面向Web應用的安全服務器網卡的研究與設計.pdf

1、隨著Web服務成為當今網絡應用的主流，針對于此的惡意程序和黑客攻擊越來越多，造成了巨大的危害。Web服務是一種應用層服務，同樣Web攻擊也屬于應用層攻擊的范疇，具備應用層攻擊的一般特點，即攻擊行為存在于數據包的應用層負載之中，同時它也體現了Web服務獨有的特征，即傳輸協議簡單而支撐功能復雜，這些都導致傳統(tǒng)防火墻不能滿足Web服務安全的特殊需求，迫切需要專門的Web安全防火墻，制定有針對性的安全策略與保護機制，執(zhí)行完整的應用層數據掃描以有

2、效提高Web服務的安全性。
　　 本文系統(tǒng)討論了防火墻一般的體系架構和平臺，分析基于通用處理器的軟件實現在性能上的不足以及硬件實現的優(yōu)勢所在，并就FPGA在面向多樣化的高速網絡處理上體現出的靈活性與高性能，進一步設計了一種基于FPGA的安全網卡處理架構，為Web服務提供有效的安全防護。該架構在完成基本的網絡數據接收與發(fā)送功能的同時，替代服務器CPU進行安全掃描與過濾，實現應用層安全防護的基本功能，將服務器從繁雜的安全操作中解脫出

3、來，大大提高了系統(tǒng)整體的性能。在實現中，以純硬件化的方式，對包頭過濾和深度內容檢測進行加速，有效降低了安全審查的操作延遲，適合高速網絡環(huán)境下的數據處理。
　　 針對Web防火墻應用層防護的性能問題，對關鍵的深度內容檢測提出優(yōu)化措施，設計出一種基于FPGA實現的逆向并行比較移位匹配算法，該算法充分利用了FPGA豐富的可編程資源，構造多個并行匹配機構，以高并行性有效提高了匹配的速度，然后和Shift-or算法相結合在數據包的整個處理

4、周期中實現對特征字符串的搜索，從而達到了快速模式匹配的目的。理論分析和結果表明，該算法原理簡單，易于用FPGA實現，具有很高的模式匹配效率和實用價值，尤其適用于防火墻的深度內容檢測等高速數據處理領域。
　　 基于以上研究，論文設計了面向Web服務安全網卡的整體結構，并詳細介紹包過濾、內容檢測、狀態(tài)控制、事件報警等模塊的具體實現，之后詳細設計了基于安全網卡的Web防護架構及具體實現，使用控制軟件對其進行有效的管理與配置，最后，對整