试论大中型网络中硬件防火墙的作用的论文.docVIP

　　试论大中型网络中硬件防火墙的作用的论文 论文摘要：网络信息安全中防火墙扮演着重要角色，而硬件防火墙对大型网络安全更是至关重要，研究硬件防火墙将为大型网络的安全增加砝码。通过对硬件防火墙工作原理的研究，明白为何大中型网络要使用硬件防火墙，理解硬件防火墙在网络中的工作原理和过程，知道硬件防火墙的基本配置考虑要素。了解硬件防火墙的选购标准，增强对硬件防火墙在网络信息安全中重要性的认识。 　　论文关键词：网络信息安全；大型网络；硬件防火墙；三次握手；过滤；cpu负载 　　伴随着信息技术的发展，网络已经成为人们工作生活必不可少的工具，而网络信息安全也越来越受到人们的重视。防火墙技术的发展将促进防火墙成为网络安全的重要保障，而硬件防火墙会成为保护大中型网络信息安全的首选! 　　1大中型网络为何选择硬件防火墙 　　软件防火墙是安装在计算机操作平台的软件产品，它通过在操作系统底层工作来实现管理网络和优化防御功能。 　　对于大中型网络来说，将软件防火墙装人内部网络的每台设备和内部服务器中来保护网络安全的工作量是巨大的，在实际操作比较困难。首先，大中型网络需要稳定高速运行，而基于操作系统的软件防火墙运行将会给cpu增加超重负荷，造成路由不稳定，势必影响网络。其次，大中型网络会是黑客们攻击的对象，面对高速密集的dos(拒绝服务)攻击，显然，单凭软件防火墙本身承受能力是无法做到抵御黑客，保护网络安全的。再次，软件防火墙在兼容性方面不及硬件防火墙。正是软件防火墙存在这些缺点．在大中型网络中一般会采用硬件防火墙。. 　　2硬件防火墙的工作原理和网络安全防御策略 　　2．1防火墙在网络中的位置 　　外部防火墙工作在外部网络和内部网络之间，这样的布署将内部网络和外部网络有效地隔离起来，已达到增加内部网络安全的目的。一般情况下，还要设立一个隔离区(dmz)，放人公开的服务器，让外网访问时，就能增加内网的安全。而内部防火墙保护隔离区对内网的访问安全，这样的综合布署将有效提高网络安全。 　　2．2硬件防火墙的构成 　　硬件防火墙为了克服软件防火墙在大中型网络中的不足，对软件防火墙进行了改进。通过硬件和软件的结合来设计防火墙，硬件和软件部分都必须单独设计，将软件防火墙嵌入在硬件中同时，采用专门的操作系统平台(加入linux系统，因为有些指令程序需要安装在enthear)~的内容。客户端和服务端的服务响应都是与报文段首部的数据相关联，而三次握手能够实现也和报文段首部的数据相关，其安全性也取决于首部内容，因此黑客经常利用tcpflp协议的漏洞对报文段首部下手从而实现有外网对内网进行攻击。 　　在大中型网络内部也有部门的划分，对于一些比较重要的部门就连内部网络其他部门也要授权后才能进行访问，这样就会最大限度保障网络的安全，因为有的大型网络的安全关系到国家社会的安全和稳定，所以如果在内部发生网络威胁将会带来更大的损失。 　　2．4网络中的攻击手段 　　网络中主要的攻击手段就是对服务器实行拒绝服务攻击，用ip欺骗使服务器复位合法用户的连接，使其不能正常连接．还有就是迫使服务器缓冲区满，无法接受新的请求。 　　2．4．1伪造ip欺骗攻击 　　ip欺骗中攻击者构造一个tcp数据，伪装自己的ip和一个合法用户ip相同，并且对服务器发送tcp数据，数据中包含复位链接位(rst)，当发送的连接有错误时，服务器就会清空缓冲区中建立好的正确连接。这时，如果那个合法用户要再发送合法数据，服务器就不会为其服务，该用户必须重新建立连接。 　　2．4．2synflood攻击 　　synflood是利用了tcp协议的缺陷，一个正常的tcp连接需要三次握手，首先客户端发送一个包含syn标志的数据包，然后服务器返回一个syn／ack的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ack，这样才完成tcp连接。在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有限的缓冲区队列(backlogqueue)中。synflood攻击就是利用服务器的连接缓冲区，使用一些特制的程序(可以设置tcp报文段的首部，使整个t0p拉文与正常报文类似，但无法建立连接)，向服务器端不断地成倍发送仅有syn标志的tcp连接请求，当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中，这样就会使服务器端的tcp资源迅速耗尽，当缓冲区队列满时，服务器就不再接收新的连接请求了。其他合法用户的连接都会被拒绝，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。 　　2．4．3ackhood攻击 　　用户和服务器之间建立了tcp连接后，所有tcp报文都会带有ack标志位，服务器接受到报文时，会检查