当前位置:首页 >> >>

一种嵌入式TCP/IP协议栈的设计与实现_图文

维普资讯 http://www.cqvip.com

本栏 责 辑: 蕾 目 任编 冯  


网络通 讯 与安 全 ?  

种嵌入 式 T P I C /P协议栈 的设计与实现 
唐 富 年 。 少 锋  殷
( 放军炮兵学院 研 究生系, 解 安徽 合 肥 2 0 3 ) 3 0 i 

摘 要 : 合 嵌入 式 系统 的 特 点 对 TC /P协 议 进 行 分 析 和精 简 , 且在 K i 5 结 PI 并 e C 1环 境 下编 程 实现 了该 协议 子 集 , l 为通 用 TC /P协议  PI 的精 简提 供 了一 种 较 为 简 单 的 思路 
关键词: 嵌入 式 系统 ; 太 网 ; 以 TCP/P协 议 ; I AKP I LDP;  

中图分类号 : P 9   T 33

文献标识码 :   A

文章编号:0 9 3 4 (0 70 — 0 4 — 3 1 0 — 0 42 0 )4 1 9 7 0  
De in o  sg   fEmb d d TCP I   r tc l  e de   /P P oo os
TAN G  u—na Y I   ha F in, N S o—f n   eg

(A L , fi 3 0 1 hn) A P AHee 20 3 , ia   C  
Ab ta  ̄   n l zn  h   h r ceit   f mb d e   s r c By a ay ig t e c aa tr i o   sc e e d d TCP I   r t c l a d r d cn  h m, a s ag t r r   y o  mp i ig TCP I   / P p o o os n   e u i g t e     t ih o wa d wa   fs ly n   r f i f /P
p ot o si  ip a e r oc l sds ly d.M e n h l,t e epr t c l  vebe n i p e e t d u e   iC51 e eo   n r nm e t a w ie h s  o o o sha   e  m l m n e   nd rKel  d v lp e vio n.  

K y wo d : mb d e   y tm; t e e; e   rSE e d dS s e E h m t TCP I   r t c l UDp A ,   /P P o o os ; : P. P

1引 言 
目前 , 入 式 系 统 与 网 络 的 结合 已经 成 为嵌 入 式 系 统 发 展 过  嵌 程 中 所必 须 要 面 对 的 问题 之 ~ 。嵌 入 式 系 统 的 网络 接 入 一 般 可 以 
通 过 R 一 3 或 R 一 8 等 间接 接 入 .也 可 以通 过 网络 协议 直 接  S22 S4 5

提 下尽 可能 精 简 。   T P P协 议 栈 具 有 层 次 特 性 .各 个 协 议 都 有 自己 的 数 据 格  C ̄ 式 , 次 发 送 数 据 都 要 进 行 上 下 层 协 议 的 数 据 交 换 , 行 打 包 和  每 进

拆 包 的 过 程 . 这 个 过 程 中如 果 采 用 数 据 拷 贝 的 策 略 进 行 数 据 传  在
递 则 会 大 大 增 加 系 统 开 销 。 在 嵌 入 式 系 统 中 , 往 无 法 建 立 起 数  往 据 传递 的缓 冲 区 , 要 采 用 “ 拷 贝 ” 术 用 传 递 数 据 指 针 的 方 法  需 零 技 来 解 决 各 层 协 议 间 的数 据 传 递 , 以提 高 系 统 的 实 时性 能 。  
22T PI . C/   P协议 的精 简 

与 网络 相 互 连 , 中 , 接 接 人 方 式 正 逐 步 成 为 嵌 入 式 系统 接 入  其 直 网 络 的主 要 方式 . 是需 要 精 简 T PI 但 C/ P协 议栈 的支 持 。 目前 使用  广 泛 的通 用 T P P协 议 栈 所 包 含 的协 议 内容 比较 全 . 同时 也 比 c仃 但  
较 复 杂 。 由于 硬 件 平 台 的 差 别 , 些 协 议 站 无 法 直 接 应 用 于 嵌 入  这

式 系统 . 主要 表 现 在 以下 三 个 方 面 :   (1 入 式 操 作 系 统 都 面 向特 定 的 领 域 和 需 求 , 入 式应 用对  1 嵌 嵌 实 时性 要 求 比较 高 。   f1 任 务 操 作 系 统 的 内 存 分 配 是 动 态 的 , 是 在嵌 入 式 系统  2多 但 中 片 R M 是 静 态 分 配 的 ,用 于存 放 收 到 的数 据包 的 的 空 间很 有  A
限。  

T P P是几 百 种 网络 协 议 的集 合 。 用 计 算机 系统 有 足 够 的  C ̄ 通
资 源 支持 通 信 协 议 在 内核 实 现 , 此 完 整 的 T P P协 议 栈 ( 图  因 C ̄ 如

1 能够 在 数 据 传 输 的 可靠 性 和 数 据 流 量 的控 制 上 做 很 多 工作 。 )  
但 是对 于 嵌 入 式 系 统 来 说 , 硬 件 资 源 十 分 有 限 , 时 对 协  其 同 议 的要 求 也 相 对 较低 , 须 对 通 用 的 T P P协 议进 行 精 简 。 进 行  必 C ̄
精 简 的途 径 有 两 种 :  

f1嵌入 式 系统 在 程 序 的具 体 实 现 上 与通 用 计 算 机 系统 有 所  3 不 同 , 要 体 现 在 指 针 、 数 传 递 、 量 和 数 据 结 构 的 定 义 等 方  主 参 变
面。  

(1 无 关 于 系统 功 能 的协 议 削减 掉 。 即保 留必 需 的协 议 , 1 将 而  对 其 它 无 关 协 议 进行 裁 剪 。   (1 单 独 的 协议 进 行 简 化 。例 如 完 整 的 A P协 议 支 持 以 太  2对 R 网 、 牌 环 等 网 络 . 是 嵌 入 式 系 统 可 能 是 面 向 于 某 ~ 具 体 类 型  令 但 网络 的 , 于其 他 的部 分 就 可 以简 化 掉 。 对  
应 用层 
传   输屡
网际屡 
… 一 .

因此 , 要通 用 T P P协 议 栈 的 基 础 上 进 行 精 简 和 改 写 . 需 C仃 以  设计 出精 简 、 高效 的 T PI C/ P协 议 子 集 . 供嵌 入 式 系 统 接 入 网 络  以
使用。  

L  ST S r 耶S l P . _r l     黼  f   丌
●  

2T   CP协 议分 析与简 化 
通 用 计 算 机 系 统 有 足 够 的 资 源 支 持 .但 是 嵌 入 式 系 统 则 不 
同. 因为 其 C U处 理 能力 和 系 统 存 储 能 力 都 受 到 成 本 限 制 . 分  P 充 利用 资 源 、 高 系 统性 价 比是 开 发 嵌 入 式应 用 的根 本 特 点 。 提   21嵌 入 式 T P P协 议栈 的特 点  . C仃 嵌 入 式 系统 一 般 都是 为 了 满足 某 一 特 定 的需 求 。 网络 支 持  对 的要 求 相 对 比较 低 , 要 什 么 协 议 就 添 加 相 应 的模 块 , 需 使 用  需 不 完整 的 T PI 议 。嵌 入式 T Pl 议 栈 应 具有 以下 的特 点 : C/ P协 Cf P协   f 代 码 比较 简 洁 , 用 的 存 储 空 间 尽 可 能 小 , 可 能 为 应 用  l 1 占 尽 程序 节 省 系统 资 源 。   f1 要 传 输 的 数 据 量 一 般 比较 少 , 议 的 实现 代码 要 有 较 高  2需 协 的执 行 效 率 , 具有 较高 的实 时 性 。   (1 于 裁 剪 和 扩 展 . 于 面 向不 同应 用 的嵌 入 式 系统 应 当 根  3便 对 据 特 点对 协 议 进 行 简 化 或 扩 展 , 个 协 议 栈 在 满 足 功 能 需 求 的前  整
收 稿 日期 :0 7 0 — 0 2 0 — 1 1 

船 ,  
凶 

蠢黼  
豢 崦  … 

一  

0  r 琏l  ;   囊瓣  ~ 《  

网   = 口 曩≯_ 络 层 接   _ 誓  
图 1  

’  

简 化 后 的 协 议 仍 然 需 要 符 合 规 定 的 标 准 :在 网络 接 I层 .   = I 系

统 需 实 现 A P应 答 协 议 .该 协 议 用 于将 I 址 映 射 成 以 太 网 R P地  
MA C地址 ; 网际 层 , 要 实 现 I 议 . 在 需 P协 主要 负责 I P报文 报 头 的  正 确 性 , 且 对 T P和 I M 并 C C P报 文 实 行 分 流 , 此外 , 了能 够 测 试  为

系统与 网络 的连接 , 在网际层还需要 实现 IMP协议 中的 Pn C ig应 
答 协 议 , 要 用 于 检 查 网 络 在 传 输 层 是 否 连 通 。 作 为 运输 层 的 主  主 要 协 议 ,C T P和 U P协议 一 般 都 不 能 缺少 . 于 具 体 的应 用 , 般  D 对 一 都 至 少 要 实 现 其 中 之一 。 T P F P等 应 用层 协 议 一 般 无需 实 现 。 H r 、T  
这 样 简 化后 ,就 可 以得 到 图 2所 示 的嵌 入 式 T PI C/ P协议 栈 的 结 

作 者 简介 : 富 年 , , 放 军 炮 兵 学 院 4 唐 男 解 1队 研 究 生 学 员 ; 少锋 , , 放 军炮 兵 学 院 4 殷 男 解 1队研 究生 学 员。  

9 7 4  

维普资讯 http://www.cqvip.com

?

网 络 通 讯 与 安 全 ? . ?  ? ? ?

本 目 任 辑 冯   栏 责 编 :蕾
vi pn_ nw r /I G应 答  o  i a se0/ N d g P

构:  

vd i_e 0/ N 应答收到 o n e 6 /IG ip g h P 后回   显
33U P协 议 的实 现  . D  

U P际 上 是 直 接 利 用 I D P协 议 进 行 数 据 报 的 传 输 ,也 就 是 将 

报 文包 含 在 I 据 包 中 。U P的数 据传 输 是 无连 接 , 可 靠 的 。 P数 D 不  

因 为 它 不 像 T P那 样 , 了达 到 目标 , 先 要 在 两 点 之 间 建 立 一  C 为 首

个 可靠 的连 接 , 因此 U P协 议 无法 保 证 数 据可 靠 性 。 U P协 议  D 但 D

具 有 对 网络 资 源 开 销 较小 ,数 据处 理 速 度 快 的优 点 。 D U P协 议 属 

于 简 单 的 端 到 端 的数 据 传 输 协 议 , 报 头 只 有 8字 节 , 中源 端  其 其
图 2 嵌 入 式 TCP/P 协 议 栈 结 构  I

I表示 U P应 用进 程 的端 I号 ,除 了 0 12 S l D S l ~ 0 3预 定 的端 口外 , 其 

3各协议 的具体 实现 
本 文 实 现 的 嵌 入 式 T PI C/ P协 议 运 行 于 以 8 C 1 片 机 和  95 单 R L 0 9 S网络 控 制 器 为 核 心 元 件 的硬 件 平 台上 ,协 议 代 码 在  T 8 1A K iC 1V . 境 下 编 写 。在 程 序 的 iia 文 件 中提 供 了相 关 函 el 5  7   0环 nt l i  
数 对 8 C 1和 R L 0 9 S进 行 了初 始 参 数 设 置 . 于 文 章 篇 幅 。 95 T 8 1A 限  

余 的都 可 以使 用 。具 体 实 现 时 要 完 成 对 应 用层 传 下来 的数 据包 。  

加 上 U P首部 和 U P校 验 和 , 往 下 一层 。 及对 下 一 层 传上 来  D D 发 以

的 数 据 包 。 行 校 验 和 检 查 , 正 确 去 掉 U P首 部 , 出 数 据 送  进 若 D 提
计 算 , 及 到 的 主要 函数 有 : 涉  

给 应用 层 。需 注 意 的是 , 要产 生 一 个 伪 首部 用 于 U P数 据检 验 和  D

与 具 体 硬 件相 关 的 问题 不 再 作 详 细说 明 。  
31 R . A P协 议 的 实现   

us e h r ei up r(no e adxa 术R d e / ni dc a  ryd ccu i nt r d m p xn 0/ n g v f n c 对 
up头 进 行 校 验 , 误返 回 0 c 错  
_

A P协 议 不 携 带 用 户 的 有效 数 据 ,报 头 长 度 为 2 字 节 。在  R 8 A P报 头 中操 作 码 域 表 明 了 A P包 是 A P请 求 还 是 A P 回答 , R R R R  

v i   d s n  fno   ec r  d m  p x n t u sg e   h r o d u p e d u in n tad x a T d e, ni d c a    n

x aa p o re u s e   t e ) U P包 发 送 处 理  dt   s uc , n i di   n N D n g nl
v i  d od u p
_

其 值 为 1 为请 求 , 2时 为 应 答 。 目标 以 太 地 址 为 目标 节 点 I  时 为 P 对 应 的 MA C地 址 , 解析 前 是 未 知 的 。 发 送 A P请 求 应 使 用 广 播  R
方式 , 网段 内 的各 个 主机 收 到 后 检 查 包 内 的 I P地 址 , 如果 和本 机  的 I 址 一 样 则 使 用 单播 的方 式 返 回 A P应 答 。 应 答 A P包  P地 R 在 R
理 

rcee no ecr dt p x n0 D ei ( i nt dxa vu n a a* R d eU P包 接 收 处 

3  C . T P协 议 的实 现  4 几个步骤实现 :  

T P协 议 是 面 向连 接 的 、 对 端 的 可 靠 通 信 协 议 , 分 以 下  C 端 可 ( 建 立 连 接 。这 一 过 程 就 是 我们 常 说 的 三次 握 手 过 程 。 1 )   靠 性 , 用 序 列 号 解决 通 信 时 重 复 和 失 序 的 问题 。 利  
f 流 量 控 制 。设 置发 送 和 接 收 窗 I 。 3 ) S  l

中源以太地址 的域 中填 人自己的 M C地址。在具体设计 时, A 要考 
虑到 系 统 解 析 地 址 的 实 时性 , 如果 每 次 互 联 都 要 进 行 地 址 解 析 ,   则 系统 的实 时 性 要 下 降 ,一 般 的 做 法 是 建 立 一 个 A P地 址 映 射  R 表 。 放 常 用 I 址 与 MA 存 P地 C地 址 的 映 射 , 样 在 解 析 地 址 时 首  这
先 遍 历 该 表 。如 果 目标 地 址 已 经 被 解 析 过 则 可 以 省 去 解 析 过 程 

f 验 证 。采 取 相 应 的措 施 消 除 传 输 中 的 错误 , 障 传输 的 可  2 ) 保

了 。解 析 过 程 中还 需 要 为 A P缓 存 中每 个 新 生 成 条 目赋 予一 个  R
初 始 生存 时 间 , 用 定 时 器 中断 , 过 某 一 时 间 间 隔 对 所 有 条 目 使 经  

T P协 议 的功 能是 为 应 用 层 协 议 提 供 可 靠 的 面 向连 接 的 数  C

据传 输 服 务 ,是 嵌 入 式 应 用 系统 协议 栈 中最 为 复 杂 的 协 议 。 在 

进 行 刷 新 检 测 ,若 发 现 有 条 目发 生 超 时 ,将 其 从 A P缓 存 中 删  R 除 。A P缓 存条 目结 构 设 计 如下 : R  
tp d f tu t y e e   r c  s

T P协议实现 中, C 由于请求发起端( 客户端) 与请求相应端( 服务器 

端) 通 信 中所 处 地 位 不 同 , 应 地两 者 的 中间 演 变状 态 也 不 完 全  在 相

相 同 。 户 端 与 服务 器 端 在 一个 T P连 接 从正 常建 立 到 正 常 中止  客 C

{  
u sg e   n  p a d ;P n in d l g i d r /P地 址   o I
_

分别 经 历 5个 和 6个 状 态 , 相应 控 制 信息 均 在 T P头 部 信 息 的 6 C  

位控 制 标 记 位 中得 以表 示 。对 于嵌 入 式 系统 中 T P协 议 的 实现 。 C  

u s e hr aa d[]/ C地 址  ni dca  cd r ;/ n g m 6 MA
u s n dc a  me;| 时 器  n i e  h rt r } g i 定

应从 嵌 入式 应 用 的角 度 出发 , 可 能 减少 冗 余 状 态 。程 序 中需 要  尽 其结构如下 :  
tp d fs u t y e e  t c  r

构造 一 个 T P S A U C _ T T S结 构 来 记 录 每一 个 T P连接 的状 态 信 息 , C  

}   A PC C E / R R   A H ;/ P缓 存 条 目结 构  A
32I 议 及 P n . P协   ig应 答 的 实现  I P协议 是 T P P协 议 族 中 最 为 核 心 的 协 议 。 所 有 的 T P   C仃 C 、

{  
u mg e  o g i a d; 源 I n n dln   p d rN P地 址 
_

U P IM D 、 P及 I MP包 都 以 I 据报 格 式 传 输 。P报 头 的标 准 长  C G P数 I 度为 2 0字 节 。在 具体 项 目 中由 于数 据 量 比较 小 , 以 不考 虑 数 据  可
报 分段 的问 题 . 即不 允许 数 据 报 超 出 I P包 的有 效 载 荷 。标 准 以太 

u sg e  n  ot/ 1号  n in d itp r / 2 ;端 I
u sg e  o g r mo sq ;/ 方 序 列号  n in d l n  e eu/ 对
_

u s n dln   c ls q ; 本 方 序 列 号  n i e   gl a e u N g o o
u mg e  o g od s q ; / 一次 序 列 号  n n d l n   l eu / 上
_

网帧数 据域 为 10 5 0字 节 ,除 去 I P头 之外 还 有 18 4 0字 节 可 以 为  上 层 协 议提 供 有 效 的数 据 载 荷 ,应 该 能 够 满 足数 据 传 送 的要 求 。   这 样 简 化可 以省 去 软 件 处 理 I 据 分 段 和 重组 的 开 销 ,可 以 提  P数

u sg e  o g r mo ak / 方 应 答 号  n in d l n  e c ;/ 对
_

u mg e  h r i rN超 时 用定 时器  n n dc a me; t

高 系统 数 据 传 输 的实 时 性 。P协议 对 上 一 层 传 下 来 的报 文 加 上 I  I P 首 部 和 I 验 和并 发 往 下 一 层 , 同 时 还要 对 下 一层 传 上 来 的 报  P校
文 进行 校 验 和 检查 , 校验 正 确 的 去 掉 I 将 P首 部 。 往 上 一 层 。 送   为 了便 于 测 试 , 要 实 现 P N 需 I G程 序 。 收 到 I MP的 回 显 请  在 C

u m ndc a ue N 接 活 动 性  n ge h r it 连 q ;
u s n dc a  ae N 前状 态  n i e  h r t ; 当 g st
1 C S A U ; 连 接状 态结 构  T P T T SN
_

4 结 束 语 

求 包 后 按照 格 式 组 装 一个 IMP的 回显 应 答 包并 发 送 。相 关 的 主  C
要 函数 有 :  
v i  i rq et /I G请 求  od png eu s 0/ N P
_

嵌 入式 系 统 的应 用 非 常 广泛 ,解决 嵌 入 式 系 统 的 网络 接 人 问  

题 具有 十 分重 要 的意 义 。本 文 实现 的精 简 T M P协 议栈 在具 体应  C

用 中有 良好 表 现 , 以满 足正 常 的数 据 传输 。 由于 设计 与 实现 的过  可

98 4 

电脑知识与 术 技 

维普资讯 http://www.cqvip.com

本栏 责 辑: 蕾 目 任编 冯  
程 中将应 用 层协 议 全 部 精 简 .协 议 在运 行 过 程 中 的流 量 控 制 能力  及协 议 自身 的 安 全性 都有 所 下 降 .在对 安 全 性 和 稳 定 性 要 求 较高  的应 用场 合 ( 如军 事 、 金融 等 领域 )需要 对 协议 的简 化 有所 斟 酌 。 ,  

网络通 讯 与安全 ?  
I i o 2 用实 践 『 . 京 :  ̄ sn 应 V i M] 北 电子 工 业 出版 社 , 0 . 2 4 0  

『】 耕 国 , 厚 礼 . 于 T P P协 议 单 片机 上 网 的设 计 与 实  3程 高 基 C仃
现 【】武汉 科 技 大 学 学 报 ( J . 自然 科 学 版)2 0 , ) ,04( . 2 
『1 夏 利 . 继 军 , 胜 军 . 入 式 It n t U P协议 的 实  4田 汪 薛 嵌 ne e 中 D r

参 考文献 :  
『 罗 蕾 . 入式 实 时 操 作 系 统及 应 用 开发 [ . 京 : 京 航 空  1 ] 嵌 M]北 北
航 天 大 学 出版 社 . 0 5 20 .  

现 【】计算 机 与 数 字 工 程 ,0 6() J . 20, . 2 
『] o gaE C me. T P P进 行 网际 互 联 [ ] 北 京 : 子工  5 D u ls .o r 用 C I M. 电 业 出版 社 , 0 0 20.  

『 徐 爱 钧 , 秀 华 . e  x 1V . 2 1 彭 K iC 5  7 l 0单 片 机 高 级 语 言 编 程 与 
( 接 第 9 2页) 上 4  

火 墙 能 替 代 杀 毒 软件 。要 解 决 病 毒 问题 还 必 须 在 每 台 主机 上 安 装  专 门 的杀 病 毒 软 件 。   4 防火 墙 不 能 防 范 内 部用 户 的 恶 意 行 为 。 - 4   由 于 内 部 用 户 进 行 的 偷 窃 数 据 或 其 它 破 坏 行 为 都 处 于 网 络  内部 , 各 种 信 息 均 不 通 过 防 火墙 , 此 防火 墙 无 法 阻 止 。 其 因  

全 控 制 , 且 , 不 是 所 有 的 互 联 网应 用 软 件 都 可 以 使 用 代 理 服  而 并
务。  

33状 态 检测 技 术  _

状 态 检  ̄ (ttu  setn防 火 墙 又 叫 做 动 态 包 过 滤 防火  .Sa flnpci ) ] 1 e I o
墙 . 在 传 统 包 过 滤 技 术 的 基 础 上 进 行 改 进 的结 果 , 统 包 过 滤  是 传 技 术 只能 检查 单 个 的数 据 包 并 且 安 全 规 则 是 静 态 的 , 状 态 检 测  而 防火 墙 可 以将 前 后 数 据 包 的上 下 文 联 系 起 来 , 据 过 去 的通 信 信  根

5防火墙 的发 展方 向 
随 着 网络 技 术 的发 展 , 客 攻 击 、 意 软 件 及 病 毒 等 各 种 安  黑 恶
全 威 胁 的 进 一 步升 级 , 使 防火 墙 也 在 不 断 发展 。 促  

息 和 其 他应 用 程 序 获得 的状 态 信 息 动 态 生 成 过 滤 规 则 , 根 据 此  并 规 则 过滤 新 的 通 信 。而 新 的通 信 结 束 后 新 生 成 的 过 滤 规 则将 自动 
从 规 则 表 中删 除 。   状 态 检 测 防 火 墙 的 理 论 基 础 是 使 用 客 户 机/ 务 器 模 式 进 行  服

51目前 的防 火 墙 采 取 数 据 匹 配 检 查 的 方 法 , 全 性 越 高 , . 安 需  要 的计 算 量 就 越 大 , 率也 就 随 之 降低 。未 来 的 防火 墙 要 求 是 高  效 安 全 性 和 高 效 率 的统 一 。使 用 专 门 的芯 片 负 责 访 问 控 制 功 能 , 设 
计 新 的 防 火 墙 的技 术 构 架 是 未 来 防火 墙 的方 向。  

的连 接具 有 连 接 状 态 ,最 典 型 的 是 T P连 接 , C C T P连 接 必 须 经 过  3次 握手 , 在这 些 不 同的 阶段 中其 状 态 是 不 一样 的 , 而状 态 的转 换 
又有 着其 规 律 , 因此 防 火 墙通 过 T P包 头 的标 志 位 就 可 以确 定 连  C

5 . 布 式 防火 墙 。当前 的防 火墙 一般 都 是 边 界 防 火墙 , 2分 只能  监 控 通 过 防 火 墙 的数 据 。 且认 为 内 部 网络 是 绝 对 安 全 的 。然 而  并 事 实 并 非 如 此 , 络上 的很 多 灾 难 常 常是 由 内部 用 户 的无 意 或 恶  网
意 行 为 造 成 的 , 是提 出 了 分 布式 防火 墙 的概 念 。分 布 式 防火 墙  于

接 处 于何 种 状 态 , 旦 发 现 所 发 送 包 和 状 态 不 符 , 可 认 为 是 状  一 就
态异 常 的包 进 行 拒 绝 , 不 必对 I 而 P地址 或 T P端 口进 行 检查  C

是 一 种 全新 的 防 火 墙 体 系 结 构 , 括 网 络 防 火 墙 、 机 防火 墙 和  包 主 中心 管 理 三 个 部 分 , 网络 边 界 、 子 网和 网 络 内 部 各 节 点 之 间 对 各   的进 行 安 全 防护 。这 种 方 式 加 强 了对 内部 网 络 的 监 控 , 建 了一  构
个 全 方 位 的 保护 体 系 。   53联 动 防 火 墙 。 基 于 防 火 墙 本 身 的 局 限 性 以 及其 他 安 全 技  -

状 态 检测 防火 墙 中有 一 个 规 则 集 和 一 个 状 态 表 ( a  al) S t T be te   状 态 表 中 保 留 着 当前 活 动 的合 法 连 接 ,它 的 内容 是 动 态 变 化 的 。   当防 火墙 接 收 到 初 始 化 T P连 接 的数 据包 时 , 根 据 事 先 设 定 的 C 会   静 态 规 则 集对 此 数 据 包 进 行 检 查 ,如 果 在 检 查 所 有 的规 则 之 后 ,  
该 数 据 包 都没 有 被 允 许 通 过 , 么 拒 绝 此 次 连 接 。 如 果 该 数 据 包  那 被 接 受 , 在 状 态 表 中 记 录 下 该 连 接 的 相 关 信 息 。 对 于 随 后 的数  则

术 的成 熟 应 用 , 现 了联 动 防火 墙 的 概念 。将 防火 墙 同其 他 安 全  出 设 备 进 行 整 合 , 分发 挥 各 自的 优势 , 同配 合 , 构 起 立 体 的安  充 协 架 全 防 范 体 系 。例 如 将 防 火 墙 与 防 病 毒 产 品 联 动 , 以在 网关 处 对  可 病 毒 进 行 查 杀 , 病毒 阻挡 在 网络 之 外 。此 外 防火 墙 与 入 侵 监 测  将
系 统 的 联 动 也是 非 常 重 要 的 , 因为 两 种 技 术 有很 强 的 互 补性 。  

据 包 , 将 其 与 状 态 表 里 纪 录 的 连 接 内 容 进 行 比较 , 果 状 态 表  就 如
中存 在此 会 话 而 且数 据包 状 态 正 确 . 接 受 此 数 据 包 , 则 丢 弃  则 否 这 种 方 式 的好 处 在 于 :不 是 每个 数 据 包 都 要 和 安 全 规 则 比  较 , 有 在 新 的 请 求 连 接 的 数 据 包 到来 时 才 进 行 安 全 检 查 , 而  只 从

54智 能 防 火 墙 。 智 能 防 火 墙 是 利 用 统计 、 忆 、 - 记 概率 和 决 策  的 智 能 方 法 来 对 数 据 进 行 识 别 , 达 到访 问控 制 的 目的 。新 的数  并 学 方 法 , 除 了 匹 配 检 查 所 需 要 的 海 量 计 算 , 效 发 现 网络 行 为  消 高 的 特 征 值 , 接进 行 访 问控 制 。智 能 防火 墙 能 解 决 普 遍 存 在 的拒  直 绝 服 务 攻 击 ( D S 的 问题 , 毒 传 播 的 问题 和 高 级 应 用 入 侵 的 D O) 病   行为 , 比传 统 的 防 火 墙更 安全 , 效率 更 高 。  

提 高 了系 统 的性 能 ; 且 状 态 表 是 动 态 的 , 存 了数 据 包 的 状 态  而 保 信 息 , 全性 高 。 安  

4 防火墙 的局 限性 
虽然 防火 墙 能 够 提 高 网 络 的 安 全 性 ,但 它 并 不 是 全 能 的 . 它 
也 具 有 一定 的 局 限性 :  

4 1防火 墙 不 能 防 范不 通 过 它 的 连 接 。 、  

6结束 语 
防 火 墙 是 网 络 安 全 的 屏 障 ,能 有效 地提 高 网络 的 安 全 性 。 但  不 要 将 网络 安 全 单 纯 的 依 赖 于 防 火 墙 , 仅 是 全 面 的安 全 策 略 中 它   的 一 个 重 要 组 成 部 分 , 该 和 防 病 毒 、 侵 检 测 、 据 加 密 、 份  应 入 数 身 认 证 等 安 全 防 护 技 术 结 合 起 来 , 同建 立 一 个 有 效 的安 全 防 范 体  共
系。  

防 火 墙 一 般 位 于 内 部 网 络 的边 界 上 。监 控 所 有 通 过 它 的 通  信, 如果 信 息 能 够 通 过 无 线 接 人 技 术 或拨 号访 问 等 方 式 绕 过 防 火  墙 进 出 网络 , 么 防火 墙 就 没有 任何 用 处 。 那   42防火 墙 不 能 防 范全 部 的威 胁 。 、  
防火 墙 是 在 已知 的 攻 击 模 式 下 制 定 相 应 的 安 全 策 略 的 . 因此 

能 够 防范 已知 的 威胁 , 于 全新 的攻 击 方 式 则 难 以有 效 。 对   43防火 墙 不 能 防 止感 染 了病 毒 的 软 件或 文 件 的传 输 。 -   虽然 很 多 防火 墙 都 会 对 通 过 的 所 有 数 据 包 进 行 安 全 检 测 .   已 决 定 是 否 允 许 其 通 过 , 一 般 只会 检 查 数 据 包 的包 头 部 分 , 数  但 对

参考 文献 :  
[] 连 业, 维 , 1 黎 张 向东 明. 防火 墙 及 其 应 用 技 术 [ . 京 : 华 大  M] 北 清
学 出 版 社.0 47 2 0 ..  

[ 胡 道 元 , 华. 络 安 全[ ] 京 : 华 大 学 出版 社 , 0 .. 2 ] 闵京 网 M. 北 清 2 41 0  
[] 天 洲 , 纯 , 小 妮 . 3陈 陈 谷 计算 机 安 全 策 略【 ] 江 大 学 出 版 社, M. 浙  
2 0 _. 0 48  

据包 的具 体 内 容不 太关 心 。 即使 是 最 先 进 的数 据 包 过 滤 , 病 毒  在
防范 上 也 是不 适 用 的 . 为病 毒 的 种 类 太 多 . 作 系 统 也 有 多 种 . 因 操   而且 有 很 多 方 法可 以将 病 毒 在 数 据 中隐 藏 起 来 , 此 不 能 期 望 防  因

f 万 平 国. 一 代智 能防 火 墙 【. 算 机 安 全,0 31 :- . 4 J 新 J计 】 20 .2 3 5