1匐化基于嵌入式防火墙的改进研究Basedonembeddedfrwa1iprvie1moemenestrearch唐乾林TANGJn1Q-nai（重庆电子工程职业学院计算机应用系，重庆413）031摘要：本文从传统边界防火墙系统进行了系统的研究的分析，从中发现不足及嵌入式防火墙产生的必要性进行了介绍，然后对原有嵌入式防火墙软硬件的局限性进行了研究，在最后提出了对其硬件及软件改进。关键词:传统边界防火墙；嵌入式防火墙：T95N1文献标识码:ADo.・98激S.090.013T)2i136I.n10—1421・（,90/s3：10—03(013下)07—091421)(—09300引言随着计算网络技术不断发展，其应用层次也逐步深入，应用领域不再是传统的小型业务系统，而是逐渐转向大型、关键性业务系统扩展。从单一的安全模式，所以无法为网络中的每台服务器定制相应的规则。5）效率低下。边界式防火墙的检查机制主要集中在网络边界处的单点上，从性能角度来看，由于网络自身的开放性、共享性和互联程度的不断扩大，网络安全问题也显得越来越重要。它很容易成为网络流量的一个限制。如果从网络的可达性来看，防火墙因其带宽的限制，所以不能保证所有请求都能及时响应。。6端到端加密。在网络上存在很多的外部网）代理，用户可以很容易的在他们位于组织网络内1传统边界防火墙的产生及不足传统的边界防火墙依赖于网络的拓扑结构，受控的登陆点“防火墙”网络分割成内部网络和将外部网络。由于防火墙不能过滤那些“形”的隐传输，因此它只能假定所有位于内部网络的主机是可信任的，而所有外部的主机都是不可信任的。部的主机和一台外部主机之间，建立一个端到端的加密通道。7旁点登陆。在现有技术条件下很容易建立一）个新的、未经授权的网络登陆点。各种各样的通道、无线连接、拨号接入的方法都允许个体绕过由传统这个模型在网络严格遵守限定的拓扑布局时工作得很好。但是随着网路连通性的扩展，如远程交换和VPN等，母模型面临着越来越大的挑战：防火墙设置的各种安全机制，建龙后门接入点。正是由于传统防火墙存在着诸多问题，所以1）网络结构限制。随看计算机网络应用的不断壮大，网络边界也渐渐的变成了逻辑边界，而物理边界也日渐模糊。相对的边界防火墙的应用受到了一定的结构性限制。近年来给网络带来了越来越严重的后果，因而急切的需要出现一种新的防火墙机制，在保留原有传统的防火墙优点的同时，解决问题，分布式防火墙正是在这一背景下提出的，其中基于硬件的防火墙我们乂称为嵌入式防火墙o2）内部安全隐患。从外部网络进入内部网络的数据都要被防火墙进行严格过滤和审查，但这不能保证内部网络用户之间的安全访问。相对来说，无法阻止源自于内部的攻击。2研究思路Ew-34Bx是根据“C模型”FSc40NI实现的嵌入式防火墙网卡。它BX处理器，在嵌入式操硬件部分实的硬件部分选用AM7DRTM软件部分移植了嵌入式作系统之上实现现的局限性，依3单点失系统不能很好的络）“。安全的重任，一旦个网络将全部暴露给攻击者。防火墙是针对全网络的安全制是遵收稿日期：21-0-2SC4O34u/SCO操作系统并了防火墙包过滤功能。但由于据硬件的条件选用的u/COS操作效”防火墙担负着整个内部网防火墙的配置出现问题，则整4）规则单一。一般来说传统定的，祖全网络中的主机都22作者简介:唐乾林（961,研究方向为计算机信息安全、网络013T7一），男，新疆吉木乃人，讲师，硕士编程、课程设计等。第3卷3第3期21-（）[9I匐化造实现分布式防火墙对于防火墙策略统一制定、终端独立运行的要求，因此本文根据“C模型”的NI思想，在已有Ew—34Bx的基础上，对嵌入FSC40式防火墙的硬件和软件上进行了改进。以对进出主机的数据流进行严密的监控，从而保证了数据传输的安全性。但是由于底层硬件运行环境的限制，使得嵌入式操作系统的选取存在着很大的局限性，因而也就无法很好的在应用层实现嵌入式防火墙策略的部分过滤功能。EW-F¥C40的不足之处主要有以下两个方面：34B1硬）件部分，FSc40选Ew—34Bx理用AM7DMI内RT核SC40处34BX器。其3嵌入式防火墙整体结构嵌入式防