有状态分组过滤器原理及实现.pdfVIP

2011年 10月 19期 有状态分组过滤器原理及实现 口袁爱牙 俞海英 胡勇强 邵发明 解放军理工大学工程兵工程学院计算机应用教研室 摘【 要】分组过滤器一般指无状态分组过滤器 ，通过制定规则对每一个 IP分组的单向传输过程独 立进行控制 ，但实际应用中常常需要针对某个服务相关的一组 IP分组的传输过程实施控制 ，这种 控制过程一是双 向的，完成服务过程 中需要双 向传输 IP分组 ，二是相关的，同一传输方 向，不 同 顺序 的 IP分组之间存在相关性 ，两个不 同传输方向的 IP分组之间存在相关性 ，有状态分组过滤 器就是这样一种基于服务对 IP分组 的传输过程实施控制的机制。 【关键词】分组过滤器 服务 有状态分组过滤器 StatefullPacketFilterPrincipleandRealization YuanAiya，YuHaiying，HUYongqiang，ShaoFam ing NanjingEngieeringInstituteOfEngineerCorpsPla A【bstract】Generally，packetfiltermeansstatelesspacketfilter．Statelesspacketfilterindepen— dently controleach IP packet．ButIP packetsw hich belong to the sam e service is interrelated． Thatisw hyweneedacontrolaccessmechanism basedonservice． K【eywords】packetfilter，service，statefullpacketfilter 有状态分组过滤器是基于服务实施访问控制的一种全新的分组过滤技术 ，弥补 了传统分组过滤器 (无状态分组过滤器)对每一个 IP分组 的单 向传输过程独立进行控制的缺陷。 1 无状态分组过滤器的缺陷 图 1 网络结构 79 新技术 W Technology 针对 图 1所示的网络结构 ，如果要求实现只 允许终端 A发起访 问Web服务器 ，不允许 网络 存在其他通信过程的访 问控制 ，路 由器 R1端 口 1 输入方 向和路 由器 R2端 口2输入方 向设置如下 过滤规则 。 路 由器 R1端 口1输入方向过滤规则 ①协议 =TCP，源 IP地址 =192．1．1．1／32，源 端 口号 = ，目的 IP地址 =192．1．2．7／32，目的端 口 号 =80；正常转发 。 ②协议 =IP，源 IP地址 = ，源端 口： ，目的 IP地址 = ，目的端 口号 = ；丢弃。 路 由器 R2端 口2输入方向过滤规则 ①协议 =TCP，源 IP地址 =192．1．2．7／32，源 端 口号 =80，目的 IP地址 =192．1．1．1／32，目的端 图2 HTTP服务涉及 的数据交换过程 口号 = ；正常转发。 ②协议 =IP，源 IP地址 = ，源端 口= ，目的 连接建立过程 。建立 TCP连接过 程中 ，首先是 由 IP地址 = ，目的端 口号 = ；丢弃 。 终端 A发出的源 IP地址 =192．1．1．1，目的 IP地址 但值得强调 的是真正实现 只允许终端 A发 = 192．1．2．7， 目的端 口号 =80，且 TCP首 部 中 起访 问Web服务器 ，不允许 网络存在其他通信过 SYN=I、ACK=0的建立 TCP连接请求报文 ，其次 程 的访 问控制需要做到 ：①只允许 由终端 A发起 是来 自Web服务器 的源 IP地址 =192．1．2．7，目的 建立与 Web服务器之 间的TCP连接 。② 只允许 IP地址 =192