SylixOS 网络防火墙

主动式网络防火墙简介

1. 主动式网络防火墙概述

SylixOS支持的主动式网络防火墙是一款适用于嵌入式网络安全的网络防火墙。它可以有效的防御常见的嵌入式网络***，保护嵌入式设备的系统安全。
主动式网络防火墙内部包括五个防御模块，可以防御以下五类***：

• 网络风暴；
• 重放***；
• ARP欺骗***；
• SYN泛洪***；
• DDOS***。

2. 主动式网络防火墙功能

2.1 网络风暴防御模块
网络风暴是指网络被大量无用报文充斥，影响网络设备的现象。本模块可以减少嵌入式设备受到网络风暴的影响。其主要功能有：

• 自动识别产生风暴的设备和风暴报文类型；
• 实时监测每一种类型报文流量，支持动态配置监测参数；
• 对问题设备采取拉黑操作，支持动态配置拉黑时间。

2.2 重放***防御模块
重放***又称重播***、回放***，是指***者发送一个目的主机已接收过的报文，来达到欺骗系统的目的。本模块可以防御此类***，其主要功能有：

• 通过随机验证码进行报文唯一性验证，支持验证码产生时间隔间修改；
• 支持局域网和非局域网环境下的重放***防御。

2.3 ARP欺骗防御模块
ARP欺骗是指***者通过在正常通信的设备间发送虚假内容的ARP报文，从而欺骗其他设备。本模块可以防御此类***，其主要功能有：

• 自动识别新加入网络的设备信息；
• 自动进行MAC与IP的绑定；
• 智能识别当前网络设备的MAC变化情况。对MAC、IP地址发生变化和ARP欺骗这两种网络状况，支持快速识别与处理。

2.4 SYN泛洪防御模块
SYN泛洪***是指利用TCP三次握手特点，对目标机发送大量建立连接的SYN报文，从而耗尽设备资源。本模块可以防御这种***，其主要功能有：

• 自动识别产生SYN泛洪***的设备；
• 自动识别SYN泛洪的起始与结束；
• 实时监测SYN报文流量，支持动态配置监测参数；
• 产生SYN泛洪时，采取白名单通信机制。

2.5 DDOS***防御模块
DDOS***在嵌入式领域常指***者对目标机建立大量空白TCP连接，从而耗尽设备资源。本模块可以防御这种***，其主要功能有：

• 实时监测每一个端口连接状态信息，支持动态配置监测参数；
• 对端口的超额连接，采取抛弃机制。

3. 主动式网络防火墙特点

1. 较少的资源占用
   主动式网络防火墙使用自己的内存管理机制。各个功能模块占用较少资源，且每个功能模块支持单独打开与关闭。

2. 准确的网络状况识别
   嵌入式网络中，存在一些特有现象，如MAC地址的随意设置或修改，这对于防御ARP欺骗来说，具有很大干扰性。主动式网络防火墙针对类似现象，会进行自主探测，确定真实网络状况后再处理，确保防御的正确性。

3. 分段式防御处理
   主动式防火墙采用"一上一下"分隔式防御处理框架，在遭受网络***时，能智能识别网络上的问题主机，做到保护设备的同时，不会占用过多系统资源，从而保证其他网络通信的正常进行。

4. 主动式网络防火墙实现机制

4.1 整体框架
主动式网络防火墙可以划分为两个部分，一是检测管理，二是报文过滤。这种"一上一下"分隔式防御处理框架如图 4.1所示。

                            图 4.1  主动式网络防火墙框图 

防火墙的上层检测管理代码位于网络协议栈中，过滤处理代码位于网卡驱动中。当设备遭到***时，这种结构对CPU性能影响较低。
另外，这两个部分过各自的内存管理单元减少对系统资源的占用。

4.2 内部机制
主动式网络防火墙内部由五个功能模块和内存管理单元组成。五个功能模块相互独立，但都与内存管理单元相关联，如图 4.2 所示。

                              图 4.2  功能模块

其中，每一个功能模块可以分为两个部分，一是检测单元，二是防御单元。如图 4.3 所示，检测单元会根据设备接收到的报文进行分析。对于一些复杂的网络情况，检测单元还会主动进行探测，从而确定真实的网络状况。发现问题之后，检测单元会启动防御单元，让其对之后接收到的问题报文进行黑名单、白名单等一系列过滤操作。

                          图 4.3  防御模块实现机制