第29卷第2期 2006年4月 电子测量技术 ELECTRoNIC MEASUREMENT TECHNoL0GY 应用模糊控制理论的防火墙技术研究 高志强 谷 涛 鹿凯宁 (天津大学信息网络中心天津300072) 摘要:防火墙技术是网络安全的一项重要措施。为了更好地兼顾网络的安全性和高速性,将模糊控制理论应 模糊控制网络安全 用于防火墙技术,从而使之能对网络环境中安全状况的实时变化做出快速的反应,并进行有针对性的处理。 关键词:防火墙Research on the firewall technology applying the fuzzy control theory Gao Zhiqiang Guo Tao Lu Kaining (Network Information Center,Tianjin University,Tianjin,300072) Abstract:Firewall technology is one of the main methods in the field of network security.To optimize the performance of network security and maintain high transmission speed,the fuzzy control theory is applied to the firewall technology.So the firewall can respond to the changing network environment and take swift actions respectively. Keyw ̄ts:firewall,fuzzy control,network security. 0 引 言 1965年,美国UC-Berkeley大学的控制论专家 无法获得精确的数学模型,但它却具有大量的以定 性形式表示的先验信息以及用语言描述的性能指 标。同时,操作人员是系统的基本组成部分。所有 这些都是一种不确定性,应用一般的控制理论很难 实现控制。但是,以模糊控制理论为基础,把系统 管理员的经验和安全控制规则归纳成定性描述的一 扎德(L Zadeh)提出了模糊集的概念,开创了 (A和非A)规定的特征函数,重新定 模糊数学研究的历史。这一理论把经典数学集合中 由二值逻辑义为集合上的隶属度函数,从而将集合刻画成为一 个有弹性的、可变的、具有游移边界的集合。近年 来,不少学者致力于把模糊理论引入网络安全领域 的研究,并取得了显著的成果。而防火墙技术是网 络安全领域的一种重要策略。防火墙技术是人们为 了防止私人数据与信息被非法窃取、破坏和攻击而 采取的一种网络安全措施。一般,防火墙位于用户 所在的内部网和公共网之间,它可限制访问网络的 一组条件,然后运用模糊集合理论将其定量化,使控 制器得以接受人的经验,模仿人的操作策略,从而 达到较好的控制效果。 图1描述了本文所设计的防火墙系统的体系结 构。由CPU和安全规则库构成模糊控制模块,模 糊控制规则主要体现在模糊控制模块中。各包处理 …一一…一一…一…一…一1 l竺 千 ! l 控制模块 千 千Pcl总线 些区域、防止非授权用户得到网络访问权、防止 各种攻击和限制Interact用户在网络上的行为等。 传统的防火墙对出入的数据包只有允许和拒绝两种 :包 处理模块 操作,而这里所介绍的防火墙技术运用了模糊控制 理论,可依据具体的网络环境对数据包进行不同的 操作,有效地解决了“速度一安全”之间的矛盾。 lI包过滤模块I I状态包监视模块I I应月lf哮堕 L- 1 r 1 r 1 r - J I 1 基于模糊控制的防火墙系统 设计 防火墙是一个时变的非线性的复杂系统,目前 1 r 1 r 1 r I内部网接L】l 【外部网毒 】 I其他接口或设备1 图1基于模糊控制的防火墙体系结构 ・1O7・ 维普资讯 http://www.cqvip.com
高志强等:应用模糊控制理论的防火墙技术研究 模块依据模糊控制规则而对需转发的数据包进行不 同程度的处理。模糊控制模块和各包处理模块通过 PCI总线进行数据和控制命令、中断请求的交换。 下面对防火墙中各模块实现的功能进行说明。 进入防火墙的数据包均需通过包过滤模块。包 过滤模块工作在网络层,对每个数据包的源IP地 址、目的IP地址、源TCP/IP端口和目的TCP/IP 第2期 级,模糊控制模块对数据流采取不同的控制方法。 对于总安全等级高的数据包,防火墙采用较简单、 快速的处理措施;而对于总安全等级低的数据包, 防火墙则采用复杂、严谨的处理措施。其作用过程 的流程图见图2。 端口进行快速提取,并与控制模块中的安全规则比 较,从而决定是制止还是允许该数据包通过防火 墙。包过滤模块的处理速度很快,因为它仅在网络 层对给出连接的有效性进行检查。包过滤是一种较 简单的安全机制,它处理速度快,但安全性不高。 状态包监视在包过滤技术上增加了更多的安全 检查。状态包监视模块在网络层截取一些数据包, 用它们对正试图进行的连接的状态做出判断。这些 包随后在模糊控制模块中用一种专门的监视模式进 行检查。检查后,与连接状态相关的信息被动态地 保存在这种监视模式中,作为以后连接的评估参 考。可靠的数据包随后在防火墙里向前传送,允许 内外系统直接联系。由于大多数检测发生在防火墙 内核,因此状态包监视通常比应用代理快。虽然状 态包监视技术在安全性上优于简单的包过滤,但它 仍有局限性,如不能较好地检查那些需要收集大量 数据包的信息。如遇到这种情况,防火墙对数据将 进行应用代理处理。 应用代理模式提供了很高的安全控制,因为它 通过在协议组的最高层的检测而使全部应用级了解 正进行的连接。各种连接在应用层是完全可见的, 所以应用代理模块可以很容易地预先看到每一个正 试图连接的细节,从而实施安全方案。应用代理模 块对它处理的每一个进入应用层的数据进行检查, 并代理连接,使内部网不与不信任的外部网连接。 应用代理模块还可以终止客户机在防火墙的连接。 这种机制提供了额外的安全性,因为它把外部和内 部系统分开,而使得外部网更难于对内部系统进行 攻击。 模糊控制模块中的安全规则库定义了能够通过 防火墙的数据包类型、服务类型和安全等级,以及 控制这些连接应采取的手段。其中数据包的源安全 等级和目的安全等级被模糊化之后作为模糊控制模 块的输入。安全等级是可变化的,如某网络用户发 起恶意攻击,这时它的安全等级就会被降低。可 见,安全等级的可变化特性能很好地反映网络状况 的变化。根据所在的网络环境和实际经验制定模糊 控制策略,运用这些策略对数据包的信息进行评 估,得到模糊控制的输出——总安全等级(SL), 它表示了这类数据包最后的安全性,其值越高,表 示该数据包越安全。根据各种数据包的总安全等 ・lO8・ 图2基于模糊控制的防火墙系统主要工作流程 在处理过程中,无论哪一类数据流,只要违反 了安全规则,将立即终止此次连接,并在安全规则 库中记录下来,同时调整其源和目的安全等级,也 就调整了对其进行安全控制的方法。这样,防火墙 就可以自动地对网络中的安全状况的变化做出反 应,保持网络的高安全性和高性能。 2 防火墙系统各模块的实现和实 验分析 本文所设计的防火墙系统的测试和研究工作以 Redhat7.0操作系统(内核版本为Linux 2.4.0) 为平台,利用其已有的软件包和可动态加载内核模 块特点,实现图1所示的各模块的主要功能。包过 滤、数据包处理等功能模块可由Linux下的 Netfiher软件包实现。模糊控制模块的实现是以传 统的防火墙的安全控制经验为基础而建立的模糊控 制规则,用IF—THEN语句表述如下: 规则1 IF source—low and destination=low 维普资讯 http://www.cqvip.com
第2期 THEN security—low 规贝U 2 IF source—low and destination— medium THEN security=low-medium 规贝Ⅱ3 IF source—medium and destination —low THEN security ̄low-medium 规贝Ⅱ4 IF source—medium and destination —medium THEN security=medium 规贝Ⅱ5 IF source—medium and destination —high THEN security=medium-high 规则6 IF source—high and destination— medium THEN security=medium-high 规贝U 7 IF source==:high and destination=== high THEN security ̄high 规则8 IF source—low and destination— high THEN security=low-medium 规则9 IF source—high and destination— low THEN security=low-medium 将模糊控制规则加载人内核模块,并与包处理 模块连接,即得到所设计的防火墙的大体结构。防 火墙对需转发的数据包的处理过程参见图2。 用nttcp测试软件对该防火墙系统进行测试。 nttcp测试的方式是在客户机内存中生成测试数据, 直接发送到网卡进行传输,服务器接收到数据包以 后检查后即丢弃,通过测试客户机访问服务器的速 度就可以得到在服务器的加载模块对有关性能的影 响。整个过程中没有磁盘系统的参与,所以数据比 较准确。 在仿真试验中,服务器采用的是Celeron 1GHz型PC机,内存为256Mbytes,操作系统为 Linux Redhat 7.0 Sever。客户机是Pentium II 350MHz型PC机,内存为128Mbytes,操作系统 为Linux Redhat 7.0 Workstation。两者均使用 100M网卡,互联设备为Catalyst 1900以太网交换 机。设定的模糊控制规则是,将源地址或目的地址 的首字节为172和182的IPv4数据包设置为中等 安全等级,经过状态包监视后再进行转发,而将首 字节为192的数据包设置为高等安全等级,进行记 录后将数据包丢弃,其他数据包为低安全等级,经 包过滤后直接转发。测试项目包括传送字节数 (Bytes),转发数据包实际使用时间(Real—S),每 秒CPU实际调用(CPU—C/S),网络吞吐量 高志强等:应用模糊控制理论的防火墙技术研究 (Throughout—MBit/s)和不匹配记录数 (Counts)。将两次测试的结果列入表1,其中状态 A为未加载模糊控制规则,只是简单地将源地址或 目的地址的首字节为172、182和192的数据包丢 弃,并作记录。而状态B加载了上述的模糊控制 规贝Ⅱ。 表1 nttcp测试 对测试结果进行分析,在不同的网络负载状态 下,加载模糊控制规则后转发包所用时间和网络传 输性能没有明显的降低,而且网络吞吐量将随着网 络数据包的增大而提高。最主要的是,因防火墙原 因造成的丢包现象大大降低,只是这增加了CPU 的调用次数。在实际应用中需综合考虑网络安全性 的要求和防火墙自身性能的关系问题。 3 结束语 本文所设计的防火墙系统将模糊控制理论应用 于防火墙技术,从而使防火墙能根据不同的网络安 全环境要求对数据包进行适当的处理。较安全的数 据包可快速地通过防火墙,而不太安全的数据包需 经过严格的检验才可能通过,这样就兼顾了网络的 传输高速性和安全性。 参考文献 [1] 刘曙光,魏俊,竺志超.模糊控制技术EM].北京: 中国纺织出版社,2001:1-329. r2]Linux Kernel Source Code(version2.4.0),2003, http://lxr.1inux.no ̄source [3] Jun Zou,Kaining Lu,Fuzzy control applied to security level analysis,TENCON’02.Proceedings r C]. 2002 IEEE Region 10 Conference on Computers,Communications,Control and Power Engineering,2002,2:825—828. r 4] Elizabeth D.Zwicky,Simon Cooper,D.Brent Char)man.Building Intemet Firewalls[M],Second Edition.北京:清华大学出版社,2003:73—704. ・ 1O9 ・
因篇幅问题不能全部显示,请点此查看更多更全内容