[00351482]IPv6/v4串接式阻断系统

该课题为实验室承担的国家攻关项目二期(2002年-2003年)，属于“国家信息关防与网络安全保障持续发展计划”的一部分。该课题主要研究的是IPv6/v4的监听与过滤设备，其作用是监视经过该设备的IPv6/v4数据流，如果发现有非法或其他需要过滤的数据流，则添加一定的过滤规则，将非法数据流过滤掉，起到网络防护的作用。项目所涉及的主要技术有IPv6/v4网络监听技术和IPv6/v4数据流过滤技术等。当前，这两种技术在国内外都处于研究阶段。北京交通大学IP网络实验室对它们有比较深入的研究。技术指标：Ⅰ、功能指标：网络阻断系统主要包括4项功能：数据捕获：捕获所有流经本系统的数据包。协议分析：对捕获到的数据包的各层协议进行分析。数据还原：对TCP数据流的数据进行还原，可以对通信内容进行检查。串接阻断：相当于透明防火墙的功能，通过定义规则，实现对特定数据流的阻断功能。Ⅱ、性能指标：支持ATM155M，GE，FE接口。采用模块化设计，接口易于更换；支持任意组合五元组(源IP地址、目的IP地址、源端口、目的端口、协议类型)中的元素，以构成规则；可同时支持IPv4和IPv6，保证过滤转发的正确性；串联模式下支持线速过滤转发，支持规则数不少于10万条，光纤转发延迟小于1ms，铜缆转发延迟ms级；同时注入的封堵规则小于100条时，生效时间在ms级；在异常情况下，保证设备的自动旁路透传功能，转换延迟在ms级。主要特色：支持IPv6/v4双协议栈。性能优良，具有很强的数据包处理能力。设备工作在透明模式下，没有IP地址，可以将设备很方便地插入到网络的各个部分，而不需更改网络的路由配置。具有隐蔽性，不容易被别人发现，减少了被攻击的概率，提高了安全性。增加了自动旁路透传功能，在设备发生故障后，系统能自动旁路该设备，使通信不会因为设备故障而中断，保证了系统的可靠性。可以应用于无线接入网中。本设备不仅可以工作在传统的有线网络中，而且可以工作在无线网络环境中。由于无线网和移动IPv6的迅速发展，对无线网络中安全的研究具有极其重要的意义。所以，此设备具有很好的应用前景。支持多种接口。该设备支持多种网络接口，包括百兆、千兆、155兆等，接口易于更换，适用范围很广。应用场合：该系统可广泛应用于军队、大型企业、国家机关等对安全要求比较高的部门，也可用于中小企业内部网络流量监控和访问控制等，是一种很不错的网络管理系统。