大中型網(wǎng)絡(luò)中硬件防火墻的作用分析

湖北民族學(xué)院附屬民大醫(yī)院 楊 旭

大中型網(wǎng)絡(luò)中硬件防火墻的作用分析

湖北民族學(xué)院附屬民大醫(yī)院 楊 旭

【摘要】信息技術(shù)的快速發(fā)展為人們生產(chǎn)生活帶來極大便利，然而網(wǎng)絡(luò)中的安全問題也成為影響信息技術(shù)優(yōu)勢實現(xiàn)的關(guān)鍵性因素。以大中型網(wǎng)絡(luò)為例，運行過程中有較多危險來源，加上惡意攻擊行為的存在，極易造成個人重要信息數(shù)據(jù)丟失，嚴(yán)重情況下將使整個網(wǎng)絡(luò)處于癱瘓狀態(tài)。通過實踐研究發(fā)現(xiàn)，將硬件防火墻引入，可起到明顯的改善作用。本文將對硬件防火墻在大中型網(wǎng)絡(luò)中應(yīng)用的必要性、硬件防火墻安全防御策略的實現(xiàn)以及硬件防火墻應(yīng)用中的注意事項進(jìn)行探析。

【關(guān)鍵詞】大中型網(wǎng)絡(luò)；硬件防火墻；安全防御；注意事項

前言

作為現(xiàn)行網(wǎng)絡(luò)安全防御的重要技術(shù)，防火墻以其自身的優(yōu)勢得到設(shè)計人員與用戶的青睞。但以往防火墻在大中型網(wǎng)絡(luò)中的應(yīng)用集中表現(xiàn)在軟件層面，盡管其能夠發(fā)揮一定的安全防護(hù)作用，一旦危險來源或惡意攻擊行為威脅性較大，便難以實現(xiàn)良好的防護(hù)效果。因此，本文對硬件防火墻在大中型網(wǎng)絡(luò)中的應(yīng)用研究，具有十分重要的意義。

1.硬件防火墻在大中型網(wǎng)絡(luò)中應(yīng)用的必要性

1.1 軟件防火墻的應(yīng)用弊端

計算機(jī)操作平臺中，以往應(yīng)用的防火墻技術(shù)主要以軟件防火墻為主，其防御功能、網(wǎng)絡(luò)管理功能的實現(xiàn)主要通過操作系統(tǒng)實現(xiàn)。需注意的是，軟件防火墻應(yīng)用于大中型網(wǎng)絡(luò)中，一般應(yīng)在各服務(wù)器中裝設(shè)，面臨較大的網(wǎng)絡(luò)安全防護(hù)工作量。同時單純以軟件防火墻應(yīng)用為主，也存在較多弊端，如軟件防火墻在操作系統(tǒng)中運行時，很可能為CPU帶來較大負(fù)荷，若此時路由因其受到影響，便會造成網(wǎng)絡(luò)運行難以保持穩(wěn)定。再如大中型面臨惡意攻擊問題情況下，軟件防火墻很難有效應(yīng)對DOS攻擊問題，抵御能力較差，由此使網(wǎng)絡(luò)安全目標(biāo)的實現(xiàn)受到影響。另外，軟件防火墻應(yīng)用中，相比硬件防火墻，兼容性較差，所以在網(wǎng)絡(luò)安全防護(hù)中效果也不明顯。這些軟件防火墻弊病的存在，要求將硬件防火墻引入。

1.2 網(wǎng)絡(luò)安全中的威脅問題

對于大中型網(wǎng)絡(luò)，由于其運行中主要以TCP/IP為依托，這種TCP報文段中，能夠?qū)Ψ?wù)端、客戶端響應(yīng)產(chǎn)生影響的主要為報文段首部內(nèi)容，一般安全威脅的存在很大程度集中于首部內(nèi)容中。這樣黑客在網(wǎng)絡(luò)攻擊中通常會從報文段首部方面著手，尤其在TCP協(xié)議有明顯漏洞的情況下，更易達(dá)到攻擊目標(biāo)。另外，從網(wǎng)絡(luò)攻擊情況看，其強(qiáng)調(diào)采取拒絕服務(wù)攻擊方式，或直接通過服務(wù)器緩沖區(qū)的控制，使網(wǎng)絡(luò)安全受到影響。這種攻擊手段可具體細(xì)化為：第一，通過IP欺騙偽造手段實現(xiàn)。如在進(jìn)行TCP數(shù)據(jù)構(gòu)造的基礎(chǔ)上，將自身IP與用戶IP保持相同，并將含有復(fù)位鏈接位的TCP數(shù)據(jù)向服務(wù)器發(fā)送，若鏈接位存在問題，原有正確連接將被清空。而用戶進(jìn)行數(shù)據(jù)發(fā)送時，服務(wù)器則不會響應(yīng)。第二，利用SYN FLOOD進(jìn)行攻擊。通常TCP連接中會以數(shù)據(jù)包發(fā)送、應(yīng)答包返回以及確認(rèn)包返回為主要步驟。而SYN FLOOD會在這一過程中對連接緩沖區(qū)進(jìn)行利用，通過相應(yīng)程序的利用，將SYN標(biāo)志連接不斷向服務(wù)器端傳送，這樣服務(wù)器接收時會將這些請求作為未構(gòu)建的請求，在此基礎(chǔ)上不斷進(jìn)行會話的構(gòu)建，當(dāng)緩沖區(qū)中會話過多時，便造成TCP資源全部消耗。即使此時發(fā)送的連接請求合法，也無法被響應(yīng)，嚴(yán)重情況下將導(dǎo)致整個系統(tǒng)癱瘓。第三，ACK Flood攻擊。以JSP服務(wù)器為例，若有ACK包進(jìn)行沖擊，服務(wù)器在連接請求處理上將難以實現(xiàn)。而ACK Flood密度較大情況下，會帶來服務(wù)器過重負(fù)載、網(wǎng)卡中斷等問題。除此之外，現(xiàn)行網(wǎng)絡(luò)攻擊中，也包含較多其他類型攻擊，如ICMP Flood或UPD Flood等，再如寬帶DOS攻擊，這些都可能影響服務(wù)器功能的實現(xiàn)，要求將硬件防火墻引入，以此使大中型網(wǎng)絡(luò)可靠運行［1］。

2.硬件防火墻安全防御策略的實現(xiàn)

2.1 大中型網(wǎng)絡(luò)中防火墻位置與硬件防火墻應(yīng)用

對于大中型網(wǎng)絡(luò)，通常在防火墻設(shè)置中需置于內(nèi)部、外部網(wǎng)絡(luò)中，其通過隔離措施，使內(nèi)部網(wǎng)絡(luò)安全目標(biāo)得以實現(xiàn)。部分設(shè)計人員通常也直接采取DMZ隔離區(qū)設(shè)置方式，將其直接引入服務(wù)器中，對于內(nèi)網(wǎng)安全的強(qiáng)化可起到明顯作用。從硬件防火墻具體應(yīng)用看，主要在原有軟件防火墻的基礎(chǔ)上將其引入，保證在軟件、硬件等各方面都進(jìn)行單獨設(shè)計。需注意由于許多指令程序的實現(xiàn)要求有具體的系統(tǒng)作為支撐，所以應(yīng)進(jìn)行操作系統(tǒng)平臺的設(shè)計，以Linux系統(tǒng)為例，在其基礎(chǔ)上進(jìn)行安全策略的部署，可使防火墻應(yīng)用下系統(tǒng)安全漏洞得以避免。同時，在防火墻引入中，要求硬件防火墻在帶寬上應(yīng)與實際理論值相吻合，確保硬件防火墻運行中，運行速度、安全性以及吞吐量等都具有一定的優(yōu)勢［2］。

2.2 硬件防火墻安全防御策略

針對當(dāng)前系統(tǒng)運行中存在的安全威脅、網(wǎng)絡(luò)攻擊等問題，實際解決中要求采取針對性的解決措施。以IP欺騙偽造為例，主要考慮對IP源地址進(jìn)行檢驗，其中硬件防火墻的運用可在發(fā)出IP數(shù)據(jù)包前便進(jìn)行檢測。若檢測中發(fā)現(xiàn)IP源地址與局域網(wǎng)本身IP地址難以吻合，將拒絕發(fā)送IP包，禁止其離開內(nèi)網(wǎng)。此時，攻擊人員若需通過路由器、連接網(wǎng)關(guān)，要求使用其自身IP地址。這樣在硬件防火墻運用下，IP欺騙偽造的防御便可實現(xiàn)。再如SYN Flood攻擊為例，將硬件防火墻引入，主要通過SYN Cookie技術(shù)、無效連接釋放與阻斷連接等方式，使防御目標(biāo)得以實現(xiàn)。一般SYN Cookie技術(shù)應(yīng)用下，要求有Safe Reset技術(shù)配合，這樣可對連接客戶合法性進(jìn)行驗證，服務(wù)器入口位置在防火墻的情況下，能夠嚴(yán)格控制報文。而在無效鏈接釋放方面，主要針對服務(wù)器存在過多上半開連接情況下，對無效連接進(jìn)行警告，識別其中無效鏈接并進(jìn)行釋放，以此使服務(wù)器服務(wù)能力被快速恢復(fù)。同樣在新建連接阻斷方面，通常將SYN Flood攻擊檢測方式配合使用，能夠?qū)⑺查g高強(qiáng)度攻擊下帶來的問題被解決。具體實現(xiàn)中，要求硬件防火墻應(yīng)用下，對新建連接數(shù)、半開連接數(shù)等閥值是否存在超時問題進(jìn)行判斷，假若SYN Flood檢測中檢測到有攻擊問題存在，便會使服務(wù)器拒絕接收客戶的請求。這樣對于新建連接報文，服務(wù)器未對其處理的情況下便被防火墻所阻斷，使服務(wù)器受網(wǎng)絡(luò)攻擊的影響被削弱。但一般受網(wǎng)絡(luò)攻擊行為影響，服務(wù)器服務(wù)能力很可能下降許多［3］。

3.硬件防火墻應(yīng)用中的注意事項

盡管硬件防火墻用于大中型網(wǎng)絡(luò)中可起到明顯的安全防御效果，但應(yīng)注意其在配置與選型上也需進(jìn)行控制。如在配置方面，硬件防火墻應(yīng)用下需對數(shù)據(jù)流是否被允許進(jìn)行判斷，并注意分析其他如內(nèi)網(wǎng)、DMZ區(qū)域、授權(quán)問題以及代理問題。在此基礎(chǔ)上使安全策略實現(xiàn)中，不會因配置的修改而帶來漏洞或錯誤問題。配置過程中也要求做好CPU負(fù)載分析，一般負(fù)載過高情況下，受DOS攻擊的可能性也會隨之提高［4］。另外，在硬件防火墻選型中，可考慮從品牌方面著手，原因在于其整體性能較高，且在實際檢修維護(hù)中可享受到良好的售后服務(wù)。同時，選購中應(yīng)做好硬件防火墻安全性能、數(shù)據(jù)處理能力以及兼容性的分析工作，保證這些性能要求都可滿足的基礎(chǔ)上，才可投入使用中［5］。

結(jié)論：硬件防火墻的應(yīng)用是提高大中型網(wǎng)絡(luò)安全的重要途徑。實際引入硬件防火墻中，應(yīng)正確認(rèn)識軟件防火墻存在的弊病以及當(dāng)前大中型網(wǎng)絡(luò)面臨的安全威脅與惡意攻擊問題，在此基礎(chǔ)上利用硬件防火墻采取針對性的防御措施，如IP欺騙偽造防御、UPD Flood 與ACK Flood攻擊問題的防御等。同時注意應(yīng)用硬件防火墻中，需保證其配置較為合理，并在選型中綜合考量其整體性能，這樣才可使硬件防火墻在網(wǎng)絡(luò)防御中的優(yōu)勢充分發(fā)揮出來。

參考文獻(xiàn)

［1］毋毅.淺析大中型網(wǎng)絡(luò)中硬件防火墻的作用［J］.電腦知識與技術(shù)，2010（5）∶1093-1095.

［2］劉吉龍.基于防火墻的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與實現(xiàn)［D］.吉林大學(xué)，2015.

［3］衛(wèi)曉娜. NISG防火墻包分類算法設(shè)計與實現(xiàn)［D］.中國地質(zhì)大學(xué)（北京），2010.

［4］郭海濱.莆田學(xué)院校園網(wǎng)網(wǎng)絡(luò)優(yōu)化改造的設(shè)計與實現(xiàn)［D］.南京郵電大學(xué)，2013.

［5］焦偉.電力調(diào)度自動化網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的研究與實現(xiàn)［D］.華北電力大學(xué)，2014.