SylixOS 網絡防火墻

主動式網絡防火墻簡介

1. 主動式網絡防火墻概述

SylixOS支持的主動式網絡防火墻是一款適用于嵌入式網絡安全的網絡防火墻。它可以有效的防御常見的嵌入式網絡***，保護嵌入式設備的系統安全。
主動式網絡防火墻內部包括五個防御模塊，可以防御以下五類***：

• 網絡風暴；
• 重放***；
• ARP欺騙***；
• SYN泛洪***；
• DDOS***。

2. 主動式網絡防火墻功能

2.1 網絡風暴防御模塊
網絡風暴是指網絡被大量無用報文充斥，影響網絡設備的現象。本模塊可以減少嵌入式設備受到網絡風暴的影響。其主要功能有：

• 自動識別產生風暴的設備和風暴報文類型；
• 實時監測每一種類型報文流量，支持動態配置監測參數；
• 對問題設備采取拉黑操作，支持動態配置拉黑時間。

2.2 重放***防御模塊
重放***又稱重播***、回放***，是指***者發送一個目的主機已接收過的報文，來達到欺騙系統的目的。本模塊可以防御此類***，其主要功能有：

• 通過隨機驗證碼進行報文唯一性驗證，支持驗證碼產生時間隔間修改；
• 支持局域網和非局域網環境下的重放***防御。

2.3 ARP欺騙防御模塊
ARP欺騙是指***者通過在正常通信的設備間發送虛假內容的ARP報文，從而欺騙其他設備。本模塊可以防御此類***，其主要功能有：

• 自動識別新加入網絡的設備信息；
• 自動進行MAC與IP的綁定；
• 智能識別當前網絡設備的MAC變化情況。對MAC、IP地址發生變化和ARP欺騙這兩種網絡狀況，支持快速識別與處理。

2.4 SYN泛洪防御模塊
SYN泛洪***是指利用TCP三次握手特點，對目標機發送大量建立連接的SYN報文，從而耗盡設備資源。本模塊可以防御這種***，其主要功能有：

• 自動識別產生SYN泛洪***的設備；
• 自動識別SYN泛洪的起始與結束；
• 實時監測SYN報文流量，支持動態配置監測參數；
• 產生SYN泛洪時，采取白名單通信機制。

2.5 DDOS***防御模塊
DDOS***在嵌入式領域常指***者對目標機建立大量空白TCP連接，從而耗盡設備資源。本模塊可以防御這種***，其主要功能有：

• 實時監測每一個端口連接狀態信息，支持動態配置監測參數；
• 對端口的超額連接，采取拋棄機制。

3. 主動式網絡防火墻特點

1. 較少的資源占用
   主動式網絡防火墻使用自己的內存管理機制。各個功能模塊占用較少資源，且每個功能模塊支持單獨打開與關閉。

2. 準確的網絡狀況識別
   嵌入式網絡中，存在一些特有現象，如MAC地址的隨意設置或修改，這對于防御ARP欺騙來說，具有很大干擾性。主動式網絡防火墻針對類似現象，會進行自主探測，確定真實網絡狀況后再處理，確保防御的正確性。

3. 分段式防御處理
   主動式防火墻采用“一上一下”分隔式防御處理框架，在遭受網絡***時，能智能識別網絡上的問題主機，做到保護設備的同時，不會占用過多系統資源，從而保證其他網絡通信的正常進行。

4. 主動式網絡防火墻實現機制

4.1 整體框架
主動式網絡防火墻可以劃分為兩個部分，一是檢測管理，二是報文過濾。這種“一上一下”分隔式防御處理框架如圖 4.1所示。

                            圖 4.1  主動式網絡防火墻框圖 

防火墻的上層檢測管理代碼位于網絡協議棧中，過濾處理代碼位于網卡驅動中。當設備遭到***時，這種結構對CPU性能影響較低。
另外，這兩個部分過各自的內存管理單元減少對系統資源的占用。

4.2 內部機制
主動式網絡防火墻內部由五個功能模塊和內存管理單元組成。五個功能模塊相互獨立，但都與內存管理單元相關聯，如圖 4.2 所示。

                              圖 4.2  功能模塊

其中，每一個功能模塊可以分為兩個部分，一是檢測單元，二是防御單元。如圖 4.3 所示，檢測單元會根據設備接收到的報文進行分析。對于一些復雜的網絡情況，檢測單元還會主動進行探測，從而確定真實的網絡狀況。發現問題之后，檢測單元會啟動防御單元，讓其對之后接收到的問題報文進行黑名單、白名單等一系列過濾操作。

                          圖 4.3  防御模塊實現機制