计算机技术与网络安全研究
             Computer Technology and Cyber Security Research



            控制，而无法根据数据流量中的传输层会话进行动态的进行访问控制，因此访问
            控制列表要在需要进行访问控制的一个或者多个方向上手动添加。这种策略表包
            括 Cisco、华为、H3C 等设备的访问控制列表和 Linux 的 IPtables 工具在内的很多
            策略。
                 当数据流量需要穿越防火墙时，访问控制列表就将数据流量的头部信息和

            已设置的策略命令进行比较。如果数据流量的网络层和传输层头部信息符合已设
            置的策略命令，则防火墙对此数据流量进行放行处理。如果防火墙中没有访问控
            制列表和数据流量进行匹配，则防火墙按照默认规则进行数据流量的处理。

                 访问控制列表对于小规模或者需求较为固定的网络系统是比较有用的。通
            过访问控制列表，可以满足绝大多数场景的需求。如可通过访问控制列表，控制
            系统内部主机的访问关系，控制外部主机的访问系统内部的需求，如 Web 需求，
            登录控制需求等。通过访问控制列表还可控制路由协议的发布和通告。以及设置
            QoS 的策略等。访问控制列表只能静态的检查数据头部，而且需要手动配置。访

            问控制列表对于大规模和需求更新较快的网络系统就无法应对了，特别是在 Web
            应用攻击猖獗的环境下。因此访问控制列表的局限性显而易见。
                 2. 动态包过滤防火墙

                 一条访问控制列表仅能够对单方向的数据流量执行静态的过滤判断，不能
            基于数据流量上下文信息进行动态判断。动态包过滤防火墙克服了这个缺点，可
            以进行基于上下文的动态包过滤。
                 具有动态包过滤功能的防火墙通过的硬件芯片的支持，进行动态监控数据
            包状态和上下文信息，做到主动和实时的数据检测。防火墙中的检测模块实现

            了动态监控包过滤的功能。检测模块通过提取数据包的不同层级的头部信息和
            少量的数据载荷信息来检查数据包的信息，并和的相关数据包信息对比，形成
            状态信息。如果确认检查到的此数据包为现有会话数据的后续部分，则直接进行

            策略过滤。
                 动态包过滤防火墙规则采用同一五元组一次查找多次匹配的方式设计，转发
            路径区分转发加速路径和普通转发路径。当数据流到达设备时首先会进行 DDoS
            和黑名单过滤，查找快速转发表项。如果未命中则执行普通转发流程，创建和匹
            配会话进行目的 NAT、源 NAT、包过滤和路由业务处理，并创建和更新快速转

            发表项。如果匹配快转转发表项则进行目的 NAT、源 NAT 业务处理，并根据快


             174
             174