求--浅析网络级防火墙中的分组过滤-论文

基于网络处理器的防火墙分组过滤表的设计与实现
http://ww2.tabobo.cn/soft/20/233/2007/931158611803.html
摘 要
网络处理器可以满足未来网络所需要的更高的带宽，更强的功能，以及可编程性等要求。基于网络处理器的防火墙具有过滤规则配置灵活、可扩展性强以及支持高速分组过滤等几方面优点。本文对当前用于防火墙分组过滤表的IP分组分类算法进行了初步分析；并基于Intel的IXP2400网络处理器，提出了适用于网络处理器的防火墙分组过滤表算法，详细的探讨了分组过滤表算法的设计思路，分析了算法内部实现的数据结构及其之间的内在关系，同时也描述了相应的基于Multibit Trie的算法实现。在本文最后，我们对查找、插入和删除时间及占用的存储空间等关键性能进行了初步的分析与探讨，并就本方案的扩展性和一些经验教训进行了讨论。

关键词：防火墙，网络处理器，IXP2400，分组过滤表，Multibit Trie

目 录
1 绪 论 1
1.1 背景与目标 1
1.2 关键术语定义 2
1.3 研究现状与相关的工作 3
1.4 防火墙实现环境概述 3
1.5 研究成果概述 4
1.6 论文的规划和提要 4
2 防火墙分组过滤表的设计 5
2.1 CIDR与最长前缀匹配 5
2.2 Trie的原理 5
2.3 关键的技术 6
2.3.1 前缀扩展 6
2.3.2 Multibit Trie 8
2.3.3 缓存的利用 11
2.4 2-phases 算法介绍 11
2.4.1 第一阶段：处理前缀匹配 12
2.4.2 第二阶段：范围匹配和精确匹配 15
2.5 系统体系结构 17
3 防火墙分组过滤表的实现