新型防火墙技术

核心提示： 设计目标我们设计新型防火墙的目标是综合包过滤和代理技术，克服二者在安全方面的缺陷；能从数据链路层一直到应用层施加全方位的控制；实现TCP/IP协议的微内核，新型防火墙技术(2)，从而在TCP/IP协议层能进行各项安全控制；基于上述微内核，使速度超过传统的包过滤防火墙；提供透明代理模式，我们

设计目标

我们设计新型防火墙的目标是综合包过滤和代理技术，克服二者在安全方面的缺陷；能从数据链路层一直到应用层施加全方位的控制；实现TCP/IP协议的微内核，从而在TCP/IP协议层能进行各项安全控制；基于上述微内核，使速度超过传统的包过滤防火墙；提供透明代理模式，减轻客户端的配置工作；支持数据加密、解密（DES和RSA），提供对虚拟网VPN的强大支持；内部信息完全隐藏；产生一个新的防火墙理论。

TCP/IP协议处理

TCP/IP协议处理是本系统的难点和重点之一，非常复杂与庞大。实现TCP/IP的第一步必须能正确地理解定义、实现TCP/IP各协议的数据包格式。

数据链路层是TCP/IP协议的最低层，它的常规功能是对上层数据（IP或ARP）进行物理帧的封装与拆封，当然还包括硬件寻址、管理等功能。在本系统中，数据链路层除了实现上述功能外，还增加了监听网上数据、记录硬件地址和直接读写网卡的功能。

从一般的概念来说,ARP和ICMP都属于IP层,实际上,ICMP在IP层之上,利用IP层收、发数据包，而ARP/RARP则在IP层之下，它们本身并不使用IP层，而是直接在数据链路层上进行收发。

IP层的处理较复杂，且可做许多安全方面的工作。若在极端的情况下，我们可以修改IP报头，增加安全机制（如认证）。考虑到系统的性能及兼容性，我们没有选择这种方法，而是利用了包过滤技术和ICMP、ARP提供的功能，提供安全机制。当然，随着安全方面技术的发展，也许第一种方法会是一种好的选择，但前提是路由器的支持。目前，大部分路由器只能处理常规的IP包（即IPV4），对于新出台的IPV6（它提供了更多的选项，我们可在选项中增加安全机制），路由器还远未支持。

我们在ARP协议上所做的工作主要想达到以下几个目的:防止ARP欺骗（即MAC地址欺骗）;有条件地禁止ARP工作;查询主机硬件地址；提供ARP服务；检测ARP报文。