大中型網絡中硬件防火墻的作用分析

湖北民族學院附屬民大醫院 楊 旭

大中型網絡中硬件防火墻的作用分析

湖北民族學院附屬民大醫院 楊 旭

【摘要】信息技術的快速發展為人們生產生活帶來極大便利，然而網絡中的安全問題也成為影響信息技術優勢實現的關鍵性因素。以大中型網絡為例，運行過程中有較多危險來源，加上惡意攻擊行為的存在，極易造成個人重要信息數據丟失，嚴重情況下將使整個網絡處于癱瘓狀態。通過實踐研究發現，將硬件防火墻引入，可起到明顯的改善作用。本文將對硬件防火墻在大中型網絡中應用的必要性、硬件防火墻安全防御策略的實現以及硬件防火墻應用中的注意事項進行探析。

【關鍵詞】大中型網絡；硬件防火墻；安全防御；注意事項

前言

作為現行網絡安全防御的重要技術，防火墻以其自身的優勢得到設計人員與用戶的青睞。但以往防火墻在大中型網絡中的應用集中表現在軟件層面，盡管其能夠發揮一定的安全防護作用，一旦危險來源或惡意攻擊行為威脅性較大，便難以實現良好的防護效果。因此，本文對硬件防火墻在大中型網絡中的應用研究，具有十分重要的意義。

1.硬件防火墻在大中型網絡中應用的必要性

1.1 軟件防火墻的應用弊端

計算機操作平臺中，以往應用的防火墻技術主要以軟件防火墻為主，其防御功能、網絡管理功能的實現主要通過操作系統實現。需注意的是，軟件防火墻應用于大中型網絡中，一般應在各服務器中裝設，面臨較大的網絡安全防護工作量。同時單純以軟件防火墻應用為主，也存在較多弊端，如軟件防火墻在操作系統中運行時，很可能為CPU帶來較大負荷，若此時路由因其受到影響，便會造成網絡運行難以保持穩定。再如大中型面臨惡意攻擊問題情況下，軟件防火墻很難有效應對DOS攻擊問題，抵御能力較差，由此使網絡安全目標的實現受到影響。另外，軟件防火墻應用中，相比硬件防火墻，兼容性較差，所以在網絡安全防護中效果也不明顯。這些軟件防火墻弊病的存在，要求將硬件防火墻引入。

1.2 網絡安全中的威脅問題

對于大中型網絡，由于其運行中主要以TCP/IP為依托，這種TCP報文段中，能夠對服務端、客戶端響應產生影響的主要為報文段首部內容，一般安全威脅的存在很大程度集中于首部內容中。這樣黑客在網絡攻擊中通常會從報文段首部方面著手，尤其在TCP協議有明顯漏洞的情況下，更易達到攻擊目標。另外，從網絡攻擊情況看，其強調采取拒絕服務攻擊方式，或直接通過服務器緩沖區的控制，使網絡安全受到影響。這種攻擊手段可具體細化為：第一，通過IP欺騙偽造手段實現。如在進行TCP數據構造的基礎上，將自身IP與用戶IP保持相同，并將含有復位鏈接位的TCP數據向服務器發送，若鏈接位存在問題，原有正確連接將被清空。而用戶進行數據發送時，服務器則不會響應。第二，利用SYN FLOOD進行攻擊。通常TCP連接中會以數據包發送、應答包返回以及確認包返回為主要步驟。而SYN FLOOD會在這一過程中對連接緩沖區進行利用，通過相應程序的利用，將SYN標志連接不斷向服務器端傳送，這樣服務器接收時會將這些請求作為未構建的請求，在此基礎上不斷進行會話的構建，當緩沖區中會話過多時，便造成TCP資源全部消耗。即使此時發送的連接請求合法，也無法被響應，嚴重情況下將導致整個系統癱瘓。第三，ACK Flood攻擊。以JSP服務器為例，若有ACK包進行沖擊，服務器在連接請求處理上將難以實現。而ACK Flood密度較大情況下，會帶來服務器過重負載、網卡中斷等問題。除此之外，現行網絡攻擊中，也包含較多其他類型攻擊，如ICMP Flood或UPD Flood等，再如寬帶DOS攻擊，這些都可能影響服務器功能的實現，要求將硬件防火墻引入，以此使大中型網絡可靠運行［1］。

2.硬件防火墻安全防御策略的實現

2.1 大中型網絡中防火墻位置與硬件防火墻應用

對于大中型網絡，通常在防火墻設置中需置于內部、外部網絡中，其通過隔離措施，使內部網絡安全目標得以實現。部分設計人員通常也直接采取DMZ隔離區設置方式，將其直接引入服務器中，對于內網安全的強化可起到明顯作用。從硬件防火墻具體應用看，主要在原有軟件防火墻的基礎上將其引入，保證在軟件、硬件等各方面都進行單獨設計。需注意由于許多指令程序的實現要求有具體的系統作為支撐，所以應進行操作系統平臺的設計，以Linux系統為例，在其基礎上進行安全策略的部署，可使防火墻應用下系統安全漏洞得以避免。同時，在防火墻引入中，要求硬件防火墻在帶寬上應與實際理論值相吻合，確保硬件防火墻運行中，運行速度、安全性以及吞吐量等都具有一定的優勢［2］。

2.2 硬件防火墻安全防御策略

針對當前系統運行中存在的安全威脅、網絡攻擊等問題，實際解決中要求采取針對性的解決措施。以IP欺騙偽造為例，主要考慮對IP源地址進行檢驗，其中硬件防火墻的運用可在發出IP數據包前便進行檢測。若檢測中發現IP源地址與局域網本身IP地址難以吻合，將拒絕發送IP包，禁止其離開內網。此時，攻擊人員若需通過路由器、連接網關，要求使用其自身IP地址。這樣在硬件防火墻運用下，IP欺騙偽造的防御便可實現。再如SYN Flood攻擊為例，將硬件防火墻引入，主要通過SYN Cookie技術、無效連接釋放與阻斷連接等方式，使防御目標得以實現。一般SYN Cookie技術應用下，要求有Safe Reset技術配合，這樣可對連接客戶合法性進行驗證，服務器入口位置在防火墻的情況下，能夠嚴格控制報文。而在無效鏈接釋放方面，主要針對服務器存在過多上半開連接情況下，對無效連接進行警告，識別其中無效鏈接并進行釋放，以此使服務器服務能力被快速恢復。同樣在新建連接阻斷方面，通常將SYN Flood攻擊檢測方式配合使用，能夠將瞬間高強度攻擊下帶來的問題被解決。具體實現中，要求硬件防火墻應用下，對新建連接數、半開連接數等閥值是否存在超時問題進行判斷，假若SYN Flood檢測中檢測到有攻擊問題存在，便會使服務器拒絕接收客戶的請求。這樣對于新建連接報文，服務器未對其處理的情況下便被防火墻所阻斷，使服務器受網絡攻擊的影響被削弱。但一般受網絡攻擊行為影響，服務器服務能力很可能下降許多［3］。

3.硬件防火墻應用中的注意事項

盡管硬件防火墻用于大中型網絡中可起到明顯的安全防御效果，但應注意其在配置與選型上也需進行控制。如在配置方面，硬件防火墻應用下需對數據流是否被允許進行判斷，并注意分析其他如內網、DMZ區域、授權問題以及代理問題。在此基礎上使安全策略實現中，不會因配置的修改而帶來漏洞或錯誤問題。配置過程中也要求做好CPU負載分析，一般負載過高情況下，受DOS攻擊的可能性也會隨之提高［4］。另外，在硬件防火墻選型中，可考慮從品牌方面著手，原因在于其整體性能較高，且在實際檢修維護中可享受到良好的售后服務。同時，選購中應做好硬件防火墻安全性能、數據處理能力以及兼容性的分析工作，保證這些性能要求都可滿足的基礎上，才可投入使用中［5］。

結論：硬件防火墻的應用是提高大中型網絡安全的重要途徑。實際引入硬件防火墻中，應正確認識軟件防火墻存在的弊病以及當前大中型網絡面臨的安全威脅與惡意攻擊問題，在此基礎上利用硬件防火墻采取針對性的防御措施，如IP欺騙偽造防御、UPD Flood 與ACK Flood攻擊問題的防御等。同時注意應用硬件防火墻中，需保證其配置較為合理，并在選型中綜合考量其整體性能，這樣才可使硬件防火墻在網絡防御中的優勢充分發揮出來。

參考文獻

［1］毋毅.淺析大中型網絡中硬件防火墻的作用［J］.電腦知識與技術，2010（5）∶1093-1095.

［2］劉吉龍.基于防火墻的企業網絡安全系統的設計與實現［D］.吉林大學，2015.

［3］衛曉娜. NISG防火墻包分類算法設計與實現［D］.中國地質大學（北京），2010.

［4］郭海濱.莆田學院校園網網絡優化改造的設計與實現［D］.南京郵電大學，2013.

［5］焦偉.電力調度自動化網絡安全防護系統的研究與實現［D］.華北電力大學，2014.