桥接模式下分组转发机制的研究一、为什么要引入桥过滤防火墙随着现代互联网技术的飞速发展，低廉的联网成本以及高效的网络服务使得接入互联网的用户急剧增加，数量有限的IPv4地址格外紧缺，企业或单位通过NAT(Network Address Transmission)技术实现使用少量的公有IPv4地址供大量的内部主机24小时不间断的访问互联网，再不影响当前网络配置的情况下，网络安全管理需要一个可以对流入流出的数据包进行过滤控制的防火墙来实现对网络的管理，基于路由器的防火墙由于涉及到子网划分以及IP地址分配等问题不被看好，桥过滤的出现使得可以在网络供应商的路由器与企业或单位网络之间安插一个可配置的防火墙，不改变网络结构，更重要的是不需要分配额外的IPv4地址。

图1 桥过滤工作模式示意图二、桥过滤防火墙的基本概念1、网桥简介网桥（Bridge），是一种在链路层实现中继，常用于连接两个或更多个局域网的网络互连设备，用于连接两个或两个以上具有相同通信协议、传输介质及寻址结构的局域网。

网桥工作在数据链路层，将两个LAN连起来，先接收帧并送到数据链路层进行差错校验，根据MAC地址来转发帧，然后送到物理层再经物理传输介质送到另一个子网可以看作一个“低层的路由器”（路由器工作在网络层，根据网络地址如IP地址进行转发）。

透明网桥(transparent bridge)或生成树网桥(spanning tree bridge),首要关心的是完全透明。

装有多个LAN的单位在买回IEEE标准网桥之后，只需把连接插头插入网桥，就可以了。

不需要改动硬件和软件，无需设置地址开关，无需装入路由表或参数。

总之什么也不干，只须插入电缆就完事，现有LAN的运行完全不受网桥的任何影响。

2、工作原理透明网桥以混杂方式工作，它接收与之连接的所有LAN传送的每一帧。

当一帧到达时，网桥必须决定将其丢弃还是转发。

如果要转发，则必须决定发往哪个LAN。

这需要通过查询网桥中一张大型散列表里的目的地址而作出决定。

该表可列出每个可能的目的地，以及它属于哪一条输出线路(LAN)。

在插入网桥之初，所有的散列表均为空。

由于网桥不知道任何目的地的位置，因而采用扩散算法(flooding algorithm)：把每个到来的、目的地不明的帧输出到连在此网桥的所有LAN中（除了发送该帧的LAN）。

随着时间的推移，网桥将了解每个目的地的位置。

一旦知道了目的地位置，发往该处的帧就只放到适当的LAN上，而不再散发。

当计算机和网桥加电、断电或迁移时，网络的拓扑结构会随之改变。

为了处理动态拓扑问题，每当增加散列表项时，均在该项中注明帧的到达时间。

每当目的地已在表中的帧到达时，将以当前时间更新该项。

这样，从表中每项的时间即可知道该机器最后帧到来的时间。

网桥中有一个进程定期地扫描散列表，清除时间早于当前时间若干分钟的全部表项。

于是，如果从LAN上取下一台计算机，并在别处重新连到LAN上的话，那么在几分钟内，它即可重新开始正常工作而无须人工干预。

这个算法同时也意味着，如果机器在几分钟内无动作，那么发给它的帧将不得不散发，一直到它自己发送出一帧为止。

到达帧的路由选择过程取决于发送的LAN(源LAN)和目的地所在的LAN(目的LAN)，如下所示：（1）、如果源LAN和目的LAN相同，则丢弃该帧。

（2）、如果源LAN和目的LAN不同，则转发该帧。

（3）、如果目的LAN未知，则进行扩散。

3、网桥与交换机、路由器等网络设备的区别交换机的工作原理与桥的相似，桥接模式有时候也叫交换（switch）模式，可以把交换机当做多端口的桥，此时所谈及的交换机工作数据链路层，成为二层交换机。

顾名思义，所谓二层交换机，其进行转发的依据就是以太网帧的二层信息，即MAC地址且是帧的目的MAC地址。

交换机接收到一个以太网帧后，然后根据该帧的目的MAC，把报文从正确的端口转发出去，该过程称为二层交换（如图1所示），对应的设备称为二层交换机。

在这里稍微提一下，在二层交换机之前用于二层交换机的设备是透明网桥，它和二层交换机的最大区别就是：透明网桥只有两个端口，而交换机的端口数目远远超过两个。

图 1 交换机工作在链路层目前的交换机都采用硬件来实现其转发过程，该器件一般称为ASIC （Application Specific Integrated Circuit ），也俗称为交换引擎。

对于二层交换机来说，ASIC 将维护一张二层转发表L2FDB （Layer 2 forwarding database ）。

表项的主要内容是MAC 地址和交换机端口的对应关系。

图1即为二层交换机结构示意图。

图 2 二层交换机结构示意图下面就详细了解一下二层交换机的转发过程，以图1为例进行说明。

交换机从端口1接收到一个以太网帧，其转发流程如下：根据帧的目的MAC 查MAC 转发表(即L2FDB)，查找相应的出端口。

根据现有L2FDB 表，报文应该从端口2发送出去；L2FDB port2port3port4port5port6MAC MAC MAC MAC MAC MAC二层交换引擎SwitchASIC●如果在L2FDB表中查找不到该目的MAC，则该报文将通过广播的方式向交换机所有端口转发；●同时该以太网帧的源MAC将被学习到接收到报文的端口上，即端口1；●L2FDB表中MAC地址通过老化机制来更新；●在转发的过程中，不会对帧的内容进行修改。

图 3 二层交换机的转发流程路由器是工作在网络层，其数据包处理过程如图4所示。

路由器的基本功能是，把数据（IP 报文）传送到正确的网络，为了完成“路由”的工作，在路由器中保存着各种传输路径的相关数据－－路由表（Routing Table），供路由选择时使用。

路由表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。

路由表可以是由系统管理员固定设置好的，也可以由系统动态修改，可以由路由器自动调整，也可以由主机控制。

在路由器中涉及到两个有关地址的名字概念，那就是：静态路由表和动态路由表。

由系统管理员事先设置好固定的路由表称之为静态（static）路由表，一般是在系统安装时就根据网络的配置情况预先设定的，它不会随未来网络结构的改变而改变。

动态（Dynamic）路由表是路由器根据网络系统的运行情况而自动调整的路由表。

路由器根据路由选择协议（Routing Protocol）提供的功能，自动学习和记忆网络运行情况，在需要时自动计算数据传输的最佳路径。

细分则包括：●IP数据报的转发，包括数据报的寻径和传送;●子网隔离，抑制广播风暴;●维护路由表，并与其它路由器交换路由信息，这是IP报文转发的基础;●IP数据报的差错处理及简单的拥塞控制;●实现对IP数据报的过滤和记帐。

图 4 路由器工作在网络层路由器对转发进行路由时，其步骤如下：●根据报文的目的地址，与路由项进行匹配操作；●匹配的动作是用报文目的地址与路由项的子网掩码进行“与”；如图目的IP10.111.1.88和各表项子网掩码“与”的结果如下：●10.111.1.88 & 255.255.0.0 ＝ 10.111.0.0●10.111.1.88 & 255.255.255.0 ＝ 10.111.1.0●10.111.1.88 & 255.255.0.0 ＝ 10.111.0.0●如果“与”的结果和路由项中网络地址相同，则认为路由匹配●所有匹配项中子网掩码位数最长的为最佳匹配项，报文据此进行转发（从该表项对应接口发送）●如果找不到匹配项，则根据缺省路由0.0.0.0/0进行转发●如果没有缺省路由则报文被丢弃上述这种路由选路过程称之为最长匹配（longest-prefix match)。

图 5 路由器的最长匹配转发路由器是产生于交换机之后，就像交换机产生于集线器之后，所以路由器与交换机也有一定联系，并不是完全独立的两种设备。

而路由器工作在OSI的第三层（网络层），可以得到更多的协议信息，路由器可以做出更加智能的转发决策路由器主要克服了交换机不能路由转发数据包的不足。

交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。

而路由器则是利用不同网络的ID号（即IP地址）来确定数据转发的地址。

IP地址是在软件中实现的，描述的是设备所在的网络，有时这些第三层的地址也称为协议地址或者网络地址。

交换机一般用于LAN-WAN的连接，交换机归于网桥，是数据链路层的设备，有些交换机也可实现第三层的交换。

路由器用于WAN-WAN之间的连接，可以解决异性网络之间转发分组，作用于网络层。

他们只是从一条线路上接受输入分组，然后向另一条线路转发。

这两条线路可能分属于不同的网络，并采用不同协议。

相比较而言，路由器的功能较交换机要强大，但速度相对也慢，价格昂贵。

4、防火墙的模式传统防火墙一般工作于路由模式，防火墙可以让处于不同网段的计算机通过路由转发的方式互相通信。

如图一所示，就是一个最简单的工作于路由模式的防火墙的应用。

但是，路由模式下的防火墙有两个局限：如果防火墙的不同网口所接的局域网都位于同一网段时，传统的工作于网络层的防火墙是无法完成这种方式的包转发的；●被防火墙保护的网络内的主机要将原来指向路由器的网关设置修改成指向防火墙，同时，被保护网络原来的路由器应该修改路由表以便转发防火墙的IP报文。

如果用户的网络非常复杂时，这就给防火墙用户带来了设置上的麻烦。

这样就产生了工作在透明模式下的防火墙，工作在透明模式下的防火墙可以克服上述路由模式下防火墙的弱点，它不但可以完成同一网段的包转发，同时不需要修改周边网络设备的设置，提供很好的透明性。

在透明模式下，防火墙更像一个网桥，它不干涉网络结构，从拓扑中看来，它似乎是不存在的（因此称为透明）。

但是，透明模式的防火墙同样具备数据包过滤的功能。

透明网桥模式在数据链路层实现。

该模式下的防火墙不需要配置IP地址。

防火墙在该模式下工作时，可以透明地接入到网络的任何部位，无需改动用户网络结构和配置，即插即用，简便高效，使用方便。

三、当前的研究状况1、商业防火墙目前主流的防火墙生产商如思科、华为、Juniper、H3C等都有自己的硬件平台搭载其专属的性能实现方法。

从工作的层次划分主要有以下几类:●包过滤防火墙。

在网络层，它只是通过逐个检查单个包的地址，协议以及端口等信息来决定是否允许此数据包通过。

●应用代理防火墙。

它主要在应用层通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。

●混合型防火墙（Hybrid）。

防火墙在功能和处理上能进行融合，保证完善的应用。

动态包过滤和透明代理的有机结合，可以做到用户无需知道给他提供服务的到底是用了那些技术，而防火墙根据不同的服务要求提供用户的使用要求和安全策略。