欢迎来到天天文库
浏览记录
ID:36771131
大小:290.45 KB
页数:6页
时间:2019-05-15
《基于Linux防火墙连接跟踪机制的应用层协议过滤方法的研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、基于!"#$%防火墙连接跟踪机制的应用层协议过滤方法的研究练书成徐敬东昝世刚!南开大学计算机科学与技术系"天津&"""X%#YZ[0C?(?C0(3M$(*)?0I*<2>$M2[摘要论文首先对BC(>D防火墙的连接跟踪机制进行了简要分析"在此基础上提出了一种基于连接跟踪机制的高效的应用层协议过滤方法"并给出了以此方法为核心的过滤系统的简单实现$关键词BC(>D防火墙连接跟踪应用层协议过滤文章编号%""!Z]&&%Z!!""#%%&Z"%!^Z"E文献标识码R中图分类号86&^&&’(’)*+,-./001"+)2"-#!)3’*4*-2-+-15"12’*
2、6’2,-78)(’7-#9-##’+2"-#:*)+;"#<6’+,)#"(=-.!"#$%>"*’?)11!")#@,$+,’#)*+-MC*(M*0(_8*M1(2?24DFC+*c0??C30(0?3、HH?CM0)C2(?0<*+H+2)2M2?C3*DH0(_*_2(OeC(0??DFC+*c0??!M2((*M)C2()+0M;C(4!0HH?CM0)C2(?0<*+H+2)2M2?FC?)*+%引言火墙连接跟踪机制的解决方案!该方法采用基于连接过滤的策随着’()*+(*)的飞速发展!新的网络应用不断涌现!如即略!匹配和识别的处理都在’6层中完成!能够较为准确$高效时通讯",-.!/4、0122,*33*(4*+!55#$6!6文件共享"78!*9地实现对应用层协议的过滤&:2(;*)*??0%$网络游戏等!这些新的应用层协议的使用使网络管理更加复杂化&公司$团体$大专院校及网吧对网络安全!BC(>D防火墙连接跟踪机制管理提出了新的需求!如禁止内部人员工作时间上网聊天$禁BC(>D防火墙由于其开源性!得到全世界范围内开发团队止可能带来不良信息及造成硬盘损伤的6!6文件共享应用和工程师们的不断完善&BC(>D!$E内核使用的(*)FC?)*+GCH)09等!这些需求都需要对指定的应用层协议进行过滤&I?*3体系结构高效$简洁!并具有极5、好的扩展性&除传统的包过传统的防火墙机制只能通过识别数据包中的’6地址及端滤机制!CH)0I?*3防火墙还能够跟踪当前所有经过该防火墙的口号等信息来过滤数据包!但新的应用中大多采取了多服务器连接!从而可以根据连接的状态来设置防火墙规则!以连接为"如,-.!6!6%!且服务器端口可变"如*:2(;*<%的策略’并且单位进行网络流量的过滤及检测!即状态监测!使得防火墙更代理技术都无一例外地被各种新的应用所使用&显然传统防火加高效$严密和可靠JEK&墙已经不能适应新的需求!新的能够识别$过滤并记录应用层连接跟踪机制是论文所描述的方法的基础!下面对连接跟协议的防火墙解6、决方案或产品亟待提出或开发&踪机制中与文中所描述方法相关的部分进行简单介绍&下面是两种已有的基本解决方案及其特点(CH)0I?*3连接跟踪机制使用结构CHLM2(()+0M;来描述一条数据包内容过滤&这种方案对经过防火墙的每个数据包的连接(应用层协议内容都要进行检查匹配!并对符合匹配规则的数据3)+>M)CHLM2(()+0M;N包加以丢弃或记录&其优点是简单$便于实现&但由于要对每个O$$数据包进行检测!因此效率太低!严重影响防火墙的性能&GP利用此结构链接到系统的CHLM2(()+0M;QR-Q表中!同时包含应用代理网关&这种方案对应用层数据包进行转发!用7、户用来标识连接的元组信息PA将数据包发向网关!再由网关转发出去&其优点是能够很准确3)+>M)CHLM2(()+0M;L)>H?*L1031)>H?*1031S’6L@8L:’TL,RUV’地识别应用层协议并对其进行控制&缺点也是显而易见的(数OOO据包要经过8@6A’6协议栈的所有层!效率较低’对用户不透W’明!用户要使用某种应用必须在客户端进行代理设置&其中!结构CHLM2(()+0M;L)>H?*L1031将此CHLM2(()+0M;链针对上述已有方案的缺陷!论文提出了一种基于BC(>D防接进整个系统的CHLM2(()+0M;QR-Q表中&这个结构还包含8、另基金项目!天津市信息化项目资助"编号
3、HH?CM0)C2(?0<*+H+2)2M2?C3*DH0(_*_2(OeC(0??DFC+*c0??!M2((*M)C2()+0M;C(4!0HH?CM0)C2(?0<*+H+2)2M2?FC?)*+%引言火墙连接跟踪机制的解决方案!该方法采用基于连接过滤的策随着’()*+(*)的飞速发展!新的网络应用不断涌现!如即略!匹配和识别的处理都在’6层中完成!能够较为准确$高效时通讯",-.!/
4、0122,*33*(4*+!55#$6!6文件共享"78!*9地实现对应用层协议的过滤&:2(;*)*??0%$网络游戏等!这些新的应用层协议的使用使网络管理更加复杂化&公司$团体$大专院校及网吧对网络安全!BC(>D防火墙连接跟踪机制管理提出了新的需求!如禁止内部人员工作时间上网聊天$禁BC(>D防火墙由于其开源性!得到全世界范围内开发团队止可能带来不良信息及造成硬盘损伤的6!6文件共享应用和工程师们的不断完善&BC(>D!$E内核使用的(*)FC?)*+GCH)09等!这些需求都需要对指定的应用层协议进行过滤&I?*3体系结构高效$简洁!并具有极
5、好的扩展性&除传统的包过传统的防火墙机制只能通过识别数据包中的’6地址及端滤机制!CH)0I?*3防火墙还能够跟踪当前所有经过该防火墙的口号等信息来过滤数据包!但新的应用中大多采取了多服务器连接!从而可以根据连接的状态来设置防火墙规则!以连接为"如,-.!6!6%!且服务器端口可变"如*:2(;*<%的策略’并且单位进行网络流量的过滤及检测!即状态监测!使得防火墙更代理技术都无一例外地被各种新的应用所使用&显然传统防火加高效$严密和可靠JEK&墙已经不能适应新的需求!新的能够识别$过滤并记录应用层连接跟踪机制是论文所描述的方法的基础!下面对连接跟协议的防火墙解
6、决方案或产品亟待提出或开发&踪机制中与文中所描述方法相关的部分进行简单介绍&下面是两种已有的基本解决方案及其特点(CH)0I?*3连接跟踪机制使用结构CHLM2(()+0M;来描述一条数据包内容过滤&这种方案对经过防火墙的每个数据包的连接(应用层协议内容都要进行检查匹配!并对符合匹配规则的数据3)+>M)CHLM2(()+0M;N包加以丢弃或记录&其优点是简单$便于实现&但由于要对每个O$$数据包进行检测!因此效率太低!严重影响防火墙的性能&GP利用此结构链接到系统的CHLM2(()+0M;QR-Q表中!同时包含应用代理网关&这种方案对应用层数据包进行转发!用
7、户用来标识连接的元组信息PA将数据包发向网关!再由网关转发出去&其优点是能够很准确3)+>M)CHLM2(()+0M;L)>H?*L1031)>H?*1031S’6L@8L:’TL,RUV’地识别应用层协议并对其进行控制&缺点也是显而易见的(数OOO据包要经过8@6A’6协议栈的所有层!效率较低’对用户不透W’明!用户要使用某种应用必须在客户端进行代理设置&其中!结构CHLM2(()+0M;L)>H?*L1031将此CHLM2(()+0M;链针对上述已有方案的缺陷!论文提出了一种基于BC(>D防接进整个系统的CHLM2(()+0M;QR-Q表中&这个结构还包含
8、另基金项目!天津市信息化项目资助"编号
此文档下载收益归作者所有
