论文部分内容阅读
本文在对防火墙的各种技术对比的基础之上,结合计算机网络安全的本质与要求,对包过滤防火墙这一传统的防火墙体系结构进行了分析与改进并提出一种新的包过滤防火墙系统设计方案。
本文所设计的防火墙在方法上主要基于状态包过滤技术,也称动态包过滤技术。通过分辨通讯是初始请求还是对请求的回应,来实现“单向通信规则”。即在某方向上的初始通讯(请求)被允许和记录后,其连接的另一方向的通讯(回应)也将被允许,这样不必在过滤规则中为其回应考虑,大大减少过滤规则的数量和复杂性。同时,它还很好的实现“只允许内部访问外部”的策略。从外部看,在没有合法的通讯时,所有内部主机的端口都是关闭的;只有当其访问外部某主机的端口时,才对该外部主机开放端口,并且当连接结束时,其也随之关闭;而从内部看,除规则明确拒绝外的所有外部资源都是开放的。
防火墙系统实现过滤功能的核心部分就是规则表的实现。本系统中静态过滤规则可由管理员根据需要自行增加与删除,并由巴克斯——诺尔范式(BNF)对其进行描述和定义。BNF的精确性与平台无关性保证了规则只要按照BNF规范编写,就可以被严格的执行。
随着防火墙的不断运行,管理员添加的过滤规则会越来越多,从而影响到匹配的效率和时间。为此,我把规则分成两部分:输入规则表和输出规则表。匹配规则时,根据是输入还是输出进行分别匹配规则表,同时按照访问端口的顺序对规则进行二分查找,来减少规则匹配所花费的时间。另一方面考虑到实际情况,对一个小型网络每天平均访问外网的情况进行统计,我们可以知道大多数情况下,总是有固定的,或者次数最多的应用程序进行网络访问。因此,可以建立一个小型的索引,其中主要存放的是访问次数最多的应用程序项以及最近的访问网络的应用程序项。达到快速查找的目的。
在了解这些相关技术的基础上,较详细的阐述了包过滤防火墙的设计和实现的思想与方法。最后,分析了本防火墙系统的优点和不足,并对不足之处给出了今后改进的设想和思路。