01 防火墙技术基础

1.1 定义与演进历程

防火墙（Firewall）作为一种位于内部网络与外部网络之间的网络安全系统，本质上是依照特定规则允许或限制数据传输的信息安全防护机制。在汽车电子电气架构从分布式向集中式转变的背景下，防火墙技术已从传统的IT领域深度融入Adaptive AUTOSAR平台，成为保障车载网络安全的核心防线。防火墙在车载环境中的核心使命可归纳为三大功能：网络边界划分（将车辆网络划分为不同安全域）、访问控制（基于策略的通信授权）和威胁防御（阻断恶意流量入侵）。

防火墙技术的发展经历了几个阶段：

1989年至1994年

第一代包过滤防火墙（1989年）：基于网络层IP地址和端口号进行简单过滤，处理速度快但安全性有限

第二代代理防火墙（1990年代初）：通过应用层代理实现深度内容检查，安全性提升但性能开销大

第三代状态检测防火墙（1994年）：引入连接状态跟踪机制，兼顾性能与安全性

2005年至今

第四代防火墙NGFW（2009年）：整合深度包检测(DPI)、入侵防御(IPS)和应用识别等高级功能

2014年左右，随着云计算和虚拟化技术的发展，防火墙开始云化，并以软件形式部署在云环境中，为用户提供弹性伸缩、灵活部署的安全服务。

2018年华为采用机器学习和深度学习构建威胁检测模型，首次发布了运用智能检测技术的AI防火墙，解决了传统威胁检测技术颗粒粗、威胁检测周期长等问题，以应对APT为代表的高级威胁不断演进，如勒索软件、M2M攻击。

在Adaptive AUTOSAR环境中，防火墙作为网络安全的第一道防线，不仅需要应对传统网络威胁，还需解决车载环境特有的挑战：实时性要求、资源约束、长生命周期管理以及混合关键性通信需求。

1.2 防火墙的核心功能

防火墙在车载网络中通过三位一体的技术机制实现安全防护：

流量过滤与控制：基于预定义规则分析数据包头信息和内容，决定是否允许通过。在Adaptive AUTOSAR中，这体现在对SOME/IP、DDS等车载通信协议的精细管控，可基于服务标识符(Service ID)、方法标识符(Method ID)等应用层属性制定策略

网络隔离与域划分：将车辆网络划分为功能域（如动力域、信息娱乐域）和安全域（如安全关键区、非安全区），实施严格的域间访问控制。例如，动力域控制器与信息娱乐域之间的通信必须通过防火墙策略验证

安全监测与日志：记录所有通过防火墙的通信事件，为安全审计和入侵检测提供数据基础。Adaptive AUTOSAR平台通过平台健康管理(PHM)模块与防火墙日志联动，实现异常行为实时分析

在Adaptive AUTOSAR架构中，防火墙功能由平台功能集群Firewall（ara::fw）实现。其核心功能是保护车辆内部网络免受外部攻击，同时确保内部ECU之间的通信安全。具体而言，防火墙在汽车通信安全中的作用包括：

防御DoS（拒绝服务）攻击：通过速率限制和连接数控制，防止攻击者发送大量恶意数据包导致系统资源耗尽。

阻止未授权访问：基于IP、端口或服务ID的白名单机制，仅允许授权的通信连接建立。

过滤恶意数据包：深度包检查（DPI）机制能够分析应用层协议内容，识别并阻止包含恶意指令的数据包。

支持动态策略调整：根据车辆上下文（如驾驶模式、网络状态）实时调整规则，适应不同安全需求场景。

与经典AUTOSAR中的防火墙相比，Adaptive AUTOSAR的防火墙更加灵活和强大，能够支持更复杂的过滤机制和动态策略管理，同时与TLS、IPsec等高级安全协议协同工作，形成多层次的通信安全防护体系。

02 Adaptive AUTOSAR中的防火墙架构

2.1 AUTOSAR 防火墙配置

AUTOSAR 支持以太网数据包过滤防火墙，作为增强整车网络安全的附加防护层。该防火墙通过对网络通信进行规则匹配，判断是否允许或阻止特定流量通过。

源和目标 IP 地址

协议类型（如 UDP 和 TCP）

端口号

当这些地址信息与预设规则匹配时，数据包被视为“合法”并被允许通过

双重防火墙工作模式

AUTOSAR支持两种类型的防火墙机制，分别适用于不同的安全需求和资源条件：

1) 有状态防火墙（Stateful Firewall）

有状态防火墙会追踪网络连接的状态，对整个通信上下文进行分析。它不仅检查单个数据包的头部信息（如源/目的IP、端口），还会记录当前连接的状态（如TCP三次握手过程中的阶段），通过多维度会话分析实现智能放行：

持续监控TCP/UDP会话状态（如三次握手过程）

建立动态白名单机制，已验证连接后续数据包自动放行

举例来说，当一个合法的TCP连接建立后，后续属于该连接的数据包会被自动允许通行，而无需再次进行完整规则匹配。防御SYN洪泛攻击，异常连接识别准确率提升40%。

2) 无状态防火墙（Stateless Firewall）

无状态防火墙仅基于数据包自身的参数进行规则匹配，不关心连接状态。它通常使用白名单（Allow List）或黑名单（Block List）的方式控制流量，适合部署在资源受限的ECU上，提供基础的安全防护。

基于高效规则匹配的轻量化防护方案：

仅校验数据包基础特征（IP/端口/协议）

支持两种策略模式：

①白名单防火墙（Allowlist Firewall）：仅允许明确指定的通信通 过，其余全部阻断；

②黑名单防火墙（Blocklist Firewall）：仅阻断明确列出的恶意通 信，其余默认放行。

在每条 FirewallRule 中，匹配后的动作由参数 FirewallRuleProps.action 定义。

2. 2 防火墙规则（Firewall Rules）

Adaptive Platform（AP）支持基于以太网流量的模式匹配算法，实现网络通信的过滤功能。这一功能由防火墙功能集群（Functional Cluster Firewall）负责管理，包括规则的加载、配置以及对底层防火墙引擎的控制。

1) 防火墙规则管理机制：

规则定义：基于 AUTOSAR元模型(MetaModel) 标准化描述，确保跨平台一致性

部署方式：通过机器清单(Machine Manifest) 配置并分发至各AP实例

执行逻辑：

1. 按规则列表顺序匹配数据包特征

2. 命中规则则执行对应Allow/Block动作

3. 无匹配则触发默认动作(Default Action)

FC Firewall 维护一组“期望的数据包匹配模式”（Packet Pattern），每个模式对应一个操作（如允许 Allow 或阻止 Block）。在每一个部署了防火墙的AP实例中，都可以配置一组防火墙规则（Firewall Rules）。每条规则包含两个核心要素：

1) 匹配模式（Pattern）：用于匹配网络数据包的特征，如IP地址、端口号、协议类型等；

2) 执行动作（Action）：当数据包与规则匹配时，防火墙将执行相应的操作，通常是允许（Allow）或阻止（Block）该数据包。

表：Adaptive AUTOSAR 防火墙规则核心要素

防火墙会按照规则列表顺序逐条进行匹配判断，若匹配成功，则执行对应的规则动作；若无匹配项，则执行预设的默认动作（Default Action）。

Firewall pattern matching algorithm

这些防火墙规则的格式是由AUTOSAR 元模型（MetaModel）定义的，因此可以通过机器清单（Machine Manifest）对规则进行配置和部署到各个AP实例中。

虽然规则通常是静态部署的，但FC Firewall 提供了运行时动态启用/禁用规则的能力。例如，通过API设置 Firewall State，使防火墙能够根据车辆状态（如行驶、驻车、诊断会话）动态调整策略。此外，FC Firewall 还支持向入侵检测系统（IDS）上报安全事件，从而构建更全面的安全防护体系。

2) 规则分层建模（Multi-Layer Rule Modeling）

防火墙对整个网络数据包进行完整分析，因此规则描述涵盖多个协议层。在 AUTOSAR 元模型中，这些规则分别建模为：

DataLinkLayerRule（数据链路层）

NetworkLayerRule（网络层）

TransportLayerRule（传输层）

ApplicationLayerRule（应用层）

最终，这些规则被聚合进 FirewallRule 中，形成完整的规则集。

2. 3 防火墙的部署位置

防火墙功能可以在多个层级实现，主要包括：

主机ECU（Host ECU）上的软件防火墙

交换机设备（Switch）上的网络级防火墙

为了统一管理和配置不同层级的防火墙，AUTOSAR引入了如下结构：

CouplingElement（代表交换机） 和 Machine（代表ECU）中均可引用 AdaptiveFirewallModuleInstantiation，用于定义防火墙模块实例。

这些模块可选地关联到一个 StateDependentFirewall 对象，作为防火墙配置的入口点。

03 实施关键机制

3.1 三重过滤机制深度解析

防火墙支持以下三类网络数据包的检查方式：

1. 无状态网络检查（Stateless Inspection）

快速判断单个数据包是否符合规则，根据单个数据包的头部信息（如IP地址、端口、协议与预设值进行比较和过滤）。

实现简单、资源消耗低，适用于基本的安全防护场景。

优势：内存占用<10KB，延迟≤5μs

2. 有状态网络检查（Stateful Inspection）

基于底层协议的状态进行判断，如 TCP 连接状态、允许的状态转换、连接数限制等。

能有效防止SYN泛洪攻击等DoS行为，但需要维护连接状态表。

资源消耗：需50-100KB内存维护状态表

3. 深度包检测（Deep Packet Inspection, DPI）

不仅检查网络层和传输层信息，还深入分析应用层协议内容（如：拦截UDS恶意诊断指令、SOME/IP非法服务调用等）。

可基于偏移量和预期值对负载进行通用检查；

可识别非法服务调用、异常命令等高级威胁，适用于高安全需求场景。

性能影响：引入100-200μs延迟（需硬件加速）

3.2 自适应安全策略引擎

网络数据包的检查工作由防火墙引擎(Firewall Engine)完成，通常位于较低层级，如TCP/IP协议栈内部或更接近硬件驱动的位置。这种设计可以确保过滤逻辑尽早介入，提升性能并降低上层应用的负担。

Firewall architecture

AP平台通过防火墙功能集群（FC Firewall）1作为管理模块，从Machine Manifest中读取规则配置，并据此设置底层的防火墙引擎。该功能集群不直接参与数据包处理，而是承担规则配置和状态管理的角色。

防火墙的配置清单（Manifest）应具备以下功能：

定义防火墙需要检测的网络数据包特征（如源IP地址、目标IP地址、协议类型、端口号等）。

指定当某个数据包与预定义特征匹配时，防火墙应采取的具体动作（例如允许通过、丢弃、记录日志等）。

这种机制使得防火墙能够根据预设策略对网络流量进行自动过滤和控制，从而增强车载网络的安全性。

防火墙引擎实现层级：

底层位置：嵌入TCP/IP协议栈或近硬件驱动层

设计优势：

①早期过滤：在数据包进入上层前拦截威胁

②性能优化：减少应用层处理负担

③资源高效：直接访问网络硬件加速处理

3.3 防火墙的扩展功能与使用场景

状态依赖的过滤（State-Dependent Filtering）

防火墙支持根据不同车辆运行状态动态启用不同的规则集。OEM厂商可以自定义“防火墙状态”（Firewall State）

每条防火墙规则可以绑定到特定的状态，只有当前处于激活状态的规则才会被用于过滤。这种机制实现了动态策略切换，提升了安全性和灵活性。

当前的防火墙状态可以通过应用程序调用FC Firewall提供的API进行切换。

动态策略切换机制：

状态定义：OEM预设DrivingMode/ParkedMode/DiagnosticSession等状态

规则绑定：每条规则关联激活状态（如Rule1: DrvingMode + Block Port=4444）

实时切换：应用通过ara::fw API触发状态迁移（如SetFirewallState(PARKED)）

典型策略场景：

3.4 与入侵检测系统的集成

防火墙模块可与入侵检测系统（Intrusion Detection System, IDS）紧密集成。当发现可疑流量并触发阻断时，防火墙将上报相关安全事件（Security Events）至IDS管理模块（IdsM），用于进一步分析与响应。

入侵检测联动流程

IdsM 模块负责对事件进行评估、分类，并决定后续处理方式，例如：

将事件发送至SOC（安全运营中心）；

在ECU中持久化存储事件日志；

触发进一步的安全响应机制。

这种方式增强了系统的整体安全性，为整车网络安全态势感知提供了重要支撑。

示例说明

假设有一个入站网络数据包，但没有任何规则完全匹配它，因此触发默认动作（如阻断）。此时，我们需要确定这个数据包在哪一层协议上出现了“不匹配”，以便生成合适的 SEv。

我们来看几个规则的匹配情况：

规则 1：匹配 IPv4 + TCP；

规则 2：匹配 IPv4 + TCP；

规则 3：仅匹配 IPv4；

规则 5：仅匹配 SOME/IP 协议；

在这几种规则中，规则 1 和 2 是从底层协议（IPv4、TCP）开始最多连续匹配成功的规则。这意味着，该数据包在 SOME/IP 层发生了不匹配。

在当前版本中，FC Firewall 仅在“无规则匹配”的情况下才会触发安全事件（SEv），并且这种机制只在防火墙配置为“默认拒绝”时才生效。

为了生成有意义的 SEv，系统会通过比对所有防火墙规则，找出与当前数据包最接近的一组规则匹配项。其核心逻辑是：

从 OSI 模型的最低层协议（如链路层、网络层）开始；

向上逐层检查，直到某一层不再匹配；

第一次不匹配的协议层被认为是“违反规则”的关键点，并据此生成对应的 SEv。

这种方式确保了 SEv 的精准性，有助于入侵检测系统（IDS）进行进一步分析和响应，从而提升整车网络安全态势感知能力。

04 结 语

AUTOSAR 自适应平台中的防火墙功能集群（FC Firewall）作为一个核心安全管理组件，负责协调底层防火墙引擎的配置与运行。它通过读取 Machine Manifest 中的规则定义，加载并应用到相应的网络过滤引擎中，实现对以太网通信的实时监控和访问控制。

防火墙支持三种不同粒度的过滤机制——无状态、有状态和深度包检查，能够满足从基础防护到高级威胁识别的多种安全需求。同时，它还具备状态感知能力，可根据车辆运行模式（如行驶、驻车、诊断）灵活切换策略，实现精细化安全管理。

此外，防火墙模块还与入侵检测系统（IDS）紧密集成，一旦发现可疑流量，即可上报相关事件供进一步分析处理，从而构建起一个主动防御 + 威胁感知的多层次安全体系。