淺析大中型網(wǎng)絡(luò)中硬件防火墻的作用

王明

摘要：信息技術(shù)的快速發(fā)展為人們的生產(chǎn)、生活帶來了極大的便利。各大型網(wǎng)絡(luò)在人們生活中的影響日益擴(kuò)大，如何保證大型網(wǎng)絡(luò)的安全性是對我們提出的新課題也是保證信息技術(shù)實(shí)現(xiàn)優(yōu)勢的關(guān)鍵因素，功能最為強(qiáng)大的硬件防火墻在網(wǎng)絡(luò)安全體系結(jié)構(gòu)的應(yīng)用尤為顯眼。本文對硬件防火強(qiáng)在大型網(wǎng)絡(luò)中的應(yīng)用的必要性，以及硬件防火墻的防御策略等方面分析了硬件防火墻在大型網(wǎng)絡(luò)中的作用進(jìn)行了探析。

關(guān)鍵詞：網(wǎng)絡(luò)安全；硬件防火墻；大型網(wǎng)絡(luò)

二十一世紀(jì)的今天，伴隨著日益發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)，是逐步加大的網(wǎng)絡(luò)安全威脅。人們亦越發(fā)重視自身所在環(huán)境的網(wǎng)絡(luò)安全體系結(jié)構(gòu)的建設(shè)和發(fā)展。各種網(wǎng)絡(luò)安全技術(shù)的提出和網(wǎng)絡(luò)安全產(chǎn)品的出現(xiàn)也不斷豐富著網(wǎng)絡(luò)安全體系。那么作為網(wǎng)絡(luò)安全產(chǎn)品中的重要組成部分，硬件防火墻能在大型網(wǎng)絡(luò)的安全體系中會體現(xiàn)出怎樣的作用呢？

一、防火墻的架構(gòu)與工作方式

防火墻可以使用戶的網(wǎng)絡(luò)規(guī)劃更加清晰明了，全面防止跨越權(quán)限的數(shù)據(jù)訪問。一套完整防火墻系統(tǒng)通常是由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到來的IP包依據(jù)組規(guī)則進(jìn)行檢查來判斷是否對之進(jìn)行轉(zhuǎn)發(fā)。屏蔽路由器從IP包的包頭取得信息，例如協(xié)議號、收發(fā)報(bào)文的IP地址和端口號、連接標(biāo)志以至另外一些IP選項(xiàng)，對IP包進(jìn)行過濾。代理服務(wù)器是防火墻中的一個服務(wù)器進(jìn)程，它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。一個代理服務(wù)器本質(zhì)上是一個應(yīng)用層的網(wǎng)關(guān)，一個為特定網(wǎng)絡(luò)應(yīng)用而連接兩個網(wǎng)絡(luò)的網(wǎng)關(guān)。用戶就一項(xiàng)TCP/IP應(yīng)用，比如Telnet或者FTP，同代理服務(wù)器打交道，代理服務(wù)器要求用戶提供其要訪問的遠(yuǎn)程主機(jī)名。當(dāng)用戶答復(fù)并提供了正確的用戶身份及認(rèn)證信息后，代理服務(wù)器接通遠(yuǎn)程主機(jī)，為2個通信點(diǎn)充當(dāng)中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認(rèn)證信息可用于用戶級的認(rèn)證。最簡單的認(rèn)證是：它只由用戶標(biāo)識和口令構(gòu)成。但是，如果防火墻是通過Internet來訪問的，應(yīng)推薦用戶使用更強(qiáng)的認(rèn)證機(jī)制，例如一次性口令或回應(yīng)式系統(tǒng)等。

二、大中型網(wǎng)絡(luò)為何選擇硬件防火墻

軟件防火墻是安裝在計(jì)算機(jī)操作平臺的軟件產(chǎn)品，它通過在操作系統(tǒng)底層工作來實(shí)現(xiàn)管理網(wǎng)絡(luò)和優(yōu)化防御功能。對于大中型網(wǎng)絡(luò)來說，將軟件防火墻裝入內(nèi)部網(wǎng)絡(luò)的每臺設(shè)備和內(nèi)部服務(wù)器中來保護(hù)網(wǎng)絡(luò)安全的工作量是巨大的，在實(shí)際操作比較困難。首先，大中型網(wǎng)絡(luò)需要穩(wěn)定高速運(yùn)行，而基于操作系統(tǒng)的軟件防火墻運(yùn)行將會給CPU增加超重負(fù)荷，造成路由不穩(wěn)定，勢必影響網(wǎng)絡(luò)。其次，大中型網(wǎng)絡(luò)會是黑客們攻擊的對象，面對高速密集的DOS（拒絕服務(wù)）攻擊，顯然，單憑軟件防火墻本身承受能力是無法做到抵御黑客，保護(hù)網(wǎng)絡(luò)安全的。再次，軟件防火墻在兼容性方面不及硬件防火墻。正是軟件防火墻存在這些缺點(diǎn)，在大中型網(wǎng)絡(luò)中一般會采用硬件防火墻。

三、硬件防火墻安全防御策略的實(shí)現(xiàn)

1、大中型網(wǎng)絡(luò)中防火墻位置與硬件防火墻應(yīng)用。對于大中型網(wǎng)絡(luò)，通常在防火墻設(shè)置放置在內(nèi)部和外部的網(wǎng)絡(luò)中，通過隔離措施，使內(nèi)部網(wǎng)絡(luò)的安全目標(biāo)可以實(shí)現(xiàn)。通常，設(shè)計(jì)人員還直接把DMZ隔離區(qū)的設(shè)置，服務(wù)器的直接引進(jìn)，加強(qiáng)網(wǎng)絡(luò)安全可以發(fā)揮重要的作用。從硬件防火墻的具體應(yīng)用來說，它主要是在原有的基于防火墻的防火墻的基礎(chǔ)上，保證了軟件、硬件等各個方面的個性化設(shè)計(jì)。因?yàn)樾枰⒁獬绦虻闹噶钚枰S多具體的制度作為支撐，所以應(yīng)該設(shè)計(jì)的操作系統(tǒng)平臺，例如Linux操作系統(tǒng)，對防火墻系統(tǒng)的安全漏洞的基礎(chǔ)上應(yīng)用安全策略部署是可以避免的。同時，引入防火墻，硬件防火墻的要求應(yīng)符合理論的實(shí)際價(jià)值，在帶寬上，保證硬件防火墻的運(yùn)行、運(yùn)行速度、安全性和吞吐量都有一定的優(yōu)勢。

2、硬件防火墻安全防御策略。針對當(dāng)前系統(tǒng)運(yùn)行中存在的安全威脅、網(wǎng)絡(luò)攻擊等問題，實(shí)際解決中要求采取針對性的解決措施。以IP欺騙偽造為例，主要考慮對IP源地址進(jìn)行檢驗(yàn)，其中硬件防火墻的運(yùn)用可在發(fā)出IP數(shù)據(jù)包前便進(jìn)行檢測。若檢測中發(fā)現(xiàn)IP源地址與局域網(wǎng)本身IP地址難以吻合，將拒絕發(fā)送IP包，禁止其離開內(nèi)網(wǎng)。此時，攻擊人員若需通過路由器、連接網(wǎng)關(guān)，要求使用其自身IP地址。這樣在硬件防火墻運(yùn)用下，IP欺騙偽造的防御便可實(shí)現(xiàn)。再如sYN Flood攻擊為例，將硬件防火墻引入，主要通過SYN Cookie技術(shù)、無效連接釋放與阻斷連接等方式，使防御目標(biāo)得以實(shí)現(xiàn)。一般SYN Cookie技術(shù)應(yīng)用下，要求有Safe Reset技術(shù)配合，這樣可對連接客戶合法性進(jìn)行驗(yàn)證，服務(wù)器入口位置在防火墻的情況下，能夠嚴(yán)格控制報(bào)文。而在無效鏈接釋放方面，主要針對服務(wù)器存在過多上半開連接情況下，對無效連接進(jìn)行警告，識別其中無效鏈接并進(jìn)行釋放， 以此使服務(wù)器服務(wù)能力被快速恢復(fù)。同樣在新建連接阻斷方面，通常將SYN Flood攻擊檢測方式配合使用，能夠?qū)⑺查g高強(qiáng)度攻擊下帶來的問題被解決。具體實(shí)現(xiàn)中，要求硬件防火墻應(yīng)用下，對新建連接數(shù)、半開連接數(shù)等閥值是否存在超時問題進(jìn)行判斷，假若SYN Flood檢測中檢測到有攻擊問題存在，便會使服務(wù)器拒絕接收客戶的請求。這樣對于新建連接報(bào)文，服務(wù)器未對其處理的情況下便被防火墻所阻斷，使服務(wù)器受網(wǎng)絡(luò)攻擊的影響被削弱。但一般受網(wǎng)絡(luò)攻擊行為影響，服務(wù)器服務(wù)能力很可能下降許多。

四、結(jié)語

隨著計(jì)算機(jī)網(wǎng)絡(luò)在人們生活中各個領(lǐng)域的廣泛應(yīng)用，網(wǎng)絡(luò)的非法行為越來越大。構(gòu)建一個完整、高效的網(wǎng)絡(luò)安全系統(tǒng)越來越重要。建設(shè)網(wǎng)絡(luò)安全系統(tǒng)，通過實(shí)際案例和基于網(wǎng)絡(luò)安全指數(shù)的例子充分體現(xiàn)了區(qū)域隔離，網(wǎng)絡(luò)安全系統(tǒng)的硬件防火墻的攻擊防護(hù)、協(xié)議過濾、流量控制、用戶身份認(rèn)證、網(wǎng)絡(luò)行為、記錄管理、遠(yuǎn)程訪問等核心應(yīng)用的VPN。認(rèn)為在很長一段時間內(nèi)如何有效地和現(xiàn)場使用硬件防火墻在應(yīng)用中的優(yōu)勢將是影響整個網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建成敗的關(guān)鍵因素。

參考文獻(xiàn)

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第四版）[M].北京：電子工業(yè)出版社，2015.

[2] 黃海.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程（第一，二學(xué)期）第三版[M].北京：人民郵電出版社，2014.