浅析大中型网络中硬件防火墙的作用

王明

摘要：信息技术的快速发展为人们的生产、生活带来了极大的便利。各大型网络在人们生活中的影响日益扩大，如何保证大型网络的安全性是对我们提出的新课题也是保证信息技术实现优势的关键因素，功能最为强大的硬件防火墙在网络安全体系结构的应用尤为显眼。本文对硬件防火强在大型网络中的应用的必要性，以及硬件防火墙的防御策略等方面分析了硬件防火墙在大型网络中的作用进行了探析。

关键词：网络安全；硬件防火墙；大型网络

二十一世纪的今天，伴随着日益发展计算机网络，是逐步加大的网络安全威胁。人们亦越发重视自身所在环境的网络安全体系结构的建设和发展。各种网络安全技术的提出和网络安全产品的出现也不断丰富着网络安全体系。那么作为网络安全产品中的重要组成部分，硬件防火墙能在大型网络的安全体系中会体现出怎样的作用呢？

一、防火墙的架构与工作方式

防火墙可以使用户的网络规划更加清晰明了，全面防止跨越权限的数据访问。一套完整防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从IP包的包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项，对IP包进行过滤。代理服务器是防火墙中的一个服务器进程，它能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关，一个为特定网络应用而连接两个网络的网关。用户就一项TCP/IP应用，比如Telnet或者FTP，同代理服务器打交道，代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后，代理服务器接通远程主机，为2个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的认证是：它只由用户标识和口令构成。但是，如果防火墙是通过Internet来访问的，应推荐用户使用更强的认证机制，例如一次性口令或回应式系统等。

二、大中型网络为何选择硬件防火墙

软件防火墙是安装在计算机操作平台的软件产品，它通过在操作系统底层工作来实现管理网络和优化防御功能。对于大中型网络来说，将软件防火墙装入内部网络的每台设备和内部服务器中来保护网络安全的工作量是巨大的，在实际操作比较困难。首先，大中型网络需要稳定高速运行，而基于操作系统的软件防火墙运行将会给CPU增加超重负荷，造成路由不稳定，势必影响网络。其次，大中型网络会是黑客们攻击的对象，面对高速密集的DOS（拒绝服务）攻击，显然，单凭软件防火墙本身承受能力是无法做到抵御黑客，保护网络安全的。再次，软件防火墙在兼容性方面不及硬件防火墙。正是软件防火墙存在这些缺点，在大中型网络中一般会采用硬件防火墙。

三、硬件防火墙安全防御策略的实现

1、大中型网络中防火墙位置与硬件防火墙应用。对于大中型网络，通常在防火墙设置放置在内部和外部的网络中，通过隔离措施，使内部网络的安全目标可以实现。通常，设计人员还直接把DMZ隔离区的设置，服务器的直接引进，加强网络安全可以发挥重要的作用。从硬件防火墙的具体应用来说，它主要是在原有的基于防火墙的防火墙的基础上，保证了软件、硬件等各个方面的个性化设计。因为需要注意程序的指令需要许多具体的制度作为支撑，所以应该设计的操作系统平台，例如Linux操作系统，对防火墙系统的安全漏洞的基础上应用安全策略部署是可以避免的。同时，引入防火墙，硬件防火墙的要求应符合理论的实际价值，在带宽上，保证硬件防火墙的运行、运行速度、安全性和吞吐量都有一定的优势。

2、硬件防火墙安全防御策略。针对当前系统运行中存在的安全威胁、网络攻击等问题，实际解决中要求采取针对性的解决措施。以IP欺骗伪造为例，主要考虑对IP源地址进行检验，其中硬件防火墙的运用可在发出IP数据包前便进行检测。若检测中发现IP源地址与局域网本身IP地址难以吻合，将拒绝发送IP包，禁止其离开内网。此时，攻击人员若需通过路由器、连接网关，要求使用其自身IP地址。这样在硬件防火墙运用下，IP欺骗伪造的防御便可实现。再如sYN Flood攻击为例，将硬件防火墙引入，主要通过SYN Cookie技术、无效连接释放与阻断连接等方式，使防御目标得以实现。一般SYN Cookie技术应用下，要求有Safe Reset技术配合，这样可对连接客户合法性进行验证，服务器入口位置在防火墙的情况下，能够严格控制报文。而在无效链接释放方面，主要针对服务器存在过多上半开连接情况下，对无效连接进行警告，识别其中无效链接并进行释放， 以此使服务器服务能力被快速恢复。同样在新建连接阻断方面，通常将SYN Flood攻击检测方式配合使用，能够将瞬间高强度攻击下带来的问题被解决。具体实现中，要求硬件防火墙应用下，对新建连接数、半开连接数等阀值是否存在超时问题进行判断，假若SYN Flood检测中检测到有攻击问题存在，便会使服务器拒绝接收客户的请求。这样对于新建连接报文，服务器未对其处理的情况下便被防火墙所阻断，使服务器受网络攻击的影响被削弱。但一般受网络攻击行为影响，服务器服务能力很可能下降许多。

四、结语

随着计算机网络在人们生活中各个领域的广泛应用，網络的非法行为越来越大。构建一个完整、高效的网络安全系统越来越重要。建设网络安全系统，通过实际案例和基于网络安全指数的例子充分体现了区域隔离，网络安全系统的硬件防火墙的攻击防护、协议过滤、流量控制、用户身份认证、网络行为、记录管理、远程访问等核心应用的VPN。认为在很长一段时间内如何有效地和现场使用硬件防火墙在应用中的优势将是影响整个网络安全系统构建成败的关键因素。

参考文献

[1] 谢希仁.计算机网络（第四版）[M].北京：电子工业出版社，2015.

[2] 黄海.思科网络技术学院教程（第一，二学期）第三版[M].北京：人民邮电出版社，2014.