一种防火墙规则快速匹配方法

发布于:2021-06-11 06:59:21

总第252期 2010年第lo期 计算机与数字丁程 Computer&Digital Engineering V01.38 No.10 102 一种防火墙规则快速匹配方法。 王萌王玲 (湖南师范大学物理与信息科学学院长沙410081) 摘要包过滤是防火墙的一项基本技术,一种快速的规则匹配方法。能极大地提高防火墙的吞吐量和性能。RFC算 法是具有代表性的包分类算法,分类速度快。文章着眼于应用融、C算法提高防火墙访问控制列表(AcL)的搜索速度,对 RFC算法的建立过程、算法的性能等作了简单介绍,对适合防火墙实际应用的础℃算法进行了阐述,并在防火墙上进行了 测试验证。 关键词防火墙;访问控制列表;RFC算法;存储空间 中图分类号TP301.6 Fast Matching Method of Firewall Rule Wang Meng Wang Ling 410081) (Physics and Information Science of Hunan Normal University,Changsha Abstract the it Packet filter is a a basic technology of firewall.The throughput and performance of firewall will be enhanced in a extreme through quick rule matching arithmetric.RFC algorithm is on representative tO packet classification algorithm and access behaves fast in classificatiorl.This article focuses a application of RFC algorithm improve the search speed of the on controIlist。make Key Words Class brief introduction on the process of building the firewall。access controllist(ACL)。recursive the algorithm and its performance,and test flow classification(RFC)algorithm,storage space firwalL NI■n晰TP301.6 2)基于硬件的算法,如Ternary CAM;3)启发式 算法,如RFC算法[13;4)基于几何结构的算法,如 Grid—obtries、方块树。 基于爪1AM的匹配算法的优点是匹配速度快, 时间复杂度通常为常数,但对规则数量、维数的扩展 能力差,使用范围受到了极大的限制[7];Hash表查 找法易于实现、存储需求小、支持范围匹配和动态更 新,但其效率受规则的分布情况和规则数量影响较 大[2]。由于他们的性能及使用范围的局限,并没有 得到广泛推广。RFC算法速度快,支持范围匹配,扩 展性好,内存占用较大,较其他几种算法而言,具有 明显的优越性,比其他算法更适合实际应用。 2 1 引言 随着网络应用的深化,防火墙技术也在更新, 如状态检测类防火墙的相继出现。在现代企业环 境下,防火墙发挥着举足轻重的作用。传统防火墙 包过滤过程是通过数据包与过滤规则顺序匹配,直 到有一条规则匹配后才停止。当过滤规则日益增 多时,对于每个需要过滤的数据包,通过顺序遍历 查询所需要的时间会越来越多(基本上随规则数成 线性增加),防火墙的吞吐量也不断下降,严重影响 了网络的性能。如何提高防火墙对数据包的规则 匹配速度,减少规则匹配时间,提高防火墙性能,是 防火墙规则匹配研究的重点。 根据算法实现的特点,目前对访问控制列表的 搜索算法[93可以分为四类:1)基于基本数据结构 的算法,如线性搜索,Hash表,hierarchical tries; RFC算法 RFC算法的主要思想是将数据包分类问题看 2.1基本思想 ?收稿日期:2010年4月30日。修回日期:2010年5月31日 作者简介:王萌,女,硕士,研究方向:网络信息安全。王玲,女,博士,教授,研究方向:现代网络通信技术,图像处理。 万方数据

相关推荐

最新更新

猜你喜欢