◆姚荣荣

浅析硬件防火墙在网络中的应用

◆姚荣荣

(320911198702061932)

在网络技术迅猛发展的势头下，互联网已成为人们工作、生活不可或缺的重要工具，同时，它在传输和共享信息方面发挥着重要作用。在此情况下，愈来愈多的人开始认识到网络安全的重要性。作为依托于各类先进安全技术而构成的坚固屏障，硬件防火墙在规避风险、抵御非法入侵等方面扮演着重要角色。在网络高速发达的今天，如何保护数据安全、规避并抵御黑客入侵、查杀病毒等是当前亟待解决的重要问题。实践表明，使用硬件防火墙能够获得相对良好的防护效果，于是，硬件防火墙备受人们的关注。本文首先对网络中引入并应用硬件防火墙的意义进行明确，而后对其所具有的功能展开详细论述，最后就使用过程中需要注意的若干问题进行明确，以期本文能够为同类研究提供一定的理论指导。

网络安全；硬件防火墙；功能应用

0 引言

作为保护内网安全的坚固屏障，硬件防火墙自身安全性、稳定性会对内网安全产生重要影响。它主要指的是将防火墙程序嵌入至特定芯片内，通过硬件来执行特定功能，降低CPU的运行压力，提高路由的运行平稳性。在避免信息外泄露、阻挡黑客入侵等方面，硬件防火墙发挥着不可或缺的重要作用，它不仅是网络安全策略的主要构成要求，同时也是保障内网安全的有效手段。

1 防火墙概述

作为一种应用较为广泛的网络安全设备，防火墙的主要作用在于保障网络安全，能够阻挡黑客入侵和不法用户的恶意攻击。当前所应用的防火墙主要包括两种：一种是软件防火墙，另一种是硬件防火墙。相对来讲，软件防火墙的安全保护性能较差，通常要在操作系统的支持下才能够彰显效用。但是当前所应用的操作系统或多或少地都有其固有不足或者缺陷，即便是微软公司推出的操作系统，亦存在一些漏洞，无法有效保障安全。对操作者而言，防火墙的第一要务是确保自身绝对安全，很明显，软件防火墙并无法做到这一点，于是人们将目光转向于硬件防火墙，当前应用热度较高且备受用户青睐的产品主要包括FireWall-I、Netscreen-100以及网关防火墙等，大体可将其划分为下述三类：

（1）网络安全屏障。安装防火墙能够大幅改善内网的安全性能，可将一切具有潜在风险的服务阻挡到“墙”之外，以此避免网络受到入侵或者损害。

（2）能够完善并优化网络安全策略。基于防火墙的安全方案配置，可将每一个安全软件（比如加密、审计等）合理地布设于防火墙之中，相较于其他方法，此方法不仅安全系数高，并且更具经济性，有利于降低安全维护成本。

（3）能够对网络的存取和访问活动进行动态化、持续化监测。防火墙不仅能够对操作者使用网络所开展的存取、访问活动进行准确、实时地记录，还能够对其具体应用情况进行高效、准确地统计，为网络后期更新、升级提供了可靠参考。在察觉到异常时，防火墙能够向操作者发出相应的提示，并且会对网络有无受到入侵、监测等提供准确可靠的信息。

在对各种防火墙进行研究和分析之后发现，其应用模式大体分为：(1) 透明工作模式；（2）路由工作模式；（3）混合工作模式。

对于中小型公司的用户来说，最好选用路由方式，因为此时的防火墙不仅可以被看作是路由器，发挥路由功能，同时还能提高网络的安全性。

混合方式的使用频率也比较大，用户可将同一子网设置成透明模式，不同子网设置成路由模式，这样一来不仅减轻了防火墙的负担，同时也提高了网络的安全，不过这种操作过于复杂，对内部网络结构会产生一定影响，一旦发生故障，就需要耗费大量的时间查找故障源。

2 硬件防火墙的构成与功能

2.1 构成

为了克服软件防火墙的一些缺陷与不足，于是对其作出了相应调整。采用硬软件相结合的模式，不仅设计了硬件，还专门设计了软件，并在硬件中嵌入软件。由于采用的是独立的操作系统，因此就加大了对系统安全漏洞攻击的难度。就软硬件的要求上来看，能够使硬件防火墙的真实带宽与理论值无太大出入，大大提高了系统的安全性、提高了系统的吞吐量。在网络中安装硬件防火墙，既能够从源头上保证内网有外网连接的安全性，同时还能对各网段的内部网络安全起到强大保护作用。

2.2 功能

（1）硬件防火墙是网络安全的保障

硬件防火墙在保障网络安全的基础上，还能对一些危险性的服务进行有效过滤，以此从源头上降低网络安全风险。由于只有提前定制好的规则才能穿过硬件防火墙，所以使网络环境的安全系数大大提升。例如，防火墙可将来源不明的NFS协议拒之门外，对于外部攻击者来说，由于无法侵入网络内部，所以就无法实施攻击，进而提高了内部网络安全性。与此同时，防火墙还能使网络免受路由攻击。

（2）硬件防火墙可以强化网络安全

防火墙可对安全策略进行集中管理，克服了之前策略部署每台设备的缺陷，将部分安全软件的相关配置添加到防火墙中。这种管理模式最显著特征是提高了经济性，也增强了每台电脑的网络安全性。

（3）对网络中访问行为进行监控审计

凡是穿过防火墙的数据，都可以被完整的统计与记录，由此生成访问日志。通过日志分析可进一步发现不安全操作，防火墙能及时向管理者发出警示，同时还提供较为详细的监测日志及攻击信息。为了确认过滤策略是否能够正常执行，还要收集网络运行情况。只有对防火墙的抵挡外来攻击情况有全面了解，才能够更好地改进过滤策略，避免引发安全风险。

（4）防止内部信息泄露

为大大提高重要网段的安全性，需通过防火墙对内部网络进行优化调整。这种调整能够避免某网段因安全问题而使整个网络受影响的情况出现。除此之外，保障网络隐私安全也是网络管理员不可忽略的一个重要问题。Finger指令可完整显示每个用户的登录及使用信息。不过该命令显示的信息容易被他人截获。一旦被他人非法截获，他就会对网络联网情况有一个全面了解。对于侵入者来说，用户的个人隐私就会直接曝光。要想防止地址等相关信息不被他人截获，就需要对内部网络中的DNS信息进行堵塞。

3 硬件防火墙的不足及应注意的问题

3.1 能阻断攻击，但不能消灭攻击源

科学设置防火墙能够抵挡部分攻击，但无法彻底清除攻击源。即使对防火墙进行了合理设置，将攻击全部抵御在外，但攻击源一直在，时刻都会发出攻击。比如，某网站的带宽为一百兆，日常攻击行为流量占十兆。即便正确设置防火墙，成功将这些攻击挡在门外，但仍无法使这十兆的攻击流量减少。

3.2 不能抵抗最新的未设置策略的攻击漏洞

市场上的杀毒软件都是在病毒出现之后才会将其纳入病毒库，之后才能发挥查杀病毒、处理病毒的作用。防火墙的各种策略，也是经专家学者们通过系统性分析确定出它的特征之后制定的。倘若发现了一个新漏洞，而攻击者正好又把攻击对象锁定了这条网络，那么防火墙就很难阻止这种攻击。

3.3 并发连接数限制容易导致拥塞或者溢出

在发现异常情况时，由于要对穿过防火墙的所有数据包进行分析与处理，防火墙就容易被堵塞，影响整个网络的安全，导致性能下降。当防火墙溢出时，其策略功能均无法正常发挥，之前被禁止入内的连接也能够顺利通过。

3.4 对内部的主动攻击一般无法阻止

防火墙的主要功能是抵御外来攻击，对于内网破坏是有心而力不足。有时网络攻击并不是恶意行为，可能因监管或协议漏洞致使问题频繁出现。要想内部网络不受攻击，只能对各终端的网卡进行防空拦截，将ARP攻击彻底扼杀在摇篮里。

3.5 防火墙本身也会出问题

事实上，硬件防火墙也是一种网络安全设备，也配有相应的软硬件设施，所以它也会存有漏洞。自身也会出现故障或被攻击。防火墙只是保障网络安全的一种手段，还需其他策略相结合才能提高网络安全性能。

4 结束语

硬件防火墙是最常用的一种网络安全保障方法，需不断改进其性能以提高网络安全。只有网络安全问题得到妥善处理，才能够在安全的网络世界里畅游。因此，设置科学、合理的安全策略，实施有效的管理及监控制度，才能大大提高防火墙的防攻击能力。

[1]杨晓红.浅析防火墙技术[J].科技资讯，2016.

[2]白广思.防火墙技术发展趋势[J].现代情报，2014.

[3]刘威.试论计算机网络维护策略及病毒防治技术应用[J].中国管理信息化，2016.