湖北民族學(xué)院附屬民大醫(yī)院 楊 旭

大中型網(wǎng)絡(luò)中硬件防火墻的作用分析

湖北民族學(xué)院附屬民大醫(yī)院 楊 旭

【摘要】信息技術(shù)的快速發(fā)展為人們生產(chǎn)生活帶來極大便利，然而網(wǎng)絡(luò)中的安全問題也成為影響信息技術(shù)優(yōu)勢(shì)實(shí)現(xiàn)的關(guān)鍵性因素。以大中型網(wǎng)絡(luò)為例，運(yùn)行過程中有較多危險(xiǎn)來源，加上惡意攻擊行為的存在，極易造成個(gè)人重要信息數(shù)據(jù)丟失，嚴(yán)重情況下將使整個(gè)網(wǎng)絡(luò)處于癱瘓狀態(tài)。通過實(shí)踐研究發(fā)現(xiàn)，將硬件防火墻引入，可起到明顯的改善作用。本文將對(duì)硬件防火墻在大中型網(wǎng)絡(luò)中應(yīng)用的必要性、硬件防火墻安全防御策略的實(shí)現(xiàn)以及硬件防火墻應(yīng)用中的注意事項(xiàng)進(jìn)行探析。

【關(guān)鍵詞】大中型網(wǎng)絡(luò)；硬件防火墻；安全防御；注意事項(xiàng)

前言

作為現(xiàn)行網(wǎng)絡(luò)安全防御的重要技術(shù)，防火墻以其自身的優(yōu)勢(shì)得到設(shè)計(jì)人員與用戶的青睞。但以往防火墻在大中型網(wǎng)絡(luò)中的應(yīng)用集中表現(xiàn)在軟件層面，盡管其能夠發(fā)揮一定的安全防護(hù)作用，一旦危險(xiǎn)來源或惡意攻擊行為威脅性較大，便難以實(shí)現(xiàn)良好的防護(hù)效果。因此，本文對(duì)硬件防火墻在大中型網(wǎng)絡(luò)中的應(yīng)用研究，具有十分重要的意義。

1.硬件防火墻在大中型網(wǎng)絡(luò)中應(yīng)用的必要性

1.1 軟件防火墻的應(yīng)用弊端

計(jì)算機(jī)操作平臺(tái)中，以往應(yīng)用的防火墻技術(shù)主要以軟件防火墻為主，其防御功能、網(wǎng)絡(luò)管理功能的實(shí)現(xiàn)主要通過操作系統(tǒng)實(shí)現(xiàn)。需注意的是，軟件防火墻應(yīng)用于大中型網(wǎng)絡(luò)中，一般應(yīng)在各服務(wù)器中裝設(shè)，面臨較大的網(wǎng)絡(luò)安全防護(hù)工作量。同時(shí)單純以軟件防火墻應(yīng)用為主，也存在較多弊端，如軟件防火墻在操作系統(tǒng)中運(yùn)行時(shí)，很可能為CPU帶來較大負(fù)荷，若此時(shí)路由因其受到影響，便會(huì)造成網(wǎng)絡(luò)運(yùn)行難以保持穩(wěn)定。再如大中型面臨惡意攻擊問題情況下，軟件防火墻很難有效應(yīng)對(duì)DOS攻擊問題，抵御能力較差，由此使網(wǎng)絡(luò)安全目標(biāo)的實(shí)現(xiàn)受到影響。另外，軟件防火墻應(yīng)用中，相比硬件防火墻，兼容性較差，所以在網(wǎng)絡(luò)安全防護(hù)中效果也不明顯。這些軟件防火墻弊病的存在，要求將硬件防火墻引入。

1.2 網(wǎng)絡(luò)安全中的威脅問題

對(duì)于大中型網(wǎng)絡(luò)，由于其運(yùn)行中主要以TCP/IP為依托，這種TCP報(bào)文段中，能夠?qū)Ψ?wù)端、客戶端響應(yīng)產(chǎn)生影響的主要為報(bào)文段首部?jī)?nèi)容，一般安全威脅的存在很大程度集中于首部?jī)?nèi)容中。這樣黑客在網(wǎng)絡(luò)攻擊中通常會(huì)從報(bào)文段首部方面著手，尤其在TCP協(xié)議有明顯漏洞的情況下，更易達(dá)到攻擊目標(biāo)。另外，從網(wǎng)絡(luò)攻擊情況看，其強(qiáng)調(diào)采取拒絕服務(wù)攻擊方式，或直接通過服務(wù)器緩沖區(qū)的控制，使網(wǎng)絡(luò)安全受到影響。這種攻擊手段可具體細(xì)化為：第一，通過IP欺騙偽造手段實(shí)現(xiàn)。如在進(jìn)行TCP數(shù)據(jù)構(gòu)造的基礎(chǔ)上，將自身IP與用戶IP保持相同，并將含有復(fù)位鏈接位的TCP數(shù)據(jù)向服務(wù)器發(fā)送，若鏈接位存在問題，原有正確連接將被清空。而用戶進(jìn)行數(shù)據(jù)發(fā)送時(shí)，服務(wù)器則不會(huì)響應(yīng)。第二，利用SYN FLOOD進(jìn)行攻擊。通常TCP連接中會(huì)以數(shù)據(jù)包發(fā)送、應(yīng)答包返回以及確認(rèn)包返回為主要步驟。而SYN FLOOD會(huì)在這一過程中對(duì)連接緩沖區(qū)進(jìn)行利用，通過相應(yīng)程序的利用，將SYN標(biāo)志連接不斷向服務(wù)器端傳送，這樣服務(wù)器接收時(shí)會(huì)將這些請(qǐng)求作為未構(gòu)建的請(qǐng)求，在此基礎(chǔ)上不斷進(jìn)行會(huì)話的構(gòu)建，當(dāng)緩沖區(qū)中會(huì)話過多時(shí)，便造成TCP資源全部消耗。即使此時(shí)發(fā)送的連接請(qǐng)求合法，也無法被響應(yīng)，嚴(yán)重情況下將導(dǎo)致整個(gè)系統(tǒng)癱瘓。第三，ACK Flood攻擊。以JSP服務(wù)器為例，若有ACK包進(jìn)行沖擊，服務(wù)器在連接請(qǐng)求處理上將難以實(shí)現(xiàn)。而ACK Flood密度較大情況下，會(huì)帶來服務(wù)器過重負(fù)載、網(wǎng)卡中斷等問題。除此之外，現(xiàn)行網(wǎng)絡(luò)攻擊中，也包含較多其他類型攻擊，如ICMP Flood或UPD Flood等，再如寬帶DOS攻擊，這些都可能影響服務(wù)器功能的實(shí)現(xiàn)，要求將硬件防火墻引入，以此使大中型網(wǎng)絡(luò)可靠運(yùn)行［1］。

2.硬件防火墻安全防御策略的實(shí)現(xiàn)

2.1 大中型網(wǎng)絡(luò)中防火墻位置與硬件防火墻應(yīng)用

對(duì)于大中型網(wǎng)絡(luò)，通常在防火墻設(shè)置中需置于內(nèi)部、外部網(wǎng)絡(luò)中，其通過隔離措施，使內(nèi)部網(wǎng)絡(luò)安全目標(biāo)得以實(shí)現(xiàn)。部分設(shè)計(jì)人員通常也直接采取DMZ隔離區(qū)設(shè)置方式，將其直接引入服務(wù)器中，對(duì)于內(nèi)網(wǎng)安全的強(qiáng)化可起到明顯作用。從硬件防火墻具體應(yīng)用看，主要在原有軟件防火墻的基礎(chǔ)上將其引入，保證在軟件、硬件等各方面都進(jìn)行單獨(dú)設(shè)計(jì)。需注意由于許多指令程序的實(shí)現(xiàn)要求有具體的系統(tǒng)作為支撐，所以應(yīng)進(jìn)行操作系統(tǒng)平臺(tái)的設(shè)計(jì)，以Linux系統(tǒng)為例，在其基礎(chǔ)上進(jìn)行安全策略的部署，可使防火墻應(yīng)用下系統(tǒng)安全漏洞得以避免。同時(shí)，在防火墻引入中，要求硬件防火墻在帶寬上應(yīng)與實(shí)際理論值相吻合，確保硬件防火墻運(yùn)行中，運(yùn)行速度、安全性以及吞吐量等都具有一定的優(yōu)勢(shì)［2］。

2.2 硬件防火墻安全防御策略

針對(duì)當(dāng)前系統(tǒng)運(yùn)行中存在的安全威脅、網(wǎng)絡(luò)攻擊等問題，實(shí)際解決中要求采取針對(duì)性的解決措施。以IP欺騙偽造為例，主要考慮對(duì)IP源地址進(jìn)行檢驗(yàn)，其中硬件防火墻的運(yùn)用可在發(fā)出IP數(shù)據(jù)包前便進(jìn)行檢測(cè)。若檢測(cè)中發(fā)現(xiàn)IP源地址與局域網(wǎng)本身IP地址難以吻合，將拒絕發(fā)送IP包，禁止其離開內(nèi)網(wǎng)。此時(shí)，攻擊人員若需通過路由器、連接網(wǎng)關(guān)，要求使用其自身IP地址。這樣在硬件防火墻運(yùn)用下，IP欺騙偽造的防御便可實(shí)現(xiàn)。再如SYN Flood攻擊為例，將硬件防火墻引入，主要通過SYN Cookie技術(shù)、無效連接釋放與阻斷連接等方式，使防御目標(biāo)得以實(shí)現(xiàn)。一般SYN Cookie技術(shù)應(yīng)用下，要求有Safe Reset技術(shù)配合，這樣可對(duì)連接客戶合法性進(jìn)行驗(yàn)證，服務(wù)器入口位置在防火墻的情況下，能夠嚴(yán)格控制報(bào)文。而在無效鏈接釋放方面，主要針對(duì)服務(wù)器存在過多上半開連接情況下，對(duì)無效連接進(jìn)行警告，識(shí)別其中無效鏈接并進(jìn)行釋放，以此使服務(wù)器服務(wù)能力被快速恢復(fù)。同樣在新建連接阻斷方面，通常將SYN Flood攻擊檢測(cè)方式配合使用，能夠?qū)⑺查g高強(qiáng)度攻擊下帶來的問題被解決。具體實(shí)現(xiàn)中，要求硬件防火墻應(yīng)用下，對(duì)新建連接數(shù)、半開連接數(shù)等閥值是否存在超時(shí)問題進(jìn)行判斷，假若SYN Flood檢測(cè)中檢測(cè)到有攻擊問題存在，便會(huì)使服務(wù)器拒絕接收客戶的請(qǐng)求。這樣對(duì)于新建連接報(bào)文，服務(wù)器未對(duì)其處理的情況下便被防火墻所阻斷，使服務(wù)器受網(wǎng)絡(luò)攻擊的影響被削弱。但一般受網(wǎng)絡(luò)攻擊行為影響，服務(wù)器服務(wù)能力很可能下降許多［3］。

3.硬件防火墻應(yīng)用中的注意事項(xiàng)

盡管硬件防火墻用于大中型網(wǎng)絡(luò)中可起到明顯的安全防御效果，但應(yīng)注意其在配置與選型上也需進(jìn)行控制。如在配置方面，硬件防火墻應(yīng)用下需對(duì)數(shù)據(jù)流是否被允許進(jìn)行判斷，并注意分析其他如內(nèi)網(wǎng)、DMZ區(qū)域、授權(quán)問題以及代理問題。在此基礎(chǔ)上使安全策略實(shí)現(xiàn)中，不會(huì)因配置的修改而帶來漏洞或錯(cuò)誤問題。配置過程中也要求做好CPU負(fù)載分析，一般負(fù)載過高情況下，受DOS攻擊的可能性也會(huì)隨之提高［4］。另外，在硬件防火墻選型中，可考慮從品牌方面著手，原因在于其整體性能較高，且在實(shí)際檢修維護(hù)中可享受到良好的售后服務(wù)。同時(shí)，選購中應(yīng)做好硬件防火墻安全性能、數(shù)據(jù)處理能力以及兼容性的分析工作，保證這些性能要求都可滿足的基礎(chǔ)上，才可投入使用中［5］。

結(jié)論：硬件防火墻的應(yīng)用是提高大中型網(wǎng)絡(luò)安全的重要途徑。實(shí)際引入硬件防火墻中，應(yīng)正確認(rèn)識(shí)軟件防火墻存在的弊病以及當(dāng)前大中型網(wǎng)絡(luò)面臨的安全威脅與惡意攻擊問題，在此基礎(chǔ)上利用硬件防火墻采取針對(duì)性的防御措施，如IP欺騙偽造防御、UPD Flood 與ACK Flood攻擊問題的防御等。同時(shí)注意應(yīng)用硬件防火墻中，需保證其配置較為合理，并在選型中綜合考量其整體性能，這樣才可使硬件防火墻在網(wǎng)絡(luò)防御中的優(yōu)勢(shì)充分發(fā)揮出來。

參考文獻(xiàn)

［1］毋毅.淺析大中型網(wǎng)絡(luò)中硬件防火墻的作用［J］.電腦知識(shí)與技術(shù)，2010（5）∶1093-1095.

［2］劉吉龍.基于防火墻的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］.吉林大學(xué)，2015.

［3］衛(wèi)曉娜. NISG防火墻包分類算法設(shè)計(jì)與實(shí)現(xiàn)［D］.中國(guó)地質(zhì)大學(xué)（北京），2010.

［4］郭海濱.莆田學(xué)院校園網(wǎng)網(wǎng)絡(luò)優(yōu)化改造的設(shè)計(jì)與實(shí)現(xiàn)［D］.南京郵電大學(xué)，2013.

［5］焦偉.電力調(diào)度自動(dòng)化網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的研究與實(shí)現(xiàn)［D］.華北電力大學(xué)，2014.