CN113765858A - 一种实现高性能状态防火墙的方法及装置 - Google Patents
一种实现高性能状态防火墙的方法及装置 Download PDFInfo
- Publication number
- CN113765858A CN113765858A CN202010503885.2A CN202010503885A CN113765858A CN 113765858 A CN113765858 A CN 113765858A CN 202010503885 A CN202010503885 A CN 202010503885A CN 113765858 A CN113765858 A CN 113765858A
- Authority
- CN
- China
- Prior art keywords
- flow
- module
- data
- firewall
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 238000001914 filtration Methods 0.000 claims description 8
- 230000009191 jumping Effects 0.000 claims description 6
- 238000001514 detection method Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 abstract description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Abstract
本发明提供一种实现高性能状态防火墙的方法及装置,包括数据包处理模块VPP、路由模块、防火墙策略模块和流状态模块。数据包处理模块VPP用于从网络接口接收发送数据。路由模块通过查询路由信息并转发数据。防火墙策略模块用于匹配用户下发的防火墙策略,对首次建立会话的数据流按IP地址,协议,端口号进行安全策略匹配。流状态模块,用于对成功通过防火墙策略的数据流创建流会话,对已经建立了会话的流进行流状态检测,对于防火墙策略发生改变和路由发生改变时刷新流表,定期检查流表,对在一个生命周期内都没有状态更新的流,从流表中删除。通过减少防火墙安全策略表的重复查询匹配及路由表的查询,达到提升VPP处理数据包的能力,同时提升防火墙的吞吐率,有效地提升防火墙数据转发性能。
Description
技术领域
本发明涉及信息安全领域的防火墙技术,尤其涉及一种基于流状态控制的高性能状态防火墙。
背景技术
随着计算机网络快速发展,网络攻击复杂性不断上升,病毒,木马,后门等混合威胁的泛滥,让网络层和应用层面临着更大的安全威胁,防火墙是一种可以保护网络信息安全的设备,由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。计算机流入流出的所有网络通信和数据包均要经过此防火墙。最早的防火墙是基于包过滤的方式,到最后加入了状态监测的机制,状态防火墙也是目前主流的防火墙技术。
传统的基于包过滤的防火墙,采用逐包过滤原则,效率非常低,并且很容易被攻击者绕开安全策略。状态检测也只能监视网络层和传输层数据。为了更好的保护计算机网络,通常会将防火墙与其他防攻击设备和防病毒设备串联使用,这样的方案不但部署困难,而且也会大大降低整个网络的吞吐率。
因此,发展集成更多功能的防火墙和高性能防火墙才能适应新的网络安全需求。
发明内容
本发明提供了一种实现高性能状态防火墙的方法及装置,以解决目前网络吞吐率低以及通用软件处理数据包能力不足的技术问题。
为实现上述技术目的,本发明使用以下技术方法:
一种实现高性能状态防火墙的方法及装置,包括数据包处理模块VPP,所述数据包处理模块VPP用于从网络接口接收及发送数据。所述数据包处理模块VPP包括路由模块、防火墙策略模块和流状态模块,所述路由模块用于查询路由信息并转发数据,所述防火墙策略模块用于匹配用户下发的防火墙策略,对首次建立会话的数据流按IP地址,协议,端口号进行安全策略匹配,所述流状态模块,用于对成功通过防火墙策略的数据流创建流会话,对已经建立了会话的流进行流状态检测,对于防火墙策略发生改变和路由发生改变时刷新流表,定期检查流表,对查过生命周期都没有状态更新的流,从流表中删除。
进一步地,所述流状态模块内设有流会话表,当一条数据流通过防火墙时,从所述流会话表中查询该条数据流,获取该条流的状态信息和路由信息,将所述数据流与流会话表进行匹配,根据匹配结果对所述数据流进行相应地处理。
进一步地,根据匹配结果对所述数据流进行相应地处理的过程包括,若在所述流会话表中查询到所述数据流,则根据该条流的状态信息和路由信息实现快速转发出防火墙。通过数据流与流会话表进行匹配的方式对数据流进行处理,可以大大减少数据流通过防火墙的时间,有效提升防火墙数据转发效率和转发性能。
进一步地,根据匹配结果对所述数据流进行相应地处理的过程包括,若在流状态模块的流会话表中没有查询到所述数据流信息,则该条数据流需要经过路由模块查询路由以及防火墙安全策略模块匹配安全策略,当数据包成功通过路由模块和安全策略模块,需要将该条流加入到流状态模块的流会话表中,并记录该条数据流的状态信息和路由信息。
一种实现高性能状态防火墙的方法及装置,包括如下步骤:
1、VPP从网络接口接收到数据包,送至网络层处理;
2、数据包进入流状态模块,根据数据包原IP地址,目的IP地址,上层协议,原端口号,目的端口号做hash,然后通过计算出的hash值,从流状态模块的流会话表中查询流信息;
3、流状态模块中查询该条流信息,若没有查到该条流信息则跳转到步骤7;
4、流状态模块检查是否需要刷新整个流表,当防火墙策略或则路由发生改变时,需要重新刷新流表。若需要刷新流表则跳转到步骤8;
5、对流状态进行检测,可以为应用识别服务,对一条流进行持续跟踪。对于同一条数据流,根据不同的应用层信息,可以使用不同的防火墙策略,以达到更精准的应用控制。
6、流状态模块更新该流表状态和时间戳,若在一个生命周期内,该条流没有被更新,则需要把该条流会话从流会话表中删除,跳转到步骤11;
7、对于一条流的首包数据,数据接收模块VPP将数据包送入路由模块处理;
8、数据包进入路由模块,查询该数据流的路由转发规则,然后将数据包送入防火墙策略模块;
9、防火墙策略模块根据该数据包的IP地址,协议,端口查询相关的过滤策略,若此数据流不被允许通过,则丢弃该数据包;
10、通过防火墙策略的数据包,若是首包,则添加该数据流到流状态模块的流表中去,若不是首包,则刷新该条流信息;
11、数据包出VPP数据包处理模块,通过网络接口发送出去。
本发明提供的一种实现高性能状态防火墙的方法及装置具有以下优点:
1、通过减少VPP中路由表和安全策略的重复查询,达到提升VPP处理数据包的能力,同时提升防火墙的吞吐率。
2、兼顾了包过滤技术中的规则表,更考虑了数据包是否符合会话所处的状态,提供了完整的对传输层的控制能力,安全性好、速度快。
3、状态型防火墙检查的是三四层,由于不拆应用层性能相对较高,匹配规则是动态规则,防御能力较强,尤其对于tcp的防护。
附图说明
图1为本发明的实现高性能状态防火墙的方法流程图;
图2为本发明的实现高性能状态防火墙的方法的VPP包处理模块示意图。
具体实施例
为使本发明实施例的目的、技术方法和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方法进行描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1和图2,一种实现高性能状态防火墙的方法及装置,包括数据包处理模块VPP,用于从网络接口接收发送数据。数据包处理模块VPP包括路由模块、防火墙策略模块和流状态模块。路由模块用于查询路由并转发数据。防火墙策略模块,用于匹配用户下发的防火墙策略,对首次建立会话的数据流按IP地址,协议,端口号进行安全策略匹配。流状态模块,用于对成功通过防火墙策略的数据流创建流会话,对已经建立了会话的流进行流状态检测,对于防火墙策略发生改变和路由发生改变时刷新流表,定期检查流表,对在一个生命周期内都没有状态更新的流,从流表中删除。
在数据包处理模块VPP还包括流状态模块,在流状态模块内设有流会话表,当一条数据流通过防火墙时,从流状态模块的流会话表中查询该条数据流,获取该条流的状态信息和路由信息,若在流会话表中查询到该条数据流,则根据该条流的状态信息和路由信息实现快速转发出防火墙;若在流状态模块的流会话表中没有查询到该条流信息,则该条数据流需要经过路由模块查询路由以及防火墙安全策略模块匹配安全策略,当数据包成功通过路由模块和安全策略模块,需要将该条流加入到流状态模块的流会话表中,并记录该条数据流的状态信息和路由信息;流状态模块需要定期对流会话表进行清理,对于在一个生命周期内都没有数据通过的流会话,需要把该流从流会话表内删除。
通过对数据流会话的记录,只需要对一条数据流的首包进行安全策略匹配以及路由查询,后续包则不需要再去匹配安全策略和路由查询,当用户配置的安全策略数很大时,减少防火墙安全策略表的重复查询匹配及路由表的查询,可以有效提高防火墙的转发性能。
在数据包处理模块VPP中使用流会话表机制的步骤如下:
1、数据包处理模块VPP从网络接口接收到数据包,送入到网络层处理;
2、数据包进入流状态模块,根据数据包原IP地址,目的IP地址,上层协议,原端口号,目的端口号做hash,然后通过计算出的hash值,从流状态模块的流会话表中查询流信息;
3、流状态模块中查询该条流信息,若没有查到该条流信息则跳到步骤7;
4、流状态模块检查是否需要刷新整个流表,当防火墙策略或路由发生改变时,需要重新刷新流表。若需要刷新流表则跳转到步骤8;
5、对流状态进行检测,这可以为应用识别服务,对一条流进行持续跟踪,根据不同的应用信息,可以使用不同的防火墙策略。
6、流状态模块更新该流表状态和时间戳,若在一个超时周期内,该条流没有被更新,则需要把该条流会话从流会话表中删除,跳转到步骤11;
7、对于一条流的首包数据,数据接收模块VPP将数据包送入路由模块处理;
8、数据包进入路由模块,查询该数据流的路由转发规则,然后将数据包送入防火墙策略模块;
9、防火墙策略模块根据该数据包的IP地址,协议,端口查询相关的过滤策略,若此数据流不被允许通过,则丢弃该数据包;
10、通过防火墙策略的数据包,若是首包,则添加该数据流到流状态模块的流表中去,若不是首包,则刷新该条流信息;
11、数据包出VPP数据包处理模块,通过网络接口发送出去。
比如内网用户使用源地址:源端口(192.168.1.110:6374)使用tcp协议访问公网目的地址:目的端口(134.16.3.174:80)时,第一包通过防火墙时,会根据原地地址192.168.1.110,源端口6374,协议tcp,目的地址134.16.3.174,目的端口80等5个元素生成一个唯一的hash值,通过此hash值去流状态模块中查询该条流。由于是首包通过,在流状态模块中无法查询到该条流,因此该数据包需要经过路由模块和防火墙策略模块,当数据包通过防火墙策略模块后,则把上述的5个元素以hash值为索引加入到流状态表中,当该条流后续包经过防火墙时,则可以从流状态模块中的流状态表中查询到信息,实现数据包的快速通过,以达到提升VPP处理数据包的能力,同时提升防火墙吞吐率的目的。
Claims (5)
1.一种实现高性能状态防火墙的方法及装置,其特征在于,包括数据包处理模块VPP,所述数据包处理模块VPP用于从网络接口接收及发送数据;
所述数据包处理模块VPP包括路由模块、防火墙策略模块和流状态模块;
所述路由模块用于查询路由信息并转发数据,所述防火墙策略模块用于匹配用户下发的防火墙策略,对首次建立会话的数据流按IP地址,协议,端口号进行安全策略匹配,所述流状态模块,用于对成功通过防火墙策略的数据流创建流会话,对已经建立了会话的流进行流状态检测,对于防火墙策略发生改变和路由发生改变时刷新流表,定期检查流表,对于超过生命周期都没有状态更新的流,从流表中删除。
2.根据权利要求1所述的一种实现高性能状态防火墙的方法及装置,其特征在于,所述流状态模块内设有流会话表,当一条数据流通过防火墙时,从所述流会话表中查询该条数据流,获取该条流的状态信息和路由信息,将所述数据流与流会话表进行匹配,根据匹配结果对所述数据流进行处理。
3.根据权利要求2所述的一种实现高性能状态防火墙的方法及装置,其特征在于,根据匹配结果对所述数据流进行相应地处理的过程包括,在所述流会话表中查询到所述数据流,则根据该条流的状态信息和路由信息实现快速转发出防火墙。
4.根据权利要求2所述的一种实现高性能状态防火墙的方法及装置,其特征在于,根据匹配结果对所述数据流进行相应地处理的过程包括,在流状态模块的流会话表中没有查询到所述数据流信息,则该条数据流需要经过路由模块查询路由以及防火墙安全策略模块匹配安全策略,当数据包成功通过路由模块和安全策略模块,需要将该条流加入到流状态模块的流会话表中,并记录该条数据流的状态信息和路由信息。
5.一种实现高性能状态防火墙的方法及装置,其特征在于,包括如下步骤:
1)VPP从网络接口接收到数据包,送至网络层处理;
2)数据包进入流状态模块,根据数据包原IP地址,目的IP地址,上层协议,原端口号,目的端口号做hash,通过计算得到的hash值,从流状态模块的流会话表中查询流信息;
3)流状态模块中查询该条流信息,若没有查到该条流信息则跳转到步骤7;
4)流状态模块检查是否需要刷新整个流表,当防火墙策略或则路由发生改变时,需要重新刷新流表。若需要刷新流表则跳转到步骤8;
5)对流状态进行检测,可以为应用识别服务,对一条流进行持续跟踪,对于同一条数据流,根据不同的应用层信息,可以使用不同的防火墙策略。
6)流状态模块更新该流表状态和时间戳,若在一个生命周期内,该条流没有被更新,则需要把该条流会话从流会话表中删除,跳转到步骤11;
7)对于一条流的首包数据,数据接收模块VPP将数据包送入路由模块处理;
8)数据包进入路由模块,查询该数据流的路由转发规则,然后将数据包送入防火墙策略模块;
9)防火墙策略模块根据该数据包的IP地址,协议,端口查询相关的过滤策略,若此数据流不被允许通过,则丢弃该数据包;
10)通过防火墙策略的数据包,若是首包,则添加该数据流到流状态模块的流表中去,若不是首包,则刷新该条流信息;
11)数据包出VPP数据包处理模块,通过网络接口发送出去。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010503885.2A CN113765858A (zh) | 2020-06-05 | 2020-06-05 | 一种实现高性能状态防火墙的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010503885.2A CN113765858A (zh) | 2020-06-05 | 2020-06-05 | 一种实现高性能状态防火墙的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113765858A true CN113765858A (zh) | 2021-12-07 |
Family
ID=78783946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010503885.2A Pending CN113765858A (zh) | 2020-06-05 | 2020-06-05 | 一种实现高性能状态防火墙的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113765858A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225397A (zh) * | 2022-07-22 | 2022-10-21 | 山石网科通信技术股份有限公司 | 一种控制方法、装置,防火墙及计算机可读存储介质 |
| CN115225397B (zh) * | 2022-07-22 | 2024-05-03 | 山石网科通信技术股份有限公司 | 一种控制方法、装置,防火墙及计算机可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101707617A (zh) * | 2009-12-04 | 2010-05-12 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
| CN101707619A (zh) * | 2009-12-10 | 2010-05-12 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
| CN102255909A (zh) * | 2011-07-11 | 2011-11-23 | 北京星网锐捷网络技术有限公司 | 监控会话流的方法及装置 |
| CN104506513A (zh) * | 2014-12-16 | 2015-04-08 | 北京星网锐捷网络技术有限公司 | 防火墙流表备份方法、防火墙及防火墙系统 |
| CN105207997A (zh) * | 2015-08-19 | 2015-12-30 | 北京星网锐捷网络技术有限公司 | 一种防攻击的报文转发方法和系统 |
| CN105530259A (zh) * | 2015-12-22 | 2016-04-27 | 华为技术有限公司 | 报文过滤方法及设备 |
| WO2019148839A1 (zh) * | 2018-01-31 | 2019-08-08 | 华为技术有限公司 | 防火墙配置、报文发送方法和装置 |
-
2020
- 2020-06-05 CN CN202010503885.2A patent/CN113765858A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101707617A (zh) * | 2009-12-04 | 2010-05-12 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
| CN101707619A (zh) * | 2009-12-10 | 2010-05-12 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
| CN102255909A (zh) * | 2011-07-11 | 2011-11-23 | 北京星网锐捷网络技术有限公司 | 监控会话流的方法及装置 |
| CN104506513A (zh) * | 2014-12-16 | 2015-04-08 | 北京星网锐捷网络技术有限公司 | 防火墙流表备份方法、防火墙及防火墙系统 |
| CN105207997A (zh) * | 2015-08-19 | 2015-12-30 | 北京星网锐捷网络技术有限公司 | 一种防攻击的报文转发方法和系统 |
| CN105530259A (zh) * | 2015-12-22 | 2016-04-27 | 华为技术有限公司 | 报文过滤方法及设备 |
| WO2019148839A1 (zh) * | 2018-01-31 | 2019-08-08 | 华为技术有限公司 | 防火墙配置、报文发送方法和装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225397A (zh) * | 2022-07-22 | 2022-10-21 | 山石网科通信技术股份有限公司 | 一种控制方法、装置,防火墙及计算机可读存储介质 |
| CN115225397B (zh) * | 2022-07-22 | 2024-05-03 | 山石网科通信技术股份有限公司 | 一种控制方法、装置,防火墙及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11438351B1 (en) | Efficient threat context-aware packet filtering for network protection | |
| US9100364B2 (en) | Intelligent integrated network security device | |
| Dayal et al. | Research trends in security and DDoS in SDN | |
| US20120008624A1 (en) | Systems and methods for implementing a protocol-aware network firewall | |
| CN116015865A (zh) | 用于网络安全应用的高效加密sni过滤的方法和系统 | |
| Tupakula et al. | A practical method to counteract denial of service attacks | |
| Mukkamala et al. | A survey on the different firewall technologies | |
| US7854003B1 (en) | Method and system for aggregating algorithms for detecting linked interactive network connections | |
| Rajendran | DNS amplification & DNS tunneling attacks simulation, detection and mitigation approaches | |
| Sahri et al. | Protecting DNS services from IP spoofing: SDN collaborative authentication approach | |
| CN115051836A (zh) | 基于sdn的apt攻击动态防御方法及系统 | |
| Qinquan et al. | Research on network attack and detection methods | |
| CN113765858A (zh) | 一种实现高性能状态防火墙的方法及装置 | |
| Takahashi et al. | Taxonomical approach to the deployment of traceback mechanisms | |
| Nuiaa et al. | A Comprehensive Review of DNS-based Distributed Reflection Denial of Service (DRDoS) Attacks: State-of-the-Art | |
| Park et al. | An effective defense mechanism against DoS/DDoS attacks in flow-based routers | |
| Leu et al. | IFTS: Intrusion forecast and traceback based on union defense environment | |
| EP4080822B1 (en) | Methods and systems for efficient threat context-aware packet filtering for network protection | |
| Srilakshmi et al. | An improved IP traceback mechanism for network security | |
| Lin et al. | Speedily, efficient and adaptive streaming algorithms for real-time detection of flooding attacks | |
| WO2022225951A1 (en) | Methods and systems for efficient threat context-aware packet filtering for network protection | |
| Paraste et al. | Network-based threats and mechanisms to counter the dos and ddos problems | |
| Leu | Intrusion Detection, Forecast and Traceback Against DDoS Attacks | |
| Syed et al. | Network Intrusion Tracking for DoS Attacks | |
| Varadharajan | A Practical Method to Counteract Denial of Service Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20240319 |
|
| AD01 | Patent right deemed abandoned |