一家公司的新型防火墙技术

　　常见防火墙的类型主要有三种：包过滤、电路层网关、应用层网关，每种都有各自的优缺点。

　　包过滤是第一代防火墙技术，它按照安全规则，检查所有进来的数据包，而这些安全规则大都是基于低层协议的，如 IP 、 TCP 。如果一个数据包满足以上所有规则，过滤路由器把数据向上层提交，或转发此数据包，否则就丢弃此包。

　　包过滤的优缺点：
　　优点：一个过滤路由器能协助保护整个网络；数据包过滤对用户透明；过滤路由器速度快、效率高。

　　缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略。

　　代理是一种较新型的防火墙技术，这种防火墙有时也被称为应用层网关，这种防火墙的工作方式和过滤数据包的防火墙、以路由器为基础的防火墙的工作方式稍有不同。它是基于软件的。

　　电路层网关是建立应用层网关的一个更加灵活和一般的方法。虽然它们可能包含支持某些特定 TCP/IP 应用程序的代码，但通常要受到限制。如果支持应用程序，那也很可能是 TCP/IP 应用程序。在电路层网关中，可能要安装特殊的客户机软件，用户可能需要一个可变用户接口来相互作用或改变他们的工作习惯。

　　代理技术的优缺点：
　　优点：代理易于配置；代理能生成各项记录；代理能灵活、完全地控制进出的流量、内容；代理能过滤数据内容；代理能为用户提供透明的加密机制；代理可以方便地与其他安全手段集成。

　　缺点：代理速度较路由器慢；代理对用户不透明；对于每项服务代理可能要求不同的服务器；代理服务不能保证你免受所有协议弱点的限制；代理不能改进底层协议的安全性。

　　新型防火墙技术：
　　我们的目标是设计并实现一种新型防火墙。这种防火墙既有包过滤的功能，又能在应用层进行代理。较前面分析的防火墙来说，具有先进的过滤和代理体系，能从数据链路层到应用层进行全方位安全处理。 TCP/IP 协议和代理的直接相互配合，使本系统的防欺骗能力和运行的健壮性都大大提高。

　　设计目标
　　我们设计新型防火墙的目标是综合包过滤和代理技术，克服二者在安全方面的缺陷；能从数据链路层一直到应用层施加全方位的控制；实现 TCP/IP 协议的微内核，从而在 TCP/IP 协议层能进行各项安全控制；基于上述微内核，使速度超过传统的包过滤防火墙；提供透明代理模式，减轻客户端的配置工作；支持数据加密、解密（ DES 和 RSA ），提供对虚拟网 VPN 的强大支持；内部信息完全隐藏；产生一个新的防火墙理论。

　　TCP/IP 协议处理
　　TCP/IP 协议处理是本系统的难点和重点之一，非常复杂与庞大。实现 TCP/IP 的第一步必须能正确地理解定义、实现 TCP/IP 各协议的数据包格式。

　　数据链路层是 TCP/IP 协议的最低层，它的常规功能是对上层数据（ IP 或 ARP ）进行物理帧的封装与拆封，当然还包括硬件寻址、管理等功能。在本系统中，数据链路层除了实现上述功能外，还增加了监听网上数据、记录硬件地址和直接读写网卡的功能。

　　从一般的概念来说 ,ARP 和 ICMP 都属于 IP 层 , 实际上 ,ICMP 在 IP 层之上 , 利用 IP 层收、发数据包，而 ARP/RARP 则在 IP 层之下，它们本身并不使用 IP 层，而是直接在数据链路层上进行收发。

　　IP 层的处理较复杂，且可做许多安全方面的工作。若在极端的情况下，我们可以修改 IP 报头，增加安全机制（如认证）。考虑到系统的性能及兼容性，我们没有选择这种方法，而是利用了包过滤技术和 ICMP 、 ARP 提供的功能，提供安全机制。当然，随着安全方面技术的发展，也许第一种方法会是一种好的选择，但前提是路由器的支持。目前，大部分路由器只能处理常规的 IP 包（即 IPV4 ），对于新出台的 IPV6 （它提供了更多的选项，我们可在选项中增加安全机制），路由器还远未支持。

　　我们在 ARP 协议上所做的工作主要想达到以下几个目的 : 防止 ARP 欺骗（即 MAC 地址欺骗） ; 有条件地禁止 ARP 工作 ; 查询主机硬件地址；提供 ARP 服务；检测 ARP 报文。

　　利用上述几项功能，我们能确保内部 ARP 欺骗的无效，查出欺骗的主机并记录，尤其能防止 ARP 层的拒绝服务。我们通过主机级被动检测、主机级主动检测、服务器级检测、网络级检测、查询主机硬件地址、有条件地禁止 ARP 等机制实现以上功能。

　　ICMP 是为了允许路由器向主机报告投递出错的原因和一些控制而设计的。但事实上，任何一台主机都可以向任何其他机器发送 ICMP 报文，如 Ping 。

　　ICMP 在本系统中的作用主要是：隐藏子网内主机信息和施加一些控制。 ICMP 虽然有一定的作用，如差错报告，但也有更大的安全隐患。一般来讲，对外部， ICMP 应禁止（很多过滤路由器有此项功能）。

　　我们主要是采用了三种策略隐藏子网内主机信息：

　　● 对内部主机的 ICMP 包，虽然转发，但改写了 ICMP 包中的源 IP 地址，使外部不能看到内部的 IP 地址。

　　● 外部 ICMP 请求包一律抛弃。

　　● 对内部有请求时，才动态地接收外部主机的响应， 且一些 ICMP 危胁安全的响应也抛弃，如改变路由的 ICMP 包。

　　另外，我们可以借助 ICMP 来获得一些参数和一些控制，如时钟同步、地址掩码，并可利用 ICMP 目的地不可达报文 “ 优雅 ” 地通知不受欢迎的主机。

　　IP 是通信子网的最高层，它的主要任务是寻址和转发。 IP 层最大的安全问题是 IP 欺骗，且很多上层的安全隐患源于 IP 欺骗，如 DNS 欺骗。 IP 层常用的安全措施是根据源地址、目的地址进行过滤，这一点已在很多路由器中得到应用。在本系统的 IP 层主要完成以下几个功能： IP 地址过滤； IP 地址与 MAC 绑定，防止 IP 欺骗；为上层提供一种通道。

　　TCP/UDP 存在数据包伪装、 SYN Flood 攻击等安全隐患。为避免上述情况，必须要增加一定的验证措施，我们利用 TCP 的特征，设计了一种较有效的过滤手段，对 TCP 报文的有效性进行确认。

　　我们的产品不仅覆盖了传统包过滤防火墙的全部功能，而且在全面对抗 IP 欺骗、 SYN Flood 、 ICMP 、 ARP 等攻击手段方面有显著优势，增强代理服务，并使其与包过滤相融合，再加上智能过滤技术，使新型防火墙的安全性提升到又一高度。