网络信息安全中防火墙扮演着重要角色，而硬件防火墙对大型网络安全更是至关重要，研究硬件防火墙将为大型网络的安全增加砝码。通过对硬件防火墙工作原理的研究，明白为何大中型网络要使用硬件防火墙，理解硬件防火墙在网络中的工作原理和过程，知道硬件防火墙的基本配置考虑要素。了解硬件防火墙的选购标准，增强对硬件防火墙在网络信息安全中重要性的认识。

　　论文关键词：网络信息安全；大型网络；硬件防火墙；三次握手；过滤；CPU负载

　　伴随着信息技术的发展，网络已经成为人们工作生活必不可少的工具，而网络信息安全也越来越受到人们的重视。防火墙技术的发展将促进防火墙成为网络安全的重要保障，而硬件防火墙会成为保护大中型网络信息安全的首选!

　　1大中型网络为何选择硬件防火墙

　　软件防火墙是安装在计算机操作平台的软件产品，它通过在操作系统底层工作来实现管理网络和优化防御功能。
　　对于大中型网络来说，将软件防火墙装人内部网络的每台设备和内部服务器中来保护网络安全的工作量是巨大的，在实际操作比较困难。首先，大中型网络需要稳定高速运行，而基于操作系统的软件防火墙运行将会给CPU增加超重负荷，造成路由不稳定，势必影响网络。其次，大中型网络会是黑客们攻击的对象，面对高速密集的DOS(拒绝服务)攻击，显然，单凭软件防火墙本身承受能力是无法做到抵御黑客，保护网络安全的。再次，软件防火墙在兼容性方面不及硬件防火墙。正是软件防火墙存在这些缺点．在大中型网络中一般会采用硬件防火墙。

　　2硬件防火墙的工作原理和网络安全防御策略

　　2．1防火墙在网络中的位置
　　外部防火墙工作在外部网络和内部网络之间，这样的布署将内部网络和外部网络有效地隔离起来，已达到增加内部网络安全的目的。一般情况下，还要设立一个隔离区(DMZ)，放人公开的服务器，让外网访问时，就能增加内网的安全。而内部防火墙保护隔离区对内网的访问安全，这样的综合布署将有效提高网络安全。

　　2．2硬件防火墙的构成
　　硬件防火墙为了克服软件防火墙在大中型网络中的不足，对软件防火墙进行了改进。通过硬件和软件的结合来设计防火墙，硬件和软件部分都必须单独设计，将软件防火墙嵌入在硬件中同时，采用专门的操作系统平台(加入Linux系统，因为有些指令程序需要安装在Windows系统之中，而Windows稳定性不如Linux，如果在本身就很脆弱的系统平台中布署安全策略．这样的防火墙也会不安全)，从而避免通用操作系统的安全性漏洞。对软硬件的特殊要求，使硬件防火墙的实际带宽与理论值基本一致，提高吞吐量、增加安全性，加快运行速度。将这样的硬件防火墙安装进入大中型网络，不仅在可以有效地保障内网与外网链接时的安全．而且可以保障内部网络中不同部门不同区域之间的安全．

　　2．3大中型网络安全威胁来源
　　现今的网络使用的都是TcP，IP协议，TCP报文段传输最重要的就是报文段首部(segmenthea&r)~的内容。客户端和服务端的服务响应都是与报文段首部的数据相关联，而三次握手能够实现也和报文段首部的数据相关，其安全性也取决于首部内容，因此黑客经常利用TCPflP协议的漏洞对报文段首部下手从而实现有外网对内网进行攻击。
　　在大中型网络内部也有部门的划分，对于一些比较重要的部门就连内部网络其他部门也要授权后才能进行访问，这样就会最大限度保障网络的安全，因为有的大型网络的安全关系到国家社会的安全和稳定，所以如果在内部发生网络威胁将会带来更大的损失。
2．4网络中的攻击手段
　　网络中主要的攻击手段就是对服务器实行拒绝服务攻击，用IP欺骗使服务器复位合法用户的连接，使其不能正常连接．还有就是迫使服务器缓冲区满，无法接受新的请求。
　　2．4．1伪造IP欺骗攻击
　　IP欺骗中攻击者构造一个TCP数据，伪装自己的IP和一个合法用户IP相同，并且对服务器发送TCP数据，数据中包含复位链接位(RST)，当发送的连接有错误时，服务器就会清空缓冲区中建立好的正确连接。这时，如果那个合法用户要再发送合法数据，服务器就不会为其服务，该用户必须重新建立连接。
　　2．4．2SYN FLooD攻击
　　SYNFLOOD是利用了TCP协议的缺陷，一个正常的TCP连接需要三次握手，首先客户端发送一个包含SYN标志的数据包，然后服务器返回一个SYN／ACK的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ACK，这样才完成TCP连接。在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有限的缓冲区队列(BacklogQueue)中。SYNFLOOD攻击就是利用服务器的连接缓冲区，使用一些特制的程序(可以设置TCP报文段的首部，使整个T0P拉文与正常报文类似，但无法建立连接)，向服务器端不断地成倍发送仅有SYN标志的TCP连接请求，当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中，这样就会使服务器端的TCP资源迅速耗尽，当缓冲区队列满时，服务器就不再接收新的连接请求了。其他合法用户的连接都会被拒绝，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。
　　2．4．3ACK Hood攻击
　　用户和服务器之间建立了TCP连接后，所有TCP报文都会带有ACK标志位，服务器接受到报文时，会检查数据包中表示连接的数据是否存在，如果存在，在检查连接状态是否合法，合法就将数据传送给应用层，非法则服务器操作系统协议栈会回应RST包给用户。对于JSP服务器来说，小的ACK包冲击就会导致服务器艰难处理正常得连接请求，而大批量高密度的ACKFlood会让A．pache或IIS服务器出现高频率的网卡中断和过重负载，最终会导致网卡停止响应。ACKFlood会对路由器等网络设备以及服务器造成影响。
　　2．4．4UDPFlood攻击
　　UDPFlood攻击是利用UDP协议无连接的特点，伪造大量客户端IP地址向服务器发起UDP连接，一旦服务器有一个端口响应并提供服务，就会遭到攻击，UDPFlood会对视频服务器和DNS服务器等造成攻击。
　　2．4．5ICM PFlood攻击
　　ICMPFlood通过Ping产生的大量数据包，发送给服务器，服务器收到大量ICMP数据包，使CPU占用率满载继而引起该TCP／IP栈瘫痪，并停止响应TCP／IP请求，从而遭受攻击，因此运行逐渐变慢，进而死机。
　　除了以上几种攻击手段，在网络中还存在一些其他攻击手段，如宽带DOS攻击，自身消耗DOS攻击，将服务器硬盘装满，利用安全策略漏洞等等，这些需要硬件防火墙对其做出合理有效防御。

　　2．5硬件防火墙防御攻击的策略
　　2．5．1伪造IP欺骗攻击的防御策略
　　当IP数据包出内网时检验其IP源地址，每一个连接内网的硬件防火墙在决定是否允许本网内部的IP数据包发出之前，先对来自该IP数据包的IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址，该IP包就被拒绝，不允许该包离开内网。这样一来，攻击者至需要使用自己的IP地址才能通过连接网关或路由器。这样过滤和检验内网发出数据包的IP源地址的方法基本可以做到预防伪造IP欺骗攻击。
　　2．5．2SYN FLo0D攻击防御策略
　　硬件防火墙对于SYNFLOOD攻击防御基本上有三种，一是阻断新建的连接，二是释放无效连接，三是SYNCookie和SafeRe．set技术。
 

阻断新建连接就是在防火墙发现连半开连接数阈值和新建连接数阈值被超时时，SYNFLOOD攻击检测发现攻击，暂时阻止客户向服务器发出的任何请求。防火墙能在服务器处理新建连接报文之前将其阻断，削弱了网络攻击对服务器的影响，但无法在服务器被攻击时有效提升服务器的服务能力。因此，一般配合防火墙SYNFlood攻击检测，避免瞬间高强度攻击使服务器系统崩溃。释放无效链接是当服务器上半开连接过多时，要警惕冒充客户端的虚假IP发起无效连接，防火墙要在这些连接中识别那些是无效的．向服务器发送复位报文，让服务器进行释放，协助服务器恢复服务能力。
　　SYNCo0kie和SafeReset是验证发起连接客户的合法性。防火墙要保护服务器入口的关键位置，对服务器发出的报文进行严格检查。
　　2．5．3 ACK Flood攻击防御策略
　　防火墙对网络进行分析，当收包异常大于发包时，攻击者一般采用大量ACK包，小包发送，提高速度，这种判断方法是对称性判断．可以作为ACKFlood攻击的依据。防火墙建立hash表存放TCP连接状态，从而大致上知道网络状况。
　　2．5．4UDPHood攻击防御策略
　　UDPF1ood攻击防御比较困难，因为UDP是无连接的，防火墙应该判断UDP包的大小，大包攻击则采用粉碎UDP包的方法，或者对碎片进行重组。还有比较专业的防火墙在攻击端口不是业务端口是丢弃UDP包，抑或将UDP也设一些和TCP类似的规则。
　　2．5．5ICM PFlood攻击防御策略
　　对于ICMPFlood的防御策略，硬件防火墙采用过滤ICMP报文的方法。
　　硬件防火墙还对网络中其他的一些攻击手段进行着安全有效的防御，保护着网络的安全。

　　3硬件防火墙的配置考虑要素和选购标准

　　硬件防火墙是网络硬件设备，需要安装配置，网络管理人员应该要考虑实际应用中硬件规则的改变调整，配置参数也在不断改变。对于硬件防火墙的安全策略也应该考虑到，哪些数据流被允许，哪些不被允许，还有代理等等，还有授权的问题，外网域内网之问，内网里各个不同部门之间，还有DMZ区域和内网等，这些都需要照顾到。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化．并能尽量避免因修改配置所造成的错误和安全漏洞。除此之外还要考虑CPU负载问题，过高的CPU负载可能是遭到网络DOS攻击。硬盘中保留日志记录也很重要，这对检查硬件防火墙有着重要作用，还要定期检查。
　　对于大中型网络来说，硬件防火墙相当重要，因此选购硬件防火墙也是很重要的。首先品牌很重要，好的硬件防火墙需要资金和技术作为后盾，大品牌大公司生产的技术相对来说会更好，而且售后服务也会更好。其次是安全性能，网络的安全是信息安全的生命．只有硬件防火墙本身安全，没有漏洞才能保护好大中型网络内部安全。再次，防火墙的数据处理能力是主要性能标准，尤其是在大型网络中，如果没有一定的数据吞吐量是无法完成保护网络安全的目的的。最后就是硬件防火墙的兼容性，良好的兼容性也是网络安全的重要前提。
　　综合来说，硬件防火墙在大中型网络中起到了保卫安全的重要作用，大中型网络的安全关乎到企业社会和国家的信息安全，因此通过理论研究硬件防火墙，对保障信息安全起着重要作用。