硬體防火牆

出自 MBA智库百科(https://wiki.mbalib.com/)

硬體防火牆(Hardware Firewall)

　　硬體防火牆是指把防火牆程式做到晶元裡面，由硬體執行這些功能，能減少CPU的負擔，使路由更穩定。

　　硬體防火牆是保障內部網路安全的一道重要屏障。它的安全和穩定，直接關係到整個內部網路的安全。因此，日常例行的檢查對於保證硬體防火牆的安全是非常重要的。

　　系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭，例行檢查的任務就是要發現這些安全隱患，並儘可能將問題定位，方便問題的解決。

　　一般來說，硬體防火牆的例行檢查主要針對以下內容：

　　1.硬體防火牆的配置文件

　　不管你在安裝硬體防火牆的時候考慮得有多麼的全面和嚴密，一旦硬體防火牆投入到實際使用環境中，情況卻隨時都在發生改變。硬體防火牆的規則總會不斷地變化和調整著，配置參數也會時常有所改變。作為網路安全管理人員，最好能夠編寫一套修改防火牆配置和規則的安全策略，並嚴格實施。所涉及的硬體防火牆配置，最好能詳細到類似哪些流量被允許，哪些服務要用到代理這樣的細節。

　　在安全策略中，要寫明修改硬體防火牆配置的步驟，如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分，如某人具體做修改，另一人負責記錄，第三個人來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬體防火牆配置的修改工作程式化，並能儘量避免因修改配置所造成的錯誤和安全漏洞。

　　2.硬體防火牆的磁碟使用情況

　　如果在硬體防火牆上保留日誌記錄，那麼檢查硬體防火牆的磁碟使用情況是一件很重要的事情。如果不保留日誌記錄，那麼檢查硬體防火牆的磁碟使用情況就變得更加重要了。保留日誌記錄的情況下，磁碟占用量的異常增長很可能表明日誌清除過程存在問題，這種情況相對來說還好處理一些。在不保留日誌的情況下，如果磁碟占用量異常增長，則說明硬體防火牆有可能是被人安裝了Rootkit工具，已經被人攻破。

　　因此，網路安全管理人員首先需要瞭解在正常情況下，防火牆的磁碟占用情況，並以此為依據，設定一個檢查基線。硬體防火牆的磁碟占用量一旦超過這個基線，就意味著系統遇到了安全或其他方面的問題，需要進一步的檢查。

　　3.硬體防火牆的CPU負載

　　和磁碟使用情況類似，CPU負載也是判斷硬體防火牆系統運行是否正常的一個重要指標。作為安全管理人員，必須瞭解硬體防火牆系統CPU負載的正常值是多少，過低的負載值不一定表示一切正常，但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬體防火牆遭到DoS攻擊或外部網路連接斷開等問題造成的。

　　4.硬體防火牆系統的精靈程式

　　每台防火牆在正常運行的情況下，都有一組精靈程式（Daemon），比如名字服務程式、系統日誌程式、網路分發程式或認證程式等。在例行檢查中必須檢查這些程式是不是都在運行，如果發現某些精靈程式沒有運行，則需要進一步檢查是什麼原因導致這些精靈程式不運行，還有哪些精靈程式還在運行中。

　　5.系統文件

　　關鍵的系統文件的改變不外乎三種情況：管理人員有目的、有計劃地進行的修改，比如計劃中的系統升級所造成的修改；管理人員偶爾對系統文件進行的修改；攻擊者對文件的修改。

　　經常性地檢查系統文件，並查對系統文件修改記錄，可及時發現防火牆所遭到的攻擊。此外，還應該強調一下，最好在硬體防火牆配置策略的修改中，包含對系統文件修改的記錄。

　　6.異常日誌

　　硬體防火牆日誌記錄了所有允許或拒絕的通信的信息，是主要的硬體防火牆運行狀況的信息來源。由於該日誌的數據量龐大，所以，檢查異常日誌通常應該是一個自動進行的過程。當然，什麼樣的事件是異常事件，得由管理員來確定，只有管理員定義了異常事件併進行記錄，硬體防火牆才會保留相應的日誌備查。

　　上述6個方面的例行檢查也許並不能立刻檢查到硬體防火牆可能遇到的所有問題和隱患，但持之以恆地檢查對硬體防火牆穩定可靠地運行是非常重要的。如果有必要，管理員還可以用數據包掃描程式來確認硬體防火牆配置的正確與否，甚至可以更進一步地採用漏洞掃描程式來進行模擬攻擊，以考核硬體防火牆的能力。

　　第一要素：防火牆的基本功能防火牆系統可以說是網路的第一道防線，因此一個企業在決定使用防火牆保護內部網路的安全時，它首先需要瞭解一個防火牆系統應具備的基本功能，這是用戶選擇防火牆產品的依據和前提。

　　一個成功的防火牆產品應該具有下述基本功能：防火牆的設計策略應遵循安全防範的基本原則—— “除非明確允許，否則就禁止”；防火牆本身支持安全策略，而不是添加上去的；如果組織機構的安全策略發生改變，可以加入新的服務；有先進的認證手段或有掛鉤程式，可以安裝先進的認證方法；如果需要，可以運用過濾技術允許和禁止服務；可以使用FTP和Telnet等服務代理，以便先進的認證手段可以被安裝和運行在防火牆上；擁有界面友好、易於編程的IP過濾語言，並可以根據數據包的性質進行包過濾，數據包的性質有目標和源IP地址、協議類型、源和目的 TCP/UDP埠、TCP包的ACK位、出站和入站網路介面等。如果用戶需要NNTP（網路消息傳輸協議）、XWindow、HTTP和Gopher等服務，防火牆應該包含相應的代理服務程式。防火牆也應具有集中郵件的功能，以減少SMTP伺服器和外界伺服器的直接連接，並可以集中處理整個站點的電子郵件。防火牆應允許公眾對站點的訪問，應把信息伺服器和其他內部伺服器分開。防火牆應該能夠集中和過濾撥入訪問，並可以記錄網路流量和可疑的活動。此外，為了使日誌具有可讀性，防火牆應具有精簡日誌的能力。雖然沒有必要讓防火牆的操作系統和公司內部使用的操作系統一樣，但在防火牆上運行一個管理員熟悉的操作系統會使管理變得簡單。防火牆的強度和正確性應該可被驗證，設計儘量簡單，以便管理員理解和維護。防火牆和相應的操作系統應該用補丁程式進行升級且升級必須定期進行。正像前面提到的那樣，Internet每時每刻都在發生著變化，新的易攻擊點隨時可能會產生。當新的危險出現時，新的服務和升級工作可能會對防火牆的安裝產生潛在的阻力，因此防火牆的可適應性是很重要的。

　　第二要素：企業的特殊要求企業安全政策中往往有些特殊需求不是每一個防火牆都會提供的，這方面常會成為選擇防火牆的考慮因素之一，常見的需求如下：

　　1、網路地址轉換功能(NAT)進行地址轉換有兩個好處：其一是隱藏內部網路真正的IP，這可以使黑客無法直接攻擊內部網路，這也是筆者之所以要強調防火牆自身安全性問題的主要原因；另一個好處是可以讓內部使用保留的IP，這對許多IP不足的企業是有益的。

　　2、雙重DNS當內部網路使用沒有註冊的IP地址，或是防火牆進行IP轉換時，DNS也必須經過轉換，因為，同樣的一個主機在內部的IP與給予外界的IP將會不同，有的防火牆會提供雙重DNS，有的則必須在不同主機上各安裝一個DNS。

　　3、虛擬專用網路(VPN)VPN可以在防火牆與防火牆或移動的客戶端之間對所有網路傳輸的內容加密，建立一個虛擬通道，讓兩者感覺是在同一個網路上，可以安全且不受拘束地互相存取。

　　4、掃毒功能大部分防火牆都可以與防病毒軟體搭配實現掃毒功能，有的防火牆則可以直接集成掃毒功能，差別隻是掃毒工作是由防火牆完成，或是由另一臺專用的電腦完成。

　　5、特殊控制需求有時候企業會有特別的控制需求，如限制特定使用者才能發送Email，FTP只能下載文件不能上傳文件，限制同時上網人數，限制使用時間或阻塞Java、 ActiveX控制項等，依需求不同而定。

　　第三要素：與用戶網路結合

　　1、管理的難易度防火牆管理的難易度是防火牆能否達到目的的主要考慮因素之一。一般企業之所以很少以已有的網路設備直接當作防火牆的原因，除了先前提到的包過濾，並不能達到完全的控制之外，設定工作困難、須具備完整的知識以及不易除錯等管理問題，更是一般企業不願意使用的主要原因。

　　2、自身的安全性大多數人在選擇防火牆時都將註意力放在防火牆如何控制連接以及防火牆支持多少種服務，但往往忽略了一點，防火牆也是網路上的主機之一，也可能存在安全問題，防火牆如果不能確保自身安全，則防火牆的控制功能再強，也終究不能完全保護內部網路。大部分防火牆都安裝在一般的操作系統上，如Unix、NT系統等。在防火牆主機上執行的除了防火牆軟體外，所有的程式、系統核心，也大多來自於操作系統本身的原有程式。當防火牆主機上所執行的軟體出現安全漏洞時，防火牆本身也將受到威脅。此時，任何的防火牆控制機制都可能失效，因為當一個黑客取得了防火牆上的控制權以後，黑客幾乎可為所欲為地修改防火牆上的訪問規則，進而侵入更多的系統。因此防火牆自身應有相當高的安全保護。

　　3、完善的售後服務我們認為，用戶在選購防火牆產品時，除了從以上的功能特點考慮之外，還應該註意好的防火牆應該是企業整體網路的保護者，並能彌補其它操作系統的不足，使操作系統的安全性不會對企業網路的整體安全造成影響。防火牆應該能夠支持多種平臺，因為使用者才是完全的控制者，而使用者的平臺往往是多種多樣的，它們應選擇一套符合現有環境需求的防火牆產品。由於新產品的出現，就會有人研究新的破解方法，所以好的防火牆產品應擁有完善及時的售後服務體系。

　　4、完整的安全檢查好的防火牆還應該向使用者提供完整的安全檢查功能，但是一個安全的網路仍必須依靠使用者的觀察及改進，因為防火牆並不能有效地杜絕所有的惡意封包，企業想要達到真正的安全仍然需要內部人員不斷記錄、改進、追蹤。防火牆可以限制唯有合法的使用者才能進行連接，但是否存在利用合法掩護非法的情形仍需依靠管理者來發現。

　　5、結合用戶情況在選購一個防火牆時，用戶應該從自身考慮以下的因素：網路受威脅的程度；若入侵者闖入網路，將要受到的潛在的損失；其他已經用來保護網路及其資源的安全措施；由於硬體或軟體失效，或防火牆遭到“拒絕服務攻擊”，而導致用戶不能訪問Internet，造成的整個機構的損失；機構所希望提供給 Internet的服務，希望能從Internet得到的服務以及可以同時通過防火牆的用戶數目；網路是否有經驗豐富的管理員；今後可能的要求，如要求增加通過防火牆的網路活動或要求新的Internet服務。

　　一、成本比較

　　硬體防火牆是軟硬體一體的，用戶購買後不需要再投入其他費用。一般硬體防火牆的報價在1萬到2萬之間。

　　軟體防火牆有三方面的成本開銷：

　　1.軟體的成本。

　　2.安裝軟體的設備成本。

　　3.設備上操作系統的成本。Windows Server 2003價格在4400-6000之間。

　　備註：綜合以上的成本，要配置一套軟體防火牆按最小的網路要求，其成本在1.0萬左右。

　　二、穩定性和安全性比較

　　穩定性能的優劣主要來自於防火牆運行平臺即操作系統上。

　　硬體防火牆一般使用經過內核編譯後的Linux，憑藉Linux本身的高可靠性和穩定性保證了防火牆整體的穩定性，Linux永遠都不會崩潰，其穩定性是由於它沒有像其他操作系統一樣內核龐大且漏洞百出。系統的穩定性主要取決於系統設計的結構。電腦硬體的結構自從1981設計開始就沒有作特別大的改動，而連續向後兼容性使那些編程風格極差的應用軟體勉強移植到Windows的最新版本，這種將就的軟體開發模式極大地阻礙了系統穩定性的發展。最令人註目的Linux開放源代碼的開發模式，它保證了任何系統的漏洞都能被及時發現和修正。Linux採取了許多安全技術措施，包括對讀、寫進行許可權控制、帶保護的子系統、審計跟蹤、核心授權等，這為網路多用戶環境中的用戶提供了必要的安全保障。

　　軟體防火牆一般要安裝在windows平臺上，實現簡單，但同時由於windows本身的漏洞和不穩定性帶來了軟體防火牆的安全性和穩定性的問題。雖然Microsoft也在努力的彌補這些問題，Windows 2003 server本身的漏洞就比前期的Windows NT少了很多，但與Linux比起來還是漏洞倍出。在病毒侵害方面，從linux發展到如今，Linux幾乎不感染病毒。而作為Windows 平臺下的病毒我們就不必多說了，只要是使用過電腦的人都有感受。像近幾個月以來在內網中廣泛傳播的ARP欺騙病毒，造成了內網不穩定、網路時斷時序、經常掉線，無法開展正常的工作，使得很多的網路管理人員束手無策。

　　三、軟硬體防火牆的吞吐量和包轉發率比較

　　吞吐量和報文轉發率是關係防火牆應用的主要指標，硬體防火牆的硬體設備是經專業廠商定製的，在定製之初就充分考慮了吞吐量的問題，在這一點上遠遠勝於軟體防火牆，因為軟體防火牆的硬體是用戶自己選擇的很多情況下都沒有考慮吞吐量的問題，況且windows系統本身就很耗費硬體資源，其吞吐量和處理大數據流的能力遠不及硬體防火牆，這一點是不言而喻的。吞吐量太小的話，防火牆就是網路的瓶頸，會帶來網路速度慢、上網帶寬不夠等等問題。

　　四、防火牆工作原理上的比較

　　軟體防火牆一般可以是包過濾機制。包過濾過濾規則簡單，只能檢查到第三層網路層，只對源或目的IP做檢查，防火牆的能力遠不及狀態檢測防火牆，連最基本的黑客攻擊手法IP偽裝都無法解決，並且要對所經過的所有數據包做檢查，所以速度比較慢。硬體防火牆主要採用第四代狀態檢測機制。狀態檢測是在通信發起連接時就檢查規則是否允許建立連接，然後在緩存的狀態檢測表中添加一條記錄，以後就不必去檢查規則了只要查看狀態監測表就OK了，速度上有了很大的提升。因其工作的層次有了提高，其防黑功能比包過濾強了很多，狀態檢測防火牆跟蹤的不僅是包中包含的信息。為了跟蹤包的狀態，防火牆還記錄有用的信息以幫助識別包，例如已有的網路連接、數據的傳出請求等。

　　例如，如果傳入的包包含視頻數據流，而防火牆可能已經記錄了有關信息，是關於位於特定IP地址的應用程式最近向發出包的源地址請求視頻信號的信息。如果傳入的包是要傳給發出請求的相同系統，防火牆進行匹配，包就可以被允許通過。。

　　硬體防火牆比軟體防火牆在實現的機制上有很大的不同，也帶來了軟硬體防火牆在防黑能力上很大差異。

　　五、在對內網的控制方面比較

　　軟體防火牆由於本身的工作原理造成了它不具備內網具體化的控制管理，比如，不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能針對具體的IP和MAC做上網控制等，其主要的功能在於對外。

　　硬體防火牆在基於狀態檢測的機制上，安全廠商又可以根據市場的不同需求開發應用層過濾規則，來滿足對內網的控制，能夠在高層進行過濾，做到了軟體防火牆不能做到的很多事。尤其是近期流行的ARP病毒，硬體防火牆針對其入侵的原理，做了相應的策略，徹底解除了ARP病毒的危害。

　　現在的網路安全(防火牆)已經不僅僅局限於對外的防止黑客攻擊上，更多的企業內部網路經常存在諸如上網速度慢、時斷時序、郵件收發不正常等問題。我們分析其主要的原因，在於內網用戶的使用問題，很多的用戶上班時間使用BT下載、瀏覽一些不正規的網站，這樣都會引起內網的諸多問題，比如病毒，很多病毒傳播都是使用者不良行為而造成的。所以說內網用戶的控制和管理是非常必要的。

• 防火牆