關于嵌入式網絡防火墻安全性分析

◆杜國真 王利祥

（河南護理職業學院 河南 455000）

嵌入式系統限于自身構造的特點，在應用過程中具有一定的風險性，在當前嵌入式系統開發及應用中，提高安全性能是嵌入式網絡安全研究的重點方向。保證信息安全傳輸，加強保密能力從而提升網絡防火墻的安全，防止惡意信息的侵襲是最為重要的。

1 現行網絡防火墻構成方式與缺陷

1.1 現行網絡防火墻的構成方式和性能

現行網絡防火墻的構成方式為：網絡控制代理功能、網絡檢測代理功能、主機代理安全管理、管理中心。其中網絡控制代理能夠針對信息數據包進行全面的安全管理工作；網絡檢測代理功能可以對通過網絡渠道進行入侵的信息進行檢查，發現異常行為后通過跟蹤入侵痕跡和信息數據包進行追蹤，從而查找到危險信息的來源；主機代理安全管理對所有處于流動狀態的信息數據包的行為進行監測，評估其可能造成的危險等級，與此同時，該功能還能對主機內留存的數據痕跡進行分析及評審，用以提高系統自身的安全性能；現行網絡防火墻管理中心是管理者與用戶進行溝通的主要方式，管理人員可以通過其中的功能對數據信息進行安全評估，有效地分析出相關內容的危險級別并制定出針對性的安全保護方案，在很大程度上促進系統與用戶間的交流[1]。

現行網絡防火墻的主要特點在于，通過網絡控制代理功能和網絡檢測代理功能對相應的硬件進行安全檢測，此項操作一般情況下需要取得管理員授權，但普遍存在的情況是管理員權限獲取較為容易。主機安全代理和安全管理網絡中心需要通過相應的管理軟件實施安全檢測和監控功能。

1.2 現行網絡防火墻的缺陷

現行網絡防火墻大多屬于應用程序軟件，很多用戶的使用習慣比較差，經常人為卸載或長期處于關閉狀態，所以在計算機設備運行時很容易受到網絡攻擊。比如木馬等程序通過偽裝的形式潛藏下來，經常通過Windows 系統窗口面向用戶，但在程序應用端，木馬程序一旦以任何形式被用戶點擊或接收，潛藏的木馬病毒會自動運行，達到盜取用戶重要信息或破壞系統程序的目的。因此用戶需要形成良好的設備使用習慣，切不可聽信網絡上的不實言論，必須保證殺毒軟件的正常運行。不僅如此，黑客針對網絡安全體系的不同階段進行大量信息數據包的傳遞，增大網絡監測代理系統的工作量，使之在負載過重的情況下出現癱瘓，導致系統丟包率急速上升，此時系統防火墻功能已經被破壞，網絡黑客趁機發動攻擊，因為無法檢測到入侵痕跡，難以形成有效防護，使系統遭受損失。

2 嵌入式網絡防火墻面對的攻擊方式

嵌入式設備連入互聯網之后，由于其自身不具備安全防護功能，面臨的網絡入侵風險相對較高，主要面對的攻擊方式如下：第一，偽裝攻擊，此種攻擊方式是偽裝成與重要信息相似的應用實體，與其他攻擊方式緊密配合。第二，重復性篡改攻擊。此種攻擊方式在信息沒有授權的情況下頻繁出現，其內部的程序設置具有循環模塊，系統內出現任何正常的信息流通時均可以激活這個模塊，使該攻擊行為持續不斷的出現，造成系統崩潰。在此之后，未取得權限的情況下對用戶重要信息進行篡改，導致重要程序缺失，情況嚴重時會導致系統關鍵文件被破壞，從而造成系統不可逆的損失。第三，功能丟失。此種攻擊方式是對軟件功能執行程序進行破壞，使相關功能無法正常運轉，通常在實體影響到嵌入式設備的正常功能之后才會出現此種功能丟失、拒絕服務的情況[2]。

3 嵌入式網絡防火墻安全性能分析

嵌入式網絡存儲空間較小，因此其自身無法設置較強的信息分析篩選功能，很容易成為黑客的攻擊目標，且由于構造相對簡單，非常容易出現安全故障。特別是一些規模極小的嵌入式系統，只安裝了初級的防火墻軟件，對網絡入侵行為的防護能力極為低下，且由于其存儲不足，很多攻擊通過簡單的偽裝致使防火墻無法有效識別，輕而易舉地入侵系統。

但是從反方向來看，嵌入式系統在網絡中處于防護水平較低的層次，而嵌入式系統中的設備雖然類型多樣、功能多種且大都不具備安全防護功能，隨之而來的攻擊程序在設置上往往也是非常簡單。更多時候，嵌入式系統甚至不需要面對攻擊。嵌入式設備的針對功能性極強，往往采用即插即用的方式，根據特定用戶的要求開發而成，因此具有單機性。其特點決定了網絡化功能性較弱，在很大程度上避免了與網絡接觸，從而極大地降低了外網訪問次數，能夠躲過很多的攻擊。針對其數據傳輸的單向性，很多公司的門禁裝置采用的都是嵌入式設備，簡單的結構往往破綻極少，無法成為黑客攻擊對象。

嵌入式的管理水平較低，處于系統的底層，很多時候與應用層相對，由于存儲空間有限且功能單一，導致計算機病毒無法長時間存在于嵌入式系統中，從某種程度上看，嵌入式系統本身就是防火墻。然而有利也有弊，基于此種特性，內存消耗型攻擊病毒能夠對其造成一定的攻擊[3]。

除此之外，嵌入式網絡設備的針對性較強，針對特定功能的實現制定出相應的程序框架，與其他功能差別較大，常見的攻擊方式無法對嵌入式網絡防火墻造成傷害。市場上出現的絕大多數嵌入式設備沒有配備網絡連接功能，從根源上切斷了嵌入式設備遭受網絡攻擊侵蝕的可能性，從而提高了嵌入式網絡系統的安全水平。

4 嵌入式網絡防火墻的構建方式

嵌入式網絡防火墻構建的主要過程是確定防火墻中的過濾處理規則及相關的機理，其原理在于確定防火墻如何識別某個特定的數據包，最后執行通過還是丟棄選項，在具體操作中采用針對性過濾規則進行實現。通常情況下，規則必須包括處理命令，存在以下三種類型：Allow、Deny、Reject。Allow 意即允許，即為得到防火墻認可的數據包，具有安全性，在針對特定功能信息時，用戶也可自行操作，將一些安全性存疑的文件手動添加到Allow 允許命令區域。Deny 命令是防火墻不予認可的數據包，其安全性成疑且用戶沒有后續操作，因此防火墻拒絕該數據包的通過。Reject 命令則是檢測出非常嚴重的威脅，此種威脅可能跳過系統普通區域，直接對核心程序進行攻擊，目的性非常強烈，一旦得手整個系統會瞬間崩潰，因此無須人為確認或觀察待確認，直接將數據包從系統中清除，避免系統受到威脅。不僅如此，過濾規則中還應該加入禁止循環功能。數據包進入系統之后，通過以上三種命令檢測，前兩種必須執行權限限制，確保數據包不能與系統內其他程序進行數據交換，達到避免持續向處理器發送對接請求的功能，能夠有效保護系統對詢問的處理頻率，避免負載過重導致崩潰，從而為后續攻擊提供方便[4]。

5 結語

嵌入式系統設計已經得到了廣泛應用，華為公司研制成功的鴻蒙系統以及蘋果、安卓等智能設備操作系統均是基于嵌入式系統開發而成，因此提高防火墻抵抗一切安全威脅的能力對嵌入式網絡發展具有重要意義，在后續研究工作中，技術人員應該從嵌入式網絡自身的可靠性出發，實現對防火墻的升級。