淺析大中型網絡中硬件防火墻的作用

王明

摘要：信息技術的快速發展為人們的生產、生活帶來了極大的便利。各大型網絡在人們生活中的影響日益擴大，如何保證大型網絡的安全性是對我們提出的新課題也是保證信息技術實現優勢的關鍵因素，功能最為強大的硬件防火墻在網絡安全體系結構的應用尤為顯眼。本文對硬件防火強在大型網絡中的應用的必要性，以及硬件防火墻的防御策略等方面分析了硬件防火墻在大型網絡中的作用進行了探析。

關鍵詞：網絡安全；硬件防火墻；大型網絡

二十一世紀的今天，伴隨著日益發展計算機網絡，是逐步加大的網絡安全威脅。人們亦越發重視自身所在環境的網絡安全體系結構的建設和發展。各種網絡安全技術的提出和網絡安全產品的出現也不斷豐富著網絡安全體系。那么作為網絡安全產品中的重要組成部分，硬件防火墻能在大型網絡的安全體系中會體現出怎樣的作用呢？

一、防火墻的架構與工作方式

防火墻可以使用戶的網絡規劃更加清晰明了，全面防止跨越權限的數據訪問。一套完整防火墻系統通常是由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從IP包的包頭取得信息，例如協議號、收發報文的IP地址和端口號、連接標志以至另外一些IP選項，對IP包進行過濾。代理服務器是防火墻中的一個服務器進程，它能夠代替網絡用戶完成特定的TCP/IP功能。一個代理服務器本質上是一個應用層的網關，一個為特定網絡應用而連接兩個網絡的網關。用戶就一項TCP/IP應用，比如Telnet或者FTP，同代理服務器打交道，代理服務器要求用戶提供其要訪問的遠程主機名。當用戶答復并提供了正確的用戶身份及認證信息后，代理服務器接通遠程主機，為2個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。最簡單的認證是：它只由用戶標識和口令構成。但是，如果防火墻是通過Internet來訪問的，應推薦用戶使用更強的認證機制，例如一次性口令或回應式系統等。

二、大中型網絡為何選擇硬件防火墻

軟件防火墻是安裝在計算機操作平臺的軟件產品，它通過在操作系統底層工作來實現管理網絡和優化防御功能。對于大中型網絡來說，將軟件防火墻裝入內部網絡的每臺設備和內部服務器中來保護網絡安全的工作量是巨大的，在實際操作比較困難。首先，大中型網絡需要穩定高速運行，而基于操作系統的軟件防火墻運行將會給CPU增加超重負荷，造成路由不穩定，勢必影響網絡。其次，大中型網絡會是黑客們攻擊的對象，面對高速密集的DOS（拒絕服務）攻擊，顯然，單憑軟件防火墻本身承受能力是無法做到抵御黑客，保護網絡安全的。再次，軟件防火墻在兼容性方面不及硬件防火墻。正是軟件防火墻存在這些缺點，在大中型網絡中一般會采用硬件防火墻。

三、硬件防火墻安全防御策略的實現

1、大中型網絡中防火墻位置與硬件防火墻應用。對于大中型網絡，通常在防火墻設置放置在內部和外部的網絡中，通過隔離措施，使內部網絡的安全目標可以實現。通常，設計人員還直接把DMZ隔離區的設置，服務器的直接引進，加強網絡安全可以發揮重要的作用。從硬件防火墻的具體應用來說，它主要是在原有的基于防火墻的防火墻的基礎上，保證了軟件、硬件等各個方面的個性化設計。因為需要注意程序的指令需要許多具體的制度作為支撐，所以應該設計的操作系統平臺，例如Linux操作系統，對防火墻系統的安全漏洞的基礎上應用安全策略部署是可以避免的。同時，引入防火墻，硬件防火墻的要求應符合理論的實際價值，在帶寬上，保證硬件防火墻的運行、運行速度、安全性和吞吐量都有一定的優勢。

2、硬件防火墻安全防御策略。針對當前系統運行中存在的安全威脅、網絡攻擊等問題，實際解決中要求采取針對性的解決措施。以IP欺騙偽造為例，主要考慮對IP源地址進行檢驗，其中硬件防火墻的運用可在發出IP數據包前便進行檢測。若檢測中發現IP源地址與局域網本身IP地址難以吻合，將拒絕發送IP包，禁止其離開內網。此時，攻擊人員若需通過路由器、連接網關，要求使用其自身IP地址。這樣在硬件防火墻運用下，IP欺騙偽造的防御便可實現。再如sYN Flood攻擊為例，將硬件防火墻引入，主要通過SYN Cookie技術、無效連接釋放與阻斷連接等方式，使防御目標得以實現。一般SYN Cookie技術應用下，要求有Safe Reset技術配合，這樣可對連接客戶合法性進行驗證，服務器入口位置在防火墻的情況下，能夠嚴格控制報文。而在無效鏈接釋放方面，主要針對服務器存在過多上半開連接情況下，對無效連接進行警告，識別其中無效鏈接并進行釋放， 以此使服務器服務能力被快速恢復。同樣在新建連接阻斷方面，通常將SYN Flood攻擊檢測方式配合使用，能夠將瞬間高強度攻擊下帶來的問題被解決。具體實現中，要求硬件防火墻應用下，對新建連接數、半開連接數等閥值是否存在超時問題進行判斷，假若SYN Flood檢測中檢測到有攻擊問題存在，便會使服務器拒絕接收客戶的請求。這樣對于新建連接報文，服務器未對其處理的情況下便被防火墻所阻斷，使服務器受網絡攻擊的影響被削弱。但一般受網絡攻擊行為影響，服務器服務能力很可能下降許多。

四、結語

隨著計算機網絡在人們生活中各個領域的廣泛應用，網絡的非法行為越來越大。構建一個完整、高效的網絡安全系統越來越重要。建設網絡安全系統，通過實際案例和基于網絡安全指數的例子充分體現了區域隔離，網絡安全系統的硬件防火墻的攻擊防護、協議過濾、流量控制、用戶身份認證、網絡行為、記錄管理、遠程訪問等核心應用的VPN。認為在很長一段時間內如何有效地和現場使用硬件防火墻在應用中的優勢將是影響整個網絡安全系統構建成敗的關鍵因素。

參考文獻

[1] 謝希仁.計算機網絡（第四版）[M].北京：電子工業出版社，2015.

[2] 黃海.思科網絡技術學院教程（第一，二學期）第三版[M].北京：人民郵電出版社，2014.