应用层协议过滤系统设计与实现

随着Internet的快速发展,新的网络应用不断出现,如即时通讯、P2P文件共享、网络游戏等。这些新的网络应用使得网络拥塞严重、带宽紧张,严重影响了正常业务的运转。此外,企事业单位、院校及宽带运营商等对网络流量管理有了新的需求,如禁止网上聊天、P2P下载和玩网络游戏等,从而保证重要业务的质量。这些需求都需要对应用层协议流量进行过滤。在此背景条件下,本文对协议过滤系统的设计与实现展开了一系列的研究工作,主要工作内容如下: (1)设计实现了基于内存映射机制的高速数据捕获子系统和协议过滤子系统。本文在分析现有的数据捕获和协议过滤设计所存在的问题基础上,设计了一个基于内存映射的数据捕获和协议过滤子系统。避免了内核空间和用户空间的数据拷贝,加速了内核到用户空间的数据包传递以及过滤信息的回注速度,从而提高了系统的数据处理和过滤效率,可以满足目前高速网络处理需求。 (2)设计实现了一个协议可扩展的应用层协议过滤系统。本系统在高速数据捕获和协议过滤子系统基础上,对捕获的原始数据包进行IP分片重组和传输层的流重组,运用基于正则表达式的协议识别技术对应用层数据进行分析、识别,并把需要过滤的协议信息交给协议过滤子系统。该系统可透明的加入网络,也可安装在网关服务器上使用,对流经它的网络流量进行采集、分析、识别及过滤。 (3)设计实现了基于web界面的管理子系统。该子系统运用了apache和php技术来控制管理应用层协议过滤系统,方便了管理人员的操作。 测试结果表明,与开源项目L7-filter相比,本文的协议过滤系统在协议识别和协议过滤的性能上都有所提高,体现了本系统在系统架构设计上的优势。