華為防火墻系統(tǒng)的設計與實現(xiàn)

信息社會中,網(wǎng)絡是一種主要的信息發(fā)布通道,但是海量的垃圾信息肆掠的占有有限的帶寬。雖然當今過濾垃圾手段繁多,但現(xiàn)有解決方案大多依附于服務器或客戶端軟件,通用性和過濾效果都不甚理想,如何建立一個統(tǒng)一、gao效的垃圾信息過濾架構是當今反垃圾信息技術的一個重要研究內(nèi)容。 本文主要的研究內(nèi)容及創(chuàng)新有如下兩個方面: (1)研發(fā)出一種可擴展的基于透明網(wǎng)橋的垃圾信息防火墻系統(tǒng)。該系統(tǒng)創(chuàng)新性的利用透明網(wǎng)橋技術、iptables、netfilter搭建一個實時過濾系統(tǒng)。將網(wǎng)絡中相關垃圾信息進行扣留,然后模擬網(wǎng)絡協(xié)議棧,完成IP層(分片處理)、TCP層(數(shù)據(jù)流重組)和應用層的協(xié)議分析還原,得到完整的信息,利用雙緩沖隊列保存信息,采用多線程調(diào)度機制并行調(diào)用過濾算法進行判斷。根據(jù)判斷結果對相關數(shù)據(jù)包進行轉發(fā)或丟棄,從而達到實時過濾垃圾信息的目的。 (2)提出了一個基于行為過濾的垃圾信息過濾算法。系統(tǒng)創(chuàng)新性的將支持向量機理論用于垃圾信息的行為過濾,并實現(xiàn)了規(guī)則匹配過濾和改進的bayes過濾算法。系統(tǒng)的可擴展性很好,用戶可以根據(jù)具體需要定義系統(tǒng)過濾的協(xié)議類型,同時也能在引擎上擴展更you秀的過濾算法。 本系統(tǒng)du立于服務器和客戶端,既不運行在服務器上,也不作為客戶端的一個插件,而是部署在服務器前端。由于采用透明網(wǎng)橋方式,所以不為服務器所知。

華為防火墻的網(wǎng)絡層防火墻

網(wǎng)絡層防火墻可視為一種 IP 封包的過濾器（允許或拒絕封包資料通過的軟硬結合裝置），運作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通常可以經(jīng)由管理員定義或修改，不過某些防火墻設備可能只能套用內(nèi)置的規(guī)則。

我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行。現(xiàn)在的操作系統(tǒng)及網(wǎng)絡設備大多已內(nèi)置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務類型(如 WWW 或是 FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進行過濾。

華為防火墻混合模式及區(qū)域劃分

混合模式

如果華為防火墻存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口無IP地址），則防火墻工作在混合模式下。這種工作模式基本上是透明模式和路由模式的混合，目前只用于透明模式下提供雙機熱備份的特殊應用中，其他環(huán)境不太建議使用。

華為防火墻的區(qū)域劃分

防火墻通過區(qū)域區(qū)分安全和不安全網(wǎng)絡，在華為防火墻上安全區(qū)域或是一個或多個接口的集合，是防火墻區(qū)分與路由器的主要特性。