状态检测防火墙的路由设计研究.pdfVIP

李鑫等：状态检测防火墙的路由设计 状态检测防火墙的路由设计① 李 鑫②季振洲 胡铭曾 (哈尔滨工业大学计算机科学与技术学院 哈尔滨150001) 摘要状态检测技术得到了越来越广泛的应用，路由方法对状态检测防火墙的速度性 能影响很大。分析发现，支持DMZ的防火墙可以实现比查找路由表更高效的路由方法。 利用硬件的并行性特点，设计了专用的路由算法和硬件结构。该结构隐藏了路由查找时 间，在查找状态表之前不需要等待路由操作。根据路由确定方向后查找状态表和规则表， 能够大大提高防火墙的匹配效率。 关键词状态检测，路由，硬件结构，DMZ 术的路由器和防火墙设备中，有两种处理路由的方 0 引言 法：一种是首先查找路由表确定数据包的流动方向， 状态检测防火墙由CheckPoint率先提出，又称然后匹配状态表和规则表；另一种是将方向信息存 动态包过滤防火墙¨J。状态检测防火墙在网络层由 放在状态表和规则表中，当一个数据报到来时通过 一个检查引擎截获数据包并抽取出与应用层状态有 匹配状态表和规则表来确定路由。上述两种方法各 关的信息，并以此作为依据决定对该连接是接受还 有优缺点，先查找路由表增加了路由查找时间，但是 是拒绝。检查引擎维护一个动态的状态信息表并对 确定方向之后可以减少匹配状态表和规则表的时 后续的数据包进行检查。一旦发现任何连接的参数 间；直接匹配状态表和规则表没有路由时间开销，但 有意外的变化，该连接就被中止。状态检测防火墙 是匹配状态表和规则表的时间花费大。 克服了包过滤防火墙和应用代理服务器的局限性， 本文分析了支持DMZ区的边缘网络设备的特 状态检测防火墙根据协议、端口及源、目的地址的具 点，设计了能够快速确定数据报方向信息的算法和 体情况以及一定的应用层信息决定数据包是否可以 硬件结构，节省了多端口网络设备的路由表查找操 通过。状态检测技术通过在规则表的基础上增加状 作，进而提高了状态表和规则表的匹配速度。 态表来提高过滤速度和安全性。状态检测技术已经 1 支持DMZ区边缘网络拓扑结构 在国内外得到广泛应用，许多著名的防火墙和路由 器都实现了状态检测技术，如CisicoPIX[2]、3COM的传统的防火墙只支持两个网络接口，一个连接 网关产品【3|、Ne坞嗍(4J及Checkpoint公司[1]的防火内部受保护网络，另一个连接外部网络。目前的防 火墙大多具有3个以上的接口，增加的接口通常用 墙产品。图1给出了Checkpoint公司【5J的Firewall．1 的状态检测工作流程。 来作为非敏感区(Demilitarized ～个同时为内部接口和外部接口提供服务的网段， 例如，同时被内部客户机和外部客户机访问的Web 为外部客户机提供服务，但要限制去往内部网络的 向内流量。这样，如果DMZ上的某台主机被攻击者 圉1硒De帆雌l状态检测工作过程 控制了的话，内部网络上的主机仍然可以受到保护。 无状态检测能力的网络设备在转发数据包之前 D