基于L7-filter的流量控制防火墙的实现.doc

基于L7-filter的流量控制防火墙的实现.doc基于L7-filter的流量控制防火墙的实现ThestreamcontrolfirewallbasedL7-filter(湖南师范大学网络中心湖南长沙410081)【摘要】传统的网络墙无法实现流量过滤的功能,P2P的丿应用挤占了有限的带宽使因而无法保障企业关键业务流的及时传输。基于L7-filter配对模块可以很好的实现高层协议的数据保匹恥,和传统的防火墙结合可以实现高级的流量过滤功能,保证关键和正常数据包的传输。【关键词】流量控制 filterIptables0引言防火墙(firewall)是一种比较传统的信息安全产品,一般位于内网()和公网()Zl'nJ,对内网和公网2间的数据传输起着过滤的作用,对企业的信息安全具有重要意义。防火墙维护着一个ACL(accesscontrollist访问控制列表),它根据手动设置的规则集(rules)对流量或者连接进行过滤和屏蔽,防范来白公网的攻击。随着网络技术的不断发展网络应用日趋多样化,特别P2P技术的产生,使企业有限的公网带宽更加拥挤,而且已经严重影响到企业关键业务数据的正常传输。传统防火墙仅是一般意义的访问控制,对于流量往往也只能根据传输层协议的类型和端II进行控制,不能做到依据高层的应用层网络协议进行有效过滤,因此不能保证企业关键数据的快速传输。filter是linux基于内核的包过滤框架模块,可以在用八空间(userspace)使用iptables稈序添加,设置,修改,filter可以根据数据包的结构(packetstructure),很好的实现访问控制的冃的。世界上众多的linux爱好者(hacker)为Netfilter开发了很多高级的配对(match)模块,从而实现很有现实价值的功能。其中由JustinLevandoski,EthanSommer,和MatthewStrait开发,SebastianCelis,AndyExley和LillieKittredge支持的L7-filter功能模块可以根据数据包应用层协议(applicationlayer)内容进行匹配,从而使防火墙能够进行准确协议控制成为可能,保证企业关键业务数据的实时传送。L7-filter的工作原理对于数据包的过滤,就需要进行数据包的匹配。依据数据包具有固定的结构,源IP地址(sourceIPaddress),H标IP地址(destinationIPaddress),MAC(macaddress&PhysicalAddress)地址,传输层协议类型(TCP心DP)及其端口(Port)进行匹配。因为常见的高层协议具有固定的端口,可以很好的完成一些普通的流量控制功能,而且还具有很好的效率,比如:HTTP,FTP,DNS,,等。但是对于-•些其他的高层协议,随机选择通信端1-1,例如bittorrentemule等一些P2P程序,那么J4是通过传输层的端I1进行匹配是不能达到很好的效果的。如果HTTP,FTP等一些常规应用使用了***,或者更换了标准的协议端口,那么仅仅端U匹配也是不能检测出这些数据包。version IHLDifferentiatedServicesTotalLongthIdentifierFragmentation EragmentOffsetTimetoLive(TTL)ProtocolHead