大中型網(wǎng)絡(luò)硬件防火墻作用核心期刊論文刊發(fā)

　　論文摘要：網(wǎng)絡(luò)信息安全中防火墻扮演著重要角色，而硬件防火墻對(duì)大型網(wǎng)絡(luò)安全更是至關(guān)重要，研究硬件防火墻將為大型網(wǎng)絡(luò)的安全增加砝碼。通過(guò)對(duì)硬件防火墻工作原理的研究，明白為何大中型網(wǎng)絡(luò)要使用硬件防火墻，理解硬件防火墻在網(wǎng)絡(luò)中的工作原理和過(guò)程，知道硬件防火墻的基本配置考慮要素。了解硬件防火墻的選購(gòu)標(biāo)準(zhǔn)，增強(qiáng)對(duì)硬件防火墻在網(wǎng)絡(luò)信息安全中重要性的認(rèn)識(shí)。

　　論文關(guān)鍵詞：網(wǎng)絡(luò)信息安全;大型網(wǎng)絡(luò);硬件防火墻;三次握手;過(guò)濾;CPU負(fù)載

　　伴隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們工作生活必不可少的工具，而網(wǎng)絡(luò)信息安全也越來(lái)越受到人們的重視。防火墻技術(shù)的發(fā)展將促進(jìn)防火墻成為網(wǎng)絡(luò)安全的重要保障，而硬件防火墻會(huì)成為保護(hù)大中型網(wǎng)絡(luò)信息安全的首選!

　　1大中型網(wǎng)絡(luò)為何選擇硬件防火墻

　　軟件防火墻是安裝在計(jì)算機(jī)操作平臺(tái)的軟件產(chǎn)品，它通過(guò)在操作系統(tǒng)底層工作來(lái)實(shí)現(xiàn)管理網(wǎng)絡(luò)和優(yōu)化防御功能。

　　對(duì)于大中型網(wǎng)絡(luò)來(lái)說(shuō)，將軟件防火墻裝人內(nèi)部網(wǎng)絡(luò)的每臺(tái)設(shè)備和內(nèi)部服務(wù)器中來(lái)保護(hù)網(wǎng)絡(luò)安全的工作量是巨大的，在實(shí)際操作比較困難。首先，大中型網(wǎng)絡(luò)需要穩(wěn)定高速運(yùn)行，而基于操作系統(tǒng)的軟件防火墻運(yùn)行將會(huì)給CPU增加超重負(fù)荷，造成路由不穩(wěn)定，勢(shì)必影響網(wǎng)絡(luò)。其次，大中型網(wǎng)絡(luò)會(huì)是黑客們攻擊的對(duì)象，面對(duì)高速密集的DOS(拒絕服務(wù))攻擊，顯然，單憑軟件防火墻本身承受能力是無(wú)法做到抵御黑客，保護(hù)網(wǎng)絡(luò)安全的。再次，軟件防火墻在兼容性方面不及硬件防火墻。正是軟件防火墻存在這些缺點(diǎn).在大中型網(wǎng)絡(luò)中一般會(huì)采用硬件防火墻。

　　2硬件防火墻的工作原理和網(wǎng)絡(luò)安全防御策略

　　2.1防火墻在網(wǎng)絡(luò)中的位置

　　外部防火墻工作在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，這樣的布署將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)有效地隔離起來(lái)，已達(dá)到增加內(nèi)部網(wǎng)絡(luò)安全的目的。一般情況下，還要設(shè)立一個(gè)隔離區(qū)(DMZ)，放人公開(kāi)的服務(wù)器，讓外網(wǎng)訪(fǎng)問(wèn)時(shí)，就能增加內(nèi)網(wǎng)的安全。而內(nèi)部防火墻保護(hù)隔離區(qū)對(duì)內(nèi)網(wǎng)的訪(fǎng)問(wèn)安全，這樣的綜合布署將有效提高網(wǎng)絡(luò)安全。

　　2.2硬件防火墻的構(gòu)成

　　硬件防火墻為了克服軟件防火墻在大中型網(wǎng)絡(luò)中的不足，對(duì)軟件防火墻進(jìn)行了改進(jìn)。通過(guò)硬件和軟件的結(jié)合來(lái)設(shè)計(jì)防火墻，硬件和軟件部分都必須單獨(dú)設(shè)計(jì)，將軟件防火墻嵌入在硬件中同時(shí)，采用專(zhuān)門(mén)的操作系統(tǒng)平臺(tái)(加入Linux系統(tǒng)，因?yàn)橛行┲噶畛绦蛐枰惭b在Windows系統(tǒng)之中，而Windows穩(wěn)定性不如Linux，如果在本身就很脆弱的系統(tǒng)平臺(tái)中布署安全策略.這樣的防火墻也會(huì)不安全)，從而避免通用操作系統(tǒng)的安全性漏洞。對(duì)軟硬件的特殊要求，使硬件防火墻的實(shí)際帶寬與理論值基本一致，提高吞吐量、增加安全性，加快運(yùn)行速度。將這樣的硬件防火墻安裝進(jìn)入大中型網(wǎng)絡(luò)，不僅在可以有效地保障內(nèi)網(wǎng)與外網(wǎng)鏈接時(shí)的安全.而且可以保障內(nèi)部網(wǎng)絡(luò)中不同部門(mén)不同區(qū)域之間的安全.

　　2.3大中型網(wǎng)絡(luò)安全威脅來(lái)源

　　現(xiàn)今的網(wǎng)絡(luò)使用的都是TcP，IP協(xié)議，TCP報(bào)文段傳輸最重要的就是報(bào)文段首部(segmenthea&r)~的內(nèi)容。客戶(hù)端和服務(wù)端的服務(wù)響應(yīng)都是與報(bào)文段首部的數(shù)據(jù)相關(guān)聯(lián)，而三次握手能夠?qū)崿F(xiàn)也和報(bào)文段首部的數(shù)據(jù)相關(guān)，其安全性也取決于首部?jī)?nèi)容，因此黑客經(jīng)常利用TCPflP協(xié)議的漏洞對(duì)報(bào)文段首部下手從而實(shí)現(xiàn)有外網(wǎng)對(duì)內(nèi)網(wǎng)進(jìn)行攻擊。

　　在大中型網(wǎng)絡(luò)內(nèi)部也有部門(mén)的劃分，對(duì)于一些比較重要的部門(mén)就連內(nèi)部網(wǎng)絡(luò)其他部門(mén)也要授權(quán)后才能進(jìn)行訪(fǎng)問(wèn)，這樣就會(huì)最大限度保障網(wǎng)絡(luò)的安全，因?yàn)橛械拇笮途W(wǎng)絡(luò)的安全關(guān)系到國(guó)家社會(huì)的安全和穩(wěn)定，所以如果在內(nèi)部發(fā)生網(wǎng)絡(luò)威脅將會(huì)帶來(lái)更大的損失。

　　2.4網(wǎng)絡(luò)中的攻擊手段

　　網(wǎng)絡(luò)中主要的攻擊手段就是對(duì)服務(wù)器實(shí)行拒絕服務(wù)攻擊，用IP欺騙使服務(wù)器復(fù)位合法用戶(hù)的連接，使其不能正常連接.還有就是迫使服務(wù)器緩沖區(qū)滿(mǎn)，無(wú)法接受新的請(qǐng)求。

　　2.4.1偽造IP欺騙攻擊

　　IP欺騙中攻擊者構(gòu)造一個(gè)TCP數(shù)據(jù)，偽裝自己的IP和一個(gè)合法用戶(hù)IP相同，并且對(duì)服務(wù)器發(fā)送TCP數(shù)據(jù)，數(shù)據(jù)中包含復(fù)位鏈接位(RST)，當(dāng)發(fā)送的連接有錯(cuò)誤時(shí)，服務(wù)器就會(huì)清空緩沖區(qū)中建立好的正確連接。這時(shí)，如果那個(gè)合法用戶(hù)要再發(fā)送合法數(shù)據(jù)，服務(wù)器就不會(huì)為其服務(wù)，該用戶(hù)必須重新建立連接。

　　2.4.2SYN FLooD攻擊

　　SYNFLOOD是利用了TCP協(xié)議的缺陷，一個(gè)正常的TCP連接需要三次握手，首先客戶(hù)端發(fā)送一個(gè)包含SYN標(biāo)志的數(shù)據(jù)包，然后服務(wù)器返回一個(gè)SYN/ACK的應(yīng)答包，表示客戶(hù)端的請(qǐng)求被接受，最后客戶(hù)端再返回一個(gè)確認(rèn)包ACK，這樣才完成TCP連接。在服務(wù)器端發(fā)送應(yīng)答包后，如果客戶(hù)端不發(fā)出確認(rèn)，服務(wù)器會(huì)等待到超時(shí)，期間這些半連接狀態(tài)都保存在一個(gè)空間有限的緩沖區(qū)隊(duì)列(BacklogQueue)中。SYNFLOOD攻擊就是利用服務(wù)器的連接緩沖區(qū)，使用一些特制的程序(可以設(shè)置TCP報(bào)文段的首部，使整個(gè)T0P拉文與正常報(bào)文類(lèi)似，但無(wú)法建立連接)，向服務(wù)器端不斷地成倍發(fā)送僅有SYN標(biāo)志的TCP連接請(qǐng)求，當(dāng)服務(wù)器接收的時(shí)候，都認(rèn)為是沒(méi)有建立起來(lái)的連接請(qǐng)求，于是為這些請(qǐng)求建立會(huì)話(huà)，排到緩沖區(qū)隊(duì)列中，這樣就會(huì)使服務(wù)器端的TCP資源迅速耗盡，當(dāng)緩沖區(qū)隊(duì)列滿(mǎn)時(shí)，服務(wù)器就不再接收新的連接請(qǐng)求了。其他合法用戶(hù)的連接都會(huì)被拒絕，導(dǎo)致正常的連接不能進(jìn)入，甚至?xí)?dǎo)致服務(wù)器的系統(tǒng)崩潰。

　　2.4.3ACK Hood攻擊

　　用戶(hù)和服務(wù)器之間建立了TCP連接后，所有TCP報(bào)文都會(huì)帶有ACK標(biāo)志位，服務(wù)器接受到報(bào)文時(shí)，會(huì)檢查數(shù)據(jù)包中表示連接的數(shù)據(jù)是否存在，如果存在，在檢查連接狀態(tài)是否合法，合法就將數(shù)據(jù)傳送給應(yīng)用層，非法則服務(wù)器操作系統(tǒng)協(xié)議棧會(huì)回應(yīng)RST包給用戶(hù)。對(duì)于JSP服務(wù)器來(lái)說(shuō)，小的ACK包沖擊就會(huì)導(dǎo)致服務(wù)器艱難處理正常得連接請(qǐng)求，而大批量高密度的ACKFlood會(huì)讓A.pache或IIS服務(wù)器出現(xiàn)高頻率的網(wǎng)卡中斷和過(guò)重負(fù)載，最終會(huì)導(dǎo)致網(wǎng)卡停止響應(yīng)。ACKFlood會(huì)對(duì)路由器等網(wǎng)絡(luò)設(shè)備以及服務(wù)器造成影響。

　　2.4.4UDPFlood攻擊

　　UDPFlood攻擊是利用UDP協(xié)議無(wú)連接的特點(diǎn)，偽造大量客戶(hù)端IP地址向服務(wù)器發(fā)起UDP連接，一旦服務(wù)器有一個(gè)端口響應(yīng)并提供服務(wù)，就會(huì)遭到攻擊，UDPFlood會(huì)對(duì)視頻服務(wù)器和DNS服務(wù)器等造成攻擊。

　　2.4.5ICM PFlood攻擊

　　ICMPFlood通過(guò)Ping產(chǎn)生的大量數(shù)據(jù)包，發(fā)送給服務(wù)器，服務(wù)器收到大量ICMP數(shù)據(jù)包，使CPU占用率滿(mǎn)載繼而引起該TCP/IP棧癱瘓，并停止響應(yīng)TCP/IP請(qǐng)求，從而遭受攻擊，因此運(yùn)行逐漸變慢，進(jìn)而死機(jī)。

　　除了以上幾種攻擊手段，在網(wǎng)絡(luò)中還存在一些其他攻擊手段，如寬帶DOS攻擊，自身消耗DOS攻擊，將服務(wù)器硬盤(pán)裝滿(mǎn)，利用安全策略漏洞等等，這些需要硬件防火墻對(duì)其做出合理有效防御。

　　2.5硬件防火墻防御攻擊的策略

　　2.5.1偽造IP欺騙攻擊的防御策略

　　當(dāng)IP數(shù)據(jù)包出內(nèi)網(wǎng)時(shí)檢驗(yàn)其IP源地址，每一個(gè)連接內(nèi)網(wǎng)的硬件防火墻在決定是否允許本網(wǎng)內(nèi)部的IP數(shù)據(jù)包發(fā)出之前，先對(duì)來(lái)自該IP數(shù)據(jù)包的IP源地址進(jìn)行檢驗(yàn)。如果該IP包的IP源地址不是其所在局域網(wǎng)內(nèi)部的IP地址，該IP包就被拒絕，不允許該包離開(kāi)內(nèi)網(wǎng)。這樣一來(lái)，攻擊者至需要使用自己的IP地址才能通過(guò)連接網(wǎng)關(guān)或路由器。這樣過(guò)濾和檢驗(yàn)內(nèi)網(wǎng)發(fā)出數(shù)據(jù)包的IP源地址的方法基本可以做到預(yù)防偽造IP欺騙攻擊。

　　2.5.2SYN FLo0D攻擊防御策略

　　硬件防火墻對(duì)于SYNFLOOD攻擊防御基本上有三種，一是阻斷新建的連接，二是釋放無(wú)效連接，三是SYNCookie和SafeRe.set技術(shù)。

　　阻斷新建連接就是在防火墻發(fā)現(xiàn)連半開(kāi)連接數(shù)閾值和新建連接數(shù)閾值被超時(shí)時(shí)，SYNFLOOD攻擊檢測(cè)發(fā)現(xiàn)攻擊，暫時(shí)阻止客戶(hù)向服務(wù)器發(fā)出的任何請(qǐng)求。防火墻能在服務(wù)器處理新建連接報(bào)文之前將其阻斷，削弱了網(wǎng)絡(luò)攻擊對(duì)服務(wù)器的影響，但無(wú)法在服務(wù)器被攻擊時(shí)有效提升服務(wù)器的服務(wù)能力。因此，一般配合防火墻SYNFlood攻擊檢測(cè)，避免瞬間高強(qiáng)度攻擊使服務(wù)器系統(tǒng)崩潰。釋放無(wú)效鏈接是當(dāng)服務(wù)器上半開(kāi)連接過(guò)多時(shí)，要警惕冒充客戶(hù)端的虛假I(mǎi)P發(fā)起無(wú)效連接，防火墻要在這些連接中識(shí)別那些是無(wú)效的.向服務(wù)器發(fā)送復(fù)位報(bào)文，讓服務(wù)器進(jìn)行釋放，協(xié)助服務(wù)器恢復(fù)服務(wù)能力。

　　SYNCo0kie和SafeReset是驗(yàn)證發(fā)起連接客戶(hù)的合法性。防火墻要保護(hù)服務(wù)器入口的關(guān)鍵位置，對(duì)服務(wù)器發(fā)出的報(bào)文進(jìn)行嚴(yán)格檢查。

　　2.5.3 ACK Flood攻擊防御策略

　　防火墻對(duì)網(wǎng)絡(luò)進(jìn)行分析，當(dāng)收包異常大于發(fā)包時(shí)，攻擊者一般采用大量ACK包，小包發(fā)送，提高速度，這種判斷方法是對(duì)稱(chēng)性判斷.可以作為ACKFlood攻擊的依據(jù)。防火墻建立hash表存放TCP連接狀態(tài)，從而大致上知道網(wǎng)絡(luò)狀況。

　　2.5.4UDPHood攻擊防御策略

　　UDPF1ood攻擊防御比較困難，因?yàn)閁DP是無(wú)連接的，防火墻應(yīng)該判斷UDP包的大小，大包攻擊則采用粉碎UDP包的方法，或者對(duì)碎片進(jìn)行重組。還有比較專(zhuān)業(yè)的防火墻在攻擊端口不是業(yè)務(wù)端口是丟棄UDP包，抑或?qū)DP也設(shè)一些和TCP類(lèi)似的規(guī)則。

　　2.5.5ICM PFlood攻擊防御策略

　　對(duì)于ICMPFlood的防御策略，硬件防火墻采用過(guò)濾ICMP報(bào)文的方法。

　　硬件防火墻還對(duì)網(wǎng)絡(luò)中其他的一些攻擊手段進(jìn)行著安全有效的防御，保護(hù)著網(wǎng)絡(luò)的安全。

　　3硬件防火墻的配置考慮要素和選購(gòu)標(biāo)準(zhǔn)

　　硬件防火墻是網(wǎng)絡(luò)硬件設(shè)備，需要安裝配置，網(wǎng)絡(luò)管理人員應(yīng)該要考慮實(shí)際應(yīng)用中硬件規(guī)則的改變調(diào)整，配置參數(shù)也在不斷改變。對(duì)于硬件防火墻的安全策略也應(yīng)該考慮到，哪些數(shù)據(jù)流被允許，哪些不被允許，還有代理等等，還有授權(quán)的問(wèn)題，外網(wǎng)域內(nèi)網(wǎng)之問(wèn)，內(nèi)網(wǎng)里各個(gè)不同部門(mén)之間，還有DMZ區(qū)域和內(nèi)網(wǎng)等，這些都需要照顧到。詳盡的安全策略應(yīng)該保證硬件防火墻配置的修改工作程序化.并能盡量避免因修改配置所造成的錯(cuò)誤和安全漏洞。除此之外還要考慮CPU負(fù)載問(wèn)題，過(guò)高的CPU負(fù)載可能是遭到網(wǎng)絡(luò)DOS攻擊。硬盤(pán)中保留日志記錄也很重要，這對(duì)檢查硬件防火墻有著重要作用，還要定期檢查。

　　對(duì)于大中型網(wǎng)絡(luò)來(lái)說(shuō)，硬件防火墻相當(dāng)重要，因此選購(gòu)硬件防火墻也是很重要的。首先品牌很重要，好的硬件防火墻需要資金和技術(shù)作為后盾，大品牌大公司生產(chǎn)的技術(shù)相對(duì)來(lái)說(shuō)會(huì)更好，而且售后服務(wù)也會(huì)更好。其次是安全性能，網(wǎng)絡(luò)的安全是信息安全的生命.只有硬件防火墻本身安全，沒(méi)有漏洞才能保護(hù)好大中型網(wǎng)絡(luò)內(nèi)部安全。再次，防火墻的數(shù)據(jù)處理能力是主要性能標(biāo)準(zhǔn)，尤其是在大型網(wǎng)絡(luò)中，如果沒(méi)有一定的數(shù)據(jù)吞吐量是無(wú)法完成保護(hù)網(wǎng)絡(luò)安全的目的的。最后就是硬件防火墻的兼容性，良好的兼容性也是網(wǎng)絡(luò)安全的重要前提。

　　綜合來(lái)說(shuō)，硬件防火墻在大中型網(wǎng)絡(luò)中起到了保衛(wèi)安全的重要作用，大中型網(wǎng)絡(luò)的安全關(guān)乎到企業(yè)社會(huì)和國(guó)家的信息安全，因此通過(guò)理論研究硬件防火墻，對(duì)保障信息安全起著重要作用。