科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道新型防火墙技术(2)

新型防火墙技术(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

常见防火墙的类型主要有三种:包过滤、电路层网关、应用层网关,每种都有各自的优缺点。缺点:不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略。

作者:51CTO.COM 2007年10月22日

关键字: TCP/IP 防火墙 包过滤 代理技术

  • 评论
  • 分享微博
  • 分享邮件
   设计目标

  我们设计新型防火墙的目标是综合包过滤和代理技术,克服二者在安全方面的缺陷;能从数据链路层一直到应用层施加全方位的控制;实现TCP/IP协议的微内核,从而在TCP/IP协议层能进行各项安全控制;基于上述微内核,使速度超过传统的包过滤防火墙;提供透明代理模式,减轻客户端的配置工作;支持数据加密、解密(DES和RSA),提供对虚拟网VPN的强大支持;内部信息完全隐藏;产生一个新的防火墙理论。

  TCP/IP协议处理

  TCP/IP协议处理是本系统的难点和重点之一,非常复杂与庞大。实现TCP/IP的第一步必须能正确地理解定义、实现TCP/IP各协议的数据包格式。

  数据链路层是TCP/IP协议的最低层,它的常规功能是对上层数据(IP或ARP)进行物理帧的封装与拆封,当然还包括硬件寻址、管理等功能。在本系统中,数据链路层除了实现上述功能外,还增加了监听网上数据、记录硬件地址和直接读写网卡的功能。

  从一般的概念来说,ARP和ICMP都属于IP层,实际上,ICMP在IP层之上,利用IP层收、发数据包,而ARP/RARP则在IP层之下,它们本身并不使用IP层,而是直接在数据链路层上进行收发。

  IP层的处理较复杂,且可做许多安全方面的工作。若在极端的情况下,我们可以修改IP报头,增加安全机制(如认证)。考虑到系统的性能及兼容性,我们没有选择这种方法,而是利用了包过滤技术和ICMP、ARP提供的功能,提供安全机制。当然,随着安全方面技术的发展,也许第一种方法会是一种好的选择,但前提是路由器的支持。目前,大部分路由器只能处理常规的IP包(即IPV4),对于新出台的IPV6(它提供了更多的选项,我们可在选项中增加安全机制),路由器还远未支持。

  我们在ARP协议上所做的工作主要想达到以下几个目的:防止ARP欺骗(即MAC地址欺骗);有条件地禁止ARP工作;查询主机硬件地址;提供ARP服务;检测ARP报文。

  利用上述几项功能,我们能确保内部ARP欺骗的无效,查出欺骗的主机并记录,尤其能防止ARP层的拒绝服务。我们通过主机级被动检测、主机级主动检测、服务器级检测、网络级检测、查询主机硬件地址、有条件地禁止ARP等机制实现以上功能。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章