防火墻狀態(tài)檢測技術(shù)的研究與應(yīng)用.pdf

1、中小型企業(yè)在企業(yè)組網(wǎng)時,常考慮以下幾點:1、企業(yè)網(wǎng)中的一些與工作無關(guān)的文件下載、網(wǎng)絡(luò)游戲、語音通信等應(yīng)用常占據(jù)了大量的網(wǎng)絡(luò)帶寬,需要對有限的帶寬進行合理分配,保證正常的工作業(yè)務(wù)的帶寬需求。2、對員工的日常上網(wǎng)行為進行管理,如禁止員工在正常工作時間瀏覽與工作無關(guān)的網(wǎng)頁,禁止使用QQ等即時聊天軟件等,保障企業(yè)的生產(chǎn)效率。3、為了節(jié)約成本,需要在一臺網(wǎng)絡(luò)設(shè)備上集成多種功能,包括路由轉(zhuǎn)發(fā)、安全、流量控制等。基于中小型企業(yè)組網(wǎng)的特點和需求,在企業(yè)

2、出口網(wǎng)絡(luò)設(shè)備上,實現(xiàn)對應(yīng)用數(shù)據(jù)報文的過濾,有著十分重要的意義。
　　 四川某電信設(shè)備制造廠商,在開發(fā)用于中小型企業(yè)組網(wǎng)的路由器設(shè)備時,提出了對應(yīng)用數(shù)據(jù)報文過濾的需求。本課題就是源于該項目需求。
　　 狀態(tài)檢測技術(shù),在報文過濾方面具有一定優(yōu)勢:1、按報文的五元組信息:源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)層協(xié)議來界定一條流。將報文放入流中考慮,能更好的理解通信過程,過濾的準確度更高。2、對報文所屬的流進行有狀態(tài)的管理,不

3、需要每報文過濾,過濾性能更高。狀態(tài)檢測技術(shù),原是實現(xiàn)在防火墻產(chǎn)品中的。目前,還沒有在路由器設(shè)備中實現(xiàn)用于應(yīng)用過濾的狀態(tài)檢測技術(shù)的學術(shù)研究和公開研究成果。本文研究狀態(tài)檢測技術(shù),在路由器設(shè)備中設(shè)計了一個狀態(tài)應(yīng)用過濾系統(tǒng),用以支持對應(yīng)用數(shù)據(jù)報文的準確高效過濾。系統(tǒng)主要包括了兩大部分:狀態(tài)檢測框架和應(yīng)用過濾模塊。
　　 本文研究路由器設(shè)備的協(xié)議棧報文處理代碼,在設(shè)備中設(shè)計并實現(xiàn)了狀態(tài)檢測框架。該框架為應(yīng)用過濾子模塊提供統(tǒng)一的編程接口和管

4、理機制,同時可以支持更多應(yīng)用子模塊的加入。另外,本文對框架的關(guān)鍵技術(shù),例如狀態(tài)表、狀態(tài)機,進行了改進設(shè)計,使之更適合路由器設(shè)備,并能更好地支持應(yīng)用過濾,提高過濾效率的狀態(tài)檢測框架。試驗證明,路由器設(shè)備中加入狀態(tài)檢測框架,可以有效提高報文轉(zhuǎn)發(fā)性能。
　　 最后,本文分析了應(yīng)用過濾的基本原理,設(shè)計并實現(xiàn)了基于狀態(tài)檢測框架的應(yīng)用過濾模塊,包括:HTTP URL過濾、FTP文件過濾、QQ應(yīng)用過濾、MSN應(yīng)用過濾、SKYPE應(yīng)用過濾。采用

5、特征值識別方式對應(yīng)用進行識別過濾,本文針對應(yīng)用協(xié)議HTTP、FTP、MSN、QQ、SKYPE的各種不同版本,分析、歸納、總結(jié)了報文的載荷特征值,并對應(yīng)用過濾模塊的功能進行了完整測試,測試結(jié)果表明,功能穩(wěn)定。應(yīng)用過濾模塊,是基于狀態(tài)檢測框架,獨立設(shè)計和開發(fā)的,升級和維護,存在著局限性。為了解決這個問題,本文分析了應(yīng)用協(xié)議特征庫的實現(xiàn)方式,結(jié)合狀態(tài)檢測框架,設(shè)計并實現(xiàn)了一種特征庫模型,目前可以支持對幾款網(wǎng)絡(luò)游戲、web報文、QQ報文的識別。