主動式網絡防火牆簡介
1. 主動式網絡防火牆概述
SylixOS支持的主動式網絡防火牆是一款適用於嵌入式網絡安全的網絡防火牆。它可以有效的防禦常見的嵌入式網絡攻擊,保護嵌入式設備的系統安全。
主動式網絡防火牆內部包括五個防禦模塊,可以防禦以下五類攻擊:
- 網絡風暴;
- 重放攻擊;
- ARP欺騙攻擊;
- SYN泛洪攻擊;
- DDOS攻擊。
2. 主動式網絡防火牆功能
2.1 網絡風暴防禦模塊
網絡風暴是指網絡被大量無用報文充斥,影響網絡設備的現象。本模塊可以減少嵌入式設備受到網絡風暴的影響。其主要功能有:
- 自動識別產生風暴的設備和風暴報文類型;
- 實時監測每一種類型報文流量,支持動態配置監測參數;
- 對問題設備採取拉黑操作,支持動態配置拉黑時間。
2.2 重放攻擊防禦模塊
重放攻擊又稱重播攻擊、回放攻擊,是指攻擊者發送一個目的主機已接收過的報文,來達到欺騙系統的目的。本模塊可以防禦此類攻擊,其主要功能有:
- 通過隨機驗證碼進行報文唯一性驗證,支持驗證碼產生時間隔間修改;
- 支持局域網和非局域網環境下的重放攻擊防禦。
2.3 ARP欺騙防禦模塊
ARP欺騙是指攻擊者通過在正常通信的設備間發送虛假內容的ARP報文,從而欺騙其他設備。本模塊可以防禦此類攻擊,其主要功能有:
- 自動識別新加入網絡的設備信息;
- 自動進行MAC與IP的綁定;
- 智能識別當前網絡設備的MAC變化情況。對MAC、IP地址發生變化和ARP欺騙這兩種網絡狀況,支持快速識別與處理。
2.4 SYN泛洪防禦模塊
SYN泛洪攻擊是指利用TCP三次握手特點,對目標機發送大量建立連接的SYN報文,從而耗盡設備資源。本模塊可以防禦這種攻擊,其主要功能有:
- 自動識別產生SYN泛洪攻擊的設備;
- 自動識別SYN泛洪的起始與結束;
- 實時監測SYN報文流量,支持動態配置監測參數;
- 產生SYN泛洪時,採取白名單通信機制。
2.5 DDOS攻擊防禦模塊
DDOS攻擊在嵌入式領域常指攻擊者對目標機建立大量空白TCP連接,從而耗盡設備資源。本模塊可以防禦這種攻擊,其主要功能有:
- 實時監測每一個端口連接狀態信息,支持動態配置監測參數;
- 對端口的超額連接,採取拋棄機制。
3. 主動式網絡防火牆特點
較少的資源佔用
主動式網絡防火牆使用自己的內存管理機制。各個功能模塊佔用較少資源,且每個功能模塊支持單獨打開與關閉。準確的網絡狀況識別
嵌入式網絡中,存在一些特有現象,如MAC地址的隨意設置或修改,這對於防禦ARP欺騙來說,具有很大幹擾性。主動式網絡防火牆針對類似現象,會進行自主探測,確定真實網絡狀況後再處理,確保防禦的正確性。分段式防禦處理
主動式防火牆採用“一上一下”分隔式防禦處理框架,在遭受網絡攻擊時,能智能識別網絡上的問題主機,做到保護設備的同時,不會佔用過多系統資源,從而保證其他網絡通信的正常進行。
4. 主動式網絡防火牆實現機制
4.1 整體框架
主動式網絡防火牆可以劃分爲兩個部分,一是檢測管理,二是報文過濾。這種“一上一下”分隔式防禦處理框架如圖 4.1所示。
<center> 圖 4.1 主動式網絡防火牆框圖 </center>
防火牆的上層檢測管理代碼位於網絡協議棧中,過濾處理代碼位於網卡驅動中。當設備遭到攻擊時,這種結構對CPU性能影響較低。
另外,這兩個部分過各自的內存管理單元減少對系統資源的佔用。
4.2 內部機制
主動式網絡防火牆內部由五個功能模塊和內存管理單元組成。五個功能模塊相互獨立,但都與內存管理單元相關聯,如圖 4.2 所示。
圖 4.2 功能模塊
其中,每一個功能模塊可以分爲兩個部分,一是檢測單元,二是防禦單元。如圖 4.3 所示,檢測單元會根據設備接收到的報文進行分析。對於一些複雜的網絡情況,檢測單元還會主動進行探測,從而確定真實的網絡狀況。發現問題之後,檢測單元會啓動防禦單元,讓其對之後接收到的問題報文進行黑名單、白名單等一系列過濾操作。
圖 4.3 防禦模塊實現機制