一、基于IPv6对一类防火墙的改进设计(论文文献综述)
常元[1](2021)在《虚拟防火墙研究设计实现IPv6-to-IPv4》文中研究指明网络信息时代发展速度越来越快,不断开发出来的服务器系统对IP地址池的占用也越来越多,终于在2019年11月26日全球43亿个IPv4地址全部耗尽,这也标志着信息化时代对于IP地址的使用必须得从IPv4地址转换到IPv6地址,但是从IPv4地址向IPv6地址的过渡是非常漫长的一个时期。目前网络上大部分服务器系统仍然是用IPv4地址进行数据传输与交互,所以在所有服务系统还没有成功过渡到IPv6地址服务器的这个阶段,新的IPv6客户端想要安全地访问网络上IPv4地址的业务服务器研究是一个非常热门的话题,研究者们也称之为IPv6-to-IPv4。目前的IPv6客户端访问IPv4业务服务器的方法是借助于NAT64路由设备和DNS服务器进行IPv6和IPv4地址转换,但是这样操作会非常的危险,因为在整个过程中,地址信息一直被暴露着,很容易遭受各种网络攻击如DDo S攻击、SQL注入等,在一定程度上会导致服务器和客户端瘫痪或是两端的数据被窃取,所以在实现IPv6-to-IPv4时必须要考虑到网络安全的问题。防火墙是网络安全中最首要的选择,因为防火墙本身具有强大的保护系统,可以抵御各种网络非法攻击,并且防火墙自身的性能也支持各种功能开发。所以本文以防火墙系统为基础,提出目前发展火热的虚拟防火墙技术实现IPv6-to-IPv4的结构系统,即通过虚拟防火墙实现IPv6地址和IPv4地址的转换技术,这样不仅可以非常大限度地保护信息传输的安全,还可以成功地实现IPv6-to-IPv4技术。本论文主要工作如下:(1)分析目前在国内外领域研究IPv6访问IPv4的技术和防火墙虚拟化技术,提出了通过虚拟防火墙实现IPv6客户端访问IPv4业务服务器方案。同时介绍了需要实现IPv6-to-IPv4的关键技术和虚拟化防火墙中的关键技术与系统结构。(2)对虚拟防火墙系统进行需求分析和结构设计,主要是将目前的虚拟防火墙技术和IPv6-to-IPv4技术结合。通过对虚拟防火墙的整个工作流程分析后提出了将虚拟化防火墙实现IPv6-to-IPv4分为三个流程:会话前接收流程,会话中处理流程和会话后转发流程,然后依次对此三个流程进行分析与设计。(3)在实际网络中实现虚拟防火墙场景下IPv6-to-IPv4系统,主要包括虚拟防火墙环境的部署,DNS64服务器搭建与NAT64路由配置。其中虚拟防火墙部署包括IPv6客户端与IPv4业务服务器的建立,DNS64技术与NAT64技术也需要在虚拟防火墙环境中实现。(4)系统测试与数据分析,在实际网络环境中成功实现设计系统后开始进行测试,主要分为功能性测试和性能测试,功能性测试主要通过各个测试用例来测试。性能测试主要通过从IPv6客户端发送IPv6报文至IPv4业务服务器,查看虚拟防火墙对IPv6报文的成功解析率与成功转发率来测试。本文提出的虚拟化防火墙实现IPv6-to-IPv4系统经过不断地测试已经可以在小规模的实际应用中进行,并取得了不错的效果,不仅满足了企业的安全性传输,还成功实现了从IPv6客户端访问IPv4业务服务器。
陈星星[2](2020)在《基于IPv6的高性能安全网关研究与实现》文中研究说明随着网络应用的高速发展,网络攻击类型越来越多、攻击方式也越来越复杂。保护脆弱的网络环境对安全防护能力的需求也越来越复杂。在IPv4向IPv6演化的进程中,网关对IPv6网络的防护手段需要进行更新的研究。基于以上背景,本文针对IPv6网络中的高性能安全网关中涉及的包分类和安全通道建立问题进行如下工作:(1)提出了一种基于 AVL(Adelson-Velsky-Landis Tree)树和哈希表的 IPv6 快速包分类算法(packet classification based on hash andAdelson-Velsky-Landis Tree,PCHA)。该算法通过哈希表实现对IPv6地址的快速查找,并利用AVL树结构存储流标签来降低空间消耗,从而实现了对IPv6数据包的快速匹配分类。(2)提出了一种适用于安全网关的网间安全通道构建方案。该方案基于F-stack数据转发协议栈,结合IPSec的开源软件实现方案StrongSwan,在网络层实现了对IPv6数据传输的加密。(3)本文就IPv6包分类算法在实际网络中的性能测试问题,基于实体网关和网络流量测试仪进行了实际网络环境的搭建,设计了针对包分类算法对吞吐量影响的测试方案,对IPv6包分类算法进行了真实网络环境下的性能测试与分析。另外,在实体网关上进行了 IPSec安全通道的建立测试,保证了数据传输的安全性。
吴有琴[3](2020)在《基于IPv6入侵检测系统若干关键技术研究》文中研究说明随着IPv6网络部署过程的高速发展,IPv6协议中IPSec技术的安全问题逐渐显现,这成为了人们研究的热点。而入侵检测作为一种网络安全防护技术,更是一种解决安全问题的重要手段。因此,基于IPv6下入侵检测系统中关键技术研究对网络信息安全具有重要现实意义。本文采用开源Snort入侵检测系统(IDS)作为主要研究平台。但Snort对未知入侵行为无法检测,其自学习能力不高,且无法有效检测IPv6数据流和经过加密的IPSec数据包,检测速率低,系统稳定性不高。针对以上问题,本文结合了IPv6协议技术的特点对入侵检测系统的相关技术进行了以下研究:网络中有不同的被入侵对象,有针对主机的和针对路由器等具体网络设备的,还有针对整个网络的等等。不同的被入侵对象和入侵行为会有不同的检测方法和技术。本文针对不同的被入侵对象和入侵行为,基于Snort系统的不足,设计了一种多对象入侵检测方法,从而有效发现入侵行为以及网络的异常行为。这种多对象入侵检测方法的核心是在研究分析并比较了字符串匹配算法KMP、字符串搜索算法BM和AC自动机三种经典模式匹配算法的基础上,提出一种新的字符串搜索算法DAC-BMY改进算法,该算法对字符串匹配效率和检测性能有较大的改善。同时,多对象入侵检测方法还集成了基于信息熵的协议分析技术,该技术通过降维技术,可以大幅度减少匹配的计算量。本文采用多对象入侵检测方法,对Snort开源系统的预处理插件、协议解析两个模块进行了重新设计与实现,还增加了一个独立针对IPv6加密的IPSec数据包的检测,形成了一个改进后新的基于Snort的多对象入侵检测系统,简称为MIDS。MIDS系统共有四个子系统,分别是基于网络的入侵检测子系统(集成改进于原Snort)、基于主机的入侵检测系统(新增)、响应子系统和监控子系统(继承于原Snort)。分别负责数据包捕获、数据包解析、预处理、检测引擎、输出报警等功能。实验表明MIDS系统运行正常,此外,多对象入侵检测方法对入侵检测系统的匹配效率和性能有显着的改善,减少了匹配的工作量,解决了Snort系统无法有效检测IPv6数据流和经过加密的IPSec数据包的问题,加强了Snort的自学习能力,并提高了系统性能和系统的稳定性。
蔡鹏程[4](2016)在《基于FPGA动态包过滤防火墙系统设计》文中认为进入二十一世纪以来,互联网进入千家万户,与人们的生活息息相关,一台电脑毫无保护的接入互联网将面临巨大的风险,网络安全问题越来越受到人们的关注。防火墙技术经历了多年的发展,已经形成了多种类型的防火墙,包括网络级防火墙、应用级网关防火墙、电路级网关防火墙、规则检测防火墙。其中数据包过滤技术对防火墙的性能影响很大,利用FPGA (Field Programmable Gate Array)实现包过滤逻辑,可以规避操作系统的漏洞对安全性的影响,因此本文提出的基于FPGA的动态包过滤技术具有很高的研究价值。本文提出一种基于FPGA的可编程片上系统(System On a Programmable Chip, SOPC)技术实现包过滤防火墙的方法,采用无内部互锁流水级的微处理器(Microprocessor without Interlocked Piped Stages, MIPS),在Wishbone总线交叉互联矩阵上挂接的有Wishbone总线的防火墙硬件模块、同步动态随机存储器(Synchronous Dynamic Random Access Memory, SDRAM)控制器、通用异步收发传输器(Universal Asynchronous Receiver/Transmitter, UART)模块、通用输入/输出(General Purpose Input Output, GPIO)模块、Flash控制器、以太网控制器,并通过客户端发包工具发送IPv6 (Internet Protocol Version 6)网络数据包,该防火墙系统解析数据包并进行过滤操作,将最终的结果通过串口调试助手打印出来。在验证方面,使用SignalTap Ⅱ逻辑分析工具抓取相应信号完成功能验证,调用网络流量分析工具实时监测网络上的数据包,将发送的数据包与串口打印出的IPv6数据包进行对比,完成动态包过滤防火墙系统的验证。本文的创新点有:(1)处理器采用MIPS对过滤规则进行动态配置,实现过滤规则的实时更新;(2)采用片内内容可寻址存储器(Content Addressable Memory, CAM)实现快速查找匹配IPv6数据包,显着提高包过滤速度;(3)支持对一定范围的IPv6地址进行过滤操作,实现IP地址粗略匹配和精确匹配两种模式。本文提出的方案证实采用基于FPGA的SOPC的系统设计能够显着地提高防火墙处理数据的速度。本文提出的基于FPGA动态包过滤防火墙技术不仅可以实现快速而准确的过滤IPv6数据包,还可以实现对一定IP地址范围的数据包进行过滤操作。测试结果证明,该系统的工作时钟频率最高可达150MHz,防火墙过滤模块的网络吞吐量可达16.8kbps。该包过滤技术可以应用于其它需要快速查找数据字段的领域,因此本文提出的动态包过滤防火墙技术具有广泛的应用前景。
张许[5](2016)在《基于IPv6的校园网网络入侵检测系统研究》文中进行了进一步梳理IPv6是在IPv4的基础上,为了解决IPv4网络地址空间不够,以及IPv4网络中的一些安全问题所发展起来的。IPv6通过IPSec技术可以更好的提高网络安全性,同时采用128位的地址长度,能够极大的扩充网络地址空间。在本文的研究中,主要以国内某高校校园网为例,对基于IPv6的校园网络入侵检测系统进行研究。校园网是目前用户群体最多的局域网之一,由于校园网面向群体的特点,校园网络具有上网设备众多、网络环境开放、校园网用户群体活跃、盗版软件资源泛滥、网络数据类型繁杂以及IPv4与IPv6长期并存等特点,针对这些特点使得高校校园网内的入侵检测系统必须要满足能实现IPv4和IPv6网络的检测、具备一定的网络传输数据检测效率以及分布式建设的需求。通过对高校校园网网络入侵检测系统特点的分析,本文基于Snort工具,采用分布式的结构来进行IPv6校园网络入侵检测系统的设计。入侵检测系统通过嗅探器获取了校园网内的IPv4网络数据包和IPv6网络数据包之后,对IPv4网络数据包和IPv6网络数据包进行预处理,抽取其中的有用数据,整合为一个通用的数据结构体,并通过事件分析器中的异常检测引擎和误用检测引擎对网络数据进行分析,同时采用K-means聚类算法对网络数据进行聚类分析,发现其中规则库中未包含的潜在威胁,同时采用Apriori算法对这些异常网络数据进行数据挖掘,发现其中所包含的规则,充实入侵检测系统的规则库。在通过对校园网网络结构特点,以及对校园网入侵检测系统具体功能需求进行分析的基础上,主要通过对现有Snort开源入侵检测系统的改造,来实现校园网IPv4网络数据包和Ipv6网络数据包的入侵检测。同时,基于入侵检测系统通过规则模式匹配来检测网络中潜在安全风险的特点,通过对Snort入侵检测系统规则库的构造优化和规则模式匹配算法的优化,来提高整个入侵检测系统的性能。通过最终对基于IPv6的校园网网络入侵检测系统的实验结果表明,本文所研究的基于IPv6的校园网网络入侵检测系统能够很好的检测出网络中所存在的安全风险,并且通过与防火墙系统的联动来提高网络安全,减少在校园网内所传输的入侵攻击数据,同时对于Snort规则库结构和规则匹配模式算法的优化也被证明可以更好的提高入侵检测系统的检测性能。
夏铭[6](2014)在《基于双栈技术的校园网防火墙设计与实现》文中研究指明随着IPv4地址的日益枯竭弊端显现,IPv6的普及推广速度越来越快。我校适逢搬迁新校区网络扩容的机遇。为了实现公网的IPv4接入与教育网的IPv6接入,实施网络升级工程。而设计出一个提供IPv4下网络安全防护和IPv6下网络安全防护的防火墙方案就被提上了日程。本文以同时支持IPv4/IPv6双栈协议的防火墙为研究课题,重点研究了双栈下的混合路由、IPv4协议下的iptables与IPv6协议下的ip6tables、以及防火墙性能调优等,主要研究内容分为五部分。首先简单地对IPv6介绍后,讨论了IPv4向IPv6过渡的几种过渡技术,讨论了双栈技术、隧道技术和转换机制这几种常用的过渡技术。对校园网络升级方案中设计采用支持双栈的防火墙进行论证。接着讨论解决了双栈条件下的混合路由问题。对在防火墙上实现混合路由功能进行了分析与设计,使用到了策略路由技术,为以后实现均衡负载打下了技术基础,留有一定的升级空间。同时也在防火墙上安装了Quagga软件,随着以后网络规模的扩大,以及拓扑结构变得更加复杂,这里通过使用开源Quagga软件来实现IPv6的路由功能。同时为将来的技术升级留下了余量。然后从网络层和传输层入手,以协议原理为基础,从数据包头部结构、协议本身、验证、流量四个方面,对攻击实现方法进行分析。虽然IPv6解决了IPv4地址空间的问题,以及协议本身的改进,可以消除一些针对验证和流量的攻击,但是从网络分层模型上来说是类似的,那就意味着攻击可以一定程度上沿用IPv4的思路,并进行拓展,所以IPv6的安全形势也不容乐观。论文分别在IPv4与IPv6协议下,对防火墙的iptables和ip6tables进行了脚本设计与编写,并对完成的策略分别进行TCP和UDP测试。在防火墙各个模块功能正常完成测试后,即开始进行整机入校园网功能测试。并着手进行了防火墙优化工作,同时以OpenSWAN为平台加入了IPsec功能。在防火墙调优工作中,实现了有状态的UDP、TCP、ICMP和FTP会话的检查;有状态的IPv4和IPv6之间翻译分组的检查;处理EH,路由选择、逐跳、选项和分段头部;端口到应用映射(PAM),允许网络管理员定制使用的TCP和UDP端口。这个特征允许它们实行基于内容的接入控制,甚至在一个更宽的端口范围内。
刘颖卿[7](2013)在《双栈网络安全性研究》文中研究指明现在各种各样智能设备对接入互联网的需求日益增加,IPv4已跟不上当前互联网快速发展的脚步,而IPv6正是可以解决IPv4地址匮乏问题的升级方案,同时还具有IPv4所没有的更好的服务质量、安全性等优势。目前,在多国政府的大力推动下,IPv6已经在日本、美国等地开始提供商用服务,开始进入人们的日常生活。然而,IPv4.在当前网络中已经根深蒂固,从IPv4过渡到IPv6不可能在一夜之间完成,必将经历一个漫长的双栈网络过渡时期。相对于传统IPv4网络,双栈网络中不仅要面对IPv4网络的传统威胁,还要面对IPv6网络以及双栈网络过渡技术引入的更多更复杂的安全威胁。相对于IPv4完善的安全体系,目前对双栈网络的安全性研究还不太成熟,许多安全措施只是基于文档,并没有被大多数设备所支持,双栈网络的安全形势依然很严峻。本文从过渡技术和IPv6协议自身两个方面对双栈网络的安全性进行了深入研究和分析。过渡技术主要分析了目前三种主要过渡技术(双协议栈技术,隧道技术和协议转换技术)的安全问题。其中主要针对双栈网络目前所处过渡初期被广泛使用的隧道技术的安全威胁进行了分析研究。对于IPv6协议的安全性分析主要对ICMPv6及基于ICMPv6的邻居发现协议,IPv6扩展报头三个方面的安全问题进行了分析。其中重点分析了安全问题颇多的邻居发现协议,这些安全问题能导致拒绝服务攻击,中间人攻击等多种严重的后果。在对双栈网络各方面安全性进行分析后,对其所存在的安全问题给出了漏洞描述,组建双栈网络漏洞库,为后面双栈网络安全测试系统的实现提供基础。为了验证双栈网络的脆弱性,本文设计了基于渗透测试的双栈网络安全测试系统,并通过实验对系统主要功能进行了展示。系统主要包含双栈网络信息探测,测试决策和渗透测试三个部分。首先通过信息探测获取双栈网络相关信息,然后对获得的信息进行处理并与系统双栈网络安全漏洞库进行匹配,对匹配的漏洞调用可用渗透测试插件进行相应的测试验证。本文最后从过渡技术和IPv6协议两方面,分别对其所存在的安全威胁给出了可行的安全解决方案。
何启军[8](2012)在《Ipv6下基于流过滤技术的防火墙的研究和设计》文中指出Internet近年来有着飞越的发展,给人们的生活带来了前所未有的变化,一个鼠标动作就可以在瞬间完成很多以前不敢想象的事情。但是现在使用的IP协议大部分还是在1981年制定的IPv4协议,这种协议标准随着网络的发展已经不能满足人们的需求,体现出了各种弊端,包括地址空间的缺乏、服务质量的保证和数据传输安全等。作为IPv4的过渡标准,IPv6有效的解决了上述问题。同时,随着网络的发展,网络安全的保障越来越需要重视,在网络安全中防火墙是一项必不可少的技术。流过滤技术是在防火墙技术中提出了一项比较新的技术,集合了传统包过滤技术和应用代理技术的特点,能够高效透明的对应用层数据进行过滤。可见对一个在IPv6环境下基于流过滤技术的防火墙的研究很有必要性。本文首先分析了在IPv6环境下,防火墙需求的改变和需要采取的一些措施;然后对防火墙的各个功能模块进行了详细的设计;在防火墙系统中实现了流过滤功能;对防火墙包分类算法和模式匹配算法进行研究和学习的基础上,提出了两种算法的改进。具体内容包括如下:(1)分析了在IPv4和IPv6环境下的差异,然后提出了IPv6防火墙的需求变化和设计策略。(2)将防火墙系统进行详细的模块划分和设计,重点对流过滤技术的设计和实现步骤给出了详细的说明。(3)在防火墙系统包过滤功能中,实现了一种基于RFC算法改进的支持范围匹配的多维IP分类算法。(4)在防火墙系统流过滤功能中,实现了一种基于AC-BM算法改进的多模式匹配算法。(5)最后对设计的防火墙系统进行了测试,然后根据测试结果给出详细分析,测试结果表明防火墙系统具备了基本的功能。
单福勇[9](2009)在《基于HiCuts算法的Linux IPv6防火墙研究》文中指出在网络时代迅猛发展的今天,人们享受网络带来的方面快捷的同时,也面临着层出不穷的网络攻击的考验。因此,如何改进和完善防火墙系统正成为许多专家学者们研究的重点。IPv6是网络技术史上最重要的一次升级,它在现有的IPv4基础上对其基础设施发展做了进一步的改进和升级,对网络安全的发展产生了很大的推动作用。因此,人们对IPv6的安全问题进行了大量的研究,IPv6防火墙既是其中成果之一。防火墙是一种特殊编制的路由器,Linux中的IPv6防火墙是一种典型的包过滤防火墙,它采用的包过滤算法是顺序查找算法,是基于Netfilter的防火墙框架。Linux IPv6防火墙在处理小规则集时,非常高效,但是当面对大规则集时,它的效率下降明显。通过对Linux IPv6防火墙的性能测试实验,可以推出,Linux IPv6防火墙的顺序查找算法是Linux IPv6防火墙的性能瓶颈。基于以上分析,本文提出了基于HiCuts的IPv6包分类算法。IPv6包分类算法能够很好的解决顺序查找算法在处理大规则集时的效率问题。然而在性能方面却没有明显的提高,根据这种情况,本文对基于HiCuts的IPv6包分类算法进行了改进,从而提出了对新的基于HiCuts的IPv6包分类算法的改进方法,即数位提取法。通过对算法的改进,防火墙的性能得到了很大的提高。利用数位提取法来过滤防火墙,不仅解决了在处理大规则集时的效率问题,更进一步解决了防火墙的性能问题。本文不但在理论上对防火墙的算法和性能进行分析,并且实现了基于HiCuts的IPv6包分类算法及其改进算法并最终写入Linux 2.4内核中。进而在实践应用中提高和改进了Linux中IPv6防火墙的效率和性能。本文设计了一种基于改进后的HiCuts算法的Linux IPv6包过滤防火墙,并最终在Linux 2.4内核中给予实现,实际使用证明该防火墙系统运行效率较高,性能较稳定,并且费用低廉,为IPv6网络提供了一种高效的网络安全工具。
王源[10](2009)在《基于IPv4/IPv6双协议栈的联动防御系统研究与设计》文中研究表明当前IPv4网络正面临着越来越多的问题,特别是地址空间缺乏以及网络安全缺陷等问题,在这种情况下新一代的IPv6网络成为了人们研究的重点。IPv4向IPv6的过渡不可能一蹴而就,在很长一段时间内两者会共存,不法分子很容易利用这种共存环境下的安全漏洞进行入侵破坏。本文研究的重点就是解决IPv4向IPv6过渡时期的网络安全防御问题。本文工作的主要目标是设计并实现一种能够运行在IPv6/IPv4并存网络环境下的联动防御系统。本文所做的主要研究工作包括以下方面:(1)研究分析了IPv6下的安全机制以及IPv6对传统网络安全所带来的冲击,并对IPv6下特有的入侵的特点进行分析和总结,此外分析了防火墙与入侵检测系统在实际应用中的不足,阐述了实现联动防御系统的必要性、互补性和安全性。(2)详细研究了IPv4与IPv6协议的特点,设计并实现了快速捕帧模块和双协议栈的解析模块。在此基础上,设计了IPv4和IPv6入侵检测规则的语法,同时实现了规则解析和规则匹配模块。(3)对IPv6下的数据包分片机制、TCP流重组技术以及IPv6下的端口扫描原理进行详细研究,并在此基础上设计实现了IPv6下的分片重组预处理器、端口扫描预处理器和TCP流重组预处理器。(4)针对当前常见的几种联动方式进行分析比较后,采用远程联动技术,并且采用了XML标记语言作为联动防御系统与防火墙进行通信的联动控制消息的标记语言,同时实现了联动防御系统端的查询报警日志模块、联动控制消息生成模块、联动控制消息发送模块和防火墙端的过滤规则联动处理模块。(5)对本系统的功能模块进行了测试与分析。实验结果表明本系统具有可行性,并且在扩展性、稳定性方面具有一定的优势。
二、基于IPv6对一类防火墙的改进设计(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、基于IPv6对一类防火墙的改进设计(论文提纲范文)
(1)虚拟防火墙研究设计实现IPv6-to-IPv4(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 研究背景及课题来源 |
| 1.2 国内外研究概括 |
| 1.2.1 虚拟防火墙研究现状 |
| 1.2.2 IPv6 协议与IPv4 协议研究现状 |
| 1.3 本文主要研究工作 |
| 2 方法与技术理论 |
| 2.1 IPv6-to-IPv4 相关技术介绍 |
| 2.1.1 NAT技术 |
| 2.1.2 DNS技术 |
| 2.1.3 DNS64 技术 |
| 2.1.4 NAT64 技术 |
| 2.2 虚拟防火墙技术 |
| 2.3 实现结构框架 |
| 2.4 本章小结 |
| 3 虚拟防火墙结构设计 |
| 3.1 会话前接受流程 |
| 3.1.1 会话前接收流程设计思路 |
| 3.1.2 会话前接收流程图 |
| 3.2 会话中处理流程 |
| 3.2.1 会话中处理流程设计思路 |
| 3.2.2 会话中处理流程图 |
| 3.3 会话后转发流程 |
| 3.3.1 会话后转发流程设计思路 |
| 3.3.2 会话后转发流程图 |
| 3.4 本章小结 |
| 4 虚拟防火墙系统实现 |
| 4.1 虚拟防火墙环境部署 |
| 4.1.1 TECS创建虚拟机 |
| 4.1.2 Cloud Studio实例化防火墙环境 |
| 4.2 DNS64 服务器创建与NAT64 路由配置 |
| 4.2.1 DNS64 服务器搭建 |
| 4.2.2 NAT64 路由配置 |
| 4.3 本章小结 |
| 5 实验测试与数据分析 |
| 5.1 实验测试系统 |
| 5.2 系统测试用例分析 |
| 5.2.1 功能性测试用例分析 |
| 5.2.2 性能测试分析 |
| 5.3 数据分析 |
| 5.4 本章小结 |
| 结论 |
| 致谢 |
| 参考文献 |
| 附录 A 缩略词对照表 |
| 攻读学位期间的研究成果 |
(2)基于IPv6的高性能安全网关研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景和意义 |
| 1.2 国内外研究现状 |
| 1.2.1 IPv6包分类算法研究现状 |
| 1.2.2 网络防护技术研究现状 |
| 1.3 论文的主要内容及架构 |
| 1.3.1 论文的主要研究内容 |
| 1.3.2 论文的组织结构 |
| 第二章 基础理论与关键技术 |
| 2.1 IPv6关键技术 |
| 2.1.1 IPv6发展概述 |
| 2.1.2 IPv6协议介绍 |
| 2.1.3 IPv6过渡技术 |
| 2.2 高速数据转发 |
| 2.2.1 传统内核包处理 |
| 2.2.2 DPDK概述 |
| 2.2.3 DPDK核心组件 |
| 2.2.4 DPDK关键技术 |
| 2.3 本章小结 |
| 第三章 大规模规则集下的IPv6快速包分类算法 |
| 3.1 IPv6下的包分类问题 |
| 3.1.1 包分类的定义 |
| 3.1.2 包分类算法研究 |
| 3.1.3 包分类算法的评价指标 |
| 3.2 基于哈希和AVL树的3元组快速包分类算法 |
| 3.2.1 问题定义 |
| 3.2.2 哈希表构建 |
| 3.2.3 AVL树构建 |
| 3.2.4 匹配过程 |
| 3.2.5 复杂度分析 |
| 3.3 算法性能实验与分析 |
| 3.3.1 实验准备 |
| 3.3.2 规则集预处理时间对比 |
| 3.3.3 内存消耗对比 |
| 3.3.4 吞吐量对比 |
| 3.3.5 哈希冲突统计 |
| 3.4 本章小结 |
| 第四章 网间安全传输协议在安全网关中的研究与实现 |
| 4.1 IPSec协议体系简介 |
| 4.1.1 体系结构 |
| 4.1.2 认证头(AH) |
| 4.1.3 封装安全载荷(ESP) |
| 4.1.4 因特网密钥交换协议(IKE) |
| 4.1.5 安全关联 |
| 4.2 IPSec工作模式 |
| 4.3 IPSec的应用 |
| 4.3.1 网络攻击防御 |
| 4.3.2 数据传输加密 |
| 4.3.3 第三层防护 |
| 4.4 安全通道的实现 |
| 4.4.1 方案设计 |
| 4.4.2 StrongSwan安装与配置过程 |
| 4.4.3 结果验证 |
| 4.5 本章小结 |
| 第五章 总结与展望 |
| 5.1 论文总结 |
| 5.2 展望与改进 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文目录 |
(3)基于IPv6入侵检测系统若干关键技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 研究现状 |
| 1.2.1 IPv6研究现状 |
| 1.2.2 入侵检测系统研究现状 |
| 1.3 研究内容及技术路线 |
| 1.3.1 研究内容 |
| 1.3.2 技术路线 |
| 1.4 本文的创新点 |
| 第2章 相关理论和技术概述 |
| 2.1 信息熵理论简介 |
| 2.2 IPv6技术 |
| 2.2.1 IPv6协议特点 |
| 2.2.2 IPv6报头结构 |
| 2.2.3 IPv6安全体制 |
| 2.2.4 IPv6入侵行为 |
| 2.3 入侵检测技术 |
| 2.3.1 入侵检测方法 |
| 2.3.2 入侵检测分类 |
| 2.3.3 通用入侵检测系统模型 |
| 2.4 Snort简介 |
| 2.5 本章小结 |
| 第3章 入侵检测关键技术研究 |
| 3.1 模式匹配技术 |
| 3.1.1 模式匹配技术原理 |
| 3.1.2 模式匹配技术的缺陷 |
| 3.1.3 模式匹配算法 |
| 3.1.4 模式匹配算法的改进 |
| 3.2 协议分析技术 |
| 3.2.1 IPv6协议分析技术 |
| 3.2.2 基于信息熵的协议分析技术 |
| 3.3 本章小结 |
| 第4章 多对象入侵检测系统(MIDS)设计与实现 |
| 4.1 MIDS系统设计 |
| 4.1.1 MIDS系统设计目标 |
| 4.1.2 MIDS系统框架 |
| 4.2 MIDS系统详细设计 |
| 4.2.1 基于网络入侵检测子系统(NIDS) |
| 4.2.2 基于主机入侵检测子系统(HIDS) |
| 4.2.3 监控平台(MIDS)和响应子系统(RIDS) |
| 4.3 模式匹配、协议分析技术应用 |
| 4.3.1 DAC-BMY模式匹配技术应用 |
| 4.3.2 基于信息熵的协议分析技术应用 |
| 4.4 实验和测试 |
| 4.4.1 网络部署 |
| 4.4.2 环境搭建 |
| 4.4.3 IPv6数据流检测实验 |
| 4.4.4 IPSec数据包检测实验 |
| 4.4.5 算法性能的对比实验 |
| 4.4.6 MIDS系统可行性实验 |
| 4.5 本章小结 |
| 第5章 总结与展望 |
| 5.1 工作总结 |
| 5.2 工作展望 |
| 参考文献 |
| 致谢 |
(4)基于FPGA动态包过滤防火墙系统设计(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 课题背景与意义 |
| 1.2 国内外现状和发展动态 |
| 1.3 研究内容与设计指标 |
| 1.3.1 研究内容 |
| 1.3.2 设计指标 |
| 1.4 论文结构 |
| 第二章 动态包过滤防火墙相关理论 |
| 2.1 防火墙技术 |
| 2.1.1 防火墙功能 |
| 2.1.2 防火墙种类 |
| 2.2 FPGA及其SOPC系统 |
| 2.2.1 可编程逻辑器件 |
| 2.2.2 基于FPGA的数字系统设计流程 |
| 2.2.3 SOPC系统 |
| 2.3 MIPS |
| 2.3.1 MIPS指令集架构 |
| 2.3.2 MIPS32 |
| 2.4 本章小结 |
| 第三章 动态包过滤防火墙的系统设计 |
| 3.1 动态包过滤防火墙的总体结构设计 |
| 3.2 Wishbone总线交叉互联矩阵 |
| 3.2.1 Wishbone总线 |
| 3.2.2 Wishbone总线单次读写操作 |
| 3.2.3 Wishbone总线交叉互联矩阵主从设备 |
| 3.3 SDRAM控制器模块 |
| 3.3.1 SDRAM结构 |
| 3.3.2 SDRAM基本操作 |
| 3.3.3 SDRAM控制器IP设计 |
| 3.4 以太网控制器 |
| 3.4.1 以太网控制器特点 |
| 3.4.2 以太网控制器接口 |
| 3.4.3 以太网控制器寄存器 |
| 3.4.4 缓冲描述符 |
| 3.4.5 以太网控制器内部结构 |
| 3.5 本章小结 |
| 第四章 动态包过滤硬件模块及相关模块设计 |
| 4.1 动态包过滤防火墙硬件模块 |
| 4.1.1 Wishbone总线接口模块 |
| 4.1.2 CAM模块 |
| 4.1.3 网络掩码RAM模块 |
| 4.1.4 IPv6数据包提取模块 |
| 4.2 GPIO模块 |
| 4.3 UART模块 |
| 4.3.1 UART |
| 4.3.2 UART设计 |
| 4.4 Flash控制器 |
| 4.4.1 Flash |
| 4.4.2 Flash控制器设计 |
| 4.4.3 Flash控制器实现 |
| 4.5 本章小结 |
| 第五章 验证及结果分析 |
| 5.1 移植操作系统 |
| 5.1.1 μC/OS-Ⅱ |
| 5.1.2 μC/OS-Ⅱ特点 |
| 5.1.3 μC/OS-Ⅱ移植 |
| 5.2 FPGA验证方案 |
| 5.3 FPGA板级仿真结果分析 |
| 5.4 FPGA验证与结果分析 |
| 5.5 性能对比分析 |
| 5.6 本章小结 |
| 第六章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 致谢 |
| 攻读硕士学位期间的成果 |
| 附录 |
(5)基于IPv6的校园网网络入侵检测系统研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 研究背景 |
| 1.2 研究现状 |
| 1.3 研究内容 |
| 第2章 相关技术简介 |
| 2.1 IPv6技术简介 |
| 2.2 Snort技术简介 |
| 2.3 基于数据挖掘的入侵检测算法 |
| 2.3.1 K-means算法 |
| 2.3.2 Apriori算法 |
| 第3章 校园网络入侵检测系统需求分析 |
| 3.1 校园网安全现状概述 |
| 3.2 系统用例分析 |
| 3.2.1 网络安全代理用例 |
| 3.2.2 网络安全管理员用例 |
| 3.2.3 网络安全分析员用例 |
| 3.3 系统性能分析 |
| 第4章 校园网络入侵检测系统设计 |
| 4.1 系统总体结构设计 |
| 4.2 系统工作流程设计 |
| 4.3 功能结构设计 |
| 4.3.1 数据捕获模块 |
| 4.3.2 服务器模块 |
| 4.3.3 响应模块 |
| 4.3.4 通信模块 |
| 4.4 与防火墙的互动设计 |
| 4.5 Snort规则库的重新设计 |
| 4.5.1 Snort规则整理 |
| 4.5.2 规则解析的改进 |
| 第5章 校园网入侵检测系统实现 |
| 5.1 数据捕获模块实现 |
| 5.1.1 IPv4和IPv6数据结构的统一 |
| 5.1.2 数据包捕获 |
| 5.2 服务器模块实现 |
| 5.2.1 数据库设计 |
| 5.2.2 数据库连接 |
| 5.3 响应模块实现 |
| 5.4 通信模块实现 |
| 5.5 入侵规则挖掘 |
| 5.5.1 Apriori规则挖掘 |
| 5.5.2 Snort规则存储 |
| 5.6 与防火墙之间的互动实现 |
| 5.6.1 互动接口设计 |
| 5.6.2 具体的互动实现 |
| 5.7 校园入侵性能优化 |
| 5.7.1 Boyer-Moore模式匹配算法 |
| 5.7.2 模式匹配算法的优化 |
| 5.8 系统实验 |
| 5.8.1 性能实验 |
| 5.8.2 入侵检测实验 |
| 第6章 总结与展望 |
| 参考文献 |
| 致谢 |
(6)基于双栈技术的校园网防火墙设计与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究工作的背景与意义 |
| 1.2 基于Linux的双栈防火墙国内外研究历史与现状 |
| 1.3 本论文的主要贡献与创新 |
| 1.4 本论文的结构安排 |
| 第二章 IPV6基本概念及过渡机制分析 |
| 2.1 IPV6产生背景 |
| 2.2 IPV6特点 |
| 2.3 IPv6地址类型 |
| 2.4 IPv6地址配置方式 |
| 2.5 IPv6过渡方案 |
| 2.5.1 IPv4/IPv6双协议(Dual Stack)技术 |
| 2.5.2 隧道(Tunneling)技术 |
| 2.5.3 转换(Translation)技术 |
| 2.6 本章小结 |
| 第三章 搭建模拟环境实现防火墙双栈下的混合路由功能 |
| 3.1 我校现有网络环境 |
| 3.2 我校拟采用网络升级方案 |
| 3.3 模拟环境搭建 |
| 3.4 防火墙双栈下的路由功能实现 |
| 3.4.1 基于策略的路由 |
| 3.4.2 管理策略数据库和路由表 |
| 3.5 IPv6路由的实现 |
| 3.6 本章小结 |
| 第四章 当前主流攻击手段分析 |
| 4.1 来自网络层攻击 |
| 4.1.1 基于头部的攻击 |
| 4.1.2 基于协议的攻击 |
| 4.1.3 基于验证的攻击 |
| 4.1.4 基于流量的攻击 |
| 4.2 针对网络层常见攻击手段分析 |
| 4.2.1 IP欺骗 |
| 4.2.2 IP分片 |
| 4.2.3 Smurf攻击 |
| 4.2.4 DDoS攻击 |
| 4.3 针对IPv6协议攻击的分析 |
| 4.4 来自传输层攻击 |
| 4.4.1 传输控制协议(TCP) |
| 4.4.2 基于头部的攻击 |
| 4.4.3 基于协议的攻击 |
| 4.4.4 基于验证的攻击 |
| 4.4.5 基于流量的攻击 |
| 4.4.6 用户数据报协议(UDP) |
| 4.5 目前的常用对策 |
| 4.6 本章小结 |
| 第五章 IPV4协议下的安全设计 |
| 5.1 iptables的编译安装 |
| 5.2 防火墙策略 |
| 5.2.1 iptables初始化 |
| 5.2.2 INPUT链分析构建 |
| 5.2.3 OUTPUT链分析构建 |
| 5.2.4 FORWARD链分析构建 |
| 5.2.5 网络地址转换 |
| 5.2.6 开启IP转发激活策略 |
| 5.3 应对网络层攻击 |
| 5.4 应对传输层攻击 |
| 5.6 测试策略 |
| 5.6.1 TCP测试策略 |
| 5.6.2 UDP测试策略 |
| 5.6.3 ICMP测试策略 |
| 5.7 本章小结 |
| 第六章 IPV6协议下的网络安全设计 |
| 6.1 IPv6协议安全分析 |
| 6.1.1 IPv6报头变化 |
| 6.1.2 IPv6地址空间的安全特性 |
| 6.1.3 定义单播、多播和任播地址 |
| 6.1.4 引入ICMPv6协议 |
| 6.1.5 引入全新的ND邻居发现协议 |
| 6.1.6 引入DHCPv6协议 |
| 6.1.7 内嵌IPSec协议 |
| 6.2 实现未分配的IPv6地址过滤 |
| 6.3 防火墙ICMP控制原理分析 |
| 6.4 ip6tables配置实施 |
| 6.4.1 ip6tables基础配置 |
| 6.4.2 IPv6私有IP |
| 6.4.3 允许特定的ICMPv6通信 |
| 6.4.4 自动配置IPv6防火墙示例脚本 |
| 6.5 本章小结 |
| 第七章 防火墙评测及调优 |
| 7.1 防火墙测试环境分析 |
| 7.2 防火墙功能测试 |
| 7.2.1 包过滤 |
| 7.2.2 状态检测 |
| 7.2.3 深度包检测 |
| 7.2.4 NAT |
| 7.2.5 IP/MAC地址绑定 |
| 7.2.6 动态开放端 |
| 7.2.7 策略路由 |
| 7.2.8 防火墙管理 |
| 7.3 防火墙性能测试 |
| 7.3.1 吞吐量 |
| 7.3.2 延迟 |
| 7.3.3 最大并发连接数 |
| 7.3.4 最大连接速率 |
| 7.4 防火墙性能优化 |
| 7.4.1 调整防火墙规则顺序 |
| 7.4.2 启用multiport及iprange模块 |
| 7.4.3 使用用户定义的链 |
| 7.5 简单及复杂通信协议的处理 |
| 7.5.1 简单通信协议处理 |
| 7.5.2 复杂通信协议防火墙处理 |
| 7.5.3 复杂通信协议NAT处理 |
| 7.6 IPv6的安全优化 |
| 7.6.1 IPsec的工作模式和系统实现 |
| 7.6.2 Openswan的安装与地址配置 |
| 7.6.3 Openswan的使用配置 |
| 7.7 本章总结 |
| 第八章 全文总结与展望 |
| 8.1 全文总结 |
| 8.2 后续工作展望 |
| 致谢 |
| 参考文献 |
(7)双栈网络安全性研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 引言 |
| 1.1 研究背景 |
| 1.2 研究现状 |
| 1.3 研究内容及章节安排 |
| 第二章 双栈网络过渡阶段技术及IPv6协议综述 |
| 2.1 过渡技术分析 |
| 2.1.1 双协议栈技术 |
| 2.1.2 隧道技术 |
| 2.1.3 协议转换技术 |
| 2.2 IPv6协议简介 |
| 2.2.1 IPv6的新特性 |
| 2.2.2 IPv6地址结构 |
| 2.2.3 IPv6报文格式 |
| 2.2.4 ICMPv6 |
| 2.2.5 邻居发现协议 |
| 2.3 本章小结 |
| 第三章 双栈网络安全性研究 |
| 3.1 双栈网络安全性概述 |
| 3.2 过渡机制安全性分析 |
| 3.2.1 双协议栈技术安全性分析 |
| 3.2.2 隧道技术安全性分析 |
| 3.2.3 协议转换技术的安全问题 |
| 3.3 IPv6协议安全性分析 |
| 3.3.1 ICMPv6安全性分析 |
| 3.3.2 邻居发现协议安全性分析 |
| 3.3.3 IPv6扩展报头的安全问题 |
| 3.4 本章小结 |
| 第四章 双栈网络安全测试系统设计与实现 |
| 4.1 STSDSN系统概述 |
| 4.2 STSDSN系统设计 |
| 4.2.1 系统架构设计 |
| 4.2.2 系统组成 |
| 4.2.3 系统工作流程 |
| 4.2.4 系统接口设计 |
| 4.3 关键技术研究 |
| 4.3.1 渗透测试技术研究 |
| 4.3.2 攻击树建模研究 |
| 4.4 STSDSN系统模块设计 |
| 4.4.1 用户管理平台 |
| 4.4.2 系统数据库 |
| 4.4.3 中心控制模块 |
| 4.4.4 测试决策模块 |
| 4.4.5 测试代理模块 |
| 4.4.6 信息探测模块 |
| 4.4.7 渗透测试模块 |
| 4.5 STSDSN系统测试与实验结果 |
| 4.5.1 实验环境搭建 |
| 4.5.2 测试步骤 |
| 4.5.3 IPv6地址扫描插件测试 |
| 4.5.4 隧道路由欺骗插件测试 |
| 4.5.5 测试结果分析 |
| 4.6 本章小结 |
| 第五章 双栈网络安全解决方案 |
| 5.1 过渡机制的安全改进 |
| 5.1.1 双协议栈安全改进 |
| 5.1.2 隧道机制安全改进 |
| 5.1.3 协议转换机制安全改进 |
| 5.2 IPv6的安全改进 |
| 5.2.1 寻址体系结构的安全改进 |
| 5.2.2 邻居发现协议安全改进 |
| 5.3 其他安全改进措施 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 论文主要工作 |
| 6.2 下一步工作 |
| 参考文献 |
| 致谢 |
| 攻读硕士期间研究成果 |
(8)Ipv6下基于流过滤技术的防火墙的研究和设计(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究意义和背景 |
| 1.2 研究现状 |
| 1.3 本人的工作内容 |
| 1.4 本文的组织结构 |
| 第二章 相关理论和技术 |
| 2.1 IPv6 技术 |
| 2.1.1 IPv6 概述 |
| 2.1.2 IPv6 安全机制 |
| 2.2 防火墙体系结构和过滤技术概述 |
| 2.2.1 防火墙体系结构 |
| 2.2.2 防火墙过滤技术 |
| 2.3 包分类算法介绍 |
| 2.3.1 Hierarchical Tries 算法 |
| 2.3.2 HiCuts 算法 |
| 2.3.3 RFC 算法 |
| 2.4 模式匹配算法介绍 |
| 2.4.1 KMP 算法 |
| 2.4.2 BM 算法 |
| 2.4.3 AC 算法 |
| 2.5 本章小结 |
| 第三章 系统分析与框架的设计 |
| 3.1 系统设计的目标 |
| 3.2 IPv6 环境下的系统分析 |
| 3.2.1 IPv6 数据报格式的变化 |
| 3.2.2 IPSec 应用及规则匹配算法变化 |
| 3.2.3 IPv6 防火墙体系结构比较 |
| 3.3 包过滤模块中静态规则匹配算法的设计 |
| 3.3.1 IP 分类算法的分析与定义 |
| 3.3.2 分算法的复杂度定义和衡量规则 |
| 3.3.3 算法的设计 |
| 3.3.4 预处理过程 |
| 3.3.5 IPv6 系统防火墙规则集分析 |
| 3.4 流过滤系统的设计 |
| 3.4.1 系统方案设计 |
| 3.4.2 数据包获取和分流模块的设计 |
| 3.4.3 流过滤系统的设计 |
| 3.5 过滤规则匹配模块的设计 |
| 3.6 日志模块的设计 |
| 3.7 管理中心模块的设计 |
| 3.8 报警系统和客户端模块的设计 |
| 3.9 本章小结 |
| 第四章 系统模块的实现 |
| 4.1 系统平台及开发环境配置 |
| 4.2 数据包捕获和分流模块的实现 |
| 4.3 包过滤模块的实现 |
| 4.4 流过滤模块的实现 |
| 4.4.1 滞留连接的实现 |
| 4.4.2 关键报文重组和转发 |
| 4.5 过滤匹配模块的实现 |
| 4.6 日志模块的实现 |
| 4.7 管理中心模块的实现 |
| 4.8 报警模块和客户端模块的实现 |
| 4.9 本章小结 |
| 第五章 测试和结果分析 |
| 5.1 测试环境 |
| 5.2 测试目的 |
| 5.3 测试内容及结果 |
| 5.4 测试结果分析 |
| 5.5 本章小结 |
| 第六章 总结与展望 |
| 致谢 |
| 参考文献 |
| 硕士期间取得的研究成果 |
(9)基于HiCuts算法的Linux IPv6防火墙研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 研究背景 |
| 1.2 研究内容 |
| 1.3 论文概述 |
| 第2章 防火墙分析 |
| 2.1 防火墙定义 |
| 2.2 防火墙类型 |
| 2.3 防火墙构架 |
| 2.4 防火墙特性 |
| 第3章 Linux中Netfilter防火墙分析 |
| 3.1 IPv4到IPv6地址的转换 |
| 3.2 Linux操作系统 |
| 3.3 Linux网络协议栈 |
| 3.3.1 Linux网络协议栈层次结构 |
| 3.3.2 数据包在Linux协议栈中的表示 |
| 3.3.3 数据包在Linux协议栈中的发送和接受 |
| 3.4 iptables工作原理 |
| 3.4.1 iptables简介 |
| 3.4.2 iptables规则和规则表 |
| 3.5 Netfilter工作原理 |
| 3.6 Linux的IPv6防火墙的性能分析 |
| 第4章 HiCuts算法分析与改进 |
| 4.1 IP包分类介绍 |
| 4.1.1 IP包分类问题的定义 |
| 4.1.2 IP包分类的性能评价 |
| 4.1.3 IP包分类的工作原理 |
| 4.2 常用的IPv4包分类算法 |
| 4.2.1 Grid-of-tries算法 |
| 4.2.2 RFC算法 |
| 4.2.3 Modular算法 |
| 4.3 HiCuts算法 |
| 4.3.1 HiCuts算法的相关概念 |
| 4.3.2 选择HiCuts算法的原因 |
| 4.3.3 基于HiCuts算法的IPv6包分类算法 |
| 4.4 HiCuts算法的改进 |
| 第5章 基于改进后的HiCuts算法的Linux IPv6防火墙的实现 |
| 5.1 协议栈中数据包的转发 |
| 5.2 连线跟踪的实现 |
| 5.3 地址转换的实现 |
| 5.4 包过滤的实现 |
| 5.5 包处理的实现 |
| 5.6 防火墙模块设计 |
| 第6章 实验结果及分析 |
| 6.1 路由器规则集的获取 |
| 6.2 功能测试 |
| 6.3 性能测试 |
| 第7章 总结与展望 |
| 7.1 总结 |
| 7.2 展望 |
| 参考文献 |
| 致谢 |
| 研究生履历 |
(10)基于IPv4/IPv6双协议栈的联动防御系统研究与设计(论文提纲范文)
| 中文摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 国内外研究现状和意义 |
| 1.3 本文主要工作和贡献 |
| 1.4 论文组织结构 |
| 第二章 IPv6协议与过渡方案及其安全性研究 |
| 2.1 IPv6协议的分析 |
| 2.1.1 IPv6首部分析 |
| 2.1.2 IPv6扩展首部分析 |
| 2.1.3 IPv6地址体系结构分析 |
| 2.1.4 ICMPv6协议 |
| 2.2 IPv6在安全方面的改进 |
| 2.2.1 网络认证协议(AH) |
| 2.2.2 封装安全有效载荷(ESP) |
| 2.3 IPv6对传统网络安全的影响 |
| 2.3.1 IPv6对IPv4下的攻击的影响 |
| 2.3.2 IPv6对传统安全工具的影响 |
| 2.4 IPv4向IPv6过渡的原则与步骤 |
| 2.5 过渡时时期的节点类型与过渡技术 |
| 2.5.1 节点类型 |
| 2.5.2 过渡技术 |
| 2.6 过渡阶段的安全问题分析 |
| 2.7 小结 |
| 第三章 联动防御系统总体设计 |
| 3.1 系统功能模块划分 |
| 3.2 联动防御系统的总体部署和总体流程设计 |
| 3.2.1 联动防御系统总体部署 |
| 3.2.2 联动防御系统总体流程设计 |
| 3.3 联动系统模块设计 |
| 3.4 Netfilter框架分析 |
| 3.5 联动技术的研究 |
| 3.6 小结 |
| 第四章 系统主要模块的设计与实现 |
| 4.1 快速捕帧模块设计与实现 |
| 4.2 双协议栈协议解析模块设计与实现 |
| 4.2.1 链路层协议解析 |
| 4.2.2 网络层协议解析 |
| 4.2.3 传输层协议解析 |
| 4.3 联动防御系统预处理器设计与实现 |
| 4.3.1 预处理器插件机制分析 |
| 4.3.2 IPv6分片重组预处理器设计与实现 |
| 4.3.3 IPv6流重组预处理器设计与实现 |
| 4.3.4 IPv6端口扫描预处理器设计与实现 |
| 4.4 规则解析模块的设计与实现 |
| 4.5 规则匹配检测模块设计与实现 |
| 4.6 IPv6下特有的入侵和数据流的检测与处理 |
| 4.7 输出模块设计 |
| 4.8 小结 |
| 第五章 联动相关模块的设计与实现 |
| 5.1 报警日志查询模块设计与实现 |
| 5.2 联动控制消息生成模块设计与实现 |
| 5.3 联动控制消息发送模块设计与实现 |
| 5.4 防火墙端联动控制模块设计与实现 |
| 5.5 小结 |
| 第六章 系统测试与结果分析 |
| 6.1 系统测试环境 |
| 6.2 测试工具分析 |
| 6.3 功能测试与分析 |
| 6.4 小结 |
| 第七章 结论与展望 |
| 7.1 总结 |
| 7.2 展望 |
| 参考文献 |
| 攻读硕士学位期间发表的论文 |
| 致谢 |
四、基于IPv6对一类防火墙的改进设计(论文参考文献)
- [1]虚拟防火墙研究设计实现IPv6-to-IPv4[D]. 常元. 兰州交通大学, 2021(02)
- [2]基于IPv6的高性能安全网关研究与实现[D]. 陈星星. 北京邮电大学, 2020(05)
- [3]基于IPv6入侵检测系统若干关键技术研究[D]. 吴有琴. 南京师范大学, 2020(03)
- [4]基于FPGA动态包过滤防火墙系统设计[D]. 蔡鹏程. 东南大学, 2016(03)
- [5]基于IPv6的校园网网络入侵检测系统研究[D]. 张许. 北京工业大学, 2016(03)
- [6]基于双栈技术的校园网防火墙设计与实现[D]. 夏铭. 电子科技大学, 2014(03)
- [7]双栈网络安全性研究[D]. 刘颖卿. 北京邮电大学, 2013(11)
- [8]Ipv6下基于流过滤技术的防火墙的研究和设计[D]. 何启军. 电子科技大学, 2012(05)
- [9]基于HiCuts算法的Linux IPv6防火墙研究[D]. 单福勇. 大连海事大学, 2009(09)
- [10]基于IPv4/IPv6双协议栈的联动防御系统研究与设计[D]. 王源. 苏州大学, 2009(10)