一种支持大规模连接数的状态检测防火墙

摘要

状态检测防火墙，是目前最常见的防火墙，这种类型的防火墙，需要维护每个连接的状态信息。近年来随着P2P应用的深入发展，特别是随着BT下载、视频直播、点播的广泛应用，状态检测防火墙需要维护的连接数越来越多，造成防火墙空间使用量过大。针对这一问题，文中提出一种能够支持大规模连接数的状态检测防火墙SDBF(Stateful DetectingBloom Filter)，与传统的状态检测防火墙不同，SDBF防火墙将每个连接的标识信息存储在Bloom filter内，并将Bloom filter放在片内SRAM中。理论分析和仿真实验表明：在使用6MBytes片内SRAM的情况下，SDBF防火墙能够支持100万连接数;其内存使用量，远小于支持100万连接数的传统状态检测防火墙。