论文部分内容阅读
防火墙是一种最常用的安全防护系统,用于保护网络和主机.由于防火墙需要能够提供多样的特性和服务,所以显然该系统的实现取决于基本的网络技术.在不同的防火墙结构中,一种基于路由器的数据包滤选防火墙是最为普遍的,且是保护企业级网络免受不合法访问的最有效的方法.但是,这种防火墙结构在ATM网络中却不能有效地工作,因为它要求中断在数据包滤选路由器中的端对端的ATM连接,这将会产生一个巨大的SAR(分割和重新装配)开销.在过去几年中对于这个问题所提出的解决方法的数量很少;与过去的这些解决方法不同的是,论文着重于研究现存防火墙交换机的限制并提出了一些缺陷的解决办法.最近,ATLAS和其它的ATM防火墙交换机被用于保护高速的ATM网络免受入侵,但是有如下的限制:它们只在OC-3c上运行数据包级滤选来避免SAR,对于每一个数据包他们只检验第一个数据单元.要么通过,要么滤除!它们使用一种超高速缓冲存储器结构来加速滤选运算.核心结构是超高速缓冲存储器(CAM).一旦数据包进入超高速缓冲存储器,数据包内的数据单元将被转发.另外,第一个数据单元将经过一个软件筛选过程,其它的数据单元在一个队列中进行缓冲存储.这种方法将导致不想要的滤选延迟,交换机无法接受包含IP选择帧的IP数据包,通常这些IP数据包对于使用和管理都不是有利的.在此篇论文中我们提出了一种新的ATM防火墙结构,能够解决某些限制问题和其它的安全补丁,并使吞吐量达到2.88Gbites/sec及更高.论文目的在于寻找能为高速网络技术提供防火墙安全服务的机制.我们分析了一种为ATM及ATM之上的IP提供高速访问控制的防火墙结构.我们提出的方案所做的大多数更改是根据我们所描述的防火墙模型而集中于访问控制过程的效率作的.此外我们提出的方案为安全部门提供了通过访问控制参数(例如QoS(服务质量)),滤选ATM通信的能力.总之,此篇论文清晰地描述了我们所提出的防火墙交换机的模型、设计以及分析,这种防火墙用于解决现有数据包级滤选以及ATLAS ATM防火墙交换机的限制问题.我们的工作同时提供了一个瀑布模型的结构,在这个结构中我们可以设计、分析和评估防火墙系统和其它的组件.