电子产品世界

　　本系统的“智能”主要体现在：

　　1) 自主学习：主动收集未知入侵特征，防御未知入侵。

　　2) 主动防御：变被动为主动，将未知病毒扼杀于摇篮中。

　　此外，本系统还提供了功能强大的系统辅助工具，例如：进程管理，网络连接管理，服务管理，启动项管理，HOSTS文件管理等。

　　2 系统原理与实现

　　2.1 智能防火墙原理与实现

　　本防火墙的智能主要体现在：它能够通过自主学习实现对未知入侵的防御。

　　2.1.1 传统防火墙的工作原理

　　传统防火墙有一个入侵特征库和一个过滤规则表。当网络数据包到来时，防火墙会将包中的数据与特征库和过滤规则进行匹配，符合要求的放行，不符合规则的就丢弃。

　　传统防火墙的特征库是由防火墙开发商维护并提供给用户下载的。库中的数据都是对已知入侵的特征提取。因此传统的防火墙也只能防御已知的入侵。然而，网络中无时无刻不在产生着新的威胁，杀毒软件开发商能够分析到的危险只是其中很少的一部分。因此，传统的防火墙防御入侵的能力是非常有限的。

　　2.1.2 智能防火墙的工作原理

　　智能防火墙也有一个入侵特征库，不过维护这个特征库的不是防火墙的开发人员而是防火墙本身。

　　对于已知的威胁我们可以事先将其特征写入到特征库中。对于未知的新的安全威胁，智能防火墙可以根据黑客入侵的特征，比如在入侵的开始阶段往往是盲目的，黑客会进行大范围的攻击扫描，由此不可避免的会给不存活IP地址发送数据包。智能防火墙认为对不存活主机的连接是具有恶意的，是入侵的前兆。防火墙的内部维护着一张局域网内的存活主机列表，当它检测到网内有向不存活主机发送的ARP请求时，会伪装成目的主机发出ARP应答，并与入侵者进行进一步的交互，从交互的数据中提取特征，存入特征数据库。

　　在上述的过程中，智能防火墙虽然不知道具体的入侵类型，但是由于它掌握了入侵的数据特征，因此下次对本网的相同威胁就能被检测到。其原理如图2所示。

　　图2 智能防火墙工作原理

关键词： 防火墙 ARP