0 10 20 30 40 50 60 70
3 tys. małych plików
Jeden duży plik
13,7 15,9 33,5 50 46 66,5 O bci ąż e ni e pr oce sora *%+
Obciążenie procesora komputera "Host 2" w testach kopiowania plików
149
6. Podsumowanie
Celem planowanych badań było poszukiwanie optymalnej architektury wewnętrznej oraz metod implementacji systemów bezpieczeństwa informatycznego typu Firewall, realizowanych dotychczasowo na drodze programowej, w układach logiki programowalnej FPGA. W efekcie końcowym realizacji prac projektowych powstała kompletna, w pełni funkcjonalna, sprzętowa zapora ogniowa, charakteryzująca się bardzo dużą wydajnością pracy, jak również zapewniająca wysoki poziom bezpieczeństwa procesu weryfikacji danych, adekwatny do wymagań współczesnych sieci teleinformatycznych o dużych przepływnościach.
Ponieważ jednym z głównych priorytetów projektu było uzyskanie maksymalnej wydajności funkcjonowania rozwiązania, zdecydowano się na pełną realizację sprzętową wszystkich niezbędnych bloków sprzętowych architektury Firewalla. Zaprojektowanie od początku wszystkich modułów funkcjonalnych z wykorzystaniem układów FPGA pozwoliło na optymalizację szybkości działania każdego elementu składowego zapory ogniowej, co jest niemożliwe do osiągnięcia przy zastosowaniu komercyjnych, zamkniętych modułów, tzw. IP Cores. Do realizacji założonego celu należało najpierw przygotować niezbędne środowisko uruchomieniowo-testowe, w skład którego wchodziły dedykowane płyty wyposażone w układy FPGA oraz oprogramowanie umożliwiające opisywanie i testowanie funkcjonalności opracowywanego urządzenia przy pomocy kodu w języku VHDL, a następnie jego implementację w układach logiki reprogramowalnej. Niezwykle ważny etap wstępnych prac przygotowawczych dotyczył zaprojektowania, wykonania i przetestowania kart interfejsów sieciowych niezbędnych do prawidłowego działania zapory ogniowej w infrastrukturze sieci Ethernet.
Przed przystąpieniem do realizacji zasadniczej części projektu – opracowania architektury sprzętowego Firewalla wraz z implementacją poszczególnych jego elementów w układach FPGA, autor dokonał szczegółowego funkcjonalnego przeglądu dostępnych typów zapór ogniowych oraz algorytmów weryfikacji przetwarzanych danych, wykorzystywanych do budowy kluczowego modułu klasyfikującego pakiety. Na podstawie przeprowadzonych analiz udało się zebrać niezwykle istotne wnioski odnośnie słabych stron poszczególnych rozwiązań, będące punktem wyjścia do poszukiwań optymalnej koncepcji organizacji wewnętrznej struktury sprzętowego Firewalla. Pierwszym krokiem w tym kierunku była decyzja o implementacji w układach FPGA kontrolerów MAC dla sieci Fast oraz Gigabit Ethernet. Teoretycznie istniała możliwość skoncentrowania prac badawczych tylko na zasadniczym elemencie systemu - klasyfikatorze pakietów, tym samym znacznie skracając czas realizacji całego przedsięwzięcia. W takim przypadku do obsługi komunikacji sieciowej można byłoby wykorzystać rozwiązania
150 programowe bazujące na procesorach GPP. Jednak zaobserwowane negatywne skutki takiego podejścia oraz świadomość wpływu wszystkich komponentów tak złożonego systemu, jakim jest zapora ogniowa, na globalną wydajność przetwarzania danych, doprowadziły do wybrania drogi bardziej pracochłonnej. Pozwalała ona jednak na zaprojektowanie urządzenia, w którym każdy z najdrobniejszych elementów, począwszy od kontrolerów MAC a skończywszy na modułach przetwarzających politykę bezpieczeństwa, zoptymalizowano zarówno pod kątem wydajności i stabilności działania, jak również ilości zasobów niezbędnych do jego realizacji. Co więcej, proporcje pomiędzy tymi czynnikami mogły być przy takim podejściu kształtowane na bieżąco, w zależności od wymagań stawianych przez potencjalny obszar zastosowań. Wykonane w ramach prac badawczych sprzętowe moduły kontrolerów sieci Ethernet umożliwiły przeprowadzenie testów praktycznych weryfikujących wydajność oraz stabilność działania Firewalla implementowanego w układach FPGA.
Główny etap projektu stanowiło opracowanie koncepcji oraz implementacja silnika Firewalla zawierającego moduł klasyfikacji pakietów. Nadrzędne cele projektowe: optymalizacja wydajności oraz zapewnienie wysokiego poziomu bezpieczeństwa przetwarzania danych wymusiły konieczność zastosowania szeregu mechanizmów, wykorzystujących w jak największym stopniu potencjał i elastyczność logiki reprogramowalnej FPGA. Zaproponowana przez autora koncepcja architektury Firewalla opierała się na tworzeniu dedykowanych kanałów komunikacyjnych pomiędzy segmentami chronionych sieci. Dzięki temu, że każdy taki kanał zawierał w sobie pełny tor przetwarzania i analizy bezpieczeństwa danych, możliwym stało się zwiększanie całkowitej szybkości pracy zapory poprzez implementowanie kolejnych klasyfikatorów wraz z dodawaniem nowych interfejsów NIC. Koncepcja ta pozwalała również na pełną separację ścieżek weryfikacji pakietów, tym samym zniwelowano zagrożenie degradacji szybkości klasyfikacji w przypadku niesymetrycznych obciążeń interfejsów sieciowych. Na wzrost ogólnej wydajności opracowanego systemu wpłynęło także zastosowanie potokowego przetwarzania danych w silniku Firewalla. Specjalnie zorganizowana pamięć ramkowa wraz z modułem zarządzającym umożliwiły transmisję ramek zweryfikowanych pod kątem zgodności z regułami bezpieczeństwa, niezależnie od analizowania nieustająco napływających danych. Taką funkcjonalność osiągnięto dzięki wykorzystaniu dwóch niezależnych pamięci ramkowych: jednej dla modułu analizującego ramki, a drugiej dla toru transmisyjnego właściwej karty sieciowej. Poszukując dalszych dróg optymalizacji procesu klasyfikacji pakietów, autor opracował dodatkowy moduł pamięci podręcznej cache, przechowujący informację o ostatnio analizowanych deskryptorach bezpieczeństwa wraz z odpowiadającą im akcją (odrzucenie lub zaakceptowanie). Dzięki zastosowaniu opracowanej specjalnie do tego celu pamięci adresowanej zawartością typu CAM, już po jednym cyklu zegara systemowego w pamięci cache dostępna była informacja o obecności deskryptora zgodnego z aktualnie weryfikowanym nagłówkiem. W przypadku wymiany danych pomiędzy ograniczoną grupą komputerów,
151 rozwiązanie takie w znaczny sposób odciążyło blok klasyfikatora pakietów. W testowanej praktycznie zaporze ogniowej zaimplementowano pamięć podręczną o pojemności 32 deskryptorów, aczkolwiek wartość ta była w pełni parametryzowana, co pozwoliło na łatwe jej skalowanie w przypadku wykorzystywania nowszych generacji układów FPGA, dysponujących zdecydowanie większą ilością zasobów sprzętowych.
Zdecydowanie najbardziej istotny i pracochłonny etap badań dotyczył opracowania
modułu klasyfikacji pakietów, weryfikującego zgodność przetwarzanych danych
z obowiązującym schematem polityki bezpieczeństwa. Na podstawie przeprowadzonych analiz dostępnych rozwiązań oraz uwarunkowań implementacyjnych autor zdecydował o podziale funkcjonalnym procesu klasyfikacji na dwa odrębne obszary: adresację sieciową wraz z informacją o typie protokołu oraz porty sieciowe. Do celów weryfikacji adresacji sieciowej w sprzętowej zaporze ogniowej wykorzystana została specjalnie zmodyfikowana pamięć trójwartościowa TCAM, bazująca na elementach RAM16X1S dostępnych w zasobach układów FPGA serii Virtex II Pro. Dzięki wprowadzonym zmianom udało się ponad dwukrotnie zmniejszyć zapotrzebowanie na zasoby sprzętowe w porównaniu do komercyjnej wersji pamięci wygenerowanej za pomocą oprogramowania Xilinx COREGenerator. Redukcja alokowanych zasobów sprzętowych wpłynęła korzystnie na maksymalną częstotliwość pracy filtru adresów, zwiększając ją do wartości około 257 MHz. W przypadku bardziej skomplikowanego i problematycznego zagadnienia weryfikacji portów protokołów transportowych autor zaproponował również nowatorskie rozwiązanie równoległego przetwarzania bazy reguł bezpieczeństwa przy wykorzystaniu łańcuchów elementarnych komparatorów zakresów cząstkowych. Bazowały one na kaskadach dwuportowych pamięci RAM16X1D, wchodzących w skład zasobów sprzętowych układów reprogramowalnych FPGA firmy Xilinx. Teoretyczna maksymalna częstotliwość pracy zrealizowanego filtru portów wyniosła około 162 MHz. Ponieważ proces weryfikacji dokonywany był w trakcie pojedynczego cyklu zegara systemowego, przepustowość filtru portów osiągnęła poziom około 160 milionów pakietów na sekundę. Wartość ta stanowiła główny czynnik, warunkujący szybkość pracy kompletnego modułu klasyfikującego, którego maksymalna wydajność raportowana przez narzędzia syntezy logicznej była tożsama w tym wypadku z wydajnością filtru portów. Należy podkreślić, że osiągnięto w pełni zadowalające parametry pracy sprzętowego klasyfikatora, umożliwiające funkcjonowanie z ogromnym zapasem wydajności w infrastrukturze sieciowej, wykorzystującej standard 10 Gb Ethernet. Z tego względu autor zdecydował o zastosowaniu w prototypowej wersji Firewalla pojedynczego modułu klasyfikatora, weryfikującego za pomocą algorytmu karuzelowego ruch pochodzący z dwóch interfejsów sieciowych. Całkowity czas klasyfikacji pojedynczego pakietu zajmował wówczas dla najbardziej niekorzystnego przypadku 8 cykli zegara systemowego, co przy maksymalnej częstotliwości pracy rzędu 160 MHz pozwoliło na
152 przetwarzanie danych z szybkością 20 milionów pakietów na sekundę (w sieci 10Gb Ethernet największa dopuszczalna liczba ramek przesyłanych w ciągu sekundy wynosi 14 880 952).
Celem udowodnienia tezy oraz testowania kompletnej i funkcjonalnej zapory ogniowej, autor zaimplementował odpowiednie moduły zarządzające jej pracą oraz ładowaniem bazy reguł bezpieczeństwa. W ramach prowadzonych prac powstała także prototypowa wersja aplikacji konwertującej tabelaryczne zestawienia polityki bezpieczeństwa do postaci binarnych map konfiguracji wewnętrznej poszczególnych filtrów.
Opracowany sprzętowy Firewall został poddany praktycznym testom porównawczym z komercyjnymi rozwiązaniami zabezpieczającymi. Osiągnął on najlepsze wyniki spośród wszystkich badanych konfiguracji, potwierdzając teoretycznie oszacowane parametry wydajnościowe oraz ogromny potencjał wykorzystania technologii logiki reprogramowalnej FPGA w obszarze bezpieczeństwa systemów teleinformatycznych.
Do oryginalnych osiągnięć autora, zaprezentowanych w tej pracy, należy zaliczyć:
– opracowanie koncepcji kompletnej, skalowalnej i elastycznej architektury sprzętowej zapory ogniowej implementowanej w układach FPGA,
– opracowanie koncepcji zrównoleglenia przetwarzania danych przy wykorzystaniu dedykowanych kanałów transmisyjnych,
– opracowanie zasady pracy modułu pamięci ramkowej minimalizującego opóźnienia związane z weryfikacją pakietów,
– opracowanie dedykowanego bloku pamięci podręcznej cache, wspomagającej klasyfikator pakietów, a w konsekwencji zwiększającej całkowitą wydajność Firewalla, – optymalizację struktury pamięci CAM (przy wykorzystaniu rejestrów przesuwnych),
umożliwiającej łatwe dostosowanie konfiguracji pamięci do wymagań systemu Firewall, redukującej zapotrzebowanie na zasoby układu FPGA oraz zwiększającej maksymalną szybkość pracy,
– opracowanie struktury wydajnego, skalowalnego oraz w pełni deterministycznego sprzętowego klasyfikatora pakietów, opartego na dwóch niezależnych blokach filtrujących adresy i porty sieciowe, umożliwiającego przetwarzanie do 160 milionów pakietów na sekundę,
– opracowanie na potrzeby szybkiej filtracji adresów autorskiej metody implementacji pamięci TCAM, charakteryzującej się ponad dwukrotnie bardziej efektywnym wykorzystaniem zasobów sprzętowych oraz o około 30% większą szybkością pracy w porównaniu z wersją pamięci uzyskaną za pomocą Xilinx COREGeneratora,
– opracowanie specjalnej, autorskiej metody szybkiego filtrowania zakresów portów w oparciu o kaskady elementarnych komparatorów zbudowanych z pamięci RAM16X1D, wchodzących w skład zasobów sprzętowych układów reprogramowalnych FPGA,
153 – zaprojektowanie, realizacja i testowanie kompletnej architektury sprzętowej zapory
ogniowej implementowanej w układach FPGA,
– zaprojektowanie, wykonanie i uruchomienie kart sieciowych obsługujących standardy Fast oraz Gigabit Ethernet, współpracujących z płytami FPGA oraz implementacja wysokowydajnych sprzętowych kontrolerów MAC dla standardu sieci Ethernet.
Zaprezentowane w niniejszej pracy rezultaty prowadzonych badań pozwalają stwierdzić, że postawiona na wstępie teza: „Implementacja w układach FPGA rekonfigurowanego systemu
ochrony transmisji danych typu Firewall dla sieci Ethernet o wielkich przepływnościach pozwala uzyskać wysoki poziom bezpieczeństwa, dużą szybkość przetwarzania danych oraz możliwość dynamicznej zmiany parametrów” została w pełni wykazana.
Pozytywna weryfikacja tezy pracy w połączeniu ze stale rosnącymi wymaganiami wydajnościowymi, które stawia się kolejnym generacjom urządzeń zabezpieczających sieci teleinformatyczne, motywuje do kontynuowania rozwoju i optymalizacji sprzętowego Firewalla. Dalsze prace badawcze, zdaniem autora, powinny koncentrować się przede wszystkim na następujących zagadnieniach:
– implementacji sprzętowych kontrolerów 10 Gb Ethernet,
– realizacji funkcjonalności analizy pakietów typu „stateful inspection” lub DPI, – wdrożeniu dodatkowych usług, takich jak: system IPS, ochrona antywirusowa, itp., – wprowadzeniu szczegółowego monitorowania parametrów pracy,
– optymalizacji wydajności oraz zapotrzebowania na zasoby sprzętowe klasyfikatora pakietów,
– rozbudowie funkcjonalności aplikacji zarządzającej.
Tak nakreślony obszar rozwoju sprzętowej zapory ogniowej ma na celu z jednej strony jak najlepsze dostosowanie jej parametrów użytkowych do rzeczywistych potrzeb produkcyjnych systemów przetwarzania danych, z drugiej zaś zapewnienie ciągłej optymalizacji wydajności analizy pakietów, odpowiadającej niezwykle dynamicznemu wzrostowi szybkości transmisji danych we współczesnych sieciach teleinformatycznych.
154
7. Bibliografia
[1] Abdelghani M., Sezer S., Garcia E., Jun M.: Packet Classification Using Adaptive Rules Cutting (ARC), Advanced Industrial Conference on Telecommunications/Service Assurance with Partial and Intermittent Resources Conference/E-Learning on Telecommunications Workshop, IEEE, 2005 [2] Abie H.: An Overview of Firewall Technologies, Telektronikk, vol. 96, 2000, pp.47-52
[3] Aho A., Hopcroft J., Ullman J.: Algorytmy i struktury danych, Wydawnictwo Helion, Gliwice, 2003 [4] Aldec, Active-HDL,
http://www.aldec.com/Products/Product.aspx?productid=77a6c939-42b0-4c57-a8a0-7d9714b054d4
[5] Baboescu F., Singh S., Varghese G.: Packet Classification for Core Routers: Is there an alternative to CAMs?, Proceedings of Infocom, 2003
[6] Baboescu F., Varghese G.: Scalable Packet Classification, IEEE/ACM Trans. Netw., 2005, pp. 2-14 [7] Baker Z., Prasanna V.: Highthroughput LinkedPattern Matching for Intrusion Detection Systems,
Proceedings of the 2005 ACM symposium on Architecture for networking and communications systems, 2005
[8] Banachowski L., Diks K., Rytter W.: Algorytmy i struktury danych, Wydawnictwa Naukowo-Techniczne, Warszawa, 2006
[9] Bell D., LaPadula L.: Secure Computer Systems: Mathematical Foundations, MITRE Technical Report 2547, Volume I, 1973
[10] Bhagchandka D.: Classification of Firewalls and Proxies, Computer Science Research and Writing, 2003
[11] Bremler-Barr A., Hendler D.: Space-Efficient TCAM-based Classification Using Gray Coding, IEEE INFOCOM, 2007, pp. 1388–1396
[12] Buddhikot M., Suri S., Waldvogel M.: Space decomposition techniques for fast layer-4 switching, Proceedings of Conference on Protocols for High Speed Networks, 1999, pp. 25-41
[13] Chadwick D.: Network Firewall Technologies, Proceedings of the NATO Advanced Networking Workshop on Advanced Security Technologies in Networking, Slovenia, 2000
[14] Check Point Software Technologies Ltd.: Smarter, Not Harder: Many Cores are Faster than One, http://www.checkpoint.com/securitycafe/readingroom/general/multi_core_processors.html [15] Cisco, Internetworking Technology Handbook - LAN Switching,
http://www.cisco.com/en/US/docs/internetworking/technology/handbook/LAN-Switching.html [16] DARPA: Transmission Control Protocol - DARPA Internet Program Protocol Specification,
155 http://tools.ietf.org/pdf/rfc793.pdf
[17] DatacenterDynamic: Report: More than 1m 10GbE switch ports shipped during Q2 for first time ever, http://www.datacenterdynamics.com/ME2/dirmod.asp?sid=&nm=&type=news&
mod=News&mid=9A02E3B96F2A415ABC72CB5F516B4C10&tier=3&nid= 99557444C0CE4DC1B28736EC811B171D
[18] De Berg M., Van Kreveld M., Overmars M., Schwarzkopf O.: Geometria obliczeniowa: algorytmy i zastosowania, Wydawnictwa Naukowo-Techniczne, Warszawa, 2007
[19] Department of Defense: Trusted Computer System Evaluation Criteria, DOD 5200.28-STD, 1985 [20] Derfler F.: Sieci komputerowe dla każdego, Gliwice, Wydawnictwo Helion, 2001
[21] Digilent Inc., Digilab 2E FPGA Development Board,
http://www.digilentinc.com/Data/Products/D2E/D2E-brochure.pdf
[22] Digilent Inc., Product Categories, http://www.digilentinc.com/nav1index.cfm?NavTop=2 [23] Digilent Inc., Virtex-II Pro Development System,
http://www.digilentinc.com/Products/Detail.cfm?Prod=XUPV2P
[24] Drozdek A.: C++ Algorytmy i struktury danych, Wydawnictwo Helion, Gliwice, 2004 [25] Dubrawsky I.: Firewall Evolution - Deep Packet Inspection, Symantec, 2003,
http://www.symantec.com/connect/articles/firewall-evolution-deep-packet-inspection [26] Feldmann A., Muthukrishnan S.: Tradeoffs for Packet Classification, Proceedings of IEEE
INFOCOM, 2000, pp. 1193-1202
[27] Ferraiolo D., Kuhn D.: Role-Based Access Controls, 15th National Computer Security Conference, 1992, pp. 554 - 563
[28] Finkel R., Bentley J.: Quad Trees: A Data Structure for Retrieval on Composite Keys, Acta Informatica 4 (1974), Springer-Verlag , 1974, pp. 1-9
[29] Fortinet: Firewall solutions, http://www.fortinet.com/solutions/firewall.html
[30] Frantzen M., Kerschbaum F., Schultz E., Fahmy S.: A Framework for Understanding Vulnerabilities in Firewalls Using a Dataflow Model of Firewall Internals, Computers & Security, vol. 20, no. 3, 2001, pp. 263-270
[31] Gao M., Zhang K., Lu J.: Efficient Packet Matching for Gigabit Network Intrusion Detection using TCAMs, Proceedings of the 20th International Conference on Advanced Information Networking and Applications (AINA’06), IEEE, 2006
[32] Girija N., Basu A., Zane F.: CoolCAMs: Power-Efficient TCAMs for Forwarding Engines, Proceedings of Infocom, 2003
[33] Gupta P., McKeown N.: Algorithms for packet classification, IEEE Network, vol. 15, no. 2, 2001, pp. 24–32
156 [34] Gupta P., Mckeown N.: Packet Classification on Multiple Fields, ACM Sigcomm, 1999, pp. 147-160 [35] Gupta P., McKeown N.: Packet Classification using Hierarchical Intelligent Cuttings, Proceedings
of the Hot Interconnects VII, 1999, pp. 34-41
[36] Henry P.: Handbook od Firewall Architecture, Secure Computing White Paper, www.securecomputing.com
[37] HiTechGlobal, Prototyping Boards, http://www.hitechglobal.com/boards/allboards.htm [38] Hughes-Jones R., Dallison S., Fairey G., Clarke P., Bridge and I.: Performance Measurements
on Gigabit Ethernet NICs and Server Quality Motherboards, In Proceedings of the 1st International Workshop on Protocols for Fast Long-Distance Networks (PFLDnet 2003), Geneva, Switzerland, February 2003
[39] Hughes-Jones R., Clarke P., Dallison S.: Performance of 1 and 10 Gigabit Ethernet cards with server quality motherboards, Future Gener. Comput. Syst. 21, 4 (Apr. 2005), s.469-488
[40] IEEE, 802.3 IEEE Standard for Information technology - Telecommunications and information exchange between systems - Local and metropolitan area networks, 2005
[41] Info-Tech Research Group, Vendor Landscape: IT Security Appliances, 2009,
http://www.sonicwall.nl/downloads/WP-ENG-047_Vendor-Landscape-IT-Security-Appliances.pdf [42] International Organization for Standardization, Information technology – Open Systems
Interconnection – Basic Reference Model,
http://standards.iso.org/ittf/PubliclyAvailableStandards/s020269_ISO_IEC_7498-1_1994(E).zip [43] Jedhe G., Ramamoorthy A., Varghese K.: A scalable high throughput firewall in FPGA, Proceedings
of the 2008 16th International Symposium on Field-Programmable Custom Computing Machines, 2008, pp. 43-52
[44] Jiang W., Prasanna V.: A FPGA-based Parallel Architecture for Scalable High-Speed Packet Classification 20th IEEE International Conference on Application-specific Systems, Architectures and Processors, ASAP, 2009, pp. 24-31
[45] Jiang W., Prasanna V.: Large-scale wire-speed packet classification on FPGAs, Proceedings of the ACM/SIGDA international symposium on Field programmable gate arrays, 2009, pp. 219-228 [46] Kennedy A., Wang X., Liu B.: Energy efficient packet classification hardware accelerator,
Proceedings of the IEEE International Symposium on Parallel and Distributed Processing, 2008 [47] Kennedy A., Liu Z., Wang X., Liu B.: Multi-Engine Packet Classification Hardware Accelerator,
Proceedings of 18th International Conference on Computer Communications and Networks, 2009, pp. 1-6
[48] Kijewski P., Szczypiorski K.: Bezpieczeństwo w sieciach TCP/IP, Przegląd Telekomunikacyjny, no. 5–6, 2001, s. 367-373
157 Publishing Company, 1973
[50] Kolehmainen A.: Optimizing firewall performance, TKK T-110.5190 Seminar on Internetworking, 2007
[51] Kumar, S. Dharmapurikar S. , Yu F. , Crowley P., Turner J.: Algorithms to Accelerate Multiple Regular Expressions Matching for Deep Packet Inspection, In Proceedings of the Annual Conference of the ACM Special Interest Group on Data Communication, 2006, pp. 339-350
[52] Lakshman T., Stiliadis D.: High-Speed Policy-based Packet Forwarding Using Efficient Multi-dimensional Range Matching, Proceedings of ACM Sigcomm, 1998, pp. 191-202
[53] Lakshminarayanan K., Anand Rangarajan A., Venkatachary S.: Algorithms for advanced packet classification with Ternary CAMs, ACM SIGCOMM, 2005, pp. 193-204
[54] LeClaire J.: Google: Malware Runs Rampant on the Web, Enterprise Security Today, 2007,
http://www.enterprise-security-today.com/news/Google-Malware-Rampant-on-the-Web/story.xhtml?story_id=100000A0CEHC
[55] Levin T., Irvine C., Weissman C., Weissman T.: Analysis of Three Multilevel Security Architectures, Proceedings of the 2007 ACM workshop on Computer security architecture, 2007, pp. 37-46 [56] Ligatti J., Gage C.: Dimension-independent Table-based Firewalls, Technical Report
CSE-111108-NS, 2008, http://www.cse.usf.edu/~ligatti/papers/fw-tr.pdf [57] Linear Technology, LT1963 Series,
http://www.linear.com/pc/downloadDocument.do?navId=H0,C1,C1003,C1040, C1055,P2222,D3148 [58] Liu H.: Efficient Mapping of Range Classifier into Ternary-CAM, Proceedings of the 10th
Symposium on High Performance Interconnects HOT Interconnects, IEEE, 2002
[59] Loinig J., Wolkerstorfer J., Szekely A.: Packet Filtering in Gigabit Networks Using FPGAs, Proceedings of the 15th Austrian Workshop on Microelectronics (2007), Austrochip, 2007, pp. 53 - 60
[60] Loscocco P., Smalley S., Muckelbauer P., Taylor R., Turner S., Farrell J.: The Inevitability
of Failure: The Flawed Assumption of Security in Modern Computing Environments, In Proceedings of the 21st National Information Systems Security Conference, 1998, pp. 303–314
[61] Lu J., Moscola J., Song H.: Control Packet Security for CAM based Firewall, Washington University, 2002
[62] Lunteren J., Engbersen T.: Fast and Scalable Packet Classification, IEEE Journal on selected areas in communications, vol. 21, no. 4, 2003
[63] Luo Y., Xiang K., Li S.,: Acceleration of Decision Tree Searching for IP Traffic Classification , ACM/IEEE Symposium on Architectures for Networking and Communications Systems, 2008, pp. 40-49
158 Engines in Internet Routers, International Journal of Computer Networks & Communications, 2010, pp. 13-26
[65] MarshallSoft, Windows Standard Serial Communications Library for Visual Basic (WSC4VB), http://www.marshallsoft.com/wsc4vb.htm
[66] McAfee, McAfee Threats Report: First Quarter 2010,
http://www.mcafee.com/us/local_content/reports/2010q1_threats_report.pdf
[67] McAfee: TrustedSource: The Next Generation Reputation System for Enterprise Gateway Security, http://nwtechusa.com/pdf/mcafee_wp_trustedsource.pdf
[68] National Semiconductor Corp., DP83865 Data Sheet, http://www.national.com/ds/DP/DP83865.pdf [69] National Semiconductor Corp., DP83865 Reference Design,
http://www.national.com/appinfo/networks/files/dp83865_refdesign.pdf
[70] Niederberger R., Allcock W., Gommans L., Grünter E., Metsch T., Monga I., Volpato G., Grimm C.: Firewall Issues overview, Open Grid Forum, 2006, http://www.ogf.org/documents/GFD.83.pdf [71] Nikitakis A., Papaefstathiou I.: A Multi Gigabit FPGA-based 5-tuple classification system, IEEE
International Conference on Communications, 2008, pp. 2081-2085 [72] Nowicki K.: Ethernet – sieci, mechanizmy, Gdańsk , Infotech, 2006
[73] Opencores, WISHBONE System-on-Chip (SoC) Interconnection Architecture for Portable IP Cores, http://opencores.org/downloads/wbspec_b3.pdf
[74] OpenCores, www.opencores.org
[75] Papaefstathiou I., Papaefstathiou V.: Memory-efficient 5D packet classification at 40 Gbps, 26th