網(wǎng)絡(luò)設(shè)備中防火墻狀態(tài)檢測系統(tǒng)設(shè)計(jì)

1、2011年第05期，第44卷 通 信 技 術(shù) Vol.44，No.05,2011 總第233期 Communications Technology No.233,Totally網(wǎng)絡(luò)設(shè)備中防火墻狀態(tài)檢測系統(tǒng)設(shè)計(jì)高 飛（西南交通大學(xué) 信息科學(xué)與技術(shù)學(xué)院，四川 成都 610031）【摘 要】為了在網(wǎng)絡(luò)設(shè)備中嵌入防火墻狀態(tài)檢測系統(tǒng)，研究防火墻狀態(tài)檢測技術(shù)，設(shè)計(jì)了一種狀態(tài)檢測系統(tǒng)，以及通用的狀態(tài)機(jī)模型，記錄和維護(hù)網(wǎng)絡(luò)中所有通信連接的狀態(tài)和過程，并根據(jù)狀態(tài)機(jī)模型進(jìn)行連接的狀態(tài)變遷，保證通信的完整性和安全性，支持更多應(yīng)用、協(xié)議。同時(shí)還提出了一種基于IP流的報(bào)文快速轉(zhuǎn)發(fā)算法，實(shí)驗(yàn)證明該算法可以加快報(bào)文的轉(zhuǎn)發(fā)效

2、率，并在保證系統(tǒng)安全的同時(shí)，有效提高系統(tǒng)性能?！娟P(guān)鍵詞】狀態(tài)檢測；狀態(tài)機(jī)；防火墻【中圖分類號】TP311.5 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1002-0802(2011)05-0074-03Design on State Inspection System of Firewall in Network DeviceGAO Fei（School of Information Science and Technology, Southwest Jiaotong University, Chengdu Sichuan 610031, China）【Abstract】In order to embed

3、 the state inspection system of firewall into network device, the state inspection technology of firewall is studied. A state inspection system and a universal status machine model are designed, which could record and maintain the state and the process of all the communication connections in the net

4、work, change the state of the connections according to the status machine model, ensure the integrity and security of communications, and support more applications and protocols. And this paper also proposes a fast packet forwarding algorithm based on IP flow. The experiment indicates that the algor

5、ithm could raise the forwarding efficiency of packets, and improve the system performance effectively while guarantee the system security.【Key words】state inspection; status machine; firewall0 引言傳統(tǒng)的防火墻技術(shù)一般針對單個(gè)數(shù)據(jù)包的過濾，無法正確識別各種協(xié)議或應(yīng)用的通信過程和通信機(jī)制，在安全性上存在一定的問題。同時(shí)在性能上，由于對每個(gè)數(shù)據(jù)包都要進(jìn)行檢查，處理性能存在問題1。狀態(tài)檢測技術(shù)最早是由以色列的c

6、heckpoint公司提出的2，是近幾年防火墻應(yīng)用最多的新技術(shù)。狀態(tài)檢測技術(shù)，將屬于同一條連接的數(shù)據(jù)包作為一個(gè)整體的數(shù)據(jù)流看待。通常根據(jù)源地址、目的地址、源端口、目的端口、協(xié)議類型等等來區(qū)分一條連接，在此基礎(chǔ)上構(gòu)成連接狀態(tài)表，利用該表記錄和維護(hù)通過防火墻的每個(gè)合法連接的狀態(tài)信息，以及合法連接對表中的每個(gè)連接的狀態(tài)信息加以引發(fā)的相關(guān)連接的信息。識別，據(jù)狀態(tài)以及狀態(tài)變遷的正確與否進(jìn)行數(shù)據(jù)包的過濾。改善傳統(tǒng)防火墻安全性、效率的關(guān)鍵是設(shè)計(jì)一種恰當(dāng)?shù)氖崭迦掌冢?010-12-28。作者簡介：高 飛(1987-)，男，碩士研究生，主要研究方向?yàn)樾畔踩?3狀態(tài)檢測系統(tǒng)，為此，研究和設(shè)計(jì)了一種可以嵌入到網(wǎng)

7、絡(luò)設(shè)備中的狀態(tài)檢測系統(tǒng)，該系統(tǒng)基于IP流的報(bào)文快速轉(zhuǎn)發(fā)算法，可以有效支持網(wǎng)絡(luò)設(shè)備中業(yè)務(wù)模塊與狀態(tài)檢測系統(tǒng)的交互，具有良好的可擴(kuò)展性，可以廣泛應(yīng)用于路由器等網(wǎng)絡(luò)設(shè)備。1 狀態(tài)檢測系統(tǒng)結(jié)構(gòu)設(shè)計(jì)如圖1，狀態(tài)檢測系統(tǒng)主要由狀態(tài)表、業(yè)務(wù)模塊接口、全局控制接口組成。 1.1 狀態(tài)表狀態(tài)表是整個(gè)系統(tǒng)的核心所在，報(bào)文在到達(dá)設(shè)備時(shí)都會(huì)先匹配狀態(tài)表，匹配的常是報(bào)文的五元組信息：源地址、目的地址、源端口、目的端口、協(xié)議類型。狀態(tài)表中無匹配，是連接的首報(bào)文時(shí)，需經(jīng)過所有業(yè)務(wù)模塊處理，根據(jù)處理的結(jié)果給報(bào)文所屬的連接打上所需的標(biāo)記；如果報(bào)文屬于已建立的連接且狀態(tài)變遷正常，交需要處理的業(yè)務(wù)模塊處理，然后轉(zhuǎn)發(fā)報(bào)文；如果狀態(tài)表

8、中有記錄但狀態(tài)變遷異常，丟棄報(bào)文。74圖1 狀態(tài)檢測系統(tǒng)結(jié)構(gòu)1.2業(yè)務(wù)模塊接口把設(shè)備所有模塊處理的過程。稱為完整路徑。報(bào)文走完整路徑時(shí)，會(huì)有模塊做協(xié)議、應(yīng)用的控制；有模塊做報(bào)文的合法性檢測；有模塊修改數(shù)據(jù)報(bào)文的內(nèi)容；有模塊做報(bào)文的訪問控制。若所有模塊處理后允許通過，則在狀態(tài)表中新建一條連接記錄。 1.3 全局控制接口全局控制，一是對網(wǎng)絡(luò)中的流量進(jìn)行統(tǒng)計(jì)和監(jiān)控，使網(wǎng)絡(luò)資源的使用最優(yōu)化，二是及時(shí)調(diào)整狀態(tài)表表項(xiàng)的老化時(shí)間，提高系統(tǒng)安全性和資源的利用率。在整個(gè)系統(tǒng)中，關(guān)鍵要解決的是如何提高報(bào)文轉(zhuǎn)發(fā)效率以及狀態(tài)變遷模型的設(shè)計(jì)。圖2 基于IP流的報(bào)文快速轉(zhuǎn)發(fā)算法提出一種基于IP流的報(bào)文快速轉(zhuǎn)發(fā)算法，用以提

9、高報(bào)2 基于IP流的報(bào)文快速轉(zhuǎn)發(fā)算法文在設(shè)備中的轉(zhuǎn)發(fā)效率。對IP報(bào)文進(jìn)行按流處理，即狀態(tài)表中的一條連接（這里不考慮發(fā)送到設(shè)備自身的報(bào)文）。流中的首報(bào)文會(huì)進(jìn)行完整路徑的處理，將所有業(yè)務(wù)模塊的處理結(jié)果，即報(bào)文最后在出接口處轉(zhuǎn)發(fā)時(shí)的特征記錄到狀態(tài)表中，同時(shí)記錄該流的報(bào)文對于各個(gè)業(yè)務(wù)模塊是否需要再處理的標(biāo)記，從而避免業(yè)務(wù)模塊每報(bào)文進(jìn)行處理，提高效率。當(dāng)報(bào)文匹配狀態(tài)表且狀態(tài)變遷正常時(shí)，那么就可以直接越過業(yè)務(wù)處理部分（除了對該流需每報(bào)文處理的業(yè)務(wù)模塊），根據(jù)狀態(tài)表表項(xiàng)記錄的報(bào)文特征轉(zhuǎn)發(fā)報(bào)文。算法處理流程如圖2。在這里將一條流的連接方向分為發(fā)起連接方向和響應(yīng)連接方向。設(shè)計(jì)了兩個(gè)方向的狀態(tài)表，表項(xiàng)記錄放在一起

10、，仍是一條連接，但需要記錄兩個(gè)方向轉(zhuǎn)發(fā)時(shí)的報(bào)文特征。圖3 狀態(tài)機(jī)模型（2）快速轉(zhuǎn)發(fā)狀態(tài)當(dāng)連接處于初始狀態(tài)，有響應(yīng)報(bào)文到達(dá)，并通過后續(xù)處理，記錄下最后其在轉(zhuǎn)發(fā)時(shí)的報(bào)文特征，狀態(tài)轉(zhuǎn)換為快速轉(zhuǎn)發(fā)狀態(tài)。當(dāng)連接的后續(xù)報(bào)文到達(dá)時(shí)，先交相應(yīng)業(yè)務(wù)模塊處理，同時(shí)做狀態(tài)變遷。報(bào)文還需判斷有無子連接，有子連接的還要新建連接表項(xiàng)。最后，判斷并應(yīng)用報(bào)文方向的特征，轉(zhuǎn)發(fā)報(bào)文。（3）子連接狀態(tài)協(xié)商通信的應(yīng)用、協(xié)議建立的子連接，如FTP的數(shù)據(jù)連接。當(dāng)狀態(tài)檢測系統(tǒng)檢測到有子連接的存在，在狀態(tài)表中新增記錄該子連接的五元組項(xiàng)。若是在老化時(shí)間內(nèi)有該連接的753 狀態(tài)變遷模型3.1 狀態(tài)機(jī)模型及變遷算法設(shè)計(jì)如圖3示，將一條連接的完整通

11、信過程分為五種狀態(tài)： （1）初始狀態(tài)連接的首報(bào)文，在狀態(tài)表中無匹配，而完整路徑允許通過，均是初始狀態(tài)。連接處于該狀態(tài)，要記錄報(bào)文在系統(tǒng)中經(jīng)過完整路徑處理后，轉(zhuǎn)發(fā)時(shí)的報(bào)文特征，同時(shí)建立響應(yīng)連接方向狀態(tài)表。首報(bào)文到達(dá)，該子連接的連接狀態(tài)轉(zhuǎn)換為初始狀態(tài)。（4）拒絕服務(wù)狀態(tài)當(dāng)某條連接出現(xiàn)異常時(shí)，一定時(shí)間內(nèi)拒絕該連接的報(bào)文通過。在設(shè)置的拒絕時(shí)間內(nèi)，若檢測該連接正常，切換狀態(tài)到快速轉(zhuǎn)發(fā)。（5）清除狀態(tài)因?yàn)門CP是有連接狀態(tài)的協(xié)議，其釋放連接的機(jī)制比較完善。當(dāng)TCP的連接處于初始狀態(tài)，收到RST報(bào)文，或是處于快速轉(zhuǎn)發(fā)狀態(tài)收到FIN或RST報(bào)文，變遷為此狀態(tài)。在連接的老化時(shí)間到期之前，若有該連接的報(bào)文通過，轉(zhuǎn)

12、換為快速轉(zhuǎn)發(fā)狀態(tài)，應(yīng)用報(bào)文特征，做快速轉(zhuǎn)發(fā)。 3.2 狀態(tài)機(jī)模型的算法實(shí)現(xiàn)狀態(tài)機(jī)模型依賴狀態(tài)表的實(shí)現(xiàn)。狀態(tài)表采用Hash表存儲(chǔ)，如圖4。鍵值包含：協(xié)議,源地址,源端口,目的地址,目的端口。Connect_Packet*：發(fā)起連接的報(bào)文特征結(jié)構(gòu)，該特征是報(bào)文在經(jīng)過完整路徑處理完，在出接口處的報(bào)文的某些特征字段。Response_Packet*：響應(yīng)連接方向的報(bào)文特征結(jié)構(gòu)。作用同上，均是用于快速轉(zhuǎn)發(fā)。4 實(shí)驗(yàn)如圖5所示，搭建實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境，使用NetIQ公司的IXCHARIOT軟件進(jìn)行網(wǎng)絡(luò)測速。分別對網(wǎng)絡(luò)設(shè)備未加入防火墻狀態(tài)檢測系統(tǒng)和加入防火墻狀態(tài)檢測系統(tǒng)的吞吐量進(jìn)行實(shí)驗(yàn)。圖5利用IXCHARIOT

13、進(jìn)行網(wǎng)絡(luò)測速從實(shí)驗(yàn)結(jié)果來看，網(wǎng)絡(luò)設(shè)備中未加入防火墻狀態(tài)檢測系統(tǒng)的吞吐量平均值為976 kb/s，加入防火墻狀態(tài)檢測系統(tǒng)后，吞吐量平均值為1 052 kb/s，設(shè)備吞吐量有了明顯提高。5 結(jié)語設(shè)計(jì)的防火墻狀態(tài)檢測系統(tǒng)，是嵌入在網(wǎng)絡(luò)設(shè)備中的。在網(wǎng)絡(luò)設(shè)備中加入狀態(tài)檢測系統(tǒng)，需要考慮如何在安全和性能之間找到平衡。另外，網(wǎng)絡(luò)設(shè)備中的一些業(yè)務(wù)模塊，存在對每報(bào)文的統(tǒng)計(jì)動(dòng)作或者?；畈僮鳎焖俎D(zhuǎn)發(fā)算法是流的圖4 狀態(tài)表數(shù)據(jù)結(jié)構(gòu)*Last_Match6：指向鏈表中最近匹配的表項(xiàng)節(jié)點(diǎn)。若某個(gè)連接正常通信，該連接的狀態(tài)表項(xiàng)短時(shí)間內(nèi)會(huì)被多次查找匹配。設(shè)計(jì)該指針可以有效減少查找匹配的時(shí)間。HashKey_Info*：哈

14、希函數(shù)鍵值結(jié)構(gòu)，包括：Protocol、SIP、Sport、DIP、Dport。Status：狀態(tài)字段，NEW、SUB_CONNECT、FAST_ FORWARD、SERVICE_DENIAL、CLEAR。Protocol*：連接所屬的協(xié)議結(jié)構(gòu),包括具體協(xié)議的記錄字段。 Timeout：連接老化時(shí)間。該值可以根據(jù)具體的協(xié)議應(yīng)用或網(wǎng)絡(luò)流量狀況等動(dòng)態(tài)設(shè)置。Statistic*：連接的統(tǒng)計(jì)值結(jié)構(gòu)，包括該連接被匹配的次數(shù)和流量的統(tǒng)計(jì)等。ControlOption：業(yè)務(wù)處理字段，每位對應(yīng)完整路徑中的業(yè)務(wù)模塊。非首包直接應(yīng)用記錄結(jié)果，因此需要一種機(jī)制來處理系統(tǒng)對各業(yè)務(wù)模塊的通告問題。參考文獻(xiàn)1 張超云.基

15、于多核的協(xié)議分析狀態(tài)檢測防火墻的研究D. 南京:南京理工大學(xué),2007.2 NOURELDIEN A N,IZZELDIN M O.A Stateful Inspection ModuleArchitectureR.s.l.:In Proceedings of TENCON Conference, 2000.3 XIN Li, ZHANG Zhouji, MING Zenghu.Stateful Inspection FirewallSession Table ProcessingR.中國:s.n.,2005.4 熊忠陽,張科,張玉芳.一種提高狀態(tài)檢測防火墻抵御SynFlood攻擊的方法J.小

16、型微型計(jì)算機(jī)系統(tǒng),2008,29（05）:929-932. 5 ZHANG Ke, WANG Juan, REN Dasen. A Matching Algorithm ofNetfilter Connection Tracking Based on IP flowJ. IEEE, 2005(20-23):199-203.（上接第39頁）參考文獻(xiàn)1 JOHN G P.Digital CommunicationsM.北京：電子工業(yè)出版社,2003:591-612.2 曾興雯,劉乃安.擴(kuò)展頻譜通信及其多址技術(shù)M西安：西安電子科技大學(xué)出版社,2004.3 楊大成.移動(dòng)傳播環(huán)境-理論基礎(chǔ).分析方法和建模技術(shù)M.北京：機(jī)械工業(yè)出版社,2003.4 GREGORY E B. TONY OTTOSSON, YI-PIN ERIC WANG.A Generalized RakeReceiver for DS-CDMA SystemsC.USA:IEEE,2000:941-945. 5 ALI S. KHAYRALLAH, DOUGLAS A. Cairns, Fast Finger Selectionfor GRAKEJ, IEEE, 2005(02):728-732.6 LIN Jiachin. Noncoherent Seque