新型防火墻技術(shù)

常見防火墻的類型主要有三種：包過濾、電路層網(wǎng)關(guān)、應用層網(wǎng)關(guān)，每種都有各自的優(yōu)缺點。
包過濾是第一代防火墻技術(shù)，它按照安全規(guī)則，檢查所有進來的數(shù)據(jù)包，而這些安全規(guī)則大都是基于低層協(xié)議的，如IP、TCP。如果一個數(shù)據(jù)包滿足以上所有規(guī)則，過濾路由器把數(shù)據(jù)向上層提交，或轉(zhuǎn)發(fā)此數(shù)據(jù)包，否則就丟棄此包。
包過濾的優(yōu)缺點
優(yōu)點：一個過濾路由器能協(xié)助保護整個網(wǎng)絡；數(shù)據(jù)包過濾對用戶透明；過濾路由器速度快、效率高。
缺點：不能徹底防止地址欺騙；一些應用協(xié)議不適合于數(shù)據(jù)包過濾；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略。
代理是一種較新型的防火墻技術(shù)，這種防火墻有時也被稱為應用層網(wǎng)關(guān)，這種防火墻的工作方式和過濾數(shù)據(jù)包的防火墻、以路由器為基礎的防火墻的工作方式稍有不同。它是基于軟件的。
電路層網(wǎng)關(guān)是建立應用層網(wǎng)關(guān)的一個更加靈活和一般的方法。雖然它們可能包含支持某些特定TCP/IP應用程序的代碼，但通常要受到限制。如果支持應用程序，那也很可能是TCP/IP應用程序。在電路層網(wǎng)關(guān)中，可能要安裝特殊的客戶機軟件，用戶可能需要一個可變用戶接口來相互作用或改變他們的工作習慣。
代理技術(shù)的優(yōu)缺點
優(yōu)點：代理易于配置；代理能生成各項記錄；代理能靈活、完全地控制進出的流量、內(nèi)容；代理能過濾數(shù)據(jù)內(nèi)容；代理能為用戶提供透明的加密機制；代理可以方便地與其他安全手段集成。
缺點：代理速度較路由器慢；代理對用戶不透明；對于每項服務代理可能要求不同的服務器；代理服務不能保證你免受所有協(xié)議弱點的限制；代理不能改進底層協(xié)議的安全性。
新型防火墻技術(shù)
我們的目標是設計并實現(xiàn)一種新型防火墻。這種防火墻既有包過濾的功能，又能在應用層進行代理。較前面分析的防火墻來說，具有先進的過濾和代理體系，能從數(shù)據(jù)鏈路層到應用層進行全方位安全處理。TCP/IP協(xié)議和代理的直接相互配合，使本系統(tǒng)的防欺騙能力和運行的健壯性都大大提高。
設計目標
我們設計新型防火墻的目標是綜合包過濾和代理技術(shù)，克服二者在安全方面的缺陷；能從數(shù)據(jù)鏈路層一直到應用層施加全方位的控制；實現(xiàn)TCP/IP協(xié)議的微內(nèi)核，從而在TCP/IP協(xié)議層能進行各項安全控制；基于上述微內(nèi)核，使速度超過傳統(tǒng)的包過濾防火墻；提供透明代理模式，減輕客戶端的配置工作；支持數(shù)據(jù)加密、解密（DES和RSA），提供對虛擬網(wǎng)VPN的強大支持；內(nèi)部信息完全隱藏；產(chǎn)生一個新的防火墻理論。
TCP/IP協(xié)議處理
TCP/IP協(xié)議處理是本系統(tǒng)的難點和重點之一，非常復雜與龐大。實現(xiàn)TCP/IP的第一步必須能正確地理解定義、實現(xiàn)TCP/IP各協(xié)議的數(shù)據(jù)包格式。
數(shù)據(jù)鏈路層是TCP/IP協(xié)議的最低層，它的常規(guī)功能是對上層數(shù)據(jù)（IP或ARP）進行物理幀的封裝與拆封，當然還包括硬件尋址、管理等功能。在本系統(tǒng)中，數(shù)據(jù)鏈路層除了實現(xiàn)上述功能外，還增加了監(jiān)聽網(wǎng)上數(shù)據(jù)、記錄硬件地址和直接讀寫網(wǎng)卡的功能。
從一般的概念來說,ARP和ICMP都屬于IP層,實際上,ICMP在IP層之上,利用IP層收、發(fā)數(shù)據(jù)包，而ARP/RARP則在IP層之下，它們本身并不使用IP層，而是直接在數(shù)據(jù)鏈路層上進行收發(fā)。
IP層的處理較復雜，且可做許多安全方面的工作。若在極端的情況下，我們可以修改IP報頭，增加安全機制（如認證）�？紤]到系統(tǒng)的性能及兼容性，我們沒有選擇這種方法，而是利用了包過濾技術(shù)和ICMP、ARP提供的功能，提供安全機制。當然，隨著安全方面技術(shù)的發(fā)展，也許第一種方法會是一種好的選擇，但前提是路由器的支持。目前，大部分路由器只能處理常規(guī)的IP包（即IPV4），對于新出臺的IPV6（它提供了更多的選項，我們可在選項中增加安全機制），路由器還遠未支持。
我們在ARP協(xié)議上所做的工作主要想達到以下幾個目的:防止ARP欺騙（即MAC地址欺騙）;有條件地禁止ARP工作;查詢主機硬件地址；提供ARP服務；檢測ARP報文。
利用上述幾項功能，我們能確保內(nèi)部ARP欺騙的無效，查出欺騙的主機并記錄，尤其能防止ARP層的拒絕服務。我們通過主機級被動檢測、主機級主動檢測、服務器級檢測、網(wǎng)絡級檢測、查詢主機硬件地址、有條件地禁止ARP等機制實現(xiàn)以上功能。
ICMP是為了允許路由器向主機報告投遞出錯的原因和一些控制而設計的。但事實上，任何一臺主機都可以向任何其他機器發(fā)送ICMP報文，如Ping。
ICMP在本系統(tǒng)中的作用主要是：隱藏子網(wǎng)內(nèi)主機信息和施加一些控制。ICMP雖然有一定的作用，如差錯報告，但也有更大的安全隱患。一般來講，對外部，ICMP應禁止（很多過濾路由器有此項功能）。
我們主要是采用了三種策略隱藏子網(wǎng)內(nèi)主機信息：
◆對內(nèi)部主機的ICMP包，雖然轉(zhuǎn)發(fā)，但改寫了ICMP包中的源IP地址，使外部不能看到內(nèi)部的IP地址。
◆外部ICMP請求包一律拋棄。
◆對內(nèi)部有請求時，才動態(tài)地接收外部主機的響應， 且一些ICMP危脅安全的響應也拋棄，如改變路由的ICMP包。
另外，我們可以借助ICMP來獲得一些參數(shù)和一些控制，如時鐘同步、地址掩碼，并可利用ICMP目的地不可達報文“優(yōu)雅”地通知不受歡迎的主機。
IP是通信子網(wǎng)的最高層，它的主要任務是尋址和轉(zhuǎn)發(fā)。IP層最大的安全問題是IP欺騙，且很多上層的安全隱患源于IP欺騙，如DNS欺騙。IP層常用的安全措施是根據(jù)源地址、目的地址進行過濾，這一點已在很多路由器中得到應用。在本系統(tǒng)的IP層主要完成以下幾個功能：IP地址過濾；IP地址與MAC綁定，防止IP欺騙；為上層提供一種通道。
TCP/UDP存在數(shù)據(jù)包偽裝、SYN Flood攻擊等安全隱患。為避免上述情況，必須要增加一定的驗證措施，我們利用TCP的特征，設計了一種較有效的過濾手段，對TCP報文的有效性進行確認。
我們的產(chǎn)品不僅覆蓋了傳統(tǒng)包過濾防火墻的全部功能，而且在全面對抗IP欺騙、SYN Flood、ICMP、ARP等攻擊手段方面有顯著優(yōu)勢，增強代理服務，并使其與包過濾相融合，再加上智能過濾技術(shù)，使新型防火墻的安全性提升到又一高度。
如果有需要服務器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]