SylixOS网络防火墙

主动式网络防火墙简介

---

1. 主动式网络防火墙概述

SylixOS支持的主动式网络防火墙是一款适用于嵌入式网络安全的网络防火墙。它可以有效的防御常见的嵌入式网络***，保护嵌入式设备的系统安全。
主动式网络防火墙内部包括五个防御模块，可以防御以下五类***：

公司主营业务：做网站、网站设计、移动网站开发等业务。帮助企业客户真正实现互联网宣传，提高企业的竞争能力。成都创新互联是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化，感谢他们对我们的高要求，感谢他们从不同领域给我们带来的挑战，让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。成都创新互联推出尤溪免费做网站回馈大家。

• 网络风暴；
• 重放***；
• ARP欺骗***；
• SYN泛洪***；
• DDOS***。

2. 主动式网络防火墙功能

2.1 网络风暴防御模块
网络风暴是指网络被大量无用报文充斥，影响网络设备的现象。本模块可以减少嵌入式设备受到网络风暴的影响。其主要功能有：

• 自动识别产生风暴的设备和风暴报文类型；
• 实时监测每一种类型报文流量，支持动态配置监测参数；
• 对问题设备采取拉黑操作，支持动态配置拉黑时间。

2.2 重放***防御模块
重放***又称重播***、回放***，是指***者发送一个目的主机已接收过的报文，来达到欺骗系统的目的。本模块可以防御此类***，其主要功能有：

• 通过随机验证码进行报文唯一性验证，支持验证码产生时间隔间修改；
• 支持局域网和非局域网环境下的重放***防御。

2.3 ARP欺骗防御模块
ARP欺骗是指***者通过在正常通信的设备间发送虚假内容的ARP报文，从而欺骗其他设备。本模块可以防御此类***，其主要功能有：

• 自动识别新加入网络的设备信息；
• 自动进行MAC与IP的绑定；
• 智能识别当前网络设备的MAC变化情况。对MAC、IP地址发生变化和ARP欺骗这两种网络状况，支持快速识别与处理。

2.4 SYN泛洪防御模块
SYN泛洪***是指利用TCP三次握手特点，对目标机发送大量建立连接的SYN报文，从而耗尽设备资源。本模块可以防御这种***，其主要功能有：

• 自动识别产生SYN泛洪***的设备；
• 自动识别SYN泛洪的起始与结束；
• 实时监测SYN报文流量，支持动态配置监测参数；
• 产生SYN泛洪时，采取白名单通信机制。

2.5 DDOS***防御模块
DDOS***在嵌入式领域常指***者对目标机建立大量空白TCP连接，从而耗尽设备资源。本模块可以防御这种***，其主要功能有：

• 实时监测每一个端口连接状态信息，支持动态配置监测参数；
• 对端口的超额连接，采取抛弃机制。

3. 主动式网络防火墙特点

1. 较少的资源占用
   主动式网络防火墙使用自己的内存管理机制。各个功能模块占用较少资源，且每个功能模块支持单独打开与关闭。

2. 准确的网络状况识别
   嵌入式网络中，存在一些特有现象，如MAC地址的随意设置或修改，这对于防御ARP欺骗来说，具有很大干扰性。主动式网络防火墙针对类似现象，会进行自主探测，确定真实网络状况后再处理，确保防御的正确性。

3. 分段式防御处理
   主动式防火墙采用“一上一下”分隔式防御处理框架，在遭受网络***时，能智能识别网络上的问题主机，做到保护设备的同时，不会占用过多系统资源，从而保证其他网络通信的正常进行。

4. 主动式网络防火墙实现机制

4.1 整体框架
主动式网络防火墙可以划分为两个部分，一是检测管理，二是报文过滤。这种“一上一下”分隔式防御处理框架如图 4.1所示。

                          图 4.3  防御模块实现机制

网页题目：SylixOS网络防火墙
地址分享：http://bzwzjz.com/article/pcppph.html