Linu個(gè)人防火墻的設(shè)計(jì)與實(shí)現(xiàn)

Linux個(gè)人防火墻的設(shè)計(jì)與實(shí)現(xiàn)2006-02-1611:25計(jì)算機(jī)安全我要評(píng)論()摘要：本文設(shè)計(jì)的是一個(gè)基于Linux主機(jī)的包過濾型個(gè)人防火墻，它實(shí)現(xiàn)的功能和現(xiàn)今市場(chǎng)上流行的防火墻有巨大差距。隨著技術(shù)的不斷發(fā)展，防火墻也處于不斷的變化之中。防火墻技術(shù)經(jīng)歷了包過濾、應(yīng)用代理網(wǎng)關(guān)再到狀態(tài)檢測(cè)三個(gè)階段。標(biāo)簽：防火墻Linux數(shù)據(jù)包捕獲模塊包過濾Oracle幫您準(zhǔn)確洞察各個(gè)物流環(huán)節(jié)摘要防火墻是網(wǎng)絡(luò)安全研究的一個(gè)重要內(nèi)容，數(shù)據(jù)包捕獲是包過濾型防火墻的前提，本文對(duì)基于Linux主機(jī)的個(gè)人防火墻的數(shù)據(jù)包捕獲模塊進(jìn)行了研究，重點(diǎn)論述數(shù)據(jù)包捕獲模塊的結(jié)構(gòu)、組成以及功能。首先對(duì)信息安全及防火墻的重要性進(jìn)行論述，并給出防火墻的詳細(xì)分類；然后分析了基于Linux主機(jī)的個(gè)人防火墻總體設(shè)計(jì)及軟硬件平臺(tái)原理，接著論述Linux下的數(shù)據(jù)包捕獲模塊結(jié)構(gòu)與原理，并詳述其具體實(shí)現(xiàn)步驟。關(guān)鍵詞防火墻Linux數(shù)據(jù)包捕獲模塊包過濾一、 防火墻概述網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。根據(jù)防火墻所采用的技術(shù)不同，可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。包過濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。監(jiān)測(cè)型防火墻是新一代的產(chǎn)品，能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí)，這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。監(jiān)測(cè)型防火墻在安全性上已超越了包過濾型和代理服務(wù)器型防火墻，但其實(shí)現(xiàn)成本較高?；趯?duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。二、 基于Linux個(gè)人防火墻總體設(shè)計(jì)

本文研究的是防火墻系統(tǒng)的軟硬件環(huán)境以及該防火墻的開發(fā)步驟和所要實(shí)現(xiàn)的功能，最后重點(diǎn)對(duì)該防火墻系統(tǒng)所需要的硬件和軟件平臺(tái)原理進(jìn)行說明。盡管所有Linux系統(tǒng)都自帶防火墻內(nèi)核程序，但需要用戶進(jìn)行配置才能起到保護(hù)網(wǎng)絡(luò)安全的目的。1、防火墻系統(tǒng)總體設(shè)計(jì)Linux系統(tǒng)下實(shí)現(xiàn)軟件防火墻的設(shè)計(jì)與應(yīng)用，實(shí)質(zhì)上就是基于主機(jī)的網(wǎng)絡(luò)安全解決方案。因此，我們完全可以選擇合適的軟硬件平臺(tái)和相應(yīng)的防火墻設(shè)計(jì)原理，自己開發(fā)出一套能夠滿足要求的防火墻系統(tǒng)。歸納起來(lái)這里要實(shí)現(xiàn)的防火墻需要滿足兩大要求：第一，必須能夠?qū)χ鳈C(jī)提供安全保護(hù)，即對(duì)主機(jī)與局域網(wǎng)以外的主機(jī)進(jìn)行數(shù)據(jù)傳輸時(shí)實(shí)施安全保護(hù)；第二，必須能夠提供良好的人機(jī)接口界面，具有容易操作、容易管理的優(yōu)點(diǎn)?？紤]到現(xiàn)有硬件設(shè)備的限制，在保證滿足實(shí)驗(yàn)要求的環(huán)境下盡可能地簡(jiǎn)化了實(shí)驗(yàn)環(huán)境。因?yàn)樵摲阑饓ο到y(tǒng)是基于主機(jī)設(shè)計(jì)的，故只需要一個(gè)聯(lián)網(wǎng)的主機(jī)即可進(jìn)行實(shí)驗(yàn)。該系統(tǒng)是在Linux環(huán)境下用C語(yǔ)言實(shí)現(xiàn)包過濾型軟件防火墻的設(shè)計(jì)與應(yīng)用，采用Kylix開發(fā)工具進(jìn)行界面設(shè)計(jì)和數(shù)據(jù)庫(kù)連接?；贚inux的個(gè)人防火墻系統(tǒng)主要具有以下功能：（1） 全程動(dòng)態(tài)包過濾本防火墻要在Linux下實(shí)現(xiàn)全程動(dòng)態(tài)包過濾功能，通過分析數(shù)據(jù)包的地址、協(xié)議、端口對(duì)任何網(wǎng)絡(luò)連接當(dāng)前狀態(tài)進(jìn)行訪問控制，從而提高系統(tǒng)的性能和安全性。（2） 提供日志審計(jì)本防火墻配備了日志記錄系統(tǒng)和查詢工具，用于記錄系統(tǒng)管理、系統(tǒng)訪問及針對(duì)安全策略的網(wǎng)絡(luò)訪問情況。（3） 防火墻數(shù)據(jù)庫(kù)的備份本防火墻制作防火墻過濾數(shù)據(jù)庫(kù)，并且管理員可以能動(dòng)地對(duì)該數(shù)據(jù)庫(kù)進(jìn)行設(shè)置。三、基于Linux的數(shù)據(jù)包捕獲模塊結(jié)構(gòu)與原理分析本節(jié)就監(jiān)控層數(shù)據(jù)包捕獲模塊的結(jié)構(gòu)特性進(jìn)行探討，并詳細(xì)論述其原理，且對(duì)實(shí)現(xiàn)數(shù)據(jù)包捕獲功能的程序的一些重要函數(shù)進(jìn)行說明。1、數(shù)據(jù)包捕獲模塊結(jié)構(gòu)數(shù)據(jù)包捕獲模塊用于監(jiān)視和驗(yàn)證網(wǎng)絡(luò)流量情況，它可以截取或者閱讀網(wǎng)絡(luò)上OSI協(xié)議模型中各個(gè)協(xié)議層次上的數(shù)據(jù)包。本文所設(shè)計(jì)的數(shù)據(jù)包捕獲程序可以捕獲通過原始套接口（Socket）的原始數(shù)據(jù)包（RawPacket），當(dāng)一個(gè)數(shù)據(jù)包到達(dá)網(wǎng)絡(luò)接口時(shí)，數(shù)據(jù)包捕獲程序就直接從緩存區(qū)讀取捕獲的數(shù)據(jù)包，以供數(shù)據(jù)分析和處理時(shí)調(diào)用。數(shù)據(jù)捕獲模塊的結(jié)構(gòu)如圖1所示：TCP/IP網(wǎng)絡(luò)數(shù)據(jù)捕獲網(wǎng)卡設(shè)置獲取數(shù)據(jù)包得到數(shù)據(jù)包頭信息

圖1數(shù)據(jù)捕獲程序結(jié)構(gòu)圖2、數(shù)據(jù)包捕獲模塊原理分析網(wǎng)卡設(shè)置原理在一個(gè)實(shí)際的系統(tǒng)中，數(shù)據(jù)的收發(fā)是由網(wǎng)卡來(lái)完成的，網(wǎng)卡接收到傳輸來(lái)的數(shù)據(jù)，網(wǎng)卡內(nèi)的程序接收數(shù)據(jù)幀的目的MAC地址，根據(jù)計(jì)算機(jī)上的網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的接收模式判斷該不該接收，認(rèn)為不該接收就丟掉不管。而對(duì)于網(wǎng)卡來(lái)說一般有四種接收模式：廣播模式組播模式、直接方式、混雜模式。數(shù)據(jù)包捕獲程序首先使網(wǎng)絡(luò)接口(網(wǎng)卡)處于混雜狀態(tài)，從而可截獲網(wǎng)絡(luò)上的內(nèi)容，并且通過相應(yīng)的軟件處理，可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，為數(shù)據(jù)包過濾作準(zhǔn)備?；竞瘮?shù)說明本文中在Linux主機(jī)上用C語(yǔ)言編寫數(shù)據(jù)包捕獲程序，所編寫的程序中用到很多Linux中的預(yù)定義函數(shù)，在此節(jié)將對(duì)這些基本函數(shù)的功能和使用特點(diǎn)進(jìn)行說明。ioctl函數(shù)定義ioctl()函數(shù)非常龐雜，它可以控制各種文件的屬性。它用于控制特殊文件的底層設(shè)備參數(shù)，這些特殊文件通常是指終端、套接字和接口。ioctl函數(shù)原型為：intioctl(inthandle,intcmd[,int*argdx,intargcx])；socket函數(shù)定義常用的Socket類型有兩種：流式Socket(SOCK_STREAM)和數(shù)據(jù)包式Socket(SOCK_DGRAM)。流式是一種面向連接的Socket，針對(duì)面向連接的TCP服務(wù)應(yīng)用；數(shù)據(jù)報(bào)式Socket是一種無(wú)連接的Socket，針對(duì)無(wú)連接的UDP服務(wù)應(yīng)用。Socket函數(shù)原型為：intsocket(intdomain,inttype,intprotocol)；recvfrom()函數(shù)定義用recvfrom()函數(shù)來(lái)實(shí)現(xiàn)接收數(shù)據(jù)包，recvfrom()是具備“阻塞式I/O”特性的函數(shù)，能夠在沒有數(shù)據(jù)包到達(dá)的情況下暫時(shí)掛起等待，直至接收到數(shù)據(jù)包后，再激活轉(zhuǎn)入下一步處理。recvfrom()函數(shù)的原型為：intrecvfrom(SOCKETs,charFAR*buf,intlen,intflags,structsockaddrFAR*from,int*fromlen)；本函數(shù)從已連接套接口上接收數(shù)據(jù)，并捕獲數(shù)據(jù)發(fā)送源的地址。對(duì)于SOCK_STREAM類型的套接口，最多可以接收緩沖區(qū)大小個(gè)數(shù)據(jù)。如果套接口被設(shè)置為線內(nèi)接收帶外數(shù)據(jù)(選項(xiàng)為SO_OOBINLINE),且有帶外數(shù)據(jù)未讀入，則返回帶外數(shù)據(jù)。應(yīng)用程序可通過調(diào)用ioctlsocket()的SOCATMARK命令來(lái)確定是否有帶外數(shù)據(jù)待讀入。對(duì)于SOCK_STREAM類型套接口，忽略from和fromlen參數(shù)。一些“字節(jié)順序”轉(zhuǎn)換函數(shù)因?yàn)榫W(wǎng)絡(luò)和主機(jī)采用的存儲(chǔ)字節(jié)時(shí)內(nèi)存順序安排方式的差異，就存在“字節(jié)順序”的問題。在網(wǎng)絡(luò)環(huán)境下存儲(chǔ)時(shí)，高位字節(jié)存放在內(nèi)存的起始位置，而低字節(jié)則存放在較高的位置。主機(jī)

形式的存放順序恰好相反，低位字節(jié)存放在內(nèi)存的起始位置。這就需要以下相應(yīng)的字節(jié)順序轉(zhuǎn)換函數(shù)：inet_ntoa()：將32位的網(wǎng)絡(luò)二進(jìn)制數(shù)值轉(zhuǎn)換為可讀十進(jìn)制形式的帶點(diǎn)分割符的IP地址。inet_addr()：將帶有分割符的IP地址轉(zhuǎn)換為32位的unsignedlong的格式。ntohs():將網(wǎng)絡(luò)字節(jié)順序轉(zhuǎn)換為32位的主機(jī)字節(jié)順序。ntohl()：將網(wǎng)絡(luò)字節(jié)順序轉(zhuǎn)換成16位的主機(jī)字節(jié)順序。htonl()：將32位u」ong的值由主機(jī)字節(jié)順序轉(zhuǎn)換為網(wǎng)絡(luò)字節(jié)順序。htons():將16位u」ong的值由主機(jī)字節(jié)順序轉(zhuǎn)換為網(wǎng)絡(luò)字節(jié)順序。本文設(shè)計(jì)的數(shù)據(jù)捕獲程序需要使用SOCK_PACKET設(shè)備，SOCK_PACKET只在基于Linux的操作系統(tǒng)中有效定義。為此，美國(guó)洛侖茲伯克利國(guó)家實(shí)驗(yàn)室編寫了專用于數(shù)據(jù)包截獲的API函數(shù)庫(kù)“Libpcap”。該函數(shù)的設(shè)計(jì)目標(biāo)是統(tǒng)一不同系統(tǒng)上所提供的用于數(shù)據(jù)包截獲的不同類型接口，并使得類似的高層應(yīng)用程序的編寫和移植變得簡(jiǎn)單有效，不再需要對(duì)每一個(gè)應(yīng)用都使用不同的依賴于具體系統(tǒng)的數(shù)據(jù)包截獲模塊。四、基于Linux的數(shù)據(jù)包捕獲模塊設(shè)計(jì)實(shí)現(xiàn)1、數(shù)據(jù)包捕獲模塊設(shè)計(jì)流程圖在數(shù)據(jù)包捕獲程序中，通過設(shè)置網(wǎng)卡工作于混雜狀態(tài)，對(duì)網(wǎng)絡(luò)鏈路進(jìn)行監(jiān)聽并收集數(shù)據(jù)包,從而獲得數(shù)據(jù)包頭信息。其流程圖如圖2所示：圖2數(shù)據(jù)包捕獲模塊流程圖2、數(shù)據(jù)包捕獲模塊實(shí)現(xiàn)該數(shù)據(jù)包捕獲程序用C語(yǔ)言來(lái)編寫，程序中用到很多Linux網(wǎng)絡(luò)編程中的函數(shù)。(1)設(shè)置網(wǎng)絡(luò)接口為混雜模式網(wǎng)絡(luò)接口的混雜模式使得一個(gè)網(wǎng)絡(luò)接口設(shè)備從只能讀取目標(biāo)地址為6字節(jié)MAC地址的數(shù)據(jù)包，變?yōu)榭勺x取網(wǎng)絡(luò)廣播媒體中的所有數(shù)據(jù)包。該部分通過兩次ioctl函數(shù)調(diào)用實(shí)現(xiàn)：ioctl(sock,SIOCGIFFLAGS,&ifr)ifr.ifr_flags|=IFF_PROMISCioctl(sock,SIOCGIFFLAGS,&ifr)第一次的ioctl函數(shù)調(diào)用，用來(lái)截獲ifr(structifreq)結(jié)構(gòu)中所含接口名稱所指接口的標(biāo)記。第一個(gè)參數(shù)是打開的原始套接字描述符“sock”，第二個(gè)參數(shù)是所要執(zhí)行的請(qǐng)求操作。第三個(gè)參數(shù)是接口請(qǐng)求數(shù)據(jù)結(jié)構(gòu)的地址指針，該結(jié)構(gòu)中包含了所以進(jìn)行請(qǐng)求操作的接口名稱值。我們通過將混合標(biāo)記(IFF_PROMISC)應(yīng)用到接口請(qǐng)求結(jié)構(gòu)的標(biāo)記位變量中來(lái)改變接口標(biāo)記位。操作符“|=”將混合標(biāo)記符與原有的接口標(biāo)記進(jìn)行“或”操作來(lái)設(shè)置新的接口標(biāo)記。獲得新

的接口標(biāo)記后，將其設(shè)置到實(shí)際接口中。第二次的iocti調(diào)用，將接口設(shè)備設(shè)置為混合模式。正如第一個(gè)ioctl調(diào)用是獲得網(wǎng)絡(luò)接口的標(biāo)記，這次調(diào)用是設(shè)置ifr結(jié)構(gòu)中修改過的新標(biāo)記寫到物理接口上。打開Socket設(shè)備用socket函數(shù)來(lái)打開Socket設(shè)備。sock=socket(AF_PACKET,SOCK_RAW,htons(ETH_P_ALL))domain域使用AF_PACKET,能夠既接收鏈路層也接收網(wǎng)絡(luò)層的數(shù)據(jù)包。接收數(shù)據(jù)使用recvfrom()函數(shù)來(lái)實(shí)現(xiàn)接收數(shù)據(jù)包：recvfrom(sock,(char*)buf,sizeof(buf),0,(structsockaddr*)&addr，&len)這是從打開的網(wǎng)絡(luò)插座Socket讀取數(shù)據(jù)包的地方，但要注意，addr結(jié)構(gòu)有一個(gè)強(qiáng)制類型轉(zhuǎn)換，以適應(yīng)recvfrom()函數(shù)的語(yǔ)法要求，recvfrom()函數(shù)在成功讀取的情況下返回讀取的字節(jié)數(shù)，否則返回-1。判斷包頭指針該數(shù)據(jù)包捕獲模塊可以接收到的數(shù)據(jù)包都是原始數(shù)據(jù)包，它們的格式一般先是以太網(wǎng)數(shù)據(jù)幀的頭部，接著是ARP或者IP數(shù)據(jù)包的頭部。IP數(shù)據(jù)包后緊跟著TCP或UDP、ICMP的頭部，最后才是真正要傳輸?shù)臄?shù)據(jù)。于是，在拆分IP數(shù)據(jù)包時(shí)，先提取以太網(wǎng)數(shù)據(jù)幀的頭部,再提取IP數(shù)據(jù)包的頭部，然后分析TCP或UDP、ICMP數(shù)據(jù)包的頭部。最后，從數(shù)據(jù)包提取出需要的數(shù)據(jù)。3、程序中用到的一些結(jié)構(gòu)體解析sockadd_in結(jié)構(gòu)體在網(wǎng)絡(luò)中第一個(gè)被創(chuàng)造的結(jié)構(gòu)類型是sockaddr。這個(gè)數(shù)據(jù)結(jié)構(gòu)是為許多類型的套接口儲(chǔ)存地址信息。它的定義如下：structsockaddr{unsignedshortsa_family； /*這個(gè)是地址族，通常是AF-xxxx的形式*/charsa_data[14]； /*14字節(jié)的地址信息*/}；ethhdr結(jié)構(gòu)體以下是相應(yīng)數(shù)據(jù)結(jié)構(gòu)：structethhdr{unsignedcharh_dest[ETH_ALEN]；/*48位的目標(biāo)地址的網(wǎng)卡物理地址*/unsignedcharh_source[ETH_ALEN]；/*48位的源地址的物理網(wǎng)卡地址*/unsignedshorth_proto；/*16位的以太網(wǎng)協(xié)議*/}

（3） iphdr結(jié)構(gòu)體這是Linux的ip協(xié)議報(bào)頭，針對(duì)版本的不同它可以有不同的定義，我們國(guó)內(nèi)一般用BIG的定義，其中version是ip的版本,protocol是ip的協(xié)議分類,saddr是32位的源ip地址,daddr是32位的目標(biāo)ip地址。（4） tcphdr結(jié)構(gòu)體這是Linux下tcp協(xié)議的一部分，與ip協(xié)議相同取BIG，其中source是源端口，dest是目的端口，seq是s序，ack_seq是a序號(hào)，其余的是tcp的連接標(biāo)志其中包括6個(gè)標(biāo)志：syn表示連接請(qǐng)求，urg表示緊急信息，fin表示連接結(jié)束，ack表示連接應(yīng)答，psh表示推棧標(biāo)志，rst表示中斷連接。window是表示接受數(shù)據(jù)窗口大小，check是校驗(yàn)碼，urgptr是緊急指針。（5） udphdr結(jié)構(gòu)體這是Linux下ip協(xié)議中udp協(xié)議的一部分，以下是相應(yīng)數(shù)據(jù)結(jié)構(gòu)：structudphdr{u_intl6_tsource;/*源端口*/u_intl6_tdest;/*目的端口*/u_int16_tlen;/*udp長(zhǎng)度*/u_int16_tcheck;/*校驗(yàn)碼*/}本文設(shè)計(jì)的是一個(gè)基于Linux主機(jī)的包過濾型個(gè)人防火墻，它實(shí)現(xiàn)的功能和現(xiàn)今市場(chǎng)上流行的防火墻有巨大差距。隨著技術(shù)的不斷發(fā)展，防火墻也處于不斷的變化之中。防火墻技術(shù)經(jīng)歷了包過濾、應(yīng)用代理網(wǎng)關(guān)再到狀態(tài)檢測(cè)三個(gè)階段。其中狀態(tài)檢測(cè)是比較先進(jìn)的防火墻技術(shù),它摒棄了包過濾防火墻僅考查數(shù)據(jù)包的IP地址等幾個(gè)參數(shù)，而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話，利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)。狀態(tài)檢測(cè)技術(shù)在大力提高安全防范能力的同時(shí)也改進(jìn)了流量處理速度。狀態(tài)監(jiān)測(cè)技術(shù)采用了一系列優(yōu)化技術(shù)，使防火墻性能大幅度提升，能應(yīng)用在各類網(wǎng)絡(luò)環(huán)境中，尤其是在一些規(guī)則復(fù)雜的大型