淺析硬件防火墻在網(wǎng)絡(luò)中的應(yīng)用

◆姚榮榮

淺析硬件防火墻在網(wǎng)絡(luò)中的應(yīng)用

◆姚榮榮

(320911198702061932)

在網(wǎng)絡(luò)技術(shù)迅猛發(fā)展的勢頭下，互聯(lián)網(wǎng)已成為人們工作、生活不可或缺的重要工具，同時(shí)，它在傳輸和共享信息方面發(fā)揮著重要作用。在此情況下，愈來愈多的人開始認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性。作為依托于各類先進(jìn)安全技術(shù)而構(gòu)成的堅(jiān)固屏障，硬件防火墻在規(guī)避風(fēng)險(xiǎn)、抵御非法入侵等方面扮演著重要角色。在網(wǎng)絡(luò)高速發(fā)達(dá)的今天，如何保護(hù)數(shù)據(jù)安全、規(guī)避并抵御黑客入侵、查殺病毒等是當(dāng)前亟待解決的重要問題。實(shí)踐表明，使用硬件防火墻能夠獲得相對(duì)良好的防護(hù)效果，于是，硬件防火墻備受人們的關(guān)注。本文首先對(duì)網(wǎng)絡(luò)中引入并應(yīng)用硬件防火墻的意義進(jìn)行明確，而后對(duì)其所具有的功能展開詳細(xì)論述，最后就使用過程中需要注意的若干問題進(jìn)行明確，以期本文能夠?yàn)橥愌芯刻峁┮欢ǖ睦碚撝笇?dǎo)。

網(wǎng)絡(luò)安全；硬件防火墻；功能應(yīng)用

0 引言

作為保護(hù)內(nèi)網(wǎng)安全的堅(jiān)固屏障，硬件防火墻自身安全性、穩(wěn)定性會(huì)對(duì)內(nèi)網(wǎng)安全產(chǎn)生重要影響。它主要指的是將防火墻程序嵌入至特定芯片內(nèi)，通過硬件來執(zhí)行特定功能，降低CPU的運(yùn)行壓力，提高路由的運(yùn)行平穩(wěn)性。在避免信息外泄露、阻擋黑客入侵等方面，硬件防火墻發(fā)揮著不可或缺的重要作用，它不僅是網(wǎng)絡(luò)安全策略的主要構(gòu)成要求，同時(shí)也是保障內(nèi)網(wǎng)安全的有效手段。

1 防火墻概述

作為一種應(yīng)用較為廣泛的網(wǎng)絡(luò)安全設(shè)備，防火墻的主要作用在于保障網(wǎng)絡(luò)安全，能夠阻擋黑客入侵和不法用戶的惡意攻擊。當(dāng)前所應(yīng)用的防火墻主要包括兩種：一種是軟件防火墻，另一種是硬件防火墻。相對(duì)來講，軟件防火墻的安全保護(hù)性能較差，通常要在操作系統(tǒng)的支持下才能夠彰顯效用。但是當(dāng)前所應(yīng)用的操作系統(tǒng)或多或少地都有其固有不足或者缺陷，即便是微軟公司推出的操作系統(tǒng)，亦存在一些漏洞，無法有效保障安全。對(duì)操作者而言，防火墻的第一要?jiǎng)?wù)是確保自身絕對(duì)安全，很明顯，軟件防火墻并無法做到這一點(diǎn)，于是人們將目光轉(zhuǎn)向于硬件防火墻，當(dāng)前應(yīng)用熱度較高且備受用戶青睞的產(chǎn)品主要包括FireWall-I、Netscreen-100以及網(wǎng)關(guān)防火墻等，大體可將其劃分為下述三類：

（1）網(wǎng)絡(luò)安全屏障。安裝防火墻能夠大幅改善內(nèi)網(wǎng)的安全性能，可將一切具有潛在風(fēng)險(xiǎn)的服務(wù)阻擋到“墻”之外，以此避免網(wǎng)絡(luò)受到入侵或者損害。

（2）能夠完善并優(yōu)化網(wǎng)絡(luò)安全策略?；诜阑饓Φ陌踩桨概渲?，可將每一個(gè)安全軟件（比如加密、審計(jì)等）合理地布設(shè)于防火墻之中，相較于其他方法，此方法不僅安全系數(shù)高，并且更具經(jīng)濟(jì)性，有利于降低安全維護(hù)成本。

（3）能夠?qū)W(wǎng)絡(luò)的存取和訪問活動(dòng)進(jìn)行動(dòng)態(tài)化、持續(xù)化監(jiān)測。防火墻不僅能夠?qū)Σ僮髡呤褂镁W(wǎng)絡(luò)所開展的存取、訪問活動(dòng)進(jìn)行準(zhǔn)確、實(shí)時(shí)地記錄，還能夠?qū)ζ渚唧w應(yīng)用情況進(jìn)行高效、準(zhǔn)確地統(tǒng)計(jì)，為網(wǎng)絡(luò)后期更新、升級(jí)提供了可靠參考。在察覺到異常時(shí)，防火墻能夠向操作者發(fā)出相應(yīng)的提示，并且會(huì)對(duì)網(wǎng)絡(luò)有無受到入侵、監(jiān)測等提供準(zhǔn)確可靠的信息。

在對(duì)各種防火墻進(jìn)行研究和分析之后發(fā)現(xiàn)，其應(yīng)用模式大體分為：(1) 透明工作模式；（2）路由工作模式；（3）混合工作模式。

對(duì)于中小型公司的用戶來說，最好選用路由方式，因?yàn)榇藭r(shí)的防火墻不僅可以被看作是路由器，發(fā)揮路由功能，同時(shí)還能提高網(wǎng)絡(luò)的安全性。

混合方式的使用頻率也比較大，用戶可將同一子網(wǎng)設(shè)置成透明模式，不同子網(wǎng)設(shè)置成路由模式，這樣一來不僅減輕了防火墻的負(fù)擔(dān)，同時(shí)也提高了網(wǎng)絡(luò)的安全，不過這種操作過于復(fù)雜，對(duì)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)會(huì)產(chǎn)生一定影響，一旦發(fā)生故障，就需要耗費(fèi)大量的時(shí)間查找故障源。

2 硬件防火墻的構(gòu)成與功能

2.1 構(gòu)成

為了克服軟件防火墻的一些缺陷與不足，于是對(duì)其作出了相應(yīng)調(diào)整。采用硬軟件相結(jié)合的模式，不僅設(shè)計(jì)了硬件，還專門設(shè)計(jì)了軟件，并在硬件中嵌入軟件。由于采用的是獨(dú)立的操作系統(tǒng)，因此就加大了對(duì)系統(tǒng)安全漏洞攻擊的難度。就軟硬件的要求上來看，能夠使硬件防火墻的真實(shí)帶寬與理論值無太大出入，大大提高了系統(tǒng)的安全性、提高了系統(tǒng)的吞吐量。在網(wǎng)絡(luò)中安裝硬件防火墻，既能夠從源頭上保證內(nèi)網(wǎng)有外網(wǎng)連接的安全性，同時(shí)還能對(duì)各網(wǎng)段的內(nèi)部網(wǎng)絡(luò)安全起到強(qiáng)大保護(hù)作用。

2.2 功能

（1）硬件防火墻是網(wǎng)絡(luò)安全的保障

硬件防火墻在保障網(wǎng)絡(luò)安全的基礎(chǔ)上，還能對(duì)一些危險(xiǎn)性的服務(wù)進(jìn)行有效過濾，以此從源頭上降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。由于只有提前定制好的規(guī)則才能穿過硬件防火墻，所以使網(wǎng)絡(luò)環(huán)境的安全系數(shù)大大提升。例如，防火墻可將來源不明的NFS協(xié)議拒之門外，對(duì)于外部攻擊者來說，由于無法侵入網(wǎng)絡(luò)內(nèi)部，所以就無法實(shí)施攻擊，進(jìn)而提高了內(nèi)部網(wǎng)絡(luò)安全性。與此同時(shí)，防火墻還能使網(wǎng)絡(luò)免受路由攻擊。

（2）硬件防火墻可以強(qiáng)化網(wǎng)絡(luò)安全

防火墻可對(duì)安全策略進(jìn)行集中管理，克服了之前策略部署每臺(tái)設(shè)備的缺陷，將部分安全軟件的相關(guān)配置添加到防火墻中。這種管理模式最顯著特征是提高了經(jīng)濟(jì)性，也增強(qiáng)了每臺(tái)電腦的網(wǎng)絡(luò)安全性。

（3）對(duì)網(wǎng)絡(luò)中訪問行為進(jìn)行監(jiān)控審計(jì)

凡是穿過防火墻的數(shù)據(jù)，都可以被完整的統(tǒng)計(jì)與記錄，由此生成訪問日志。通過日志分析可進(jìn)一步發(fā)現(xiàn)不安全操作，防火墻能及時(shí)向管理者發(fā)出警示，同時(shí)還提供較為詳細(xì)的監(jiān)測日志及攻擊信息。為了確認(rèn)過濾策略是否能夠正常執(zhí)行，還要收集網(wǎng)絡(luò)運(yùn)行情況。只有對(duì)防火墻的抵擋外來攻擊情況有全面了解，才能夠更好地改進(jìn)過濾策略，避免引發(fā)安全風(fēng)險(xiǎn)。

（4）防止內(nèi)部信息泄露

為大大提高重要網(wǎng)段的安全性，需通過防火墻對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行優(yōu)化調(diào)整。這種調(diào)整能夠避免某網(wǎng)段因安全問題而使整個(gè)網(wǎng)絡(luò)受影響的情況出現(xiàn)。除此之外，保障網(wǎng)絡(luò)隱私安全也是網(wǎng)絡(luò)管理員不可忽略的一個(gè)重要問題。Finger指令可完整顯示每個(gè)用戶的登錄及使用信息。不過該命令顯示的信息容易被他人截獲。一旦被他人非法截獲，他就會(huì)對(duì)網(wǎng)絡(luò)聯(lián)網(wǎng)情況有一個(gè)全面了解。對(duì)于侵入者來說，用戶的個(gè)人隱私就會(huì)直接曝光。要想防止地址等相關(guān)信息不被他人截獲，就需要對(duì)內(nèi)部網(wǎng)絡(luò)中的DNS信息進(jìn)行堵塞。

3 硬件防火墻的不足及應(yīng)注意的問題

3.1 能阻斷攻擊，但不能消滅攻擊源

科學(xué)設(shè)置防火墻能夠抵擋部分攻擊，但無法徹底清除攻擊源。即使對(duì)防火墻進(jìn)行了合理設(shè)置，將攻擊全部抵御在外，但攻擊源一直在，時(shí)刻都會(huì)發(fā)出攻擊。比如，某網(wǎng)站的帶寬為一百兆，日常攻擊行為流量占十兆。即便正確設(shè)置防火墻，成功將這些攻擊擋在門外，但仍無法使這十兆的攻擊流量減少。

3.2 不能抵抗最新的未設(shè)置策略的攻擊漏洞

市場上的殺毒軟件都是在病毒出現(xiàn)之后才會(huì)將其納入病毒庫，之后才能發(fā)揮查殺病毒、處理病毒的作用。防火墻的各種策略，也是經(jīng)專家學(xué)者們通過系統(tǒng)性分析確定出它的特征之后制定的。倘若發(fā)現(xiàn)了一個(gè)新漏洞，而攻擊者正好又把攻擊對(duì)象鎖定了這條網(wǎng)絡(luò)，那么防火墻就很難阻止這種攻擊。

3.3 并發(fā)連接數(shù)限制容易導(dǎo)致?lián)砣蛘咭绯?/h3>

在發(fā)現(xiàn)異常情況時(shí)，由于要對(duì)穿過防火墻的所有數(shù)據(jù)包進(jìn)行分析與處理，防火墻就容易被堵塞，影響整個(gè)網(wǎng)絡(luò)的安全，導(dǎo)致性能下降。當(dāng)防火墻溢出時(shí)，其策略功能均無法正常發(fā)揮，之前被禁止入內(nèi)的連接也能夠順利通過。

3.4 對(duì)內(nèi)部的主動(dòng)攻擊一般無法阻止

防火墻的主要功能是抵御外來攻擊，對(duì)于內(nèi)網(wǎng)破壞是有心而力不足。有時(shí)網(wǎng)絡(luò)攻擊并不是惡意行為，可能因監(jiān)管或協(xié)議漏洞致使問題頻繁出現(xiàn)。要想內(nèi)部網(wǎng)絡(luò)不受攻擊，只能對(duì)各終端的網(wǎng)卡進(jìn)行防空攔截，將ARP攻擊徹底扼殺在搖籃里。

3.5 防火墻本身也會(huì)出問題

事實(shí)上，硬件防火墻也是一種網(wǎng)絡(luò)安全設(shè)備，也配有相應(yīng)的軟硬件設(shè)施，所以它也會(huì)存有漏洞。自身也會(huì)出現(xiàn)故障或被攻擊。防火墻只是保障網(wǎng)絡(luò)安全的一種手段，還需其他策略相結(jié)合才能提高網(wǎng)絡(luò)安全性能。

4 結(jié)束語

硬件防火墻是最常用的一種網(wǎng)絡(luò)安全保障方法，需不斷改進(jìn)其性能以提高網(wǎng)絡(luò)安全。只有網(wǎng)絡(luò)安全問題得到妥善處理，才能夠在安全的網(wǎng)絡(luò)世界里暢游。因此，設(shè)置科學(xué)、合理的安全策略，實(shí)施有效的管理及監(jiān)控制度，才能大大提高防火墻的防攻擊能力。

[1]楊曉紅.淺析防火墻技術(shù)[J].科技資訊，2016.

[2]白廣思.防火墻技術(shù)發(fā)展趨勢[J].現(xiàn)代情報(bào)，2014.

[3]劉威.試論計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)策略及病毒防治技術(shù)應(yīng)用[J].中國管理信息化，2016.