新型防火墻技術(shù)

常見(jiàn)防火墻的類(lèi)型主要有三種：包過(guò)濾、電路層網(wǎng)關(guān)、應(yīng)用層網(wǎng)關(guān)，每種都有各自的優(yōu)缺點(diǎn)。
包過(guò)濾是第一代防火墻技術(shù)，它按照安全規(guī)則，檢查所有進(jìn)來(lái)的數(shù)據(jù)包，而這些安全規(guī)則大都是基于低層協(xié)議的，如IP、TCP。如果一個(gè)數(shù)據(jù)包滿(mǎn)足以上所有規(guī)則，過(guò)濾路由器把數(shù)據(jù)向上層提交，或轉(zhuǎn)發(fā)此數(shù)據(jù)包，否則就丟棄此包。
包過(guò)濾的優(yōu)缺點(diǎn)
優(yōu)點(diǎn)：一個(gè)過(guò)濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)；數(shù)據(jù)包過(guò)濾對(duì)用戶(hù)透明；過(guò)濾路由器速度快、效率高。
缺點(diǎn)：不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾；正常的數(shù)據(jù)包過(guò)濾路由器無(wú)法執(zhí)行某些安全策略。
代理是一種較新型的防火墻技術(shù)，這種防火墻有時(shí)也被稱(chēng)為應(yīng)用層網(wǎng)關(guān)，這種防火墻的工作方式和過(guò)濾數(shù)據(jù)包的防火墻、以路由器為基礎(chǔ)的防火墻的工作方式稍有不同。它是基于軟件的。
電路層網(wǎng)關(guān)是建立應(yīng)用層網(wǎng)關(guān)的一個(gè)更加靈活和一般的方法。雖然它們可能包含支持某些特定TCP/IP應(yīng)用程序的代碼，但通常要受到限制。如果支持應(yīng)用程序，那也很可能是TCP/IP應(yīng)用程序。在電路層網(wǎng)關(guān)中，可能要安裝特殊的客戶(hù)機(jī)軟件，用戶(hù)可能需要一個(gè)可變用戶(hù)接口來(lái)相互作用或改變他們的工作習(xí)慣。
代理技術(shù)的優(yōu)缺點(diǎn)
優(yōu)點(diǎn)：代理易于配置；代理能生成各項(xiàng)記錄；代理能靈活、完全地控制進(jìn)出的流量、內(nèi)容；代理能過(guò)濾數(shù)據(jù)內(nèi)容；代理能為用戶(hù)提供透明的加密機(jī)制；代理可以方便地與其他安全手段集成。
缺點(diǎn)：代理速度較路由器慢；代理對(duì)用戶(hù)不透明；對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器；代理服務(wù)不能保證你免受所有協(xié)議弱點(diǎn)的限制；代理不能改進(jìn)底層協(xié)議的安全性。
新型防火墻技術(shù)
我們的目標(biāo)是設(shè)計(jì)并實(shí)現(xiàn)一種新型防火墻。這種防火墻既有包過(guò)濾的功能，又能在應(yīng)用層進(jìn)行代理。較前面分析的防火墻來(lái)說(shuō)，具有先進(jìn)的過(guò)濾和代理體系，能從數(shù)據(jù)鏈路層到應(yīng)用層進(jìn)行全方位安全處理。TCP/IP協(xié)議和代理的直接相互配合，使本系統(tǒng)的防欺騙能力和運(yùn)行的健壯性都大大提高。
設(shè)計(jì)目標(biāo)
我們?cè)O(shè)計(jì)新型防火墻的目標(biāo)是綜合包過(guò)濾和代理技術(shù)，克服二者在安全方面的缺陷；能從數(shù)據(jù)鏈路層一直到應(yīng)用層施加全方位的控制；實(shí)現(xiàn)TCP/IP協(xié)議的微內(nèi)核，從而在TCP/IP協(xié)議層能進(jìn)行各項(xiàng)安全控制；基于上述微內(nèi)核，使速度超過(guò)傳統(tǒng)的包過(guò)濾防火墻；提供透明代理模式，減輕客戶(hù)端的配置工作；支持?jǐn)?shù)據(jù)加密、解密（DES和RSA），提供對(duì)虛擬網(wǎng)VPN的強(qiáng)大支持；內(nèi)部信息完全隱藏；產(chǎn)生一個(gè)新的防火墻理論。
TCP/IP協(xié)議處理
TCP/IP協(xié)議處理是本系統(tǒng)的難點(diǎn)和重點(diǎn)之一，非常復(fù)雜與龐大。實(shí)現(xiàn)TCP/IP的第一步必須能正確地理解定義、實(shí)現(xiàn)TCP/IP各協(xié)議的數(shù)據(jù)包格式。
數(shù)據(jù)鏈路層是TCP/IP協(xié)議的最低層，它的常規(guī)功能是對(duì)上層數(shù)據(jù)（IP或ARP）進(jìn)行物理幀的封裝與拆封，當(dāng)然還包括硬件尋址、管理等功能。在本系統(tǒng)中，數(shù)據(jù)鏈路層除了實(shí)現(xiàn)上述功能外，還增加了監(jiān)聽(tīng)網(wǎng)上數(shù)據(jù)、記錄硬件地址和直接讀寫(xiě)網(wǎng)卡的功能。
從一般的概念來(lái)說(shuō),ARP和ICMP都屬于IP層,實(shí)際上,ICMP在IP層之上,利用IP層收、發(fā)數(shù)據(jù)包，而ARP/RARP則在IP層之下，它們本身并不使用IP層，而是直接在數(shù)據(jù)鏈路層上進(jìn)行收發(fā)。
IP層的處理較復(fù)雜，且可做許多安全方面的工作。若在極端的情況下，我們可以修改IP報(bào)頭，增加安全機(jī)制（如認(rèn)證）。考慮到系統(tǒng)的性能及兼容性，我們沒(méi)有選擇這種方法，而是利用了包過(guò)濾技術(shù)和ICMP、ARP提供的功能，提供安全機(jī)制。當(dāng)然，隨著安全方面技術(shù)的發(fā)展，也許第一種方法會(huì)是一種好的選擇，但前提是路由器的支持。目前，大部分路由器只能處理常規(guī)的IP包（即IPV4），對(duì)于新出臺(tái)的IPV6（它提供了更多的選項(xiàng)，我們可在選項(xiàng)中增加安全機(jī)制），路由器還遠(yuǎn)未支持。
我們?cè)贏RP協(xié)議上所做的工作主要想達(dá)到以下幾個(gè)目的:防止ARP欺騙（即MAC地址欺騙）;有條件地禁止ARP工作;查詢(xún)主機(jī)硬件地址；提供ARP服務(wù)；檢測(cè)ARP報(bào)文。
利用上述幾項(xiàng)功能，我們能確保內(nèi)部ARP欺騙的無(wú)效，查出欺騙的主機(jī)并記錄，尤其能防止ARP層的拒絕服務(wù)。我們通過(guò)主機(jī)級(jí)被動(dòng)檢測(cè)、主機(jī)級(jí)主動(dòng)檢測(cè)、服務(wù)器級(jí)檢測(cè)、網(wǎng)絡(luò)級(jí)檢測(cè)、查詢(xún)主機(jī)硬件地址、有條件地禁止ARP等機(jī)制實(shí)現(xiàn)以上功能。
ICMP是為了允許路由器向主機(jī)報(bào)告投遞出錯(cuò)的原因和一些控制而設(shè)計(jì)的。但事實(shí)上，任何一臺(tái)主機(jī)都可以向任何其他機(jī)器發(fā)送ICMP報(bào)文，如Ping。
ICMP在本系統(tǒng)中的作用主要是：隱藏子網(wǎng)內(nèi)主機(jī)信息和施加一些控制。ICMP雖然有一定的作用，如差錯(cuò)報(bào)告，但也有更大的安全隱患。一般來(lái)講，對(duì)外部，ICMP應(yīng)禁止（很多過(guò)濾路由器有此項(xiàng)功能）。
我們主要是采用了三種策略隱藏子網(wǎng)內(nèi)主機(jī)信息：
◆對(duì)內(nèi)部主機(jī)的ICMP包，雖然轉(zhuǎn)發(fā)，但改寫(xiě)了ICMP包中的源IP地址，使外部不能看到內(nèi)部的IP地址。
◆外部ICMP請(qǐng)求包一律拋棄。
◆對(duì)內(nèi)部有請(qǐng)求時(shí)，才動(dòng)態(tài)地接收外部主機(jī)的響應(yīng)， 且一些ICMP危脅安全的響應(yīng)也拋棄，如改變路由的ICMP包。
另外，我們可以借助ICMP來(lái)獲得一些參數(shù)和一些控制，如時(shí)鐘同步、地址掩碼，并可利用ICMP目的地不可達(dá)報(bào)文“優(yōu)雅”地通知不受歡迎的主機(jī)。
IP是通信子網(wǎng)的最高層，它的主要任務(wù)是尋址和轉(zhuǎn)發(fā)。IP層最大的安全問(wèn)題是IP欺騙，且很多上層的安全隱患源于IP欺騙，如DNS欺騙。IP層常用的安全措施是根據(jù)源地址、目的地址進(jìn)行過(guò)濾，這一點(diǎn)已在很多路由器中得到應(yīng)用。在本系統(tǒng)的IP層主要完成以下幾個(gè)功能：IP地址過(guò)濾；IP地址與MAC綁定，防止IP欺騙；為上層提供一種通道。
TCP/UDP存在數(shù)據(jù)包偽裝、SYN Flood攻擊等安全隱患。為避免上述情況，必須要增加一定的驗(yàn)證措施，我們利用TCP的特征，設(shè)計(jì)了一種較有效的過(guò)濾手段，對(duì)TCP報(bào)文的有效性進(jìn)行確認(rèn)。
我們的產(chǎn)品不僅覆蓋了傳統(tǒng)包過(guò)濾防火墻的全部功能，而且在全面對(duì)抗IP欺騙、SYN Flood、ICMP、ARP等攻擊手段方面有顯著優(yōu)勢(shì)，增強(qiáng)代理服務(wù)，并使其與包過(guò)濾相融合，再加上智能過(guò)濾技術(shù)，使新型防火墻的安全性提升到又一高度。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話(huà)：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]