级防火墙的过滤效率。3）通过修改TCP/IP协议栈的相关内容，完成了嵌入NDIS中间层驱动程序内部的、轻量级的TCP/IP协议栈，从而突破了基于NDIS中间层驱动程序开发的防火墙只能进行包过滤的限制，使该防火墙具有了内容过滤的功能。4）在实际的生产环境中对NDIS中间层驱动防火墙进行了部署和测试，并根据测试结果给出了防火墙过滤规则的设置建议。NDIS中间层驱动防火墙原形系统在宁夏数据通信局的部署与测试取得了比较好的效果，目前已计划在整个宁夏DCN子网内部署使用。相信本系统的研究与开发工作对于解决防火墙开发过程中的一些难点问题具有一定的理论意义和参考价值。

Keyword ：

状态检测NDIS过滤防火墙

Cite：

Copy from the list or Export to your reference management。

Abstract ：

随着计算机网络技术的快速发展，信息全球化已成为一种趋势。由于计算机网络具有连接形式多样性，终端分布不均匀性和互联开放性等特征，使得网络易受黑客和其他人的恶意攻击，因此网络安全成为计算机安全技术的一个重要研究领域。防火墙作为网络安全的第一道屏障，已成为降低网络安全隐患的必选产品之一。本文的主要工作是通过对原防火墙系统IPMAN（国家863项目）的分析，结合当前防火墙新技术的研究对原系统进行改进 。主要改进为利用FPGA技术重新设计了硬卡功能处理模块。新的功能处理模块在原系统硬卡功能的基础上增加了数据包过滤的功能，同时采用了一种弹性机制增加了NAT功能。在此基础上采用基于.NET技术的B/S系统结构，重新设计了管理软件。新的管理软件在原管理软件的基础上配合硬件设计中的弹性机制增加了NAT管理模块，并结合Linux操作系统的安全机制增加了IDS管理模块。测试和分析表明，新的硬卡功能处理模块以及管理软件的功能均能满足设计要求。硬卡功能处理模块能够利用硬件完成数据包的过滤并提供对NAT技术的支持，同时管理软件能够实现部分入侵检测功能。上述改进使得新系统不仅为用户提供了更多的管理功能，同时自身也具有了一定的抗攻击及恢复能力。本文的研究成果具有较好的应用价值。

Keyword ：

防火墙系统 可编程逻辑阵列 入侵检测系统 网络地址转换

Cite：

Copy from the list or Export to your reference management。