报文分类算法在包过滤防火墙上的应用研究

摘要

对于高级的路由器设备，防范网络攻击最常用的方法是防火墙。从技术理论上讲，防火墙属于最基本的网络层安全技术，但随着网络安全技术的发展，现在的路由器防火墙已经成为一种功能先进的安全网关。防火墙在路由器上所做的就是报文过滤。报文过滤是通过匹配规则进行的，路由器设备上常规设置的过滤规则包括报文的源和目的地址及端口号，传输层的协议等。通常这些规则用ACL访问控制列表进行记录。
　　通常情况下，使用ACL匹配报文时是线性查找。当过滤系统中规则数目很大的时候，线性查找会使系统性能变差，产生匹配时间过长的缺点。随着互联网的发展，安全需求的提高，过滤系统的规则数目只增不减，因此需要更换匹配算法加快系统速度。
　　首先本文阐述了企业级网络的对网络安全需求，介绍了包过滤防火墙在实际中的价值，简单介绍包过滤技术和访问控制列表。提出了在包过滤防火墙存在大量规则情况下，一般路由器的线性查找存在匹配效率低下的问题。并提出更换分类算法的解决方向。
　　研究经典的分类算法，对于不同的算法的思想进行分析，然后总结对比各种经典算法的时间复杂度，空间复杂度，更新复杂度等指标。由于ACL包过滤的规则是多维属性的，因此其需要的分类算法能够在多维的情况下有良好表现。通过比较分析出HiCut算法和RFC算法是比较适合应用在ACL包过滤上的两种算法。
　　随后对两种算法进行了深入的研究。设计了算法的数据结构和其实现流程，并利用matlab仿真工具模拟编写了算法在实际过程中的处理过程。通过模拟仿真得出了两种算法对比与传统的线性查找在搜索时间上的巨大优势，另外总结对比两种算法在内存消耗性能和与处理时间上表现，分析两个算法的适用环境。在Linux防火墙下挂入了RFC和HiCuts算法处理函数，通过虚拟机联网测试不同匹配方法的系统吞吐量，结果证明RFC和HiCuts算法比线性匹配更具优势。
　　最后，对本文的工作进行了总结与展望，指出了需要改进的部分和下一步的研究方向。算法的结构流程设计和实验结果对于算法在实际的路由器防火墙实现上有借鉴和指导价值。

目录

声明

致谢

摘要

1 引言

1．1 企业级网络安全

1．2 包过滤技术

1．3 访问控制列表

1．4 论文组织结构

2 包过滤防火墙技术

2．1 包在网络中的传输

2．2 包的构造

2．2．1 TCP／IP网络分层模型

2．2．2 数据封装

2．3 包过滤的优点和缺点

2．4 包过滤规则

2．5 AGL包过滤技术

2．5．1 ACL的基本概念

2．5．2 ACL的应用

2．5．3 ACL包过滤基本工作原理

2．5．4 ACL包过滤工作流程

2．6 ACL分类

2．6．1 基本ACL

2．6．2 高级ACL

2．6．3 二层ACL和用户自定义ACL

2．7 生效时间段

2．8 匹配顺序

2．9 步长的概念

2．10 ACL包过滤匹配

2．10．1 传统线性匹配问题

2．10．2 提高匹配效率方法

2．11 小结

3 包过滤算法

3．1 报文分类的定义

3．2 算法性能标准

3．3 分类算法介绍

3．3．1 Hierarchical Tries算法

3．3．2 Set-pruning Tries算法

3．3．3 Grid of Tries算法

3．3．4 Cross-producting算法

3．3．5 HiCuts算法

3．3．6 RFC算法

3．4 算法比较

3．4．1 复杂度比较

3．4．2 算法扩展性

3．5 小结

4 HiCuts和RFC算法仿真实现

4．1 HiCuts算法设计

4．1．1 切割维度的选择

4．1．2 冗余规则的问题

4．1．3 数据结构和预处理流程

4．1．1 查找过程

4．2 RFC算法设计

4．2．1 块组合方式的选择

4．2．2 RFC算法数据结构

4．2．3 RFC算法预处理

4．2．1 查找过程

4．3 算法的测试比较

4．3．1 查找时间

4．3．1 复杂度比较

4．4 小结

5 Linux系统下测试

5．1 Linux防火墙

5．2 规则获取

5．3 测试环境

5．4 测试结果

5．5 小结

6 总结与展望

参考文献

作者简介

学位论文数据集