導(dǎo)語：大中型網(wǎng)絡(luò)中硬件防火墻的作用論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：網(wǎng)絡(luò)信息安全中防火墻扮演著重要角色，而硬件防火墻對大型網(wǎng)絡(luò)安全更是至關(guān)重要，研究硬件防火墻將為大型網(wǎng)絡(luò)的安全增加砝碼。通過對硬件防火墻工作原理的研究，明白為何大中型網(wǎng)絡(luò)要使用硬件防火墻，理解硬件防火墻在網(wǎng)絡(luò)中的工作原理和過程，知道硬件防火墻的基本配置考慮要素。了解硬件防火墻的選購標(biāo)準(zhǔn)，增強(qiáng)對硬件防火墻在網(wǎng)絡(luò)信息安全中重要性的認(rèn)識。

關(guān)鍵詞：網(wǎng)絡(luò)信息安全；大型網(wǎng)絡(luò)；硬件防火墻；三次握手；過濾；CPU負(fù)載

伴隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們工作生活必不可少的工具，而網(wǎng)絡(luò)信息安全也越來越受到人們的重視。防火墻技術(shù)的發(fā)展將促進(jìn)防火墻成為網(wǎng)絡(luò)安全的重要保障，而硬件防火墻會成為保護(hù)大中型網(wǎng)絡(luò)信息安全的首選!

1大中型網(wǎng)絡(luò)為何選擇硬件防火墻

軟件防火墻是安裝在計算機(jī)操作平臺的軟件產(chǎn)品，它通過在操作系統(tǒng)底層工作來實現(xiàn)管理網(wǎng)絡(luò)和優(yōu)化防御功能。

對于大中型網(wǎng)絡(luò)來說，將軟件防火墻裝人內(nèi)部網(wǎng)絡(luò)的每臺設(shè)備和內(nèi)部服務(wù)器中來保護(hù)網(wǎng)絡(luò)安全的工作量是巨大的，在實際操作比較困難。首先，大中型網(wǎng)絡(luò)需要穩(wěn)定高速運行，而基于操作系統(tǒng)的軟件防火墻運行將會給CPU增加超重負(fù)荷，造成路由不穩(wěn)定，勢必影響網(wǎng)絡(luò)。其次，大中型網(wǎng)絡(luò)會是黑客們攻擊的對象，面對高速密集的DOS(拒絕服務(wù))攻擊，顯然，單憑軟件防火墻本身承受能力是無法做到抵御黑客，保護(hù)網(wǎng)絡(luò)安全的。再次，軟件防火墻在兼容性方面不及硬件防火墻。正是軟件防火墻存在這些缺點．在大中型網(wǎng)絡(luò)中一般會采用硬件防火墻。

2硬件防火墻的工作原理和網(wǎng)絡(luò)安全防御策略

2．1防火墻在網(wǎng)絡(luò)中的位置

外部防火墻工作在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，這樣的布署將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)有效地隔離起來，已達(dá)到增加內(nèi)部網(wǎng)絡(luò)安全的目的。一般情況下，還要設(shè)立一個隔離區(qū)(DMZ)，放人公開的服務(wù)器，讓外網(wǎng)訪問時，就能增加內(nèi)網(wǎng)的安全。而內(nèi)部防火墻保護(hù)隔離區(qū)對內(nèi)網(wǎng)的訪問安全，這樣的綜合布署將有效提高網(wǎng)絡(luò)安全。

2．2硬件防火墻的構(gòu)成

硬件防火墻為了克服軟件防火墻在大中型網(wǎng)絡(luò)中的不足，對軟件防火墻進(jìn)行了改進(jìn)。通過硬件和軟件的結(jié)合來設(shè)計防火墻，硬件和軟件部分都必須單獨設(shè)計，將軟件防火墻嵌入在硬件中同時，采用專門的操作系統(tǒng)平臺(加入Linux系統(tǒng)，因為有些指令程序需要安裝在Windows系統(tǒng)之中，而Windows穩(wěn)定性不如Linux，如果在本身就很脆弱的系統(tǒng)平臺中布署安全策略．這樣的防火墻也會不安全)，從而避免通用操作系統(tǒng)的安全性漏洞。對軟硬件的特殊要求，使硬件防火墻的實際帶寬與理論值基本一致，提高吞吐量、增加安全性，加快運行速度。將這樣的硬件防火墻安裝進(jìn)入大中型網(wǎng)絡(luò)，不僅在可以有效地保障內(nèi)網(wǎng)與外網(wǎng)鏈接時的安全．而且可以保障內(nèi)部網(wǎng)絡(luò)中不同部門不同區(qū)域之間的安全．

2．3大中型網(wǎng)絡(luò)安全威脅來源

現(xiàn)今的網(wǎng)絡(luò)使用的都是TcP，IP協(xié)議，TCP報文段傳輸最重要的就是報文段首部(segmenthea&r)~的內(nèi)容?？蛻舳撕头?wù)端的服務(wù)響應(yīng)都是與報文段首部的數(shù)據(jù)相關(guān)聯(lián)，而三次握手能夠?qū)崿F(xiàn)也和報文段首部的數(shù)據(jù)相關(guān)，其安全性也取決于首部內(nèi)容，因此黑客經(jīng)常利用TCPflP協(xié)議的漏洞對報文段首部下手從而實現(xiàn)有外網(wǎng)對內(nèi)網(wǎng)進(jìn)行攻擊。

在大中型網(wǎng)絡(luò)內(nèi)部也有部門的劃分，對于一些比較重要的部門就連內(nèi)部網(wǎng)絡(luò)其他部門也要授權(quán)后才能進(jìn)行訪問，這樣就會最大限度保障網(wǎng)絡(luò)的安全，因為有的大型網(wǎng)絡(luò)的安全關(guān)系到國家社會的安全和穩(wěn)定，所以如果在內(nèi)部發(fā)生網(wǎng)絡(luò)威脅將會帶來更大的損失。

2．4網(wǎng)絡(luò)中的攻擊手段

網(wǎng)絡(luò)中主要的攻擊手段就是對服務(wù)器實行拒絕服務(wù)攻擊，用IP欺騙使服務(wù)器復(fù)位合法用戶的連接，使其不能正常連接．還有就是迫使服務(wù)器緩沖區(qū)滿，無法接受新的請求。

2．4．1偽造IP欺騙攻擊

IP欺騙中攻擊者構(gòu)造一個TCP數(shù)據(jù)，偽裝自己的IP和一個合法用戶IP相同，并且對服務(wù)器發(fā)送TCP數(shù)據(jù)，數(shù)據(jù)中包含復(fù)位鏈接位(RST)，當(dāng)發(fā)送的連接有錯誤時，服務(wù)器就會清空緩沖區(qū)中建立好的正確連接。這時，如果那個合法用戶要再發(fā)送合法數(shù)據(jù)，服務(wù)器就不會為其服務(wù)，該用戶必須重新建立連接。

2．4．2SYNFLooD攻擊

SYNFLOOD是利用了TCP協(xié)議的缺陷，一個正常的TCP連接需要三次握手，首先客戶端發(fā)送一個包含SYN標(biāo)志的數(shù)據(jù)包，然后服務(wù)器返回一個SYN／ACK的應(yīng)答包，表示客戶端的請求被接受，最后客戶端再返回一個確認(rèn)包ACK，這樣才完成TCP連接。在服務(wù)器端發(fā)送應(yīng)答包后，如果客戶端不發(fā)出確認(rèn)，服務(wù)器會等待到超時，期間這些半連接狀態(tài)都保存在一個空間有限的緩沖區(qū)隊列(BacklogQueue)中。SYNFLOOD攻擊就是利用服務(wù)器的連接緩沖區(qū)，使用一些特制的程序(可以設(shè)置TCP報文段的首部，使整個T0P拉文與正常報文類似，但無法建立連接)，向服務(wù)器端不斷地成倍發(fā)送僅有SYN標(biāo)志的TCP連接請求，當(dāng)服務(wù)器接收的時候，都認(rèn)為是沒有建立起來的連接請求，于是為這些請求建立會話，排到緩沖區(qū)隊列中，這樣就會使服務(wù)器端的TCP資源迅速耗盡，當(dāng)緩沖區(qū)隊列滿時，服務(wù)器就不再接收新的連接請求了。其他合法用戶的連接都會被拒絕，導(dǎo)致正常的連接不能進(jìn)入，甚至?xí)?dǎo)致服務(wù)器的系統(tǒng)崩潰。

2．4．3ACKHood攻擊

用戶和服務(wù)器之間建立了TCP連接后，所有TCP報文都會帶有ACK標(biāo)志位，服務(wù)器接受到報文時，會檢查數(shù)據(jù)包中表示連接的數(shù)據(jù)是否存在，如果存在，在檢查連接狀態(tài)是否合法，合法就將數(shù)據(jù)傳送給應(yīng)用層，非法則服務(wù)器操作系統(tǒng)協(xié)議棧會回應(yīng)RST包給用戶。對于JSP服務(wù)器來說，小的ACK包沖擊就會導(dǎo)致服務(wù)器艱難處理正常得連接請求，而大批量高密度的ACKFlood會讓A．pache或IIS服務(wù)器出現(xiàn)高頻率的網(wǎng)卡中斷和過重負(fù)載，最終會導(dǎo)致網(wǎng)卡停止響應(yīng)。ACKFlood會對路由器等網(wǎng)絡(luò)設(shè)備以及服務(wù)器造成影響。

2．4．4UDPFlood攻擊

UDPFlood攻擊是利用UDP協(xié)議無連接的特點，偽造大量客戶端IP地址向服務(wù)器發(fā)起UDP連接，一旦服務(wù)器有一個端口響應(yīng)并提供服務(wù)，就會遭到攻擊，UDPFlood會對視頻服務(wù)器和DNS服務(wù)器等造成攻擊。

2．4．5ICMPFlood攻擊

ICMPFlood通過Ping產(chǎn)生的大量數(shù)據(jù)包，發(fā)送給服務(wù)器，服務(wù)器收到大量ICMP數(shù)據(jù)包，使CPU占用率滿載繼而引起該TCP／IP棧癱瘓，并停止響應(yīng)TCP／IP請求，從而遭受攻擊，因此運行逐漸變慢，進(jìn)而死機(jī)。

除了以上幾種攻擊手段，在網(wǎng)絡(luò)中還存在一些其他攻擊手段，如寬帶DOS攻擊，自身消耗DOS攻擊，將服務(wù)器硬盤裝滿，利用安全策略漏洞等等，這些需要硬件防火墻對其做出合理有效防御。

2．5硬件防火墻防御攻擊的策略

2．5．1偽造IP欺騙攻擊的防御策略

當(dāng)IP數(shù)據(jù)包出內(nèi)網(wǎng)時檢驗其IP源地址，每一個連接內(nèi)網(wǎng)的硬件防火墻在決定是否允許

本網(wǎng)內(nèi)部的IP數(shù)據(jù)包發(fā)出之前，先對來自該IP數(shù)據(jù)包的IP源地址進(jìn)行檢驗。如果該IP包的IP源地址不是其所在局域網(wǎng)內(nèi)部的IP地址，該IP包就被拒絕，不允許該包離開內(nèi)網(wǎng)。這樣一來，攻擊者至需要使用自己的IP地址才能通過連接網(wǎng)關(guān)或路由器。這樣過濾和檢驗內(nèi)網(wǎng)發(fā)出數(shù)據(jù)包的IP源地址的方法基本可以做到預(yù)防偽造IP欺騙攻擊。

2．5．2SYNFLo0D攻擊防御策略

硬件防火墻對于SYNFLOOD攻擊防御基本上有三種，一是阻斷新建的連接，二是釋放無效連接，三是SYNCookie和SafeRe．set技術(shù)。

阻斷新建連接就是在防火墻發(fā)現(xiàn)連半開連接數(shù)閾值和新建連接數(shù)閾值被超時時，SYNFLOOD攻擊檢測發(fā)現(xiàn)攻擊，暫時阻止客戶向服務(wù)器發(fā)出的任何請求。防火墻能在服務(wù)器處理新建連接報文之前將其阻斷，削弱了網(wǎng)絡(luò)攻擊對服務(wù)器的影響，但無法在服務(wù)器被攻擊時有效提升服務(wù)器的服務(wù)能力。因此，一般配合防火墻SYNFlood攻擊檢測，避免瞬間高強(qiáng)度攻擊使服務(wù)器系統(tǒng)崩潰。釋放無效鏈接是當(dāng)服務(wù)器上半開連接過多時，要警惕冒充客戶端的虛假IP發(fā)起無效連接，防火墻要在這些連接中識別那些是無效的．向服務(wù)器發(fā)送復(fù)位報文，讓服務(wù)器進(jìn)行釋放，協(xié)助服務(wù)器恢復(fù)服務(wù)能力。

SYNCo0kie和SafeReset是驗證發(fā)起連接客戶的合法性。防火墻要保護(hù)服務(wù)器入口的關(guān)鍵位置，對服務(wù)器發(fā)出的報文進(jìn)行嚴(yán)格檢查。

2．5．3ACKFlood攻擊防御策略

防火墻對網(wǎng)絡(luò)進(jìn)行分析，當(dāng)收包異常大于發(fā)包時，攻擊者一般采用大量ACK包，小包發(fā)送，提高速度，這種判斷方法是對稱性判斷．可以作為ACKFlood攻擊的依據(jù)。防火墻建立hash表存放TCP連接狀態(tài)，從而大致上知道網(wǎng)絡(luò)狀況。

2．5．4UDPHood攻擊防御策略

UDPF1ood攻擊防御比較困難，因為UDP是無連接的，防火墻應(yīng)該判斷UDP包的大小，大包攻擊則采用粉碎UDP包的方法，或者對碎片進(jìn)行重組。還有比較專業(yè)的防火墻在攻擊端口不是業(yè)務(wù)端口是丟棄UDP包，抑或?qū)DP也設(shè)一些和TCP類似的規(guī)則。公務(wù)員之家:

2．5．5ICMPFlood攻擊防御策略

對于ICMPFlood的防御策略，硬件防火墻采用過濾ICMP報文的方法。

硬件防火墻還對網(wǎng)絡(luò)中其他的一些攻擊手段進(jìn)行著安全有效的防御，保護(hù)著網(wǎng)絡(luò)的安全。

3硬件防火墻的配置考慮要素和選購標(biāo)準(zhǔn)

硬件防火墻是網(wǎng)絡(luò)硬件設(shè)備，需要安裝配置，網(wǎng)絡(luò)管理人員應(yīng)該要考慮實際應(yīng)用中硬件規(guī)則的改變調(diào)整，配置參數(shù)也在不斷改變。對于硬件防火墻的安全策略也應(yīng)該考慮到，哪些數(shù)據(jù)流被允許，哪些不被允許，還有等等，還有授權(quán)的問題，外網(wǎng)域內(nèi)網(wǎng)之問，內(nèi)網(wǎng)里各個不同部門之間，還有DMZ區(qū)域和內(nèi)網(wǎng)等，這些都需要照顧到。詳盡的安全策略應(yīng)該保證硬件防火墻配置的修改工作程序化．并能盡量避免因修改配置所造成的錯誤和安全漏洞。除此之外還要考慮CPU負(fù)載問題，過高的CPU負(fù)載可能是遭到網(wǎng)絡(luò)DOS攻擊。硬盤中保留日志記錄也很重要，這對檢查硬件防火墻有著重要作用，還要定期檢查。

對于大中型網(wǎng)絡(luò)來說，硬件防火墻相當(dāng)重要，因此選購硬件防火墻也是很重要的。首先品牌很重要，好的硬件防火墻需要資金和技術(shù)作為后盾，大品牌大公司生產(chǎn)的技術(shù)相對來說會更好，而且售后服務(wù)也會更好。其次是安全性能，網(wǎng)絡(luò)的安全是信息安全的生命．只有硬件防火墻本身安全，沒有漏洞才能保護(hù)好大中型網(wǎng)絡(luò)內(nèi)部安全。再次，防火墻的數(shù)據(jù)處理能力是主要性能標(biāo)準(zhǔn)，尤其是在大型網(wǎng)絡(luò)中，如果沒有一定的數(shù)據(jù)吞吐量是無法完成保護(hù)網(wǎng)絡(luò)安全的目的的。最后就是硬件防火墻的兼容性，良好的兼容性也是網(wǎng)絡(luò)安全的重要前提。

綜合來說，硬件防火墻在大中型網(wǎng)絡(luò)中起到了保衛(wèi)安全的重要作用，大中型網(wǎng)絡(luò)的安全關(guān)乎到企業(yè)社會和國家的信息安全，因此通過理論研究硬件防火墻，對保障信息安全起著重要作用。