基于状态检测的TC包过滤的研究

来源 :电子世界 | 被引量 : 0次 | 上传用户:numifan
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  【摘要】对于传统防火墙来说,包过滤是一种比较有效的方法,但为了防止日益增强的网络非法攻击,同时提高包过滤的实际效果,本文设计并实现了防火墙的状态检测包过滤和NAT功能,通过记录并跟踪会话的即时状态来对网络流量包进行检测。
  【关键词】状态检测;IXA;NAT
  1.引言
  随着Internet应用的拓展,Internet的安全问题也越来越突出,用户在Internet上的通信缺乏隐秘性,很容易暴露用户的隐私信息。目前业界普遍的做法是构造防火墙。本文着重研究新一代防火墙产品中广泛采用的技术,并在Intel公司的互联网交换架构IXA上设计、开发、实现高安全性、高处理速度的专用硬件防火墙。
  2.防火墙的概念和作用
  通过加密技术虽然可以防止消息的内容被攻击者窃听,但HTTP,TCP/IP,FTP等开放式协议所需的报文头部信息,例如源地址和目的地址、报文长度等很难通过加密算法来隐藏。此外,网络中数据交换的频率和时间等信息也是不能单单通过加密来隐藏的。因此,即使在未知通信内容的情况下,攻击者仍然可以利用这些协议存在的缺陷发动窃听和流量分析攻击,以此来获取通信双方的信息。利用这些信息,再结合上其它的一些手段,攻击者就有可能进一步推断出通信者的一些有价值的个人隐私信息。防火墙是通过提供访问控制服务来实现对内部网络的安全防护的,它已经在Internet上得到了防范的应用,但它不是解决所有网络安全问题的万能药方,而只是网络安全策略中的一个组成部分,防火墙技术不仅可融入加密传输技术和认证技术,而且可结合安全协议,以提供更高的网络安全性[1]。
  防火墙是一种网络安全设施,是执行访问控制策略的一个或一组软、硬件系统。其主要手段是通过放置于网络拓扑结构的合适节点上,使其成为内外通讯的唯一途径,从而隔离内部和外部网络。并按照根据安全策略制定的过滤规则(访问控制规则)对经过它的信息流进行监控和审查,过滤掉任何不符合安全规则的信息,以保护内部网络不受外界的非法访问和攻击。防火墙是一种建立在被认为是安全可信的内部网络和被认为是不太安全可信的外部网络(Internet)之间的访问控制机制,是安全策略的具体体现。网络环境如图1所示。
  3.防火墙的分类与原理
  包过滤,也称为网络层防火墙。包过滤一般在路由器上实现,其原理和结构如图2所示。
  包过滤工作在网络层和逻辑链路层之间,截获所有流经的IP包,从其IP头、以及传输层协议头、甚至应用层协议数据中获取过滤所需的相关信息,然后依次按顺序与事先设定的访问控制规则进行一一匹配比较,如果与某条规则相匹配,便执行其规定的动作(如:接收/拒绝、目志等)。为迫使每一个IP包都能在访问规则集中找到与其匹配的规格,一般在访问规则中都要定义一条缺省规则以实现某种缺省动作,这条缺省规则便是基本防火墙设计策略的体现(详见网络安全策略)[2]。
  状态检测包过滤是更复杂的包过滤技术,是对直接包过滤方法的增强和扩充。它不仅根据IP包中IP头和传输层协议头中的信息,甚至根据应用层协议命令对其进行过滤,而且还根据这些信息为每个连接跟踪和保存其状态,这些状态又对其后续通讯的过滤起着关键的作用。状态检查包过滤不仅具有直接包过滤的网络性能和过滤效率,而且具有与应用代理相当甚至更高的网络安全性,并可提供用户级的身份认证。
  状态检测技术不仅根据IP包中IP头和传输层协议头中的信息,甚至根据应用层协议命令对其进行过滤,而且还根据这些信息为每个连接跟踪和保存其状态,这些状态又对其后续通讯的过滤起着关键的作用。状态检查包过滤不仅具有直接包过滤的网络性能和过滤效率,而且具有与应用代理相当甚至更高的网络安全性,并可提供用户级的身份认证。
  4.硬件平台和NAT实现技术
  系统硬件平台主要由空间数据库服务器,存储设备,Web服务器,网络设备,客户端计算机等设备构成。硬件部署结构如图3所示。
  为了降低系统建设成本,数据库服务器和Web服务器可以共同使用一台性能较好的服务器。磁盘阵列和磁带库的使用是为了满足大数据量的高速存储和备份需求,系统建设初期也可以暂缓购置,存储设备与数据库服务器使用光纤网络进行连接。客户计算机为普通个人计算机,安装有Web浏览器运行时环境。客户端计算机需要具有与Web服务器较高速的网络连接。
  在此硬件平台基础上,本文提出了NAT技术解决方案,它可以使Internet网得到足够的瑞息时间等待新一代IP协议的出台。由于NAT技术提供了一种掩护网络内部本质的方法,从而在防火墙中得到广泛的应用[3]。
  NAT解决问题的方法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址,在Internet上使用。其具体的做法把IP包内的地址域用合法的IP地址来替换,NAT`功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中,NAT设备维护一个状态表,用来把非法的I地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址发送下一级,这意味着给处理器带来一定的负担,但这对于网络处理器这种多处理器架构的设备来说微不足道。
  NAT技术的基本功能就是用1个或几个I地址来实现1个局域网网络上的所有主机都可以访问Internet。NAT技术可以为TCP、UDP、ICMP的部分信息进行透明中继。下面讨论其工作原理。TCP把端点(endpoint)定义为一对整数,因此可以将l条TCP连接用1个4元组来定义,该4元组唯一的标识一条连接。这样的一个连接抽象允许多个连接共享一个端点,但又并不会引起歧义,从而可以看出这种基于连接的抽象为利用1个IP地址进行外部世界的访问提供了基础。UDP协议和TCP协议一样是通过一对IP地址和端口号来区分一对通信节点,这使得NAT的实现对于这两种协议是透明的,即实现这两种协议的NAT处理方法是一致的。实际上,虽然UDP是无连接的,但可以将它作为虚连接来看待[4]。
  5.结束语
  本文在对网络上流行的安全技术特别是防火墙技术做了深入研究探讨之后,利用IXA架构对网络设备开发的方便性高性能特点,提出了在此架构上开发高性能、安全可靠的防火墙设计方案。
  设计中实现了防火墙的状态检测包过滤和NAT功能。状态检测包过滤能够根据IP地址、TCP/UDP端口号、ICMP协议类型以及TCP标志位对包进行过滤。对于传统防火墙来说,这是一种比较有效的方法,但为了防止日益增强的网络非法攻击,同时提高包过滤的实际效果,本文设计并实现了防火墙的状态检测包过滤和NAT功能,通过记录并跟踪会话的即时状态来对网络流量包进行检测。
  参考文献
  [1]曾家智,李毅超,韩蒙.计算机网络[M].电子科技大学出版社,2002.
  [2]简贵胃,葛宁,冯重熙.网络处理器综述[J].电讯技术, 2003.
  [3]张千里,陈光英.网络安全新技术[M].人民邮电出版社,2003.
  [4]张可,刘乃琦.在IXA架构上的动态NAPT设计[J].计算机科学2004.
  基金项目:湖北理工学院“基于状态检测的TCP包过滤的研究(11YJZ32B)”。
  作者简介:高超(1975—),男,湖北蕲春人,硕士,湖北理工学院讲师。
其他文献
【摘要】网络拓扑发现是网络工程的一个重要的研究子分支,是实现网络管理的基础性环节。同时,网络拓扑发现是对宏观网络进行科学布局的基础,也是进行网络建模、网络仿真、网络协议设计与评价以及相关网络算法改进的重要依据。本文主要论述IP网络中的重要的功能网络拓扑的自动发现。阐述了相关的理论知识,并具体讨论基于SNMP和基于ICMP的拓扑发现,最后对算法所适用范围加以说明。  【关键词】网络拓扑;SNMP发现
期刊
【摘要】为了适应社会的需要,必须培养学生的各种能力,而为了能力的培养,必须改进课程体系,尤其是实践课程体系。本文以《Photoshop图形处理技术》课程为例探讨以“能力为重”的《Photoshop图形处理技术》实践课程改革。通过本论文的研究给其他的实践课程提供以参考。  【关键词】能力为重;实践课程改革  《Photoshop图形处理技术》课程是电子商务专业的专业核心课程。从专业人才培养方案制定过
期刊
【摘要】针对某系统工程设计中监控点数量多和系统工作电磁环境恶劣的特点,为了保证大系统的MTBF(平均无故障工作时间)指标要求,对如何提高各分机微处理器系统运行的可靠性进行了详细分析。首先叙述了大系统的总体要求和基本构成,接着从硬件、软件两方面论述了提高监控分机工作稳定性的设计思路和具体设计方法。最后叙述了各分机与系统主站监控之间的通信方式,以及各分机之间互连组建可靠通信网络的设计要点。  【关键词
期刊
【摘要】我国电网自从1100kv特高压和750kv超高压进入试运行以来,GIS组合开关在电网中暴露了一些问题。由于在GIS开关分合过程中,传统的机械信号指示器监控油压波动比较大,它将逐渐被电子式油压监控器所取代。本文为了进一步改善油压监控装置的稳定性和时效性,防止GIS组合开关在分合闸过程中因过高的共模电压和电磁干扰受到损坏,采用了STC15F2K60S2微控制器设计了一种油压监控系统,用它对GI
期刊
【摘要】信号的滤波处理在野外地震数据采集中起着重要的作用,能否在数据采集过程中消除干扰,高精度地采集到所需要的有效信号,是后期数据的正确处理和解译的关键,本文将先进的电子技术和地震勘探技术结合,设计了一套高速的滤波系统,并对其进行测试验证,取得了较好的滤波效果。  【关键词】地震数据采集;滤波系统;测试验证  随着近代电子技术的发展,地球物理勘探技术在不断进步,作为最重要的地球物理勘探方法—地震勘
期刊
【摘要】用于训练BP神经网络的反向传播算法(BP算法)易陷入误差局部极小。本文引入模拟退火算法(SA算法)改进BP算法的全局寻优能力,给出了SA-BP融合算法的具体步骤,并应用于教学质量评价模型的构建,应用结果表明了该模型相对传统BP神经网络具有更高的精确度。  【关键词】BP算法;SA算法;人工神经网络;梯度下降;教学质量评价  1.引言  教学质量评价是一个复杂的人性化过程,传统的评价方法无法
期刊
【摘要】介绍了S7-1200PLC在厂区给排水系统中的应用,着重强调了S7-1200PLC信号采集、控制和通讯等功能面向中低端分布式自动化系统的应用。厂区给排水系统是由储水水库、二次加压泵房、回水收集井和排水泵组成,主要设备相对分散,适合应用的分布式控制。  【关键词】S7-1200PLC;给排水系统;液位反馈;自动控制  1.项目介绍  给排水系统关乎整个厂区的生产和生活,供水(下称水源地)系统
期刊
【摘要】本文介绍了遥控器芯片HT6221的编码解码原理,单片机根据接收到的遥控指令控制LED显示屏更换字幕和切换字幕显示效果,并可以选择将显示的内容语音输出。其设计、制作和调试的过程,对学生专业知识的综合应用,创造力的培养有着良好意义。系统经过调试各项功能均满足设计要求。  【关键词】LED显示屏;无线遥控;语音播报  LED显示屏应用十分广泛,大街小巷随处可见,市场应用宽广。LED显示具有使用寿
期刊
【摘要】本文介绍了一种基于单片机控制的缓降器硬件机构及控制系统。该系统以单片机机为系统的控制核心,结合光电式传感器技术实现了下降速度的测量,从而实现了缓降器的自给供电并能平稳运行。实验证明该缓降器设计满足了应用的需要。  【关键词】缓降器;单片机;自给供电;光电传感器  1.引言  现代生活使人们的生活高层化,高层建筑为人们提供方便快捷的同时也给人们的安全带来隐患。缓降器可以将处于高层建筑物上的受
期刊
【摘要】以KTY3000B型钻机控制系统的软起动为例,提出了以西门子PLC和施耐德软起动器ATS48为核心的钻机控制系统的应用方案,介绍了系统的基本配置、软起动器的工作原理、功能和特点。实践表明,该系统可靠性高,成本低,易于安装和维护。  【关键词】钻机;控制系统;软起动器;PLC  1.引言  随着生产设备的大型化,电动机的容量越来越大。交流电动机以结构简单、运行可靠、维护方便、价格便宜等特点,
期刊