華為防火墻系統的設計與實現

信息社會中,網絡是一種主要的信息發布通道,但是海量的垃圾信息肆掠的占有有限的帶寬。雖然當今過濾垃圾手段繁多,但現有解決方案大多依附于服務器或客戶端軟件,通用性和過濾效果都不甚理想,如何建立一個統一、gao效的垃圾信息過濾架構是當今反垃圾信息技術的一個重要研究內容。 本文主要的研究內容及創新有如下兩個方面: (1)研發出一種可擴展的基于透明網橋的垃圾信息防火墻系統。該系統創新性的利用透明網橋技術、iptables、netfilter搭建一個實時過濾系統。將網絡中相關垃圾信息進行扣留,然后模擬網絡協議棧,完成IP層(分片處理)、TCP層(數據流重組)和應用層的協議分析還原,得到完整的信息,利用雙緩沖隊列保存信息,采用多線程調度機制并行調用過濾算法進行判斷。根據判斷結果對相關數據包進行轉發或丟棄,從而達到實時過濾垃圾信息的目的。 (2)提出了一個基于行為過濾的垃圾信息過濾算法。系統創新性的將支持向量機理論用于垃圾信息的行為過濾,并實現了規則匹配過濾和改進的bayes過濾算法。系統的可擴展性很好,用戶可以根據具體需要定義系統過濾的協議類型,同時也能在引擎上擴展更you秀的過濾算法。 本系統du立于服務器和客戶端,既不運行在服務器上,也不作為客戶端的一個插件,而是部署在服務器前端。由于采用透明網橋方式,所以不為服務器所知。

華為防火墻的網絡層防火墻

網絡層防火墻可視為一種 IP 封包的過濾器（允許或拒絕封包資料通過的軟硬結合裝置），運作在底層的 TCP/IP 協議堆棧上。我們可以以枚舉的方式，只允許符合特定規則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規則通常可以經由管理員定義或修改，不過某些防火墻設備可能只能套用內置的規則。

我們也能以另一種較寬松的角度來制定防火墻規則，只要封包不符合任何一項“否定規則”就予以放行。現在的操作系統及網絡設備大多已內置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務類型(如 WWW 或是 FTP)。也能經由通信協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。

華為防火墻混合模式及區域劃分

混合模式

如果華為防火墻存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口無IP地址），則防火墻工作在混合模式下。這種工作模式基本上是透明模式和路由模式的混合，目前只用于透明模式下提供雙機熱備份的特殊應用中，其他環境不太建議使用。

華為防火墻的區域劃分

防火墻通過區域區分安全和不安全網絡，在華為防火墻上安全區域或是一個或多個接口的集合，是防火墻區分與路由器的主要特性。