華為防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

信息社會(huì)中,網(wǎng)絡(luò)是一種主要的信息發(fā)布通道,但是海量的垃圾信息肆掠的占有有限的帶寬。雖然當(dāng)今過濾垃圾手段繁多,但現(xiàn)有解決方案大多依附于服務(wù)器或客戶端軟件,通用性和過濾效果都不甚理想,如何建立一個(gè)統(tǒng)一、gao效的垃圾信息過濾架構(gòu)是當(dāng)今反垃圾信息技術(shù)的一個(gè)重要研究內(nèi)容。 本文主要的研究內(nèi)容及創(chuàng)新有如下兩個(gè)方面: (1)研發(fā)出一種可擴(kuò)展的基于透明網(wǎng)橋的垃圾信息防火墻系統(tǒng)。該系統(tǒng)創(chuàng)新性的利用透明網(wǎng)橋技術(shù)、iptables、netfilter搭建一個(gè)實(shí)時(shí)過濾系統(tǒng)。將網(wǎng)絡(luò)中相關(guān)垃圾信息進(jìn)行扣留,然后模擬網(wǎng)絡(luò)協(xié)議棧,完成IP層(分片處理)、TCP層(數(shù)據(jù)流重組)和應(yīng)用層的協(xié)議分析還原,得到完整的信息,利用雙緩沖隊(duì)列保存信息,采用多線程調(diào)度機(jī)制并行調(diào)用過濾算法進(jìn)行判斷。根據(jù)判斷結(jié)果對(duì)相關(guān)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或丟棄,從而達(dá)到實(shí)時(shí)過濾垃圾信息的目的。 (2)提出了一個(gè)基于行為過濾的垃圾信息過濾算法。系統(tǒng)創(chuàng)新性的將支持向量機(jī)理論用于垃圾信息的行為過濾,并實(shí)現(xiàn)了規(guī)則匹配過濾和改進(jìn)的bayes過濾算法。系統(tǒng)的可擴(kuò)展性很好,用戶可以根據(jù)具體需要定義系統(tǒng)過濾的協(xié)議類型,同時(shí)也能在引擎上擴(kuò)展更you秀的過濾算法。 本系統(tǒng)du立于服務(wù)器和客戶端,既不運(yùn)行在服務(wù)器上,也不作為客戶端的一個(gè)插件,而是部署在服務(wù)器前端。由于采用透明網(wǎng)橋方式,所以不為服務(wù)器所知。

華為防火墻的網(wǎng)絡(luò)層防火墻

網(wǎng)絡(luò)層防火墻可視為一種 IP 封包的過濾器（允許或拒絕封包資料通過的軟硬結(jié)合裝置），運(yùn)作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通常可以經(jīng)由管理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。

我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行。現(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾，例如：來源 IP 地址、來源端口號(hào)、目的 IP 地址或端口號(hào)、服務(wù)類型(如 WWW 或是 FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進(jìn)行過濾。

華為防火墻混合模式及區(qū)域劃分

混合模式

如果華為防火墻存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口無IP地址），則防火墻工作在混合模式下。這種工作模式基本上是透明模式和路由模式的混合，目前只用于透明模式下提供雙機(jī)熱備份的特殊應(yīng)用中，其他環(huán)境不太建議使用。

華為防火墻的區(qū)域劃分

防火墻通過區(qū)域區(qū)分安全和不安全網(wǎng)絡(luò)，在華為防火墻上安全區(qū)域或是一個(gè)或多個(gè)接口的集合，是防火墻區(qū)分與路由器的主要特性。