一、负载均衡机制在防火墙中的应用(论文文献综述)
李亚慧[1](2020)在《互联网网络配置正确性检测与错误定位研究》文中进行了进一步梳理近些年来,随着互联网的高速发展,网络控制平面也变得日益复杂。控制平面之上网络配置的正确性检查和相关故障诊断也面临着更加严峻的挑战。在集中式控制平面中,软件定义网络中多项网络配置间可能存在潜在冲突,导致网络故障。此外,网络一旦发生可达性故障,定位造成故障的根本原因是极其困难的。在分布式控制平面中,频繁的配置更新增加了网络故障的风险,然而,判断网络配置是否正确以及定位错误的网络配置是非常困难的。本文对网络配置正确性检测以及错误定位开展了深入研究,主要内容和贡献点如下:(1)提出了一种软件定义网络中自动检测多项网络配置之间潜在冲突的方法。基于符号执行对各个配置程序的源代码进行分析,得到每个输入消息及其所对应的输出消息。然后,根据冲突检测算法检测各网络配置间存在的直接冲突与间接冲突。实验表明,该方法可以有效地发现来自多个控制器之上的网络配置共存的潜在冲突问题。(2)提出了一种软件定义网络中可达性故障的根因定位方法。首先,根据故障事件、系统中的事件及状态信息自动化地确定参考事件。然后根据参考事件建立正向网络起源图,根据故障事件建立负向网络起源图。对正负向起源图进行综合起源分析可确定引起故障的根因。实验表明,将本方案应用到多个可达性故障场景中,结果显示了造成可达性故障的根因。(3)提出了一种分布式动态路由网络中网络配置更新正确性的检测方法。该方案可适用于域内网络,根据变更前的配置以及变更后的配置确定可能受影响的流量所对应的查询,对受影响的查询进行验证。根据网络模型以及配置变更种类初步确定受影响流量的范围,然后判断该范围内的流量转发行为在配置变更前后是否满足等价性条件,根据该判断结果将具有等价转发行为的流量移除,最终确定受影响的流量对应的查询。实验表明,该方案在网络配置更新场景中,可以有效地检测出更新结果。(4)提出了一种分布式动态路由网络中网络配置更新错误的定位方法。首先,检查更新后的配置文件是否满足用户的更新意图。如果出现意图违反的情况,则进行差错配置的诊断。其将更新前的信息作为参考信息,进行差异分析定位。根据网络仿真结果,首先诊断是否为转发类的配置片段导致差错,如果不是转发类配置差错,那么则进行路由相关的配置片段的诊断。实验表明,在网络配置更新场景中,可以有效地定位引起更新差错的配置片段。
李杰[2](2020)在《TLS加密流量处理关键技术研究》文中研究说明随着计算机和网络技术的不断发展,人们对通信数据安全和隐私的重视程度也与日俱增。在此背景下,TLS(Transport Layer Security)协议得到广泛应用。TLS在端到端会话中的实体认证、流量机密性和完整性等方面起到重要作用。同时,计算机网络中还有很多不同功能的网络中间设备,如入侵检测设备、家长过滤系统等,对于维护网络安全、实现网络功能和提高网络性能具有不可替代的作用。TLS加密网络流量对于保护用户流量安全至关重要,但如果直接部署,将使得很多应用层网络中间设备无法正常工作。因此,如何解决这一问题,缓解TLS协议与目前网络中间设备之间的矛盾关系,对于网络技术的应用和发展具有重要意义。一方面,本文研究如何设计能够兼容网络中间设备的TLS变种协议或流量处理机制,另一方面,针对传统基于硬件的网络中间设备中存在的资金开销大、管理难度高、开发周期长、容错率和灵活性低等缺陷,本文研究如何利用学术界近年提出的网络功能虚拟化技术,将网络中间设备的功能以软件服务的形式,在通用服务器或云平台中实现。本文的研究工作聚焦在TLS加密流量处理问题上。本文提出了多种TLS加密流量处理机制,可以在不同的应用场景中,使能网络中间设备处理TLS流量;同时,本文结合网络功能虚拟化技术,研究如何设计实现能够处理TLS加密流量的虚拟化网络中间设备,以及如何部署和管理虚拟网络中间设备。具体来讲,本文主要工作和贡献包含以下几个方面:(1)提出了TLS加密流量处理的协议兼容机制针对TLS连接分割、服务器私钥内嵌、TLS变种协议等现有TLS加密流量处理方案中存在的安全性缺陷、TLS协议兼容性和通用性差等问题,本文提出了一种TLS加密流量处理的协议兼容机制Pass Box。在Pass Box机制中,网络中间设备通过被动监听连接握手报文,还原TLS会话密钥,不需要在客户端安装定制的根证书,不依赖带外安全信道传输会话密钥给网络中间设备。Pass Box机制可应用于TLS 1.2和1.3协议,具有良好的协议通用性。此外,应用Pass Box机制的终端能够与标准TLS终端进行正常交互,良好的协议兼容性使得Pass Box机制具有大规模部署使用的潜力。在处理性能方面,应用Pass Box机制不给终端引发额外的通信开销,给网络中间设备带来的计算开销亦可忽略不计。(2)提出了TLS加密流量处理的访问控制机制针对如何在保持TLS 1.3协议高效握手框架的前提下,终端用户在会话中以可认证的方式选择引入网络中间设备,并细粒度控制网络中间设备对流量的读写权限的问题,本文提出了一种TLS加密流量处理访问控制机制ME-TLS。本文结合标识密码技术,设计和实现ME-TLS机制。ME-TLS机制中实现了隐式版本协商功能,应用该机制的终端能够发现对方终端是否支持ME-TLS机制,能够与标准TLS终端进行正常交互;此外,具备ME-TLS机制的终端,能够对会话中引入的多个网络中间设备构成的网络功能服务链进行验证,保证流量被按照预期的顺序处理。(3)提出了TLS加密流量处理的隐私保护机制针对如何在保护用户流量以及流量审查隐私的前提下,虚拟网络中间设备对TLS加密流量进行审查的问题,本文提出了TLS加密流量处理的隐私保护机制Cloud DPI。在该机制中,客户端和服务器使用标准TLS协议进行交互,即该机制同样具有良好的协议兼容性,具备实际部署使用的潜力。Cloud DPI机制支持多种流量审查规则,包括带有多个判定条件、带有负载定位描述符和报文域描述符的规则、跨连接流量审查规则等。Cloud DPI机制的底层密码技术计算开销小,从而提高虚拟网络中间设备的流量审查效率。(4)提出了TLS加密流量处理中间设备的部署和管理方法针对本文提出的以上三种TLS加密流量审查机制,本文结合网络功能虚拟化技术,对相关机制工作在虚拟网络中间设备中的设计实现、部署和管理等问题进行研究,提出基于云服务平台的Dynamic NF框架和一种虚拟网络中间设备通用编程模型,设备厂商使用该编程模型实现的虚拟网络中间设备,可部署于Dynamic NF系统中,由Dynamic NF进行自动化的生命周期管理。Dynamic NF系统提供了网络中间设备配置协议,终端用户可使用该协议在访问网络时根据特定的应用场景,为不同会话配置所需的虚拟网络中间设备。
齐小嫚[3](2019)在《数据中心SDN网络中负载均衡器的研究与实现》文中研究表明随着大数据、云计算、AI等业务领域的发展,数据中心随着新技术的发展也产生了重大的变化。作为提供数据交互的基础设施,数据中心需要不断扩大容量,数据中心网络也要随之扩大规模,提供更为复杂多样的网络业务功能,这就使得网络流量快速增长,数据中心网络流量的负载也因此成为研究热点。而由于传统网络结构固有的静态运作模式和僵硬的管理方法,使得网络流量的调度只能通过传统的泛洪和路由,数据中心的流量调度研究发展缓慢。SDN所实现的网络架构经过多年的发展,在网络控制和转发分离方面的实现取得较大突破,以集中控制的方式,通过可编程硬件/软件实现对流量细粒度的控制能力,从而使得SDN技术在数据中心网络中有着广泛的应用和部署。基于SDN网络架构实现数据中心网络的负载均衡是基于已有的SDN及Neutron所实现的虚拟网络技术的前提下所实现的负载均衡业务,它实现了Neutron中的LBaaS功能,又结合了SDN集中控制的优点,使得数据中心网络更高性能、更灵活也更可控。本文将SDN网络架构应用到数据中心网络中,通过使用VLAN、VXLAN和PBR等网络技术实现一种基于SDN的负载均衡调度方案,使得流量调度更为智能,从而提高了网络资源利用率。通过研究负载均衡器在数据中心SDN网络中的部署和应用,基于负载均衡器纳入数据中心管控的组网方案,提出一种将负载均衡技术引入数据中心SDN网络管控的实现方案,满足企业级网络的负载均衡需求。论文主要工作如下:(1)负载均衡器纳入数据中心SDN网络。选择适合数据中心网络的负载均衡器部署方式,将负载均衡器纳入SDN控制器管控,保证其功能可用且与相关设备三层互通。(2)实现不需要负载均衡的流量都不经过负载均衡器,避免无关流量冲击负载均衡器。确保负载均衡器纳入数据中心网络后不需要负载均衡的流量不会经过负载均衡器,且无论负载均衡器是否正常可用都不影响原有数据中心组网流量。(3)实现SDN网络提供的服务,从云内、外网络访问的流量被负载分担到不同的服务器上。(4)实现负载均衡服务满足动态部署和删除,由云用户按需申请和释放。负载均衡器作为提供LBaaS服务的设备,提供的服务要能动态部署和删除,确保对其进行操作时不影响原有数据中心网络。
吴志军,陈焕,雷缙[4](2018)在《SWIM Web防火墙的设计和实现》文中认为广域信息管理系统(SWIM)是国际民航组织(ICAO)推行的下一代空中交通管理信息共享基础网络,采用面向服务的架构实现航空交通运输资源的共享服务。首先设计了SWIM应用的场景——SWIM服务管理中心,进行Web服务的安全策略研究,结合SWIM Web订阅/发布服务请求的高并发特征,设计了SWIM Web防火墙,保障SWIM各客户端之间的安全通信。SWIM Web防火墙基于SWIM服务管理节点架构进行分布式部署,通过实现流量控制、负载均衡和内容过滤功能,达到对服务过滤并合理分配的目的。将该防火墙部署在LNMP平台中进行测试与验证,实验结果表明该防火墙可对数据包合理分配和有效过滤。
毛小乐[5](2017)在《软件定义网络多应用间的规则冲突检测与消除方案研究》文中研究指明在传统网络中,控制和转发功能都集中在路由器,使得网络的管理和控制不能按需进行。为了解决这个问题,软件定义网络(SDN)被提出了,它的提出从根本上改变了传统网络架构,其主要思想是将控制功能与转发功能分离,从而可以像管理软件一样对网络进行灵活管控。然而随着应用类型的多样化,应用间的规则冲突问题成为了制约软件定义网络发展的瓶颈,所以研究软件定义网络多应用间的规则冲突检测与消除方案十分迫切。本文对软件定义网络进行了深入研究,通过分析各类应用规则的特征,应用两个规则之间的关系模型,提出了使用重叠空间分离的方法进行规则冲突检测,基于多维重叠空间分解理论进行规则冲突消除的方案,成功地解决了软件定义网络多应用间规则冲突的问题。本文开展的具体工作如下:一、通过分析软件定义网络中多种应用规则和交换机流表规则特征,建立了通用数据模型,结合两个规则之间的关系模型,为软件定义网络多应用间的规则冲突检测与消除提供理论依据。二、基于规则冲突理论,提出使用重叠空间分离的方法对多应用间的规则冲突进行检测。提出应用规则优先级评判标准,在检测算法判定冲突的情况下,结合应用规则优先级进行冲突消除。通过研究冲突消除的相关理论,建立了冲突消除的数学理论模型。三、针对Philip Porras提出的冲突规则检测方案的一些不足,提出了改进,即在进行冲突检测之前先去除一些没有必要进行的检测,从根源上减少检测数量,以提高系统的效率。四、搭建软件定义网络仿真平台,将软件定义网络多应用间的冲突检测与消除方案集成到控制器相应模块,有针对性地设计了应用场景,成功地验证了多应用间规则冲突检测与消除方案的正确性,验证了对Philip Porras冲突检测方案的改进是正确性,以及改进方案在时间效率上有所提高。本文提出的软件定义网络多应用间规则冲突检测与消除方案,具有的优点有:可以检测多个应用之间的冲突,而不是只针对某一种应用;优先级的判定准则合理,不会造成不合适的优先级出现;检测算法高效,可以直接在真实软件定义网络中应用。
詹晗[6](2017)在《基于OpenStack的云平台网络安全架构设计》文中研究说明网络安全是互联网中一个永恒的话题,随着云计算的快速发展,云计算终将占领未来的服务器市场,同时云的安全性需求也日益增加。如今市场上的云计算产品,少数是由大型的互联网公司自主研发自己的闭源云产品,如亚马逊、阿里云等;多数则是共同开发开源云计算产品,而开源云计算平台中最具代表性就是OpenStack。OpenStack的网络组件neutron本身提供了位于网络边界、控制进出网络的数据流、安装在云平台集群的网络节点上面的主防火墙——高级服务FWaaS;以及位于云平台集群计算节点上的分布式防火墙——安全组(Security Group);然而这些组件的底层都是基于Linux IPtables和Linux系统中的命名空间来控制进出相应虚拟机或者租户网络的网络包,而Linux中纯虚拟化系统实现的安全组件的性能较差,难以满足市场上的业务需求。目前,市场上的云安全产品仍然很少,且尚未发展成熟,所以大多数的数据中心的云平台网络安全方案的设计仍然是以硬件设备为主,软件设备为辅来构建的。为了满足各类型企业对私有云网络安全性的迫切需求,本文提出了一种基于OpenStack私有云平台的网络安全架构设计。本文的重点将分为以下四部分:首先将介绍云网络安全的研究背景和意义,研究现状,本文的主要内容及创新点;然后介绍虚拟网络实现原理,OpenStack的基本网络架构特性,以及云计算平台上网络的数据流量走向;介绍OpenStack的虚拟网络组件neutron与SDN对接的工作原理;研究OpenStack所提供的网络安全组件安全组和防火墙的原理及应用;接下来将设计一个OpenStack接入SDN,添加硬件的网络安全设备后的云平台数据中心的整体网络架构图,详细介绍各个网络安全设备接入云平台的接入方案;最后将测试整个架构的一些安全设备的功能是否实现,并探讨此方案中数据中心网络存在的一些问题,以及如何解决这些问题,并对该系统提出一些改进的建议。
范康[7](2014)在《云环境下适用于FWaaS的并行防火墙方案研究与设计》文中指出云环境中,以“服务”作为软件交付方式的理念得到了学术界和产业界的广泛认可。除了传统的IaaS, PaaS和SaaS,一切皆是服务XaaS(X as a Service)成了云计算领域的研究热点。这意味着在云环境下,有越来越多的功能会以“服务”的形式提供给租户。本文从防火墙出发,侧重于云环境下防火墙即服务FWaaS (Firewall as a Service)的研究工作。本文设计了一种同时基于数据包分类与规则分布的并行防火墙机制HYPFS(Hybrid methods based Parallel Firewall Scheme).与传统的防火墙相比,该并行防火墙有负载均衡,动态调整,动态伸缩的特点,使防火墙系统有更高的效率,且更适合应用于云环境。在云环境中,防火墙资源被虚拟化,租户可以通过租用多条虚拟防火墙来组成自己的并行防火墙。论文首先分析了如何进行防火墙规则异常的检测。本文通过建立规则-子段表来检测可能存在的规则异常,并引入重叠集来缩小检测范围,为后序对防火墙规则处理打下坚实的基础,且可以得到了防火墙规则的逻辑顺序。然后本文通过规则的重要性顺序,字段顺序,逻辑顺序三种顺序对防火墙规则进行重新分布,使得所设计的并行防火墙不仅能在防火墙之间进行负载均衡,也可以根据负载的变化动态伸缩,真正达到按需分配的效果。同时本文也考虑到了并行防火墙中数据包分类器的负载,使用扁平分类方案以提高数据包分类器的效率。最后论文通过实验验证了文章的主要算法,实验证明,论文所设计的并行防火墙符合各项要求,可以以服务的形式应用在云环境中。
胡启芳[8](2014)在《LVS集群技术在防火墙系统中的研究与应用》文中提出随着网络应用的飞速发展,用户对信息安全、网络服务质量等都提出了越来越高的要求。对强安全、高数据吞吐率、高可靠性的防火墙技术的研究要求也越来越迫切。集群防火墙由于具有技术成熟、实现简单以及硬件投资少等特性,已广泛应用于中小企业安全领域,集群防火墙的负载均衡技术与过滤规则性能的优劣直接影响了集群防火墙系统的最终性能。本论文正是针对上述问题,以高可靠性的集群技术及其在防火墙的应用为主要的研究对象,在深入分析目前集群理论和技术原理的基础上,对集群负载均衡技术和负载均衡算法进行了详尽的讨论和研究。主要内容有:1.通过研究分析影响服务节点性能内外因素,引入负载影响因子概念。不同的负载因其特性不同,对服务节点的计算能力、存储能力及输入输出能力要求不同。通过对网络负载特征信息的提取,计算该负载对服务节点的影响因子。2.分析Logistic模型的阻滞增长特性,实现服务节点有限资源与无限增长服务申请的平衡。服务节点在轻负载率时,节点性能不会随着负载的增长而下降,当负载量超过Logistic模型增长拐点时,增长的负载会使节点性能呈指数下降。为负载均衡策略提供参考依据。3.分析集群负载均衡调度算法,在常用的加权轮询调度算法的基础上,基于负载影响因子和阻滞增长特性,提出一种改进的加权轮询调度算法。该算法在分配网络负载时不仅只考虑服务节点性能,还将负载进行多系数综合,标识负载影响服务节点的预期,为提升负载均衡性能提供实现依据。4.分析包过滤规则,利用树型层次规则表替代原来的线性链表,优化规则在表中的顺序,减少规则匹配次数,从而提升过滤性能。通过正则映射模型,减少规则之间的冲突,提高系统安全。5.研究LVS集群框架,设计校园网集群防火墙结构,利用Netfilter/IPTables的HOOK,挂接改进加权轮询调度算法,通过多次回归测试,调整负载影响因子的计算,实现校园网的小投资、高安全、高性能的集群防火墙。
姚琳琳[9](2012)在《基于分布式对等架构的Web应用防火墙设计与实现》文中研究说明随着互联网技术的飞速发展,Web应用的地位变得更加重要和突出,互联网的主要特性之一是其广泛的开发性,这也导致其存在着诸多不安全漏洞。近年来,众多企事业单位网站被黑客攻击,造成很多无法用金钱衡量重大损失。诸多案例表明,攻击行为逐渐向应用层转移,而传统的防火墙、IDS、IPS等安防解决方案均无法彻底防御此类攻击。Web应用防火墙(WAF)工作在应用层,可以深度分析和检测HTTP请求和响应报文,阻止应用层攻击。通过分析主流Web应用攻击的原理和攻击特征,针对现有应用层单节点WAF部署不够灵活、可扩展性差、检测效率偏低等缺点,设计并实现了一种基于反向代理的分布式对等架构Web应用防火墙,论文的主要工作包括以下几个方面:(1)设计并实现了基于反向代理的主动检测引擎。检测核心采用反向代理技术实现,具有不影响Web应用程序、部署灵活、多主机保护和远程保护的特点。采用了基于规则的专家库被动检测和基于插件的主动检测相结合的方式过滤HTTP/HTTPS报文。检测引擎能够双向过滤请求和响应报文,实现细粒度检测,有效阻止应用层Web攻击,保护Web服务器安全。(2)设计并实现了Web应用防火墙分布式对等架构。系统整体采用分布式对等架构,通过反向代理实现对Web服务请求响应,各个节点运行相同的应用程序,根据需求动态确定主、辅助节点。主节点具有动态会话保持与负载均衡的特点,提出并实现了一种基于负载映射表和映射刻度的动态负载均衡算法用于分布式任务调度;辅助节点采用专家库和插件协同检测HTTP/HTTPS报文;节点间采用JSON通信,主、辅助节点可动态对等转换。(3)设计部署基于分布式对等架构的Web应用防火墙到实验网络。在单节点和分布式多节点的情况下,进行了系统的检测功能、性能及负载均衡算法优劣性等测试。实验结果表明,系统具有较好的可用性和检测效率,部署灵活、可扩展性强。
姚崎[10](2011)在《高性能可信区域边界防护体系结构及关键技术》文中提出区域边界安全是信息系统安全保障框架的重要组成部分,传统的区域边界安全防护机制存在着缺乏体系化的结构设计和防护性能无法适应网络技术及应用高速发展两个方面的主要问题。针对上述问题,首先对区域边界防护体系结构展开研究,归纳总结了现有区域边界安全防护机制的技术特点,指出其存在的局限性;借鉴可信计算领域的研究成果,提出一种以可信网络连接为基础的区域边界防护体系结构,其有机整合了边界安全网关、终端计算环境安全机制和安全管理中心等安全组件,通过对信息流进行分类实现了边界安全防护的层次化和体系化,通过三元对等鉴别实现了边界安全防护机制自身完整性的度量和验证,通过区域边界强制访问控制模型的设计与应用实现了细粒度的边界访问控制。由于边界安全网关在区域边界防护体系结构中是安全策略的重要执行组件,同时其处理性能会成为影响边界可用性的瓶颈,因此给出了可信边界安全网关的功能结构设计和基于多核处理器并行处理的性能优化模型,并对性能优化模型中的三个关键技术问题展开重点研究。1)通过建立开放式安全网关架构的网络报文转发模型,分析了其性能瓶颈所在;然后给出一种基于多队列的报文缓冲区回收重用算法,以及一种基于报文队列的处理器亲和机制;实验结果表明,这两种优化方法提高了转发处理过程的处理器CACHE局部性,减少了同步互斥机制的使用次数,从而大幅提升了边界安全网关数据平面的报文转发性能。2)通过分析指出基于数据流分解与调度的处理模型适合目前安全引擎并行处理的需求;然后给出一种基于状态反馈的动态流调度机制——MFD流调度机制,其包括动态流空间划分算法和大流重映射算法两个部分;通过模拟器对满负载的10Gbps真实网络数据流样本进行模拟调度实验,实验结果表明与几种典型的流调度算法对比,MFD在保证并行执行的各个安全引擎负载均衡的前提下,实现了最小流破坏度,适合安全引擎的处理特点。3)采用生产者/消费者模型描述边界安全网关流水线结构中的共享报文队列操作,给出一种适合链表存储结构的无锁队列操作算法,证明了该算法满足并发执行程序的线性化归约和非阻塞特性;在实验环境中与几种主流的生产者/消费者队列操作算法进行了对比测试,实验结果表明该算法在各种应用环境中都能够具有较好的性能指标。
二、负载均衡机制在防火墙中的应用(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、负载均衡机制在防火墙中的应用(论文提纲范文)
(1)互联网网络配置正确性检测与错误定位研究(论文提纲范文)
| 摘要 |
| abstract |
| 主要符号对照表 |
| 第1章 引言 |
| 1.1 研究背景和意义 |
| 1.2 作者的主要研究工作 |
| 1.3 论文的主要贡献 |
| 1.4 论文的组织 |
| 第2章 相关研究综述 |
| 2.1 引言 |
| 2.2 软件定义网络概述 |
| 2.3 集中式控制平面验证及故障诊断研究 |
| 2.3.1 SDN网络控制平面验证研究 |
| 2.3.2 SDN网络可达性故障诊断研究 |
| 2.4 分布式网络控制平面中配置验证及错误配置定位研究 |
| 2.4.1 分布式网络控制平面中配置验证的研究 |
| 2.4.2 分布式网络控制平面中错误配置的定位研究 |
| 2.5 小结 |
| 第3章 SDN中多项配置共存正确性的检测研究 |
| 3.1 引言 |
| 3.2 多项配置冲突案例分析 |
| 3.3 检测方案的整体设计 |
| 3.4 配置程序的符号执行 |
| 3.4.1 网络系统的描述 |
| 3.4.2 输入消息的符号化处理 |
| 3.5 多项配置间冲突的检测 |
| 3.5.1 路径约束的求解 |
| 3.5.2 合成规则的生成 |
| 3.5.3 冲突的识别 |
| 3.6 实验 |
| 3.6.1 实现 |
| 3.6.2 案例评估 |
| 3.6.3 性能评估 |
| 3.7 本章小结 |
| 第4章 SDN中可达性故障的根因定位研究 |
| 4.1 引言 |
| 4.2 可达性故障案例分析 |
| 4.3 网络起源图模型 |
| 4.3.1 网络系统的描述 |
| 4.3.2 网络起源图的构建 |
| 4.4 可达性故障的根因定位 |
| 4.4.1 参考事件的确定 |
| 4.4.2 基于网络起源图的定位分析 |
| 4.5 实验 |
| 4.5.1 实现 |
| 4.5.2 案例评估 |
| 4.5.3 性能评估 |
| 4.6 小结 |
| 第5章 网络配置更新正确性的检测研究 |
| 5.1 引言 |
| 5.2 网络配置更新案例分析 |
| 5.3 网络模型 |
| 5.3.1 网络实例 |
| 5.3.2 控制平面转移函数 |
| 5.4 受影响网络实例集的推导 |
| 5.4.1 配置更新与网络实例 |
| 5.4.2 受影响网络实例集的计算 |
| 5.5 受影响网络实例集的缩减 |
| 5.5.1 子网络实例 |
| 5.5.2 抽象网络实例 |
| 5.5.3 网络实例的等价性判断 |
| 5.6 实验 |
| 5.6.1 实现 |
| 5.6.2 案例评估 |
| 5.6.3 性能评估 |
| 5.7 本章小节 |
| 第6章 网络配置更新错误的定位研究 |
| 6.1 引言 |
| 6.2 网络更新差错案例分析 |
| 6.3 更新意图的描述与检查 |
| 6.3.1 更新意图的描述 |
| 6.3.2 更新意图的检查 |
| 6.4 基于仿真结果的错误配置的定位 |
| 6.4.1 转发相关的错误配置定位 |
| 6.4.2 路由相关的错误配置定位 |
| 6.5 实验 |
| 6.5.1 实现 |
| 6.5.2 案例评估 |
| 6.5.3 性能评估 |
| 6.6 本章小结 |
| 第7章 总结和展望 |
| 7.1 本文总结 |
| 7.2 未来工作展望 |
| 参考文献 |
| 致谢 |
| 个人简历、在学期间发表的学术论文与研究成果 |
(2)TLS加密流量处理关键技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究问题 |
| 1.2.1 TLS加密流量处理机制设计 |
| 1.2.2 虚拟网络中间设备中的安全问题 |
| 1.2.3 虚拟网络中间设备部署管理技术 |
| 1.3 本文研究内容与主要贡献 |
| 1.4 论文组织结构 |
| 第二章 相关研究 |
| 2.1 网络中间设备处理TLS加密流量相关技术 |
| 2.1.1 基于TLS连接分割的相关技术 |
| 2.1.2 基于服务器私钥内嵌的相关技术 |
| 2.1.3 基于带外密钥传输的相关技术 |
| 2.1.4 基于修改定制TLS协议的相关技术 |
| 2.1.5 基于隐式会话密钥还原的相关技术 |
| 2.2 网络功能虚拟化中的隐私保护相关技术 |
| 2.2.1 网络功能虚拟化流量重定向技术 |
| 2.2.2 防火墙安全外包技术 |
| 2.2.3 深度报文检测安全外包技术 |
| 2.2.4 外包虚拟网络中间设备执行结果验证 |
| 2.3 网络中间设备部署管理相关技术 |
| 2.3.1 基于SDN的网络中间设备部署管理技术 |
| 2.3.2 云环境中网络功能服务链的部署管理技术 |
| 2.3.3 高性能网络中间设备部署平台 |
| 2.3.4 其他相关技术 |
| 第三章 TLS加密流量处理的协议兼容机制 |
| 3.1 问题描述 |
| 3.1.1 系统模型 |
| 3.1.2 安全模型 |
| 3.1.3 设计目标 |
| 3.2 机制设计 |
| 3.2.1 TLS1.3 握手协议概览 |
| 3.2.2 Pass Box机制概览 |
| 3.2.3 Pass Box机制细节 |
| 3.3 机制优化 |
| 3.3.1 支持服务器端网络中间设备 |
| 3.3.2 实现前向安全性 |
| 3.3.3 Pass Box机制的局限性 |
| 3.4 实验评估 |
| 3.4.1 连接建立时间 |
| 3.4.2 数据传输速率 |
| 3.4.3 HTTPS响应时间 |
| 3.4.4 原型系统内存消耗 |
| 3.5 本章小结 |
| 第四章 TLS加密流量处理的访问控制机制 |
| 4.1 密码协议基础 |
| 4.1.1 双线性映射 |
| 4.1.2 BF-IBE |
| 4.1.3 分布式标识密码 |
| 4.2 系统模型 |
| 4.2.1 系统结构 |
| 4.2.2 安全目标 |
| 4.2.3 威胁模型 |
| 4.3 机制设计 |
| 4.3.1 机制概览 |
| 4.3.2 握手协议 |
| 4.3.3 记录协议 |
| 4.3.4 安全性分析 |
| 4.4 理论分析 |
| 4.4.1 前向安全性和实体认证 |
| 4.4.2 会话恢复 |
| 4.4.3 握手阶段计算复杂性 |
| 4.4.4 方案功能对比 |
| 4.5 实验评估 |
| 4.5.1 连接建立时间 |
| 4.5.2 握手阶段通信开销 |
| 4.5.3 数据传输 |
| 4.6 本章小结 |
| 第五章 TLS加密流量处理的隐私保护机制 |
| 5.1 预备知识 |
| 5.2 系统模型 |
| 5.2.1 系统结构 |
| 5.2.2 安全假设 |
| 5.2.3 设计目标 |
| 5.3 机制设计 |
| 5.3.1 机制概览 |
| 5.3.2 规则预处理 |
| 5.3.3 可逆概述实现 |
| 5.3.4 扩展AC算法实现 |
| 5.4 机制优化 |
| 5.4.1 处理带有负载定位和域描述符的规则 |
| 5.4.2 处理跨连接规则 |
| 5.5 实验评估 |
| 5.5.1 虚拟网络中间设备构建时间 |
| 5.5.2 虚拟网络中间设备传输开销 |
| 5.5.3 流量审查吞吐率 |
| 5.6 本章小结 |
| 第六章 TLS加密流量处理中间设备的部署和管理 |
| 6.1 系统结构 |
| 6.2 网络中间设备功能抽象 |
| 6.2.1 网络中间设备分类 |
| 6.2.2 网络中间设备编程模型 |
| 6.3 网络中间设备配置协议 |
| 6.4 原型系统实现 |
| 6.4.1 CPU核心管理 |
| 6.4.2 虚拟网络中间设备实现 |
| 6.4.3 虚拟网络中间设备管理和会话管理 |
| 6.4.4 技术讨论 |
| 6.5 实验评估 |
| 6.5.1 多语境TLS虚拟网络中间设备实现 |
| 6.5.2 性能评估 |
| 6.6 本章小结 |
| 第七章 总结与展望 |
| 7.1 本文总结 |
| 7.2 未来工作展望 |
| 致谢 |
| 参考文献 |
| 作者在学期间取得的学术成果 |
(3)数据中心SDN网络中负载均衡器的研究与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 缩略词表 |
| 第一章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.2.1 SDN |
| 1.2.2 负载均衡技术 |
| 1.2.3 数据中心网络 |
| 1.3 论文主要研究内容 |
| 1.4 论文组织结构 |
| 第二章 相关概念与背景技术 |
| 2.1 OpenStack Neutron |
| 2.1.1 SDN对于Neutron的意义 |
| 2.1.2 SDN控制器对接Neutron |
| 2.2 Overlay网络 |
| 2.3 VCF控制器 |
| 2.3.1 VCFC控制模式 |
| 2.3.2 VCFC对功能模块的管理 |
| 2.4 负载均衡实现方式 |
| 2.5 本章小结 |
| 第三章 需求分析与架构设计 |
| 3.1 需求分析 |
| 3.1.1 功能性需求 |
| 3.1.2 非功能性需求 |
| 3.2 架构设计 |
| 3.3 本章小结 |
| 第四章 负载均衡方案概要设计 |
| 4.1 负载均衡器部署 |
| 4.1.1 负载均衡器部署模式 |
| 4.1.2 负载均衡方案逻辑拓扑 |
| 4.1.3 虚拟化技术实现弹性伸缩 |
| 4.2 负载均衡方案组网 |
| 4.2.1 数据中心原有组网 |
| 4.2.2 负载均衡方案虚拟网络 |
| 4.3 负载均衡方案引流规则 |
| 4.3.1 东西向 |
| 4.3.2 南北向 |
| 4.3.3 负载均衡方案流量模型 |
| 4.4 负载均衡方案流量隔离 |
| 4.5 本章小结 |
| 第五章 负载均衡方案详细设计 |
| 5.1 LB数据模型设计 |
| 5.2 负载均衡模块设计 |
| 5.3 模块间关联关系 |
| 5.3.1 整体交互关系 |
| 5.3.2 NEM指导转发 |
| 5.4 其他相关问题 |
| 5.5 本章小结 |
| 第六章 负载均衡方案实现 |
| 6.1 测试环境介绍 |
| 6.1.1 HCL仿真平台 |
| 6.1.2 VCFC安装 |
| 6.2 测试环境搭建 |
| 6.2.1 网络拓扑 |
| 6.2.2 设备预配置 |
| 6.2.3 创建网元 |
| 6.2.4 配置网关组 |
| 6.2.5 服务资源创建 |
| 6.2.6 虚拟链路层创建 |
| 6.2.7 虚拟路由器创建 |
| 6.2.8 配置负载均衡器 |
| 6.2.9 配置防火墙 |
| 6.3 方案测试 |
| 6.3.1 东西向跨网段报文 |
| 6.3.2 东西向同网段报文 |
| 6.3.3 南北向报文 |
| 6.3.4 网络内部隔离 |
| 6.4 本章小结 |
| 第七章 总结与展望 |
| 7.1 总结 |
| 7.2 展望 |
| 致谢 |
| 参考文献 |
(4)SWIM Web防火墙的设计和实现(论文提纲范文)
| 1 SWIM服务管理中心的场景设计 |
| 1) 资源管理模块 |
| 2) 通信和路由模块 |
| 2 SWIM Web防火墙的总体架构 |
| 2.1 流量控制 |
| 2.2 负载均衡 |
| 2.3 内容过滤 |
| 3 实验及结果分析 |
| 3.1 内容过滤及其结果分析 |
| 3.2 系统时延性能测试及其结果分析 |
| 3.3 系统吞吐量性能测试及其结果分析 |
| 4 结语 |
(5)软件定义网络多应用间的规则冲突检测与消除方案研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 缩略语对照表 |
| 第一章 绪论 |
| 1.1 选题背景和意义 |
| 1.2 国内外研究现状 |
| 1.3 论文的研究内容 |
| 1.4 论文结构安排 |
| 第二章 预备知识 |
| 2.1 SDN架构 |
| 2.2 OpenFlow协议 |
| 2.3 OpenFlow交换机 |
| 2.3.1 OpenFlow交换机的组成 |
| 2.3.2 OpenFlow交换机流表规则 |
| 2.4 策略冲突理论 |
| 2.5 本章小结 |
| 第三章 多应用间冲突规则的检测与消除方案 |
| 3.1 引言 |
| 3.2 构建理论模型 |
| 3.2.1 数据模型 |
| 3.2.2 应用规则冲突类型划分模型 |
| 3.3 多应用间冲突规则检测方案 |
| 3.3.1 软件定义网络中应用部署流程 |
| 3.3.2 基于重叠空间分离的冲突检测算法 |
| 3.4 多应用间冲突规则消除方案 |
| 3.4.1 应用规则优先级判定准则 |
| 3.4.2 基于空间分解的冲突消除方案 |
| 3.5 本章小结 |
| 第四章 针对Philip Porras提出的冲突规则检测方案的改进 |
| 4.1 交换机流表规则间接违反安全规则解决方案的分析 |
| 4.1.1 针对交换机流表的修改间接违反安全规则的研究方案 |
| 4.1.2 Philip Porras方案的检测原理 |
| 4.2 针对Philip Porras等人的冲突规则检测方案的改进 |
| 4.3 方案的对比分析 |
| 4.4 本章小结 |
| 第五章 软件定义网络多应用间的规则冲突检测与消除方案的实现与验证 |
| 5.1 软件定义网络多应用间的规则冲突检测与消除方案具体实现 |
| 5.1.1 系统整体框架 |
| 5.1.2 数据结构设计 |
| 5.1.3 方案实现过程 |
| 5.2 仿真平台搭建 |
| 5.2.1 仿真软件介绍 |
| 5.2.2 软件安装 |
| 5.2.3 仿真环境测试 |
| 5.3 方案验证过程及结果分析 |
| 5.3.1 编写网络应用 |
| 5.3.2 结果与分析 |
| 5.3.3 方案的对比分析 |
| 5.4 本章小结 |
| 第六章 总结和展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 致谢 |
| 作者简介 |
(6)基于OpenStack的云平台网络安全架构设计(论文提纲范文)
| 摘要 |
| abstract |
| 第1章 绪论 |
| 1.1 本课题背景与意义 |
| 1.2 云计算网络安全研究的国内外现状 |
| 1.3 本文的主要结构和内容 |
| 第2章 云计算网络虚拟化原理 |
| 2.1 网络虚拟化技术 |
| 2.1.1 TUN/TAP设备 |
| 2.1.2 Linux VETH设备 |
| 2.1.3 Linux Bridge设备 |
| 2.1.4 OVS Bridge设备 |
| 2.1.5 OVS Patch设备 |
| 2.1.6 IPtables |
| 2.1.7 Linux Namespace |
| 2.2 Open Stack中的网络虚拟化设备 |
| 2.3 云计算中的网络虚拟化实现原理 |
| 2.3.1 Nova-network实现的dhcp Flat网络 |
| 2.3.2 Nova-network实现的VLAN网络 |
| 2.3.3 Neutron实现的VLAN网络 |
| 2.3.4 Neutron实现的VXLAN/GRE网络 |
| 2.4 Open Stack中安全组件实现原理 |
| 2.4.1 Neutron实现的安全组(security group) |
| 2.4.2 Neutron实现的防火墙高级服务(FWaa S) |
| 2.4.3 安全组与防火墙对比总结 |
| 2.5 Open Stack与SDN对接的实现 |
| 2.6 本章小结 |
| 第3章 云平台网络安全方案设计 |
| 3.1 云平台网络安全需求分析 |
| 3.1.1 云平台方面的安全需求 |
| 3.1.2 租户方面的安全需求 |
| 3.1.3 管理运维方面的需求 |
| 3.2 网络安全架构设计 |
| 3.3 网络安全设备接入方案设计 |
| 3.3.1 防火墙与负载均衡设备的接入方案设计 |
| 3.3.2 WAF(网站应用防火墙)设备接入方案设计 |
| 3.3.3 网页防篡系统改接入方案设计 (可选业务) |
| 3.3.4 数据库审计系统 |
| 3.3.5 日志审计系统接入方案设计 |
| 3.3.6 运维与审计系统(堡垒机)接入方案设计 |
| 3.4 本章小结 |
| 第4章 方案测试与结果分析 |
| 4.1 测试与结果 |
| 4.2 结果分析与方案补充 |
| 4.3 本章小结 |
| 第5章 总结与展望 |
| 参考文献 |
| 致谢 |
| 附录1攻读硕士学位期间参与的项目和发表的论文 |
(7)云环境下适用于FWaaS的并行防火墙方案研究与设计(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 研究背景和意义 |
| 1.2 国内外研究现状 |
| 1.3 研究内容与论文框架 |
| 第2章 相关理论介绍 |
| 2.1 防火墙5元组介绍 |
| 2.2 防火墙的规则匹配 |
| 2.3 防火墙的完全性与等价性 |
| 2.4 防火墙规则之间的关系 |
| 2.5 本章小结 |
| 第3章 HYPFS系统的框架设计 |
| 3.1 基于数据包分类的并行防火墙方案 |
| 3.2 基于规则分布的并行防火墙方案 |
| 3.3 HYPFS并行防火墙方案 |
| 3.4 并行防火墙方案的理论比较 |
| 3.5 本章小节 |
| 第4章 HYPFS规则异常检测机制设计 |
| 4.1 防火墙的规则分段 |
| 4.1.1 分段与子段的概念 |
| 4.1.2 防火墙规则分段分析 |
| 4.1.3 HYPFS防火墙分段算法的设计 |
| 4.2 防火墙规则重叠的检测 |
| 4.2.1 规则-子段矩阵表示法 |
| 4.2.2 防火墙规则重叠集的构建 |
| 4.2.3 HYPS防火墙规则冗余检测与解决方案 |
| 4.3 HYPFS防火墙规则的逻辑顺序 |
| 4.4 本章小节 |
| 第5章 HYPFS防火墙详细设计 |
| 5.1 HYPFS防火墙在云环境中的位置 |
| 5.2 数据包分析 |
| 5.2.1 HYPFS分类器设计 |
| 5.2.2 规则优先级动态调整 |
| 5.3 并行防火墙规则分布分析 |
| 5.3.1 防火墙规则分布的理论依据 |
| 5.3.2 HYPFS防火墙分布算法设计 |
| 5.4 HYPFS规则的添加与删除 |
| 5.5 HYPFS并行防火墙动态伸缩 |
| 5.5.1 HYPFS并行防火墙伸缩机制设计 |
| 5.5.2 HYPFS防火墙数目调整算法设计 |
| 5.6 本章小结 |
| 第6章 实验验证与结果分析 |
| 6.1 实验环境 |
| 6.2 HYPFS的IPTABLES实现 |
| 6.2.1 IPTABLES介绍 |
| 6.2.2 HYPFS的具体实现 |
| 6.3 防火墙分段算法验证 |
| 6.3.1 分段算法正确性验证 |
| 6.3.2 分段算法效率分析 |
| 6.4 防火墙规则分布的验证 |
| 6.4.1 指数平滑提高规则稳定性的验证 |
| 6.4.2 并行防火墙负载均衡的验证 |
| 6.5 防火墙效率的验证 |
| 6.6 实验总结 |
| 第7章 总结与展望 |
| 7.1 本文工作总结及创新点 |
| 7.2 未来工作展望 |
| 参考文献 |
| 致谢 |
| 硕士期间发表论文 |
(8)LVS集群技术在防火墙系统中的研究与应用(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 信息安全技术国内外研究现状 |
| 1.2.1 信息安全技术发展 |
| 1.2.2 网络安全国内外研究现状 |
| 1.2.3 集群防火墙技术国内外研究现状 |
| 1.3 研究思路与主要研究内容 |
| 1.3.1 研究思路 |
| 1.3.2 主要研究内容 |
| 1.4 本文组织结构 |
| 第二章 防火墙及集群技术 |
| 2.1 防火墙技术简介 |
| 2.1.1 防火墙的原理 |
| 2.1.2 防火墙安全技术 |
| 2.1.3 防火墙技术的发展趋势 |
| 2.2 集群技术基础 |
| 2.2.1 集群技术 |
| 2.2.2 集群负载均衡策略 |
| 2.2.3 LVS集群结构 |
| 2.3 负载调度算法 |
| 2.3.1 负载调度算法概述 |
| 2.3.2 静态负载调度算法 |
| 2.3.3 动态负载调度算法 |
| 2.4 本章小结 |
| 第三章 LOGISTIC模型与负载均衡技术 |
| 3.1 影响均衡算法因素分析 |
| 3.1.1 外部因素分析 |
| 3.1.2 内部因素分析 |
| 3.2 LOGISTIC模型 |
| 3.3 LOGISTIC模型与负载均衡技术的融合 |
| 3.4 加权负载均衡算法改进 |
| 3.4.1 算法描述 |
| 3.4.2 算法复杂性分析 |
| 3.5 本章小结 |
| 第四章 集群防火墙包过滤规则及优化 |
| 4.1 包过滤机制 |
| 4.1.1 包过滤流程 |
| 4.1.2 过滤规则表结构 |
| 4.2 校园网应用及网段规划 |
| 4.2.1 应用分类 |
| 4.2.2 网段规划 |
| 4.3 过滤规则 |
| 4.3.1 包过滤原则 |
| 4.3.2 包过滤规则 |
| 4.4 过滤规则优化 |
| 4.4.1 规则的组织原则 |
| 4.4.2 规则表优化 |
| 4.4.3 过滤项优化 |
| 4.4.4 规则匹配算法 |
| 4.5 本章小结 |
| 第五章 校园网集群防火墙的实现与应用 |
| 5.1 系统构建 |
| 5.1.1 校园网拓扑结构 |
| 5.1.2 集群防火墙结构 |
| 5.1.3 改进加权轮询算法实现 |
| 5.2 测试方案 |
| 5.3 测试工具 |
| 5.4 测试结果及对比分析 |
| 5.4.1 网络基准性能测试 |
| 5.4.2 典型应用服务效率 |
| 5.5 本章小结 |
| 第六章 总结与展望 |
| 6.1 主要工作总结 |
| 6.2 进一步研究展望 |
| 致谢 |
| 参考文献 |
(9)基于分布式对等架构的Web应用防火墙设计与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| §1.1 本课题研究的背景与意义 |
| §1.2 国内外研究现状 |
| §1.3 主要研究内容 |
| §1.4 论文组织结构 |
| 第二章 Web 应用攻击与防御技术研究 |
| §2.1 Web 应用体系结构 |
| §2.2 典型 Web 应用攻击分析 |
| §2.2.1 注入攻击 |
| §2.2.2 跨站脚本攻击 |
| §2.2.3 跨站请求伪造攻击 |
| §2.2.4 混合编码绕过现有防御技术 |
| §2.3 Web 应用防火墙 |
| §2.4 本章小结 |
| 第三章 Web 应用防火墙分布式对等架构设计与实现 |
| §3.1 Web 应用防火墙的整体架构 |
| §3.1.1 系统架构需求 |
| §3.1.2 系统架构模型 |
| §3.2 对等架构 |
| §3.2.1 节点通信协议 |
| §3.2.2 通信会话与任务分发技术 |
| §3.2.3 节点切换、加入与退出 |
| §3.3 分布式负载均衡算法 |
| §3.3.1 负载指标选择 |
| §3.3.2 负载数据结构 |
| §3.3.3 负载均衡算法各策略设计 |
| §3.4 系统部署方式 |
| §3.5 本章小结 |
| 第四章 Web 应用防火墙检测引擎设计与实现 |
| §4.1 基于反向代理检测引擎架构设计 |
| §4.1.1 反向代理技术 |
| §4.1.2 检测引擎架构 |
| §4.2 报文会话模块设计与实现 |
| §4.2.1 报文收发模块 |
| §4.2.2 SSL 加解密模块 |
| §4.2.3 报文解析模块 |
| §4.2.4 编码解析模块 |
| §4.3 报文检测模块设计与实现 |
| §4.3.1 规则库结构设计 |
| §4.3.2 基于规则的专家库检测 |
| §4.3.3 插件库技术架构 |
| §4.3.4 基于插件的主动式检测 |
| §4.4 检测支撑模块设计与实现 |
| §4.4.1 黑名单与白名单 |
| §4.4.2 更新模块 |
| §4.4.3 日志模块 |
| §4.5 本章小结 |
| 第五章 系统测试与分析 |
| §5.1 测试方案 |
| §5.2 测试平台 |
| §5.3 测试结果及分析 |
| §5.3.1 系统功能测试 |
| §5.3.2 检测性能测试 |
| §5.3.3 负载均衡与节点容错测试 |
| §5.4 本章小结 |
| 第六章 总结与展望 |
| §6.1 总结 |
| §6.2 展望 |
| 参考文献 |
| 致谢 |
| 作者在攻读硕士期间主要研究成果 |
(10)高性能可信区域边界防护体系结构及关键技术(论文提纲范文)
| 致谢 |
| 中文摘要 |
| ABSTRACT |
| 图目录 |
| 表目录 |
| 1 绪论 |
| 1.1 引言 |
| 1.2 相关研究背景 |
| 1.2.1 信息安全保障框架 |
| 1.2.2 信息系统安全等级保护设计要求 |
| 1.2.3 可信计算的发展 |
| 1.2.4 多核处理器发展 |
| 1.3 区域边界防护体系结构 |
| 1.3.1 传统区域边界防护体系结构 |
| 1.3.2 体系结构安全弱点分析 |
| 1.4 区域边界安全防护性能 |
| 1.4.1 区域边界防护的高性能需求 |
| 1.4.2 高性能边界安全网关技术路线 |
| 1.5 研究内容及主要贡献 |
| 1.6 论文结构 |
| 2 可信区域边界防护体系结构 |
| 2.1 相关研究背景 |
| 2.1.1 区域边界安全体系结构 |
| 2.1.2 可信计算与可信网络连接 |
| 2.1.3 强制访问控制模型及应用 |
| 2.2 可信区域边界防护体系结构设计 |
| 2.2.1 设计目标及思路 |
| 2.2.2 可信区域边界安全体系结构 |
| 2.2.3 可信区域边界防护过程 |
| 2.2.4 可信区域边界三元对等鉴别机制 |
| 2.3 TDE区域边界强制访问控制模型 |
| 2.3.1 安全目标 |
| 2.3.2 TDE模型设计思路 |
| 2.3.3 模型常量及变量定义 |
| 2.3.4 模型安全不变量及规则 |
| 2.3.5 模型应用 |
| 2.4 可信区域边界安全网关原型系统设计 |
| 2.4.1 边界安全网关功能设计 |
| 2.4.2 边界安全网关性能设计 |
| 2.5 小结 |
| 3 边界安全网关高速报文转发机制 |
| 3.1 模型描述与分析 |
| 3.1.1 Linux网络转发模型 |
| 3.1.2 指标参数定义 |
| 3.1.3 性能瓶颈分析 |
| 3.1.4 相关研究工作 |
| 3.2 SKB重用机制 |
| 3.2.1 SR机制工作原理分析 |
| 3.2.2 多核环境下SR回收算法 |
| 3.2.3 性能测试与分析 |
| 3.3 基于队列的处理器亲和机制 |
| 3.3.1 基于接口的处理器亲和机制分析 |
| 3.3.2 基于队列的亲和机制 |
| 3.3.3 试验测试与分析 |
| 3.4 小结 |
| 4 边界安全网关负载均衡调度机制 |
| 4.1 模型描述 |
| 4.1.1 安全引擎并行处理模型 |
| 4.1.2 并行安全引擎的负载均衡调度问题 |
| 4.1.3 流调度算法度量指标设计 |
| 4.2 最小流破坏度负载均衡调度机制 |
| 4.2.1 设计思想描述 |
| 4.2.2 DHRW动态流空间划分算法 |
| 4.2.3 基于大流的流重映射算法 |
| 4.2.4 MFD机制完整描述 |
| 4.3 模拟实验数据及分析 |
| 4.3.1 模拟器设计与实现 |
| 4.3.2 数据流的选取与处理 |
| 4.3.3 DHRW动态流空间划分算法负载均衡度试验 |
| 4.3.4 基于大流调度的负载均衡度试验 |
| 4.3.5 MFD与同类算法指标对比分析 |
| 4.4 小结 |
| 5 边界安全网关流水线模型中无锁队列算法 |
| 5.1 模型描述及评价指标 |
| 5.1.1 生产者/消费者队列模型 |
| 5.1.2 队列操作算法评价指标 |
| 5.2 SP/SC队列操作算法研究 |
| 5.2.1 相关算法分析 |
| 5.2.2 FastList算法 |
| 5.2.3 算法线性化证明 |
| 5.2.4 算法非阻塞属性证明 |
| 5.3 SP/MC队列系统设计 |
| 5.3.1 队列结构设计 |
| 5.3.2 基于多消费者队列的MS算法扩展 |
| 5.3.3 基于多消费者队列的FastList算法扩展 |
| 5.3.4 扩展算法的属性分析 |
| 5.4 MP/MC队列系统设计 |
| 5.4.1 基于消费者的多队列结构设计 |
| 5.4.2 基于生产者分组的多队列结构 |
| 5.4.3 基于二维队列数组的结构设计 |
| 5.5 试验与性能分析 |
| 5.5.1 试验环境描述 |
| 5.5.2 SP/SC队列试验结果与分析 |
| 5.5.3 SP/MC队列试验结果与分析 |
| 5.5.4 MP/MC队列试验结果与分析 |
| 5.6 小结 |
| 6 结论 |
| 6.1 论文的主要贡献 |
| 6.2 不足及进一步研究方向 |
| 参考文献 |
| 作者简历 |
| 学位论文数据集 |
四、负载均衡机制在防火墙中的应用(论文参考文献)
- [1]互联网网络配置正确性检测与错误定位研究[D]. 李亚慧. 清华大学, 2020(01)
- [2]TLS加密流量处理关键技术研究[D]. 李杰. 国防科技大学, 2020(01)
- [3]数据中心SDN网络中负载均衡器的研究与实现[D]. 齐小嫚. 东南大学, 2019(01)
- [4]SWIM Web防火墙的设计和实现[J]. 吴志军,陈焕,雷缙. 中国民航大学学报, 2018(06)
- [5]软件定义网络多应用间的规则冲突检测与消除方案研究[D]. 毛小乐. 西安电子科技大学, 2017(04)
- [6]基于OpenStack的云平台网络安全架构设计[D]. 詹晗. 武汉邮电科学研究院, 2017(05)
- [7]云环境下适用于FWaaS的并行防火墙方案研究与设计[D]. 范康. 复旦大学, 2014(03)
- [8]LVS集群技术在防火墙系统中的研究与应用[D]. 胡启芳. 电子科技大学, 2014(03)
- [9]基于分布式对等架构的Web应用防火墙设计与实现[D]. 姚琳琳. 桂林电子科技大学, 2012(11)
- [10]高性能可信区域边界防护体系结构及关键技术[D]. 姚崎. 北京交通大学, 2011(10)