淺析大中型網絡中硬件防火墻的作用

摘要:網絡信息安全中防火墻扮演著重要角色，而硬件防火墻對大型網絡安全更是至關重要，研究硬件防火墻將為大型網絡的安全增加砝碼。通過對硬件防火墻工作原理的研究，明白為何大中型網絡要使用硬件防火墻，理解硬件防火墻在網絡中的工作原理和過程，知道硬件防火墻的基本配置考慮要素，了解硬件防火墻的選購標準，增強對硬件防火墻在網絡信息安全中重要性的認識。

關鍵詞:網絡信息安全;大型網絡;硬件防火墻;三次握手;過濾;CPU負載

中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2010)05-1093-03

Analysis of Medium and Large role in the Network Hardware Firewall

WU Yi

(Nanjing Xiaozhuang University，Nanjing 211117，China)

Abstract: Network information security plays an important role in the firewall， while the hardware firewall on the large-scale network security is essential to study the hardware firewall will increase the weight of large network security. The hardware firewall works through the research， to understand why medium and large networks to use the hardware firewall， hardware firewall in the network to understand the working principle and process know that the hardware firewall basic configuration elements to consider to understand the hardware firewall purchase standards， enhance hardware firewall in the network awareness of the importance of information security.

Key words: network information is safe; large-scale network; fire wall of the hardware; three-way handshake; filter; CPU load

伴隨著信息技術的發展，網絡已經成為人們工作生活必不可少的工具，而網絡信息安全也越來越受到人們的重視。防火墻技術的發展將促進防火墻成為網絡安全的重要保障，而硬件防火墻會成為保護大中型網絡信息安全的首選!

1 大中型網絡為何選擇硬件防火墻

軟件防火墻是安裝在計算機操作平臺的軟件產品，它通過在操作系統底層工作來實現管理網絡和優化防御功能。

對于大中型網絡來說，將軟件防火墻裝入內部網絡的每臺設備和內部服務器中來保護網絡安全的工作量是巨大的，在實際操作比較困難。首先，大中型網絡需要穩定高速運行，而基于操作系統的軟件防火墻運行將會給CPU增加超重負荷，造成路由不穩定，勢必影響網絡。其次，大中型網絡會是黑客們攻擊的對象，面對高速密集的DOS(拒絕服務)攻擊，顯然，單憑軟件防火墻本身承受能力是無法做到抵御黑客，保護網絡安全的。再次，軟件防火墻在兼容性方面不及硬件防火墻。正是軟件防火墻存在這些缺點，在大中型網絡中一般會采用硬件防火墻。

2 硬件防火墻的工作原理和網絡安全防御策略

2.1 防火墻在網絡中的位置

外部防火墻工作在外部網絡和內部網絡之間，這樣的布署將內部網絡和外部網絡有效地隔離起來，已達到增加內部網絡安全的目的。一般情況下，還要設立一個隔離區(DMZ)，放入公開的服務器，讓外網訪問時，就能增加內網的安全。而內部防火墻保護隔離區對內網的訪問安全，這樣的綜合布署將有效提高網絡安全。

2.2 硬件防火墻的構成

硬件防火墻為了克服軟件防火墻在大中型網絡中的不足，對軟件防火墻進行了改進。通過硬件和軟件的結合來設計防火墻，硬件和軟件部分都必須單獨設計，將軟件防火墻嵌入在硬件中同時，采用專門的操作系統平臺(加入Linux系統，因為有些指令程序需要安裝在Windows系統之中，而Windows穩定性不如Linux，如果在本身就很脆弱的系統平臺中布署安全策略，這樣的防火墻也會不安全)，從而避免通用操作系統的安全性漏洞。對軟硬件的特殊要求，使硬件防火墻的實際帶寬與理論值基本一致，提高吞吐量、增加安全性，加快運行速度。將這樣的硬件防火墻安裝進入大中型網絡，不僅在可以有效地保障內網與外網鏈接時的安全，而且可以保障內部網絡中不同部門不同區域之間的安全。

2.3 大中型網絡安全威脅來源

現今的網絡使用的都是TCP/IP協議，TCP報文段傳輸最重要的就是報文段首部(segment header)里面的內容，客戶端和服務端的服務響應都是與報文段首部的數據相關聯，而三次握手能夠實現也和報文段首部的數據相關，其安全性也取決于首部內容，因此黑客經常利用TCP/IP協議的漏洞對報文段首部下手從而實現有外網對內網進行攻擊。

在大中型網絡內部也有部門的劃分，對于一些比較重要的部門就連內部網絡其他部門也要授權后才能進行訪問，這樣就會最大限度保障網絡的安全，因為有的大型網絡的安全關系到國家社會的安全和穩定，所以如果在內部發生網絡威脅將會帶來更大的損失。

2.4 網絡中的攻擊手段

網絡中主要的攻擊手段就是對服務器實行拒絕服務攻擊，用IP欺騙使服務器復位合法用戶的連接，使其不能正常連接，還有就是迫使服務器緩沖區滿，無法接受新的請求。

2.4.1 偽造IP欺騙攻擊

IP欺騙中攻擊者構造一個TCP數據，偽裝自己的IP和一個合法用戶IP相同，并且對服務器發送TCP數據，數據中包含復位鏈接位(RST)，當發送的連接有錯誤時，服務器就會清空緩沖區中建立好的正確連接。這時，如果那個合法用戶要再發送合法數據，服務器就不會為其服務，該用戶必須重新建立連接。

2.4.2 SYN FLOOD攻擊

SYN FLOOD是利用了TCP協議的缺陷，一個正常的TCP連接需要三次握手，首先客戶端發送一個包含SYN標志的數據包，然后服務器返回一個SYN/ACK的應答包，表示客戶端的請求被接受，最后客戶端再返回一個確認包ACK，這樣才完成TCP連接。在服務器端發送應答包后，如果客戶端不發出確認，服務器會等待到超時，期間這些半連接狀態都保存在一個空間有限的緩沖區隊列(Backlog Queue)中。SYN FLOOD攻擊就是利用服務器的連接緩沖區，使用一些特制的程序(可以設置TCP報文段的首部，使整個TCP報文與正常報文類似，但無法建立連接)，向服務器端不斷地成倍發送僅有SYN標志的TCP連接請求，當服務器接收的時候，都認為是沒有建立起來的連接請求，于是為這些請求建立會話，排到緩沖區隊列中，這樣就會使服務器端的TCP資源迅速耗盡，當緩沖區隊列滿時，服務器就不再接收新的連接請求了。其他合法用戶的連接都會被拒絕，導致正常的連接不能進入，甚至會導致服務器的系統崩潰。

2.4.3 ACK Flood攻擊

用戶和服務器之間建立了TCP連接后，所有TCP報文都會帶有ACK標志位，服務器接受到報文時，會檢查數據包中表示連接的數據是否存在，如果存在，在檢查連接狀態是否合法，合法就將數據傳送給應用層，非法則服務器操作系統協議棧會回應RST包給用戶。對于JSP服務器來說，小的ACK包沖擊就會導致服務器艱難處理正常得連接請求，而大批量高密度的ACK Flood會讓Apache或IIS服務器出現高頻率的網卡中斷和過重負載，最終會導致網卡停止響應。ACK Flood會對路由器等網絡設備以及服務器造成影響。

2.4.4 UDP Flood攻擊

UDP Flood攻擊是利用UDP協議無連接的特點，偽造大量客戶端IP地址向服務器發起UDP連接，一旦服務器有一個端口響應并提供服務，就會遭到攻擊，UDP Flood會對視頻服務器和DNS服務器等造成攻擊。

2.4.5 ICMP Flood攻擊

ICMP Flood通過Ping產生的大量數據包，發送給服務器，服務器收到大量ICMP數據包，使CPU占用率滿載繼而引起該 TCP/IP 棧癱瘓，并停止響應 TCP/IP 請求，從而遭受攻擊，因此運行逐漸變慢，進而死機。

除了以上幾種攻擊手段，在網絡中還存在一些其他攻擊手段，如寬帶DOS攻擊，自身消耗DOS攻擊，將服務器硬盤裝滿，利用安全策略漏洞等等，這些需要硬件防火墻對其做出合理有效防御。

2.5 硬件防火墻防御攻擊的策略

2.5.1 偽造IP欺騙攻擊的防御策略

當IP數據包出內網時檢驗其IP源地址，每一個連接內網的硬件防火墻在決定是否允許本網內部的IP數據包發出之前，先對來自該IP數據包的IP源地址進行檢驗。如果該IP包的IP源地址不是其所在局域網內部的IP地址，該IP包就被拒絕，不允許該包離開內網。這樣一來，攻擊者至少需要使用自己的IP地址才能通過連接網關或路由器。這樣過濾和檢驗內網發出數據包的IP源地址的方法基本可以做到預防偽造IP欺騙攻擊。

2.5.2 SYN FLOOD攻擊防御策略

硬件防火墻對于SYN FLOOD攻擊防御基本上有三種，一是阻斷新建的連接，二是釋放無效連接，三是 SYN Cookie和Safe Reset技術。

阻斷新建連接就是在防火墻發現連半開連接數閾值和新建連接數閾值被超時時，SYN FLOOD攻擊檢測發現攻擊，暫時阻止客戶向服務器發出的任何請求。防火墻能在服務器處理新建連接報文之前將其阻斷，削弱了網絡攻擊對服務器的影響，但無法在服務器被攻擊時有效提升服務器的服務能力。因此，一般配合防火墻SYN Flood攻擊檢測，避免瞬間高強度攻擊使服務器系統崩潰。

釋放無效鏈接是當服務器上半開連接過多時，要警惕冒充客戶端的虛假IP發起無效連接，防火墻要在這些連接中識別那些是無效的，向服務器發送復位報文，讓服務器進行釋放，協助服務器恢復服務能力。

SYN Cookie和Safe Reset是驗證發起連接客戶的合法性。防火墻要保護服務器入口的關鍵位置，對服務器發出的報文進行嚴格檢查。

2.5.3 ACK Flood攻擊防御策略

防火墻對網絡進行分析，當收包異常大于發包時，攻擊者一般采用大量ACK包，小包發送，提高速度，這種判斷方法是對稱性判斷，可以作為ACK Flood攻擊的依據。防火墻建立hash表存放TCP連接狀態，從而大致上知道網絡狀況。

2.5.4 UDP Flood攻擊防御策略

UDP Flood攻擊防御比較困難，因為UDP是無連接的，防火墻應該判斷UDP包的大小，大包攻擊則采用粉碎UDP包的方法，或者對碎片進行重組。還有比較專業的防火墻在攻擊端口不是業務端口是丟棄UDP包，抑或將UDP也設一些和TCP類似的規則。

2.5.5 ICMP Flood攻擊防御策略

對于ICMP Flood的防御策略，硬件防火墻采用過濾ICMP 報文的方法。

硬件防火墻還對網絡中其他的一些攻擊手段進行著安全有效的防御，保護著網絡的安全。

3 硬件防火墻的配置考慮要素和選購標準

硬件防火墻是網絡硬件設備，需要安裝配置，網絡管理人員應該要考慮實際應用中硬件規則的改變調整，配置參數也在不斷改變。對于硬件防火墻的安全策略也應該考慮到，哪些數據流被允許，哪些不被允許，還有代理等等，還有授權的問題，外網域內網之間，內網里各個不同部門之間，還有DMZ區域和內網等，這些都需要照顧到。詳盡的安全策略應該保證硬件防火墻配置的修改工作程序化，并能盡量避免因修改配置所造成的錯誤和安全漏洞。除此之外還要考慮CPU負載問題，過高的CPU負載可能是遭到網絡DOS攻擊。硬盤中保留日志記錄也很重要，這對檢查硬件防火墻有著重要作用，還要定期檢查。

對于大中型網絡來說，硬件防火墻相當重要，因此選購硬件防火墻也是很重要的。首先品牌很重要，好的硬件防火墻需要資金和技術作為后盾，大品牌大公司生產的技術相對來說會更好，而且售后服務也會更好。其次是安全性能，網絡的安全是信息安全的生命，只有硬件防火墻本身安全，沒有漏洞才能保護好大中型網絡內部安全。再次，防火墻的數據處理能力是主要性能標準，尤其是在大型網絡中，如果沒有一定的數據吞吐量是無法完成保護網絡安全的目的的。最后就是硬件防火墻的兼容性，良好的兼容性也是網絡安全的重要前提。

綜合來說，硬件防火墻在大中型網絡中起到了保衛安全的重要作用，大中型網絡的安全關乎到企業社會和國家的信息安全，因此通過理論研究硬件防火墻，對保障信息安全起著重要作用。

參考文獻:

[1] W.Richard.Stevens TCP/IP詳解[M].北京:機械工業出版社，2000.

[2] 楊曉紅.淺析防火墻技術[J].科技資訊，2006.

[3] 李國友，曾派興，張仕斌.對硬件防火墻技術的改進方案[J].計算機安全，2004.

[4] William R.Cheswick 防火墻與因特網安全[M].北京:機械工業出版社，2000.

[5] (美)Keith E.Strassberg Richard J.Gondek Gary Rollie 火墻技術大全[M].北京:機械工業出版社，2003.

[6] (美)普端薩姆.Internet安全與防火墻[M].冉曉旻，譯.北京:清華大學出版社，2004.