本文是毕业论文,毕业论文,泛指专科毕业论文、本科毕业论文(学士学位毕业论文)、硕士研究生毕业论文(硕士学位论文)、博士研究生毕业论文(博士学位论文)等。(以上内容来自百度百科)今天为大家推荐一篇毕业论文,供大家参考。
第一章 绪论
1.1 课题的研究背景
在国际上,计算机网络基本采用的是一套标准的架构。各种应用系统构建在公开的网络协议之上。但这些公开的网络协议并不是完全安全的,或多或少存在一些可以被攻击或者被利用来攻击他方的漏洞[1]。针对各种网络安全威胁,诞生了各种安全防护技术来进行防范[2]。最本质的当然要数内容检查。但如何做到精确的内容检查来对攻击进行检测一直是一个高难度的技术。但有一种技术叫隔离交换技术,能够比较容易的阻隔一些协议攻击。这项技术对网络协议进行了隔离,本质是在网络传输路径上的一段或者一个环节上,不采用公开的网络协议进行交换[1]。隔离交换有多种形式,比如通过分时的拷贝、设立中转区域、或者采用自动或手动的开关来控制网络通断等,都在安全与便利性之间做出一个平衡的选择。我单位借鉴了上述思路,曾为用户研制出了一种网络隔离器。这种网络隔离器是通过专用通信协议、专用通信硬件等安全机制,打断直接的网络连接,在不同安全域之间仅仅摆渡应用系统的应用数据,而不是公开的网络协议。这样的隔离交换,不仅完成了网络协议安全检查,还着重于应用数据的内容检查,相起比经过防火墙进行防护的场景,实现网络隔离和数据交换,降低或阻止了利用网络协议制造的攻击行为,适用于有一定的安全隔离要求还没有要求物理隔离的程度的环境。随着用户使用业务种类和业务规模的持续壮大,各种各样的不同安全等级的网络被接入原本业务单一的分部门。显然将这些网络通过同一个网络隔离器接入部门内部网络进行安全防护,显然是一件很具有安全风险的事情。但如果部署多台网络隔离器分别对各个网络进行安全防护,又对用户的空间、资金、电力等成本提出了翻倍的要求。目前虚拟化技术如火如荼的形势下,采用虚拟化技术实现在同一台网络隔离器、同时对不同安全等级网络提供安全防护,相比起部署多台网络隔离器的解决方案,将极大减少用户的成本投入。本篇论文将说明那么如何利用现有单路的网络隔离的产品,通过虚拟化技术,实现多路网络隔离的产品。
.........
1.2 国内外研究现状
在计算机行业中,虚拟化代表着一种新思路。他利用了共享的各种硬件资源,对这些硬件资源进行科学管理、重组、使用分配,并对其进行抽象化,对用户进行呈现,并提供单个或者集群硬件的最大化效能[3]。随着网络技术的发展,虚拟化目前在计算机行业内得到了长足进步[4]。目前业界虚拟化安全防护产品主要是虚拟化防火墙。传统防火墙是一个物理实体。经常发生的情况是,当用户变得有较多的机构划分,这些机构不能直接通过一台独立硬件防火墙进行安全防护,不得不需要部署多台独立硬件防火墙时候,独立硬件防火墙缺陷和应用的不足就逐渐显露了出来: 购买或租用成本成倍增加; 机架空间占用成倍增加; 机房降温费用增加; 管理成本增加; 布线相对复杂。虚拟化技术的成熟也使得人们把视线转移到了通过虚拟化来解决问题的道路上。虚拟防火墙是利用虚拟技术,在公共服务器等硬件中模拟出的具备防火墙功能的软件系统实现。虚拟防火墙具备了与物理防火墙相当的功能,比如包过滤、内容检查、流量控制、负载均衡等[5]。虚拟防火墙的部署是非常灵活的,可以部署在两个物理网络之间,可以部署在两个虚拟网络之间,还可以部署在虚拟网络和物理网络之间。
........
第二章 网络隔离器相关技术
2.1 网络隔离技术
随着计算机技术的发展,计算机界安全防护提出了更高的需求,需要全新安全防护防范技术。网络隔离技术正是为了抵御新型网络攻击手段而出现的[7]。网络隔离的目标也是讲攻击进行过滤,仅仅传输经过许可的、安全的信息,防止信息的泄露,并且将入侵隔绝在外。网络隔离技术是在防火墙技术基础上发展而来的,它一定程度上解决了防火墙技术的面临的瓶颈[8]。网络隔离本质上是在两个可路由的网络(如:TCP/IP)之间,通过不可路由的协议,完成这些网络的数据交换[7]。网络隔离将这些可路由的网络之间的传输协议进行了阻断和隔离,通常也叫协议隔离。同防火墙等一些安全产品一样,网络隔离目标也是保护高安全度网络,但经历了若干代思路和技术的变化:存储资源硬件卡隔离:先研发一种具有处理能力的硬件卡,带有被访问资源的存储设备连接到该卡。硬件卡有多个互不相连的网络接口,也可以同时连接多个网络。硬件卡具有网口选择跳线功能,可以将存储设备在不同时候连接到不同网络[8]。这种网络隔离产解决了对不同网络使用相同资源但不能相互连通的问题,但存在访问资源时间冲突的特点。 数据转播复制:也就是传统意义上的复制文件的方式,比如通过可控制读写的移动存储介质、甚至刻录光盘的方式,在不同安全域之间进行信息交换。具有效率低下,人工审核介入的特点,严格意义上这种方式并不是一种网络应用,也存在较大的人工主观性带来的安全隐患。空气开关交换:使用一种单刀开关,使得不同安全域的网络在不同的时间分片中访问同一个临时缓存器,通过这个临时缓存器进行进行数据交换,这种方式虽然使两个网络不能直接连接,同时兼顾了交换数据。但在安全和效率上也存在问题。专用协议传输:通过专用协议结合专用通信硬件等安全机制,完成不同安全等级网络之间的数据交换[8],同时有效地隔离不同安全域的网络,并且还可以透明支持多种网络协议。这种方式也通过将两个可路由的网络通过不可路由的方式连接了起来,但相互不能直接进行数据交换,是一种性能和安全性都得到兼顾的手段。
..........
2.2 TProxy 透明代理技术
TProxy 是 Transparent 的缩写,即透明代理。代理是一个程序,从客户端接收请求,并把请求转发给真实服务器,然后将服务器的回应数据也转发给客户端。代理工作中都存在一个共同的问题,服务器感受到的连接的源地址和端口不是客户端的原始的源地址和端口,而是代理的地址和端口[10]。代理不同于地址转换,地址转换的目的是扩展 IP 或者网络隐藏。代理的作用是进行访问控制,对交互的数据进行内容检查和深度过滤。但对于某些希望控制用户访问 IP 的应用,在经过了代理转发后,服务器因为无法知道实际访问的客户端是谁,从而访问控制策略无法生效[11]。在服务器看来,所有连接的源地址都是代理的地址。这就是透明代理产生的原因。TProxy 技术应用于代理上时,通过修改源地址和端口,实现代理模拟真实的客户端去连接服务器。这如同一个本地的 SNAT 源地址转换。在服务器将回包发送给代理的物理地址时,IP_Conntrack 技术又将数据包重定向到代理地址和端口。有了 TProxy,代理就能够把自己装作客户端去连接服务器,同时也可以装作服务器去连接客户端,实现了代理的透明转发。在这个过程中,仅仅是链路层的物理地址得到了改变。其他的 IP 地址和端口都保持原有的状态。这个技术特别适合网络隔离,因为网络协议通过隔离后,一般不能直接对目标机进行访问。有了 TProxy 之后,在不同网络之间的客户端和服务器可以像已经直接通过网络连接起来一样,进行轻松访问。
..........
第三章 虚拟化多路改造设计和实现............7
3.1 硬件介绍 ........ 7
3.2 改造前软件介绍 ..... 8
3.3 软件改造方案概述 ........ 10
3.4 网络结构改造 ....... 12
3.5 防火墙改造 ........... 13
3.6 应用层代理相关改造 .... 17
3.7 隔离交换接口改造 ........ 41
3.8 隔离交换驱动介绍 ........ 43
3.9 配置管理界面 ....... 43
3.10 本章小结 .... 53
第四章 功能和性能测试............54
4.1 功能测试 ...... 54
4.2 性能测试 ...... 60
4.3 本章小节 ...... 61
第五章 全文总结与展望............62
5.1 全文总结 ...... 62
5.2 后续工作展望 ....... 63
第四章 功能和性能测试
4.1 功能测试
隔离交换驱动是部署在两个处理单元单元,采用 C 语言编写,以内核模块的形式在系统启动时动态插入操作系统内核空间工作。隔离交换驱动主要用于接收来自用户空间的应用协议数据帧,将数据帧进过进一步封装,完成两个处理单元之间的数据传输交互。隔离交换驱动也提供了数据交互差错和重传机制,以及数据同步机制,兼顾可靠性与性能。隔离交换驱动自动初始化生成若干个设备文件,设备文件在两个处理单元上进行了编号,是对等的并且一一对应的,这是通过向一个设备文件写入数据,必然可在另一个处理单元上的相应设备文件读出数据,这就保证了一个处理单元隔离交换控制写入的一种服务类型的数据不会被另一个处理单元的另一个服务的处理进程——隔离交换控制读取到。#p#分页标题#e#
.........
总结
本论文介绍了如何以原有网络隔离器作为基础,进行简单技术改造,满足了用户使用一台网络隔离器硬件,同时对多个网络的传输提供安全防护的需求。本论文第一章,主要介绍多路改造的背景、虚拟化技术的发展现状,明确了本文研究的目标、要完成的工作安排等内容。本论文第二章,介绍了网络隔离技术的概念、理论本质,对网络隔离的发展历程进行了简单介绍;介绍了采用应用层代理实现透明传输的透明代理关键技术,这些概念和原理是设计多路网络隔离器必须要秉承和保持的。本论文第三章,首先介绍了网络隔离器的硬件设计和软件设计,为虚拟化多路改造作铺垫。再以对比的方式,介绍了虚拟化多路改造方案的设计思路、核心思想:在两个系统单元对外的接口之间,建立“网络接口”对“网络接口”的虚拟化数据通道,使得数据从某个网络接口进入设备,只能从另一个单元的指定接口发出。网络结构和防火墙是根据总体方案,对配置进行重新设计和修改实现,相对比较简单。应用层代理改造的核心是获取网络会话的进接口信息和发出绑定出接口,“3.6.2 从内核获取进接口可行性”一节从内核源码进行分析,分析解决了从用户态获取网络会话进接口的可行性。“3.6.4 从内核获取网络数据的接口信息”一节分别对 TCP、UDP 不同的处理机制,介绍了应用层代理从内核获取网络数据的接口信息的具体改造实现。应用层代理收到数据后,下一步是将数据交给隔离交换控制程序,所以在“3.6.5 将数据发送给隔离交换控制程序”一节,介绍了如何在多路改造后将接口信息传递给隔离交换控制程序。在另一个系统单元,隔离交换控制程序将网络接口信息和数据交给另一个系统单元的应用层代理,在“3.6.6 通过指定接口将数据发送到网络”中描述了这个过程,并且详细介绍了应用层代理绑定接口发送数据的原理和改造实现方法。最后在“3.6.7 访问控制改造”一节,介绍了在多路模式下,应用层如何实现对每一路不同的访问控制处理的改造设计和实现。隔离交换控制程序改造体现在“3.7 隔离交换接口改造”一节,主要核心是改造隔离交换帧,将接口信息通过扩展字段的方式,在两个系统单元之间传递。最后,论文还介绍了对涉及的配置管理界面设计进行了介绍,这一块我承担主要的设计工作。开发工作由我的团队中负责 UI 界面的成员完成。通过一整套完整周密的设计,网络隔离器具备了多路同时通信而路与路之间互不干扰的能力,并且还保留了隔离交换、过滤控制的诸多功能。本论文第四章,分别针对虚拟化多路网络隔离器的技术要求,设计了 6 个功能测试项和 2 个性能测试项,对虚拟化多路的功能和性能进行了测试,测试结果表明:虚拟化多路网络隔离器满足了设计目标。
..........
参考文献(略)
