安全技术在路由器中的应用和实现

安全技术在路由器中的应用和实现

王芳[1]2007年在《路由器访问控制列表及其应用技术研究》文中指出访问控制列表(Access Control List,ACL)是路由器的一组条件控制指令列表,是实现包过滤技术最核心内容。通过对列表中的不同控制条件组合的管理和控制,形成一组permit(允许)和deny(拒绝)函数组成的有序条件集合,控制路由器端口的访问权限,保证路由器最基本的安全性。因此,访问控制列表技术作为网络的外来攻击防御的第一关卡,对整个网络的安全防护是至关重要的,对该项技术在实用中的深入研究以及配置方法的优化和改进都有重要的现实意义。本文的主要内容如下;首先,介绍了访问控制列表技术的概念、分类、工作原理、配置方法以及不同类型访问控制列表技术的特点等。其次,论文以实用网络为基础,在路由器上使用访问控制列表技术对网络流量控制的权限访问控制进行研究,给出了相应的优化方案。同时对常见外部网络攻击进行防范设置,有效地保护网络安全。第叁,提出了一种基于分层管理的路由器ACL实现方案。论文详细分析了访问控制列表常规配置技术存在的不足,设计了一个基于图形界面(GUI)的自动配置实现方案,并通过实验的方法对软件程序进行了测试,结果表明该方案是切实有效而且可行的。最后,总结了本文的工作,提出了目前在研究中还存在的一些问题和不足,并给出了下一步可能研究方向和相关设想。

冯涛[2]2015年在《软件定义网络(SDN)网络管理关键技术研究》文中认为从网络技术的发展趋势看,软件定义网络已经成为促进网络创新和重构网络体系的最重要推动力之一。软件定义网络具有的转发与控制分离、基于全局视图的集中控制等特点,显着提高了网络管理的灵活性和网络资源使用的效率。但是,SDN的开放性也引入了功能服务动态构建、多租户资源调配和混合SDN路由管控等问题,严重制约了SDN网络管理技术的发展。本文归纳总结了SDN管理领域的已有研究成果,对SDN网络管理模型、网络资源调度管理技术和混合SDN路由视图服务技术开展了深入研究,设计实现并现网部署了基于SDN的真实地址验证管理系统和SDN网络资源动态调度管理系统。本文研究内容包括:(1)针对SDN网络管理模型缺乏、网络功能动态组合困难的问题,提出了基于NFV的SDN网络管理框架和管理模型,设计了对等模式的服务功能链构建机制,验证了该模型和机制具有良好的可扩展性和处理时效性。(2)针对SDN资源管理中流表与带宽联合分配和调度效率低的问题,提出了兼顾公平和效率的SDN网络资源联合管理模型和调度算法,设计了SDN虚拟转发空间,通过实际数据评估和原型系统验证了该管理模型和调度算法具有较高的网络利用率和缓冲替换效率,同时能够有效降低网络延时和提升流表命中率。(3)针对混合SDN路由管理中视图构建难的问题,提出了混合SDN路由管理中的路由视图服务技术,设计了开放传统分布式路由平面的Open Route Flow协议,实验证明该协议具有较低的路由状态传输协议负载、路由状态处理负载和路由状态感知延迟。(4)针对传统架构下域内真实地址验证管理系统的接口协议种类复杂、网络状态感知迟缓、过滤效果存在误判、网络功能无法复用等问题,设计并实现了基于SDN的域内真实地址验证管理系统,并在CERNET的25所高校进行了实际部署和功能验证。(5)针对新型网络体系结构下,缺乏为多种异构网络应用提供SDN网络资源动态调度和统一管理的平台等问题,设计并实现了SDN网络资源动态调度管理平台,并在全国13个节点进行了实际部署和功能验证。

蔡昂[3]2012年在《高职院校计算机网络安全管理系统的设计与实现》文中进行了进一步梳理当今国际和国内互联网飞速发展,校园计算机网络作为高职院校重要的基础设施,担当着高职院校教学、科研、管理和对外宣传交流等许多角色。作为一个面向广大师生的开放系统,校园计算机网络上传输的各种数据急剧增加,面临着来自各方面的威胁和攻击。论文在把握高职院校校园计算机网络安全管理系统各功能的整体结构基础上,研究不同功能的具体实现途径以及在管理过程中需要用到的各类数据模型;并利用常用的网络监控工具建立路由器、交换机、防火墙等网络设备所具有的网络安全控制功能,从而对整个网络进行安全管理;网络管理主要包括配置管理、性能管理、故障管理、安全管理、用户管理、网络监控等功能管理内容。整个系统开发比较复杂,涉及到多方面的计算机和网络技术,建立一个基于SNMP协议、VLAN技术、防火墙技术、身份认证技术、入侵检测技术的高职院校校园计算机网络安全管理系统,实现校园计算机网络安全管理所需的网络监控、设备管理、IP查询、拓扑发现、路由配置、用户管理、故障管理等主要功能。

范红艳[4]2008年在《基于OPNET的路由协议性能分析》文中指出在复杂的网络拓扑结构中,路由器扮演着重要角色,而运行其上的路由协议更是网络正常高效运行的关键,因此,路由协议的性能对于网络效率而言显得非常重要。本文在阐述网络发展的现状和趋势的基础上,着重分析了两种内部网关路由选择协议RIP和OSPF协议的实现机制和性能特点。RIP协议是基于距离矢量算法的。OSPF协议是基于链路状态算法的。本文的工作重点是对上述两种协议分别从类型,封装,路径特征,邻居发现和支持,路由选择数据的分发,对变化的响应,路由表计算,健壮性/可靠性以及安全性等方面进行了对比分析,并对它们存在的安全漏洞进行了初步的分析说明。根据以上的分析,通过OPNET软件,本文设计了一个10km×10km规模大小的网络仿真模型,配置了相应的流量和IP地址,并选取了路由协议网络收敛性,协议开销,网络延时以及链路修复四个仿真性能参数进行仿真,最后通过对仿真结果的分析得出以下结论:RIP协议适合于网络规模较小、拓扑结构比较简单、性能要求不严格和易用性要求较高的环境,而OSPF则适合于网络规模大、拓扑结构复杂和性能要求高的环境,因此要根据网络特点合理的选择路由协议。

戚聿娟[5]2008年在《路由器中基于HTTP协议的应用开发》文中提出随着大型互联网络(如,Internet)的迅猛发展,路由技术在网络技术中已逐渐成为关键部分,路由器(Router)也随之成为互联网络中必不可少的联网设备之一。在现今这个信息化的社会中,路由器已经广泛应用于各行各业,因此开发简单、实用且具有多种应用功能以契合不同用户需求的路由器势在必行。众所周知,Internet的基本协议是TCP/IP协议,而目前在万维网上广泛采用的HTTP协议是建立在TCP/IP协议之上的应用层协议之一。HTTP协议(Hypertext Transfer Protocol,超文本传输协议)是用于从WWW服务器传输超文本到本地浏览器的传送协议。基于请求/响应模式的HTTP协议,凭借其简捷、快速、灵活和高效等特点,应用于各种分布式和合作式超媒体信息系统,并可支持多种应用功能的开发。综合考察了VLRT路由器的特点和具体的客户需求,本人在VLRT路由器中,完成了HTTP协议的开发,并基于HTTP协议开发了一组简单实用的功能集以满足不同用户的多种需求:(1)Web配置(一种相比于传统的命令行配置方式更为友好、简单的路由器配置方式);(2)HTTP代理(拟客户端和服务器端,转发HTTP请求/响应报文以及HTTP资源);(3)认证代理(嵌入路由器中的一种应用级防火墙);(4)HTTPs(利用SSL进行加密传输的安全的HTTP)。

卿卉[6]2008年在《基于IPv6的组播技术及应用系统研究》文中研究表明随着信息技术的飞速发展,Internet已经成为加快和改变人类信息和知识流通的巨大推动力。而网络业务中最吸引人的多媒体相关服务应用例如视频点播、远程教育等正刺激着IP组播技术的普及和发展。虽然组播技术可以避免网络资源的浪费、减小网络拥塞和解决广播风暴等问题,比单播和广播技术有不可比拟的优势,但是大规模的组播应用需要大量的IP地址,这在目前的IPv4网络中发展受到了制约。然而随着IPv6协议的产生却能很好的解决这个问题,IPv6协议采用128位的地址方案,彻底解决IP地址不足的问题,因此,IPv6与组播技术的结合,将会对下一代网络中的应用产生深远影响。本文把组播技术作为IPv6的一个重要应用点,由浅入深进行研究,在对组播技术及IPv6协议研究的基础上,对IPv6组播进行分析,并设计一个基于IPv6的组播应用系统,在系统中实现对组播用户的管理,组播地址的集中管理和分配以及组播源的流标签管理等功能。本文的主要内容如下:1.对组播原理及相关技术进行了阐述,分别描述了组播在IPv4网络和IPv6网络中的编址方式、路由协议以及管理协议,并对IPv4组播和IPv6组播进行了比较分析。2.对IPv6组播应用技术进行分析,包括组播实现的条件,分别论述了主机及路由器对组播的支持,并对组播业务模型的信源管理、用户管理及安全控制进行阐述和研究。3.设计了一个基于IPv6组播的应用方案。给出了在IPv6组播应用环境下的流标签应用模型,该模型使用MI标签格式,实现流媒体传输对网络的要求。对IPv6中受控组播协议进行了深入研究。对IPv6组播地址的分配方案进行了阐述,并设计了本系统中组播地址动态分配的方案。4.IPv6组播应用系统的实现。该系统的组播通信方式由IPv6下的Winsock编程实现,同时实现了对组播用户的权限管理,组播地址的动态分配以及流标签在组播系统中对服务质量的体现。

潘恬[7]2015年在《支持快速启动和协议识别的路由器线卡的研究》文中指出路由器作为信息沟通的“桥梁”,自互联网诞生起一直发挥着基础性的作用。随着互联网日新月异的发展,传统路由器的设计逐渐无法满足网络运营商和用户的需求。一方面,为了保持链路的可达性,传统路由器通常以24/7的方式持续工作,消耗巨大的电能。如何设计支持省电的路由器成为亟待解决的问题。另一方面,尽管互联网上的应用日益丰富,传统路由器因遵循“核心简单、边缘复杂”的设计原则,无法为不同应用提供定制的服务。如何使路由器能够根据流量承载的应用作针对性的包转发也成为当下的研究热点。针对路由器的这两个发展趋势,我们对路由器线卡的体系结构进行了深入的研究。论文的主要研究成果如下:1.提出了路由器线卡快速启动的设计方案。目前学术界提出的核心路由器省电方案均假设路由器线卡可以在零时间切换工作状态,然而本文在真实路由器上的测量结果显示,核心路由器线卡需要花费五分钟甚至更长时间完成启动。为了使学术界的省电方案可以“无缝”的运用到现役路由器上,本文提出了线卡快速启动的方案。具体而言,本文给出了路由表项优先下载的策略,并利用动态规划求得满足最长前缀匹配约束的最优路由表项下载次序。在路由器线卡原型系统上的实验结果显示,基于我们的设计,线卡的启动时间可以从40.8s缩短到127ms。2.设计并实现了基于FPGA的高速应用层协议识别系统。有别于基于多核通用处理器的软件系统,本文基于FPGA搭建了面向高速骨干网的硬件应用层协议识别系统。本文利用骨干网流量传输层的时间局部性特性,设计了基于两级存储的硬件结构;利用DRAM存储器的突发特性,设计了基于固定桶长的哈希表作为流表数据结构;为了减少流老化操作对DRAM的带宽消耗,提出了惰性老化机制;为了屏蔽底层细节,设计了设备无关抽象层和流水线命令处理单元。实验结果表明,该系统可以达到70Mpps的吞吐率,满足OC-768骨干网的性能要求。3.研究了高速网络中可容纳100M规模并发流的流表数据结构。有效解决哈希冲突是提高流表性能的关键。基于多哈希的方法可以较好解决哈希冲突,但当并发流数目很高时,会造成巨大的片上缓存开销。为此,本文提出了对存储器带宽贪婪的哈希方法,只为一部分哈希表项按需分配片上缓存,在保证性能的前提下,大大降低片上缓存开销。实验表明,该方法可以在16GB的DRAM中容纳100M并发流,并保证片上缓存开销不超过16MB,同时达到122Mpps的吞吐率。

庞斌[8]2003年在《高性能路由器的服务质量关键技术研究》文中提出通信技术的发展和新的应用类型的出现对网络互连的核心设备—路由器的性能和功能都提出了更高的要求。在过去十年中,Internet迅速发展成为全球最大的数据网络,其骨干链路的带宽和流量都呈现爆炸性增长的态势,要求路由器能提供快速的分组转发技术;与此同时,随着Internet的商业化,用户对网络服务质量(Quality of Service)的要求也不断提高,需要路由器根据应用的需求提供多种类型的服务。如何在保证吞吐量的同时满足分组在带宽、延迟和丢失率等方面的要求是高性能路由器QoS技术所面临的主要问题。与传统的只提供无差别服务的路由器相比,支持QoS的高性能路由器不仅要利用交换和并行处理技术来提高系统的吞吐率,而且需要在体系结构、数据平面和控制平面的算法等方面进行改进,以满足Internet未来发展的要求。本文主要从拥塞控制、接纳控制和输入排队调度算法等叁个方面对高性能路由器中的QoS关键技术问题进行了研究,主要贡献有:在拥塞控制方面,本文主要研究了如何利用路由器实现网络拥塞控制,提出了二阶段分布式拥塞控制方案,它将传统的基于末端系统的端到端控制分为核心网络控制和接入网络控制两个阶段,根据网络的具体情况分别控制拥塞。在核心网络拥塞控制的实现上,提出了基于速率和队列控制的近似公平带宽分配算法(RQ-AFB),主要面向当前的Internet结构,根据传输流的速率和队列长度动态地调整分组的丢弃概率,有效地解决了自适应和非自适应传输流之间的不公平带宽分配问题;此外,本文还提出了基于边界节点的聚集拥塞控制(EB-ACC),主要面向区分服务模型,通过在网络的边界节点引入自适应的流量调节算法,重点解决了聚集间的不公平性和拥塞崩溃问题。在接入网络拥塞控制的实现上,阐述了基于边界节点和基于主机的控制方案。在接纳控制方面,提出了面向区分服务网络的接纳控制方案(DS-CAC),重点阐述了DS-CAC方案中的信令处理过程和在分布式环境下对连接请求的串行化处理,并给出了基于边界节点、基于带宽代理以及同时利用边界节点和带宽代理实现的方案;提出了一种保证统计型QoS的接纳控制算法,重点阐述了如何利用聚集到达速率二阶矩数字特征和QoS约束来估计路由器的可用带宽;此外,本文还研究了在网络资源不够用的情况下的连接接入问题,提出了QoS适应算法并应用到面向对象的视频流的传输中。在输入排队调度方面,本文重点研究了支持多服务类的输入排队路由器的体系结构(MC-IQR),提出了支持多服务类的虚拟输出排队(MC-VOQ)结构和用于保证多种服务类QoS的层次调度结构,并在现有算法的基础上,给出了保证确定型的延迟服务和保证带宽服务的调度算法。

林雨弦[9]2011年在《支持路由器服务扩展的统一交换技术》文中研究指明随着互联网的发展,新型的网络技术和丰富的应用正在将现有互联网推向其能力的极致。作为互联网重要原则之一的端到端原则也面临着越来越多的挑战,许多通过修改端系统无法解决的问题,只能通过向网络中添加功能来实现突破。作为关键的网络节点,路由器上必须能够支持服务扩展以满足未来互联网的发展趋势。但是传统的路由器由于计算、存储资源的不足,无法满足这种服务多样化的高性能需求。本文提出了一种支持服务扩展的路由器体系结构SER。SER路由器体系结构融合了大量的计算和存储资源,能够支持在路由器平台上快速地创建服务。本文详细介绍了支持服务扩展的SER路由器体系结构的各个功能部件、数据通路、控制通路以及软件体系结构,并基于SER路由器体系结构提出了一种支持路由器服务扩展的统一交换体系结构XoIB。本文的主要的工作和创新点包括:(1)研究分析了目前互联网对路由器服务扩展的需求,针对现有路由器功能的不足,提出SER路由器体系结构,该路由器体系结构是以高可靠统一交换架构为核心,融合了大量的计算存储资源,能够支持多样化的服务扩展。同时基于SER路由器体系结构,提出了一种模块化、分布式、分层次的SER路由器软件体系结构,并着重分析了SER路由器软件系统的处理流程。(2)通过分析SER的统一交换机制,总结和提出了一种支持路由器服务扩展的统一交换体系结构XoIB。针对XoIB的特点,分析了XoIB的逻辑结构图,还分析了XoIB的可扩展性和管理方式,最后提出了XoIB报文处理算法。(3)基于XoIB体系结构来实现InfiniBand和以太网的融合,即EoIB技术。首先给出了EoIB的关键核心技术,在此研究的基础之上,设计和实现了IEF网关,并采用该网关部署了EoIB局域网的测试环境。实验测试的结果表明,EoIB能够实现InfiniBand与以太网的融合,并获得良好的通信效果。综上所述,本文提出的SER路由器体系结构和支持路由器服务扩展的XoIB统一交换体系结构,对新一代路由器体系结构的研究具有一定的理论意义和指导价值。

李维民[10]2001年在《安全技术在路由器中的应用和实现》文中研究表明随着互联网技术的快速发展,作为网间互连的路由器和交换机等系列产品的需求也不断地增加。路由器通过路由来决定数据的转发。随着网络技术的普遍使用,黑客遍布世界,黑客的入侵手段越来越高明,网络常常受到攻击,人们越来越关心网络的安全。 路由器作为Intranet和Internet的网间互连设备,位于不可信任网络和可信任网络中间,是信息出入的必经之路。在安全方面,路由器是保证网络安全的第一关,安全性已经成为路由器设计中最关键的技术问题。 本文首先介绍了路由器开发软硬件环境,在路由器中采用的叁大安全技术:信息过滤、安全认证和数据加密。具体地说,信息过滤包括访问列表和代理服务;安全认证包括拔号认证和口令认证,其中拨号认证采用了PPP协议的密码认证协议和质询握手认证协议;数据加密使用了NAT(网络地址转换)的地址加密;所有这些构成了路由器基本安全体系。重点放在信息过滤。接着,本文着重阐述了访问列表的原理、配置原则,四种访问列表(标准访问列表、扩展访问列表、第二层访问列表和自反访问列表)的实现;接着,着重阐述了DHCP代理的原理及其DHCP客户代理实现,最后说明如何测试它们。

参考文献:

[1]. 路由器访问控制列表及其应用技术研究[D]. 王芳. 解放军信息工程大学. 2007

[2]. 软件定义网络(SDN)网络管理关键技术研究[D]. 冯涛. 清华大学. 2015

[3]. 高职院校计算机网络安全管理系统的设计与实现[D]. 蔡昂. 天津大学. 2012

[4]. 基于OPNET的路由协议性能分析[D]. 范红艳. 北京邮电大学. 2008

[5]. 路由器中基于HTTP协议的应用开发[D]. 戚聿娟. 北京邮电大学. 2008

[6]. 基于IPv6的组播技术及应用系统研究[D]. 卿卉. 武汉理工大学. 2008

[7]. 支持快速启动和协议识别的路由器线卡的研究[D]. 潘恬. 清华大学. 2015

[8]. 高性能路由器的服务质量关键技术研究[D]. 庞斌. 中国科学院研究生院(计算技术研究所). 2003

[9]. 支持路由器服务扩展的统一交换技术[D]. 林雨弦. 国防科学技术大学. 2011

[10]. 安全技术在路由器中的应用和实现[D]. 李维民. 电子科技大学. 2001

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

安全技术在路由器中的应用和实现
下载Doc文档

猜你喜欢