嵌入式防火墙技术研究

摘要：随着网络应用的日趋普及，来自网络的攻击也越来越严重，防火墙技术可以有效阻止来自网络中的内容攻击。本文主要分析了防火墙技术的发展情况，对嵌入式防火墙技术进行了具体研究。

关键词：网络攻击 防火墙 嵌入式

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2013）03-0216-01

信息社会的发展使得网络应用成为人们日常生活的一部分。计算机网络突破了传统空间中的地域限制和时间限制，可以快速准确的帮助人们获得所需信息和资源，极大的扩展了人们了解现实的渠道。但是随着计算机网络的普及和经济社会的发展，网络应用给我们带来了巨大的便利，也为我们带来了巨大的安全隐患。网络中的恶意程序以及人为的恶意破坏使得我们必须采取有效的防护措施对自身数据进行保护，防止被非法获取或泄露。防火墙则是基于网络的一种信息安全保障技术，是当前时期网络安全的主要解决方案之一，利用防火墙技术可以有效控制用户和网络之间的数据通信，保障数据的安全。

1 防火墙技术发展概述

防火墙技术主要是对内网和外网之间的访问机制进行控制，但是传统的依靠拓扑结构进行网络划分的防火墙在防止来自网络内部的攻击方面的性能不够完善，无法实现数据的安全防护。为解决该问题，分布式防火墙技术被提出来解决上述问题，该技术将安全策略的执行下放到各主机端，但是在服务端对各主机进行集中管理，统一控制，该技术解决了传统防火墙技术在网络结构、内部安全隐患、“单点失效”、过滤规则、端到端加密、旁点登陆等诸多方面的问题，具有较好的网络防护性能。随着分布式防火墙技术的提出，人们不断对其进行改进，这些改进主要集中于两个方面：硬件和软件。其中基于硬件的防火墙技术被称为嵌入式防火墙技术。

2 经典嵌入式防火墙技术研究

较为经典的嵌入式防火墙技术由以下几种。

2.1 基于OpenBSDUNIX的嵌入式防火墙技术

该技术的实现基础为在OpenBSDUNIX操作系统，该平台具有一体化的安全特性和库，如IPSec栈、KeyNote和SSL等，应用平台中的组件内核扩展程序可以指定安全通信机制；应用平台中的用户层后台处理程序组件可以对防火墙策略进行执行；设备驱动程序组件用于提供通信接口。

2.2 基于Windows平台的嵌入式防火墙技术

该技术的主要实现过程为对主机的具体应用和对外服务制定安全策略。其中数据包过滤引擎被嵌入到内核中的链路层和网络层之间，向用户提供访问控制、状态及入侵检测等防御机制；用户配置接口用于配置本地安全策略。

本文主要对该平台的嵌入式防火墙技术进行研究。

3 基于嵌入式协议栈的内容过滤防火墙技术方案

该技术方案将嵌入式协议栈和动态包过滤进行整合，进而替代主机的应用层防火墙接口和系统功能调用，内容过滤和数据处理。其中，嵌入式协议栈主要用于对数据和通信策略进行检测，动态包过滤主要用于对IP层和TCp层的通信规则进行检测。

该技术方案的优势在于数据包过滤和协议内容分析处于系统的同一层次，这就会提高防火墙的防御效果。

3.1 防火墙结构分析

防火墙系统结构分为主要分为两部分：底层安全策略表和应用层安全策略表。与传统防火墙技术相比，本文所述基于嵌入式协议栈的防火墙技术在防御策略中添加了应用层的安全策略，其中，网络协议还原将原有的网络通信协议进行了还原处理，而应用层协议还原则是对应用层协议进行还原解码处理，经过两次还原，数据信息被送入安全检测模块进行数据分析。

3.2 工作流程实现

当网络中的主机进行数据包通信时时，会按照访问规则对数据包进行安全检测，查看是否符合访问规则，若不符合访问规则，则对该数据包进行丢弃处理，若符合访问规则，则按照防火墙状态表对数据包进行二次检测，该检测在协议栈部分进行。

对于需要检测的数据包如HTTP、SMTP、POP3等数据流，其检测过程为，数据进行IP分片还原、TCP连接还原以及应用层协议还原，还原过程结束后应用层的安全策略会产生一个新的状态表，该状态表用于判断数据包是否安全，若判定数据不安全则对其进行丢弃处理，若判定数据安全则对数据包进行转发。

对于不需要检测的数据如多媒体影音数据等，可以直接认定为其在安全层是安全的，可直接进行内容转发。

进入内容转发步骤的数据包即可实现数据的通信，整个嵌入式防火墙过程结束。

3.3 性能分析

该嵌入式防火墙技术将数据包过滤所需的状态表以及通信地址所需的地址表进行了集成，实现了嵌入式协议栈的整合。这种方式具有两方面好处：一是提高了两者之间的通信效率，减少了不必要的通信流程，协议栈可以便捷的更新数据包状态表，数据包状态表的状态可以确定数据包是否进行数据检测；二是集成化处理实现了状态表和协议栈之间的相对统一，降低了内存空间的使用。

4 结语

本文讨论了防火墙技术的应用目标和应用作用，进而就防火墙技术的发展及理论创新进行总结和分析，确定了嵌入式防火墙技术的应用优势，最后就基于Windows系统平台的嵌入式协议栈防火墙技术进行分析和阐述。随着网络环境的日趋复杂，在进行网络应用时必须要注意做好安全防护措施，应用嵌入式防火墙技术即可获得较为理想的安全防护效果。

参考文献

[1]孟英博，嵌入式防火墙的研究与实现[D].南京航空航天大学，2007（1）.

[2]江文，浅议新一代防火墙技术的应用与发展[J].科学之友，2011（12）.

[3]吴塍勤，防火墙技术的探讨[J].武汉船舶职业技术学院学报，2009，8（6）.

[4]罗浩云，晓春方，滨兴.一种基于嵌入式协议栈的内容过滤防火墙技术[J].计算机工程与应用，2002，38（18）.