SylixOS支持的主动式网络防火墙是一款适用于嵌入式网络安全的网络防火墙。它可以有效的防御常见的嵌入式网络***,保护嵌入式设备的系统安全。
主动式网络防火墙内部包括五个防御模块,可以防御以下五类***:
2.1 网络风暴防御模块
网络风暴是指网络被大量无用报文充斥,影响网络设备的现象。本模块可以减少嵌入式设备受到网络风暴的影响。其主要功能有:
2.2 重放***防御模块
重放***又称重播***、回放***,是指***者发送一个目的主机已接收过的报文,来达到欺骗系统的目的。本模块可以防御此类***,其主要功能有:
2.3 ARP欺骗防御模块
ARP欺骗是指***者通过在正常通信的设备间发送虚假内容的ARP报文,从而欺骗其他设备。本模块可以防御此类***,其主要功能有:
2.4 SYN泛洪防御模块
SYN泛洪***是指利用TCP三次握手特点,对目标机发送大量建立连接的SYN报文,从而耗尽设备资源。本模块可以防御这种***,其主要功能有:
2.5 DDOS***防御模块
DDOS***在嵌入式领域常指***者对目标机建立大量空白TCP连接,从而耗尽设备资源。本模块可以防御这种***,其主要功能有:
较少的资源占用
主动式网络防火墙使用自己的内存管理机制。各个功能模块占用较少资源,且每个功能模块支持单独打开与关闭。
准确的网络状况识别
嵌入式网络中,存在一些特有现象,如MAC地址的随意设置或修改,这对于防御ARP欺骗来说,具有很大干扰性。主动式网络防火墙针对类似现象,会进行自主探测,确定真实网络状况后再处理,确保防御的正确性。
4.1 整体框架
主动式网络防火墙可以划分为两个部分,一是检测管理,二是报文过滤。这种“一上一下”分隔式防御处理框架如图 4.1所示。
图 4.1 主动式网络防火墙框图
防火墙的上层检测管理代码位于网络协议栈中,过滤处理代码位于网卡驱动中。当设备遭到***时,这种结构对CPU性能影响较低。
另外,这两个部分过各自的内存管理单元减少对系统资源的占用。
4.2 内部机制
主动式网络防火墙内部由五个功能模块和内存管理单元组成。五个功能模块相互独立,但都与内存管理单元相关联,如图 4.2 所示。
图 4.2 功能模块
其中,每一个功能模块可以分为两个部分,一是检测单元,二是防御单元。如图 4.3 所示,检测单元会根据设备接收到的报文进行分析。对于一些复杂的网络情况,检测单元还会主动进行探测,从而确定真实的网络状况。发现问题之后,检测单元会启动防御单元,让其对之后接收到的问题报文进行黑名单、白名单等一系列过滤操作。
图 4.3 防御模块实现机制
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。