双向个人专用防火墙技术研究

双向个人专用防火墙技术研究
摘要：防火墙技术是网络安全的关键技术之一。

双向个人专用防火墙，不但能抵抗外网的攻击，而且有效防止主机信息泄露。

本文描述的防火墙采用NP设计，具有体积小、功耗小等特点，可以由计算机的USB接口供电，方便携带，使用方便,直接串接在计算机的网线上起到有效的保护作用。

关键词：网络安全防火墙网络处理器
Abstract：Firewall technology is the key network security technologies. Two-way special firewall for personal computer, not only against external network attacks and prevent information leakage form the host. This firewall using NP design, small size, low power consumption, etc., can be powered by the computer’s USB port, easy to carry, easy to use. The firewall is inserted directly between a computer and a network to play an effective protection.
Key words：Network securityFirewallNetwork Processor
引言
随着互联网在工作、日常生活中的普及，越来越多的行为趋向于网络化。

通过使用网络技术，任何数据资料的传输和存取都变得方便、快捷，但同时也面对网络的安全的变得更严峻。

调查机构B2B国际公司发布“全球IT安全风险调查”报告，指出全球约有91%的公司在过去的12个月内，遭受过至少一起IT安全事故。

其中约有三分之一的公司曾丢失企业信息[1]。

连银行如此敏感的单位也不例外出现信息泄露问题[2]。

可以看到不可信任外网可信任内网的假设已经不适用，防火墙技术需要完善，提升防御网路攻击能力。

双向个人专用防火墙的设计技术，由防火墙代替个人计算机完成抵御网络攻击，使计算机在网络攻击的情况下仍然可以继续工作，并可在黑客软件或计算机病毒入侵后有效防止通过网络泄露信息或被黑客软件控制成为参与网络攻击的傀儡。

1、防火墙技术
目前处理网络安全问题的网络安全关键技术有多种：如防火墙技术、访问控制技术、入侵检测技术、安全审计技术、加密技术等[3]。

其中最流行同时也是行之有效方法就是防火墙技术。

RFC2647的3.16给防火墙制定了一个标准的定义:防火墙是指网络间强制执行访问控制策略的设备。

防火墙设立的目的是防止可信的内网受到不可信的外网攻击。

绝大数单位都会在外网与内网之间或互联网出口处设立专用防火墙，以保证内网计算机能访问互联网同时不受外网的黑客攻击。

专用防火墙可以抵御黑客的直接攻击，但不能禁止用户自觉或不自觉下载黑客软件或计算机病毒软件。

因此，由于黑客软件可以存在于内网的计算机，黑客
软件进入内网后基本上可以进行窃取信息活动或利用受入侵计算机在内网或外网进行网络攻击或入侵活动。

很明显尽管单位已经在互联网出入口安装了专用防火墙，内网也是不可新的，或者说在内网的计算机还是有可能受到来自网络的黑客攻击。

为了进一步提升计算机的安全性能，目前流行的操作系统把个人防火墙作为操作系统的一部分。

防火墙技术一般按防火墙所处的层进行分类，工作在网络层的有包过滤防火墙技术和状态检测防火墙技术、工作在应用层的为应用级网关防火墙技术。

状态检测技术[4]是近几年发展的防火墙技术，是一种基于连接的状态检测机制，对同一连接的全过程进行监测，为连接建立一张连接状态表，对状态标志进行检测，并及时维护状态表，通过规则表与状态表的共同配合，实现防火墙功能。

状态检测防火墙在包过滤的基础上增加SYN、ACK、FIN标志检测，把一系列的通信数据包连在一起，形成一种更有效的检测方法。

在windows操作系统中，微软提供个人防火墙，也记录主机网络通信日志。

由于黑客软件有能力篡改主机操作系统代码、规则表，使之能绕过个人防火墙完成通信。

因此，即便安装了个人防火墙的主机，依然不能阻止黑客软件的行为。

个人专用防火墙是独立于个人计算机，为个人计算机服务的防火墙。

个人专用防火墙在抵御网络攻击时不需要消耗个人计算机资源。

为进一步提高个人计算机的网络安全和保证计算机正常运行，尤其用于工业控制而且连接到局域网或互联网的计算机，更需要安装个人专用防火墙。

以保证个人计算机在受到网络拒绝服务攻击时仍然能工作，防止黑客软件篡改造成个人防火墙失效。

在2006年，微软提出双向防火墙[5]。

双向个人专用防火墙是增强型的个人专用防火墙，主要增强主机资料的防泄露能力和防止主机被黑客软件作为攻击他人的工具。

2、网络处理器
1997年，人们提出网络处理器（Network Processor，NP），2000年商用网路处理器正式面世。

目前在网络设备中已经得到广泛应用。

网络处理器是一种专门为处理网络通信数据包而设计的可编程处理器，具有较强的通信I/O处理能力。

随着网路设备的发展，网络处理器的集成度越来越高，把多种通信接口集成到一个芯片上。

使用网络处理器，通过外部连接存储器和简单的接口部件就可以形成功能强大的通信设备硬件。

专用防火墙实际上一台具有2个或2个以上通信端口的计算机运行防火墙软件的通信设备。

使用网络处理器设计防火墙无疑有效简化其的硬件设计和软件设计、提高其性能和可靠性、减低功耗。

图1 双向个人专用防火墙结构图
本防火墙采用NP设计，主要部件有NPC、SDRAM、FLASH。

结构如图1所示。

本防火墙采用台湾Ralink雷凌科技生产的网络处理器RT3050F，它具有5口100M网络口，本设计仅用其中2个，具有SDRAM、FLASH控制电路，可以直接与SDRAM、FLASH连接，还有1个USB OTG接口，能与USB主设备连接或USB从设备连接。

SDRAM选用HY57V561620T、FLASH选用MX29LV320，整机功耗小于2.5瓦，可以采用USB接口供电，具有功耗小、体积小等特点，用户只需把本防火墙串接在网线上就可以实现双向个人专用防火墙功能。

3、接入模式
双向个人专用防火墙有两种接入模式。

中继接入和路由接入。

中继接入模式是模拟帧中继工作方式，经过防火墙后数据包的IP地址和端口不发生变化，对用户来说是比较方便，用户不需要更改网络参数设置就能使用。

路由接入模式模拟路由器工作方式，用户需要对防火墙的网络参数进行设置。

本防火墙默认采用中继接入模式，可以在两种模式间切换。