一种有状态防火墙实现算法地研究.pdfVIP

一种有状态防火墙实现算法的研究 王瑞军王洪君王翠荣 高 远 (东北大学信息科学与工程学院，沈阳，110004) (Email：neuwrj@mail．corn) 摘要强度和效率是防火墙的关键技术指标。有状态防火墙是为适应网络带 宽不断提高和应用不断复杂化而提出的一种新型防火墙工作机制，这一机制在 追求效率的同时在某种程度上降低，防火墙过滤强度。为此，本文在提出实现算 法时，充分考虑算法可扩展性和对强度的补偿，给出了算法的形式化描述和适当 优化。针对并发连接数量巨大这一实际情况，提出，基于哈希表管理连接的算 法，将算法空间复杂性控制在o(n)，连接匹配的时间复杂性控制在0(1)。通过 对原型系统实测表明，以此算法为基础可以继续扩展为基于内容过滤的防火墙， 实现多级过滤。 关键词有状态防火墙哈希表 多扳过滤 主动切断 一、引 言 由于TCP／IPv4协议簇本身不足以保障计算机网络的信息安全口]，因此在网络工程实