110-一种有状态防火墙实现算法的研究.pdfVIP

一种有状态防火墙实现算法的研究 王瑞军 王洪君 王翠荣 高远 东北大学信息科学与工程学院 沈阳 110004 E-mail: neuwrj@ 摘 要 强度和效率是防火墙的关键技术指标 有状态防火墙是为适应网络带宽不断 提高和应用不断复杂化而提出的一种新型防火墙工作机制 这一机制在追求效率的同时 在某种程度上降低了防火墙过滤强度 为此 本文在提出实现算法时 充分考虑算法可 扩展性和对强度的补偿 给出了算法的形式化描述和适当优化 针对并发连接数量巨大 这一实际情况 提出了基于哈希表管理连接的算法 将算法空间复杂性控制在O(n) 连 接匹配的时间复杂性控制在O(1) 通过对原型系统实测表明 以此算法为基础可以继续 扩展为基于内容过滤的防火墙 实现多级过滤 关键词 有状态防火墙 哈希表 多级过滤 主动切断 一 引 言 [1] 由于TCP/IPv4 协议族本身不足以保障计算机网络的信息安全 因此在网络工程实 践中普遍采用附加措施 以求得在一定程度上小范围的自我保护 防火墙是目前重要而 且关键的技术之一 在早期应用环境中 防火墙的计算能力一般远高于通信线路对计算 的需求 常规技术下的防火墙能够很好地工作 但是 随着通信技术的发展 计算机网 络带宽不断增长 应用也趋于多样化 防火墙越来越成为网络出口的瓶颈 在这样的形 势下 对防火墙新技术新体系结构的研究逐渐成为计算机网络安全中的一个重要研究课 题 从总体上看 防火墙可分为两大类 包过滤防火墙 应用级防火墙[2,3] 包过滤防火 墙效率高 但功能受限 技术成熟稳定 应用级防火墙特指防火墙要在应用级 如http telnet 对数据进行过滤 效率一直是应用级防火墙的瓶颈 代理服务器是应用级防火墙 之一 但通用性不好 效率较低 高端防火墙一般不采用代理服务器方案 有状态防火 墙是对包过滤防火墙的扩展和优化 算法一直是决定防火墙性能的重要因素 但由于防火墙实现算法没有统一规范 高 端防火墙更是视其算法为保持竞争优势的关键 因此均秘而不宣 本文旨在针对有状态 防火墙提出一种实现算法 并对其效率和可扩展性进行分析 算法的设计目标是通过对 有状态防火墙的进一步扩展实现应用级防火墙 二 基本原理 1. 有状态防火墙工作流程 包过滤防火墙对数据包头信息进行解析 并与规则库中的安全规则进行匹配 决定 数据被丢弃还是放行 为了对这一机制进行进一步的优化 有状态防火墙由CheckPoint® 首先提出 有状态防火墙基于这样一个基本事实 网络中大部分数据是通过面向连接的 TCP 协议传输的 只要控制了连接建立过程 那么可以认为整个通信过程是可信的[5] 新的防火墙数据处理流程如图1 所示 从图1 中可以看出 通信中的很大一部分数据能够绕过运算复杂的规则库匹配过程 对于取而代之的状态检查 通过后续的阐述能够发现 这是一个简洁高效的处理过程 从而提高了防火墙性能 本文所述算法主要涉及状态检查部分 2. 名词定义 为论述明确 下面给出文中涉及的几个关键概念的定义 定义1 Connection 连接 TCP 从连接 交换数据到释放的一次完整通信过程称 为一次连接 定义 2 Connection Entity 连接实体 算法中对连接的描述称为连接实体 简称 Entity 实体 是算法管理的基本单元 定义3 Entity Key 实体关键字 唯一标识实体的关键字 用四元组表示 E sa, sp, da, dp 其中sa sp da dp 分别代表连接的源地址 源端口号 目的地址 目的 端口号 定义4 Entity Set 实体集 当前并发连接实体的集合 定义 5 Packet Key 数据包关键字 唯一标识数据包关键字 用四元组表示 P sa, sp, da, dp 其中sa sp da