基于流過(guò)濾的防火墻關(guān)鍵技術(shù)研究.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問(wèn)題變得日益嚴(yán)重，防火墻技術(shù)是保護(hù)網(wǎng)絡(luò)安全最有效的技術(shù)之一?；诹鬟^(guò)濾的防火墻是一種新型的防火墻，它不僅能像包過(guò)濾防火墻那樣對(duì)網(wǎng)絡(luò)層數(shù)據(jù)進(jìn)行監(jiān)管，而且還能夠像代理防火墻那樣解析并過(guò)濾傳輸層和應(yīng)用層的數(shù)據(jù)。基于流過(guò)濾的防火墻主要監(jiān)控TCP連接數(shù)據(jù)，為此本文主要研究基于流過(guò)濾的防火墻中的TCP流表查找算法和TCP流表的定時(shí)器算法。
　　哈希表算法被廣泛用來(lái)實(shí)現(xiàn)防火墻的流表管理功能，但是由于TCP報(bào)

2、文段的四元組不是均勻分布的，所以可能導(dǎo)致哈希算法的查找操作發(fā)生最壞情況，將會(huì)嚴(yán)重影響到防火墻所監(jiān)控網(wǎng)絡(luò)的服務(wù)質(zhì)量。為了控制這種情況的發(fā)生，本文根據(jù)Bloom Filter Counter和多層哈希表理論，提出了基于二層哈希表的TCP流管理算法，本算法由兩個(gè)大小不等的哈希表組成。數(shù)據(jù)包查找時(shí)首先用Bloom Filter Counter算法判斷數(shù)據(jù)包是否在較小的哈希表中，進(jìn)而決定是否在較大的哈希表中查找。并通過(guò)理論分析和仿真實(shí)驗(yàn)說(shuō)明本算法

3、不僅能夠減少最壞情況發(fā)生的概率，而且能夠降低發(fā)生最壞情況時(shí)查找操作的平均時(shí)間復(fù)雜度。
　　由于基于流過(guò)濾的防火墻和內(nèi)外網(wǎng)都要建立TCP連接，所以為了防火墻能夠監(jiān)管有大量TCP并發(fā)的網(wǎng)絡(luò)，就必須要有高效的TCP流表定時(shí)器的支持。為了滿足這種需求，本文首先依據(jù)網(wǎng)絡(luò)協(xié)議規(guī)范，研究TCP連接中定時(shí)器的特點(diǎn)，然后根據(jù)這些特點(diǎn)，設(shè)計(jì)出適用于流過(guò)濾防火墻的用戶態(tài)TCP流表定時(shí)器算法。本算法根據(jù)超時(shí)時(shí)間和觸發(fā)周期劃分定時(shí)器事件，當(dāng)更新定時(shí)器事件時(shí)