主动式网络防火墙简介
<人力资源/>1。主动式网络防火墙概述
SylixOS支持的主动式网络防火墙是一款适用于嵌入式网络安全的网络防火墙。它可以有效的防御常见的嵌入式网络* * *,保护嵌入式设备的系统安全。
主动式网络防火墙内部包括五个防御模块,可以防御以下五类* * *:
-
<李>网络风暴;李
<李>重放* * *,李
<李> ARP欺骗* * *,李
<李> SYN泛洪* * *,李
<李> DDOS * * *。
2。主动式网络防火墙功能
<强> 2.1网络风暴防御模块
网络风暴是指网络被大量无用报文充斥,影响网络设备的现象。本模块可以减少嵌入式设备受到网络风暴的影响。其主要功能有:
-
<李>自动识别产生风暴的设备和风暴报文类型;李
<李>实时监测每一种类型报文流量,支持动态配置监测参数,李
<李>对问题设备采取拉黑操作,支持动态配置拉黑时间。
<强> 2.2重放* * *防御模块
重放* * *又称重播* * *,回放* * *,是指* * *者发送一个目的主机已接收过的报文,来达到欺骗系统的目的。本模块可以防御此类* * *,其主要功能有:
-
<李>通过随机验证码进行报文唯一性验证,支持验证码产生时间隔间修改,李
<李>支持局域网和非局域网环境下的重放* * *防御。
<强> 2.3 ARP欺骗防御模块
ARP欺骗是指* * *者通过在正常通信的设备间发送虚假内容的ARP报文,从而欺骗其他设备。本模块可以防御此类* * *,其主要功能有:
-
<李>自动识别新加入网络的设备信息;李
<李>自动进行MAC与IP的绑定;李
<李>智能识别当前网络设备的MAC变化情况,对MAC IP地址发生变化和ARP欺骗这两种网络状况,支持快速识别与处理。
<强> 2.4 SYN泛洪防御模块
SYN泛洪* * *是指利用TCP三次握手特点,对目标机发送大量建立连接的SYN报文,从而耗尽设备资源。本模块可以防御这种* * *,其主要功能有:
-
<李>自动识别产生SYN泛洪* * *的设备,李
<李>自动识别SYN泛洪的起始与结束,李
<李>实时监测SYN报文流量,支持动态配置监测参数,李
<李>产生SYN泛洪时,采取白名单通信机制。
<强> 2.5 DDOS * * *防御模块
DDOS * * *在嵌入式领域常指* * *者对目标机建立大量空白TCP连接,从而耗尽设备资源。本模块可以防御这种* * *,其主要功能有:
-
<李>实时监测每一个端口连接状态信息,支持动态配置监测参数,李
<李>对端口的超额连接,采取抛弃机制。
3。主动式网络防火墙特点
-
<李>
较少的资源占用
主动式网络防火墙使用自己的内存管理机制。各个功能模块占用较少资源,且每个功能模块支持单独打开与关闭。
准确的网络状况识别
嵌入式网络中,存在一些特有现象,如MAC地址的随意设置或修改,这对于防御ARP欺骗来说,具有很大干扰性。主动式网络防火墙针对类似现象,会进行自主探测,确定真实网络状况后再处理,确保防御的正确性。
主动式防火墙采用“一上一下“分隔式防御处理框架,在遭受网络* * *时,能智能识别网络上的问题主机,做到保护设备的同时,不会占用过多系统资源,从而保证其他网络通信的正常进行。
4。主动式网络防火墙实现机制
<强> 4.1整体框架
主动式网络防火墙可以划分为两个部分,一是检测管理,二是报文过滤。这种“一上一下“分隔式防御处理框架如4.1图所示。
<代码>图4.1主动式网络防火墙框图
防火墙的上层检测管理代码位于网络协议栈中,过滤处理代码位于网卡驱动中。当设备遭到* * *时,这种结构性对CPU能影响较低。
另外,这两个部分过各自的内存管理单元减少对系统资源的占用。
<强> 4.2内部机制
主动式网络防火墙内部由五个功能模块和内存管理单元组成。五个功能模块相互独立,但都与内存管理单元相关联,如4.2图所示。
