网络设备中防火墙状态检测系统设计

1、2011年第05期，第44卷 通 信 技 术 Vol.44，No.05,2011 总第233期 Communications Technology No.233,Totally网络设备中防火墙状态检测系统设计高 飞（西南交通大学 信息科学与技术学院，四川 成都 610031）【摘 要】为了在网络设备中嵌入防火墙状态检测系统，研究防火墙状态检测技术，设计了一种状态检测系统，以及通用的状态机模型，记录和维护网络中所有通信连接的状态和过程，并根据状态机模型进行连接的状态变迁，保证通信的完整性和安全性，支持更多应用、协议。同时还提出了一种基于IP流的报文快速转发算法，实验证明该算法可以加快报文的转发效

2、率，并在保证系统安全的同时，有效提高系统性能。【关键词】状态检测；状态机；防火墙【中图分类号】TP311.5 【文献标识码】A 【文章编号】1002-0802(2011)05-0074-03Design on State Inspection System of Firewall in Network DeviceGAO Fei（School of Information Science and Technology, Southwest Jiaotong University, Chengdu Sichuan 610031, China）【Abstract】In order to embed

3、 the state inspection system of firewall into network device, the state inspection technology of firewall is studied. A state inspection system and a universal status machine model are designed, which could record and maintain the state and the process of all the communication connections in the net

4、work, change the state of the connections according to the status machine model, ensure the integrity and security of communications, and support more applications and protocols. And this paper also proposes a fast packet forwarding algorithm based on IP flow. The experiment indicates that the algor

5、ithm could raise the forwarding efficiency of packets, and improve the system performance effectively while guarantee the system security.【Key words】state inspection; status machine; firewall0 引言传统的防火墙技术一般针对单个数据包的过滤，无法正确识别各种协议或应用的通信过程和通信机制，在安全性上存在一定的问题。同时在性能上，由于对每个数据包都要进行检查，处理性能存在问题1。状态检测技术最早是由以色列的c

6、heckpoint公司提出的2，是近几年防火墙应用最多的新技术。状态检测技术，将属于同一条连接的数据包作为一个整体的数据流看待。通常根据源地址、目的地址、源端口、目的端口、协议类型等等来区分一条连接，在此基础上构成连接状态表，利用该表记录和维护通过防火墙的每个合法连接的状态信息，以及合法连接对表中的每个连接的状态信息加以引发的相关连接的信息。识别，据状态以及状态变迁的正确与否进行数据包的过滤。改善传统防火墙安全性、效率的关键是设计一种恰当的收稿日期：2010-12-28。作者简介：高 飞(1987-)，男，硕士研究生，主要研究方向为信息安全。43状态检测系统，为此，研究和设计了一种可以嵌入到网

7、络设备中的状态检测系统，该系统基于IP流的报文快速转发算法，可以有效支持网络设备中业务模块与状态检测系统的交互，具有良好的可扩展性，可以广泛应用于路由器等网络设备。1 状态检测系统结构设计如图1，状态检测系统主要由状态表、业务模块接口、全局控制接口组成。 1.1 状态表状态表是整个系统的核心所在，报文在到达设备时都会先匹配状态表，匹配的常是报文的五元组信息：源地址、目的地址、源端口、目的端口、协议类型。状态表中无匹配，是连接的首报文时，需经过所有业务模块处理，根据处理的结果给报文所属的连接打上所需的标记；如果报文属于已建立的连接且状态变迁正常，交需要处理的业务模块处理，然后转发报文；如果状态表

8、中有记录但状态变迁异常，丢弃报文。74图1 状态检测系统结构1.2业务模块接口把设备所有模块处理的过程。称为完整路径。报文走完整路径时，会有模块做协议、应用的控制；有模块做报文的合法性检测；有模块修改数据报文的内容；有模块做报文的访问控制。若所有模块处理后允许通过，则在状态表中新建一条连接记录。 1.3 全局控制接口全局控制，一是对网络中的流量进行统计和监控，使网络资源的使用最优化，二是及时调整状态表表项的老化时间，提高系统安全性和资源的利用率。在整个系统中，关键要解决的是如何提高报文转发效率以及状态变迁模型的设计。图2 基于IP流的报文快速转发算法提出一种基于IP流的报文快速转发算法，用以提

9、高报2 基于IP流的报文快速转发算法文在设备中的转发效率。对IP报文进行按流处理，即状态表中的一条连接（这里不考虑发送到设备自身的报文）。流中的首报文会进行完整路径的处理，将所有业务模块的处理结果，即报文最后在出接口处转发时的特征记录到状态表中，同时记录该流的报文对于各个业务模块是否需要再处理的标记，从而避免业务模块每报文进行处理，提高效率。当报文匹配状态表且状态变迁正常时，那么就可以直接越过业务处理部分（除了对该流需每报文处理的业务模块），根据状态表表项记录的报文特征转发报文。算法处理流程如图2。在这里将一条流的连接方向分为发起连接方向和响应连接方向。设计了两个方向的状态表，表项记录放在一起

10、，仍是一条连接，但需要记录两个方向转发时的报文特征。图3 状态机模型（2）快速转发状态当连接处于初始状态，有响应报文到达，并通过后续处理，记录下最后其在转发时的报文特征，状态转换为快速转发状态。当连接的后续报文到达时，先交相应业务模块处理，同时做状态变迁。报文还需判断有无子连接，有子连接的还要新建连接表项。最后，判断并应用报文方向的特征，转发报文。（3）子连接状态协商通信的应用、协议建立的子连接，如FTP的数据连接。当状态检测系统检测到有子连接的存在，在状态表中新增记录该子连接的五元组项。若是在老化时间内有该连接的753 状态变迁模型3.1 状态机模型及变迁算法设计如图3示，将一条连接的完整通

11、信过程分为五种状态： （1）初始状态连接的首报文，在状态表中无匹配，而完整路径允许通过，均是初始状态。连接处于该状态，要记录报文在系统中经过完整路径处理后，转发时的报文特征，同时建立响应连接方向状态表。首报文到达，该子连接的连接状态转换为初始状态。（4）拒绝服务状态当某条连接出现异常时，一定时间内拒绝该连接的报文通过。在设置的拒绝时间内，若检测该连接正常，切换状态到快速转发。（5）清除状态因为TCP是有连接状态的协议，其释放连接的机制比较完善。当TCP的连接处于初始状态，收到RST报文，或是处于快速转发状态收到FIN或RST报文，变迁为此状态。在连接的老化时间到期之前，若有该连接的报文通过，转

12、换为快速转发状态，应用报文特征，做快速转发。 3.2 状态机模型的算法实现状态机模型依赖状态表的实现。状态表采用Hash表存储，如图4。键值包含：协议,源地址,源端口,目的地址,目的端口。Connect_Packet*：发起连接的报文特征结构，该特征是报文在经过完整路径处理完，在出接口处的报文的某些特征字段。Response_Packet*：响应连接方向的报文特征结构。作用同上，均是用于快速转发。4 实验如图5所示，搭建实验网络环境，使用NetIQ公司的IXCHARIOT软件进行网络测速。分别对网络设备未加入防火墙状态检测系统和加入防火墙状态检测系统的吞吐量进行实验。图5利用IXCHARIOT

13、进行网络测速从实验结果来看，网络设备中未加入防火墙状态检测系统的吞吐量平均值为976 kb/s，加入防火墙状态检测系统后，吞吐量平均值为1 052 kb/s，设备吞吐量有了明显提高。5 结语设计的防火墙状态检测系统，是嵌入在网络设备中的。在网络设备中加入状态检测系统，需要考虑如何在安全和性能之间找到平衡。另外，网络设备中的一些业务模块，存在对每报文的统计动作或者保活操作，而快速转发算法是流的图4 状态表数据结构*Last_Match6：指向链表中最近匹配的表项节点。若某个连接正常通信，该连接的状态表项短时间内会被多次查找匹配。设计该指针可以有效减少查找匹配的时间。HashKey_Info*：哈

14、希函数键值结构，包括：Protocol、SIP、Sport、DIP、Dport。Status：状态字段，NEW、SUB_CONNECT、FAST_ FORWARD、SERVICE_DENIAL、CLEAR。Protocol*：连接所属的协议结构,包括具体协议的记录字段。 Timeout：连接老化时间。该值可以根据具体的协议应用或网络流量状况等动态设置。Statistic*：连接的统计值结构，包括该连接被匹配的次数和流量的统计等。ControlOption：业务处理字段，每位对应完整路径中的业务模块。非首包直接应用记录结果，因此需要一种机制来处理系统对各业务模块的通告问题。参考文献1 张超云.基

15、于多核的协议分析状态检测防火墙的研究D. 南京:南京理工大学,2007.2 NOURELDIEN A N,IZZELDIN M O.A Stateful Inspection ModuleArchitectureR.s.l.:In Proceedings of TENCON Conference, 2000.3 XIN Li, ZHANG Zhouji, MING Zenghu.Stateful Inspection FirewallSession Table ProcessingR.中国:s.n.,2005.4 熊忠阳,张科,张玉芳.一种提高状态检测防火墙抵御SynFlood攻击的方法J.小

16、型微型计算机系统,2008,29（05）:929-932. 5 ZHANG Ke, WANG Juan, REN Dasen. A Matching Algorithm ofNetfilter Connection Tracking Based on IP flowJ. IEEE, 2005(20-23):199-203.（上接第39页）参考文献1 JOHN G P.Digital CommunicationsM.北京：电子工业出版社,2003:591-612.2 曾兴雯,刘乃安.扩展频谱通信及其多址技术M西安：西安电子科技大学出版社,2004.3 杨大成.移动传播环境-理论基础.分析方法和建模技术M.北京：机械工业出版社,2003.4 GREGORY E B. TONY OTTOSSON, YI-PIN ERIC WANG.A Generalized RakeReceiver for DS-CDMA SystemsC.USA:IEEE,2000:941-945. 5 ALI S. KHAYRALLAH, DOUGLAS A. Cairns, Fast Finger Selectionfor GRAKEJ, IEEE, 2005(02):728-732.6 LIN Jiachin. Noncoherent Seque