楊遠(yuǎn)興

摘 要：主要對嵌入式網(wǎng)絡(luò)防火墻的安全策略展開了探討，系統(tǒng)分析了既有網(wǎng)絡(luò)安全系統(tǒng)的主要構(gòu)成和存在的缺陷，詳細(xì)闡述了嵌入式網(wǎng)絡(luò)承受的主要網(wǎng)絡(luò)攻擊的類型和特點(diǎn)，并提出了一些有效的安全策略，以期為有關(guān)方面的需要提供參考和借鑒。

關(guān)鍵詞：嵌入式防火墻；安全策略；網(wǎng)絡(luò)安全系統(tǒng)；數(shù)據(jù)包

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A DOI：10.15913/j.cnki.kjycx.2015.19.096

1 網(wǎng)絡(luò)安全系統(tǒng)的主要構(gòu)成和缺陷

既有網(wǎng)絡(luò)安全系統(tǒng)采用的安全策略是將多層次的安全作為前提，以對應(yīng)的防護(hù)手段和防火墻，構(gòu)建典型的安全管理網(wǎng)絡(luò)系統(tǒng)，從而形成科學(xué)、合理的網(wǎng)絡(luò)安全處理流程，保護(hù)網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)。

1.1 既有網(wǎng)絡(luò)安全系統(tǒng)的主要構(gòu)成

1.1.1 網(wǎng)絡(luò)控制代理功能

該功能在網(wǎng)關(guān)管理過程中起到了十分關(guān)鍵的作用，可針對數(shù)據(jù)包進(jìn)行對應(yīng)的安全管理工作。

1.1.2 網(wǎng)絡(luò)檢測代理

該系統(tǒng)的主要作用是對網(wǎng)絡(luò)入侵行為進(jìn)行檢測，并及時獲得相關(guān)入侵信息和數(shù)據(jù)包，發(fā)現(xiàn)來自網(wǎng)絡(luò)的各種入侵行為，進(jìn)而為網(wǎng)絡(luò)管理人員提供有力的信息支持。

1.1.3 主機(jī)代理安全管理

主機(jī)代理安全管理的主要功能在于對流動的數(shù)據(jù)包進(jìn)行威脅評估，同時，分析和評估主機(jī)中存留的相關(guān)記錄，以提高系統(tǒng)自身的整體安全性能。

1.1.4 管理中心

系統(tǒng)網(wǎng)絡(luò)安全管理中心是系統(tǒng)管理人員與用戶溝通的渠道。管理人員利用管理中心的不同功能可開展安全威脅評估、安全威脅分析和安全策略實(shí)施等工作，是實(shí)現(xiàn)系統(tǒng)與用戶良好溝通的重要平臺。

1.2 既有網(wǎng)絡(luò)安全系統(tǒng)的主要特點(diǎn)和缺陷

1.2.1 既有網(wǎng)絡(luò)安全系統(tǒng)的主要特點(diǎn)

在既有網(wǎng)絡(luò)安全系統(tǒng)中，利用網(wǎng)絡(luò)控制代理和網(wǎng)絡(luò)監(jiān)測代理對對應(yīng)的硬件進(jìn)行安全管理，但主機(jī)安全代理和安全管理網(wǎng)絡(luò)中心主要通過軟件管理。

1.2.2 既有網(wǎng)絡(luò)安全系統(tǒng)中存在的缺陷

因網(wǎng)絡(luò)安全系統(tǒng)屬于應(yīng)用程序級別，在使用過程中易受到攻擊。因此，在嵌入式網(wǎng)絡(luò)安全管理中存在一定的安全隱患。

2 主要網(wǎng)絡(luò)攻擊的類型

2.1 偽裝攻擊

偽裝攻擊行為是指攻擊方偽裝成為其他具有迷惑性的實(shí)體，通過與其他主動攻擊方式的配合攻擊，尤其是在消息重疊時比較常見，存在差異明顯的實(shí)體，往往與主動攻擊形式共同使用。

2.2 重演和篡改攻擊

重演是指消息在未授權(quán)的情況下通過循環(huán)流通的方式在消息傳遞過程中持續(xù)重演，導(dǎo)致系統(tǒng)運(yùn)行超負(fù)荷，進(jìn)而造成系統(tǒng)崩潰；篡改攻擊是指在不被用戶發(fā)現(xiàn)、未授權(quán)的情況下修改消息。

2.3 拒絕服務(wù)

拒絕服務(wù)通常指在實(shí)體無法履行自身功能，且實(shí)體活動影響到其他相關(guān)嵌入式設(shè)備的正常功能后出現(xiàn)的攻擊方式。這種攻擊方式具有一般性，部分實(shí)體會阻礙其他相關(guān)功能的發(fā)揮，在通信、物流行業(yè)的嵌入式系統(tǒng)中較為常見。

2.4 網(wǎng)絡(luò)系統(tǒng)內(nèi)部攻擊

當(dāng)用戶采取不正當(dāng)途徑或不正當(dāng)行為操作系統(tǒng)時，可能導(dǎo)致系統(tǒng)內(nèi)部遭到攻擊。通常情況下，導(dǎo)致嵌入式網(wǎng)絡(luò)系統(tǒng)產(chǎn)生內(nèi)部攻擊的主要原因是計算機(jī)犯罪導(dǎo)致的系統(tǒng)破壞。

2.5 外部攻擊

嵌入式系統(tǒng)所承受的外部攻擊主要包括：①搭線。包括主動和被動兩種形式。②輻射。③黑客偽裝成為授權(quán)用戶或直接偽裝成為網(wǎng)絡(luò)自身的構(gòu)成部分，進(jìn)入網(wǎng)絡(luò)系統(tǒng)中對系統(tǒng)數(shù)據(jù)安全造成威脅。

2.6 實(shí)體攻擊

實(shí)體攻擊直接影響了系統(tǒng)硬件設(shè)備的安全，會限制正常的使用，進(jìn)而對嵌入式網(wǎng)絡(luò)實(shí)體造成了直接影響，破壞性較大。

3 嵌入式網(wǎng)絡(luò)安全的主要特點(diǎn)

由于嵌入式網(wǎng)絡(luò)設(shè)備的存儲空間有限，因此，處理信息的能力較差，易成為黑客的攻擊對象，且在一般的攻擊下易出現(xiàn)安全問題。對于一些小型的嵌入式系統(tǒng)，一般只設(shè)置了簡單的防火墻軟件，對安全威脅的防范能力較差。正因其在網(wǎng)絡(luò)中處于較低層級，且嵌入式系統(tǒng)中的設(shè)備大多不具備安全防范能力，導(dǎo)致嵌入式系統(tǒng)不需要應(yīng)對低水平的多元化攻擊。此外，嵌入式設(shè)備一般是根據(jù)相關(guān)的用戶要求而開發(fā)的，因此，其網(wǎng)絡(luò)化功能較差，這間接地降低了外網(wǎng)訪問的可能性，降低了其被攻擊的概率。

嵌入式系統(tǒng)的管理層次較低，導(dǎo)致部分計算機(jī)攻擊病毒無法長時間留在系統(tǒng)中，但易受到內(nèi)存消耗型攻擊的侵?jǐn)_。由于嵌入式網(wǎng)絡(luò)設(shè)備的功能具有很強(qiáng)的針對性，導(dǎo)致設(shè)備功能規(guī)劃存在明顯差異，一般的攻擊行為可能無法奏效。

4 嵌入式網(wǎng)絡(luò)防火墻平臺的構(gòu)建

4.1 處理器的選擇

目前，市場中主要的嵌入式處理器包括ARM、MIPS處理器、X86處理器和DSP處理器等。ARM處理器的性價比較高，在普通用戶中得到了廣泛應(yīng)用。在嵌入式網(wǎng)絡(luò)系統(tǒng)的應(yīng)用中，個人電子產(chǎn)品、無線通信、數(shù)據(jù)處理和控制等產(chǎn)品中都用到了ARM處理器。ARM處理器屬于32位處理器，同時配置了16位的指令集，其中，以ARM9最為典型。因此，本文選擇ARM9作為嵌入式網(wǎng)絡(luò)防火墻平臺的處理器。

4.2 EOS的選擇

EOS是專門用于嵌入式系統(tǒng)的操作系統(tǒng)，是應(yīng)用廣泛的系統(tǒng)操作軟件，具有GUI的圖形用戶操作界面和對應(yīng)的地層硬件驅(qū)動程序。同時，其內(nèi)部集成了各種類型的數(shù)據(jù)通信協(xié)議、瀏覽器等。目前，其他類型的嵌入式操作系統(tǒng)包括嵌入式Linux、WindowsCE等。

4.3 防火墻的過濾規(guī)則和過濾處理機(jī)理

嵌入式網(wǎng)絡(luò)系統(tǒng)防火墻構(gòu)建中的關(guān)鍵之一是確定防火墻的過濾處理規(guī)則和機(jī)理，即確定防火墻如何識別某個具體的數(shù)據(jù)包最終順利通過還是被丟棄。在實(shí)際操作過程中，通常利用對應(yīng)的過濾規(guī)則實(shí)現(xiàn)該功能。