论文部分内容阅读
在网络互联技术迅速普及的今天,人们的视野也随着计算机网络的延伸而开阔,网络信息的安全也越来越被人们所关注,防火墙虽然在访问控制方面性能卓越,但对于网络上的数据包内容却视而不见,传统的软件内容过滤技术虽然可以保证信息安全,但其速度让人难以忍受。硬件网络信息过滤系统具有防火墙和内容过滤的双重功效,是解决此类问题的必然选择。因此,研究和设计高效的硬件网络信息过滤系统显得异常必要。 首先,本文深入的研究了各种防火墙技术和内容过滤算法,把防火墙技术和内容过滤技术进行了大胆的融合,提出将网络信息过滤分为访问控制和内容过滤两个阶段,前者针对数据包中固定偏移信息,后者则定位在数据包的具体内容。为了获得较高的系统吞吐率,这两个阶段的合理设计意义重大。 其次,针对两个阶段的具体设计目标引入相应的解决方案。访问控制采用了状态检测防火墙的设计技术,通过规则表把网络流量划分成信任﹑受怀疑﹑拒绝的类别,只有受怀疑的流量才会交给下一个步骤来处理。此外,还进一步引入了cache的设计思想,提出了状态表结构,状态表和规则表的有机配合,实现了高效的访问控制功能;在内容过滤的众多选择中,针对硬件设计的特点,确立了基于状态机的实现方案,并提出了单元过滤模块—伺服器的概念,通过伺服器阵列技术的引入,使得过滤可以并发执行,提高了内容过滤模块的处理能力。 最后,基于FPGA技术实现了系统提出的各种功能,并进行了仿真,验证了其设计的合理性和正确性。