| 摘要 | 第1-7页 |
| Abstract | 第7-12页 |
| 第一章 绪论 | 第12-16页 |
| ·课题背景与意义 | 第12页 |
| ·防火墙技术发展现状 | 第12-14页 |
| ·防火墙分类 | 第12-13页 |
| ·当前Linux防火墙发展状况 | 第13-14页 |
| ·新型防火墙技术 | 第14页 |
| ·主要研究内容 | 第14-15页 |
| ·论文结构安排 | 第15-16页 |
| 第二章 防火墙的技术及理论基础 | 第16-29页 |
| ·现有防火墙构建基础 | 第16-18页 |
| ·基于Netfilter的防火墙解决方案 | 第16-18页 |
| ·用户态与内核态数据交互方式 | 第18-20页 |
| ·基于字符设备驱动与内核交互 | 第18-19页 |
| ·基于Netlink的方式与内核交互 | 第19-20页 |
| ·规则的一致性诊断算法 | 第20-24页 |
| ·一致性相关概念 | 第20-21页 |
| ·诊断程序 | 第21-24页 |
| ·报文分类算法 | 第24-29页 |
| ·报文分类算法概述 | 第24-25页 |
| ·基于几何的GEM算法 | 第25-29页 |
| 第三章 防火墙需求及设计 | 第29-66页 |
| ·功能需求分析 | 第29-30页 |
| ·功能需求 | 第29-30页 |
| ·HiPF的设计目标 | 第30页 |
| ·结构设计 | 第30-33页 |
| ·防火墙系统结构 | 第30-32页 |
| ·HiPF功能模块划分 | 第32-33页 |
| ·消息传递设计 | 第33-39页 |
| ·相关重要数据结构 | 第33-34页 |
| ·在内核中创建Netlink Socket | 第34-35页 |
| ·HiPF的实现kernel_function_call | 第35-37页 |
| ·HiPF的实现kernel_unisend | 第37-38页 |
| ·消息传递的安全性保障 | 第38-39页 |
| ·事件通知设计 | 第39-41页 |
| ·注册事件 | 第39-40页 |
| ·删除事件 | 第40-41页 |
| ·导出事件 | 第41页 |
| ·防DoS攻击设计 | 第41-43页 |
| ·常见DoS攻击 | 第41页 |
| ·防常见攻击的实现 | 第41-43页 |
| ·规则过滤ACL的设计 | 第43-46页 |
| ·规则格式设计 | 第43-44页 |
| ·验证规则格式 | 第44-45页 |
| ·应用规则 | 第45-46页 |
| ·日志模块设计 | 第46-53页 |
| ·基于printk的实现 | 第46-47页 |
| ·基于缓冲区和文件系统的实现 | 第47-50页 |
| ·基于ULOG的实现 | 第50-51页 |
| ·HiPF的日志解决方案 | 第51-53页 |
| ·规则一致性诊断功能设计 | 第53-58页 |
| ·使用vector/map表示图 | 第53-55页 |
| ·基于实验的时间复杂度分析 | 第55-58页 |
| ·GEM算法的实现 | 第58-62页 |
| ·构造算法 | 第58-61页 |
| ·搜索算法 | 第61-62页 |
| ·配置管理 | 第62-66页 |
| ·保存配置 | 第62-63页 |
| ·恢复配置 | 第63-64页 |
| ·自动加载HiPF | 第64页 |
| ·停止HiPF | 第64-65页 |
| ·处理异常策略 | 第65页 |
| ·配置安全性保障 | 第65-66页 |
| 第四章 防火墙测试 | 第66-83页 |
| ·测试环境 | 第66-68页 |
| ·测试逻辑拓扑 | 第66-67页 |
| ·软硬件环境 | 第67页 |
| ·三层转发配置 | 第67-68页 |
| ·测试程序NetTest的开发 | 第68-77页 |
| ·winpcap相关概念 | 第68-69页 |
| ·发送单个报文 | 第69页 |
| ·发送大量报文 | 第69-74页 |
| ·根据配置文件发送报文 | 第74页 |
| ·支持规则过滤的正确性验证 | 第74-75页 |
| ·NetTest的性能 | 第75-77页 |
| ·匹配算法测试 | 第77-81页 |
| ·正确性验证 | 第77-78页 |
| ·性能测试和分析 | 第78-81页 |
| ·事件通知功能测试 | 第81-83页 |
| 总结 | 第83-85页 |
| 致谢 | 第85-86页 |
| 参考文献 | 第86-89页 |
| 个人简历 | 第89页 |
| 攻读硕士学位期间发表的论文 | 第89页 |