试论大中型网络中硬件防火墙的作用网络.docVIP

　　试论大中型网络中硬件防火墙的作用网络 论文摘要：网络信息安全中防火墙扮演着重要角色，而硬件防火墙对大型网络安全更是至关重要，研究硬件防火墙将为大型网络的安全增加砝码。通过对硬件防火墙工作原理的研究，明白为何大中型网络要使用硬件防火墙，理解硬件防火墙在网络中的工作原理和过程，知道硬件防火墙的基本配置考虑要素。了解硬件防火墙的选购标准，增强对硬件防火墙在网络信息安全中重要性的认识。 　　论文关键词：网络信息安全；大型网络；硬件防火墙；三次握手；过滤；CPU负载 　　伴随着信息技术的发展，网络已经成为人们工作生活必不可少的工具，而网络信息安全也越来越受到人们的重视。防火墙技术的发展将促进防火墙成为网络安全的重要保障，而硬件防火墙会成为保护大中型网络信息安全的首选! 　　1大中型网络为何选择硬件防火墙 　　软件防火墙是安装在计算机操作平台的软件产品，它通过在操作系统底层工作来实现管理网络和优化防御功能。 　　对于大中型网络来说，将软件防火墙装人内部网络的每台设备和内部服务器中来保护网络安全的工作量是巨大的，在实际操作比较困难。首先，大中型网络需要稳定高速运行，而基于操作系统的软件防火墙运行将会给CPU增加超重负荷，造成路由不稳定，势必影响网络。其次，大中型网络会是黑客们攻击的对象，面对高速密集的DOS(拒绝服务)攻击，显然，单凭软件防火墙本身承受能力是无法做到抵御黑客，保护网络安全的。再次，软件防火墙在兼容性方面不及硬件防火墙。正是软件防火墙存在这些缺点．在大中型网络中一般会采用硬件防火墙。 　　2硬件防火墙的工作原理和网络安全防御策略 　　2．1防火墙在网络中的位置 （转载自fenthear)~的内容。客户端和服务端的服务响应都是与报文段首部的数据相关联，而三次握手能够实现也和报文段首部的数据相关，其安全性也取决于首部内容，因此黑客经常利用TCPflP协议的漏洞对报文段首部下手从而实现有外网对内网进行攻击。 　　在大中型网络内部也有部门的划分，对于一些比较重要的部门就连内部网络其他部门也要授权后才能进行访问，这样就会最大限度保障网络的安全，因为有的大型网络的安全关系到国家社会的安全和稳定，所以如果在内部发生网络威胁将会带来更大的损失。 　　SYNFLOOD是利用了TCP协议的缺陷，一个正常的TCP连接需要三次握手，首先客户端发送一个包含SYN标志的数据包，然后服务器返回一个SYN／ACK的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ACK，这样才完成TCP连接。在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有限的缓冲区队列(BacklogQueue)中。SYNFLOOD攻击就是利用服务器的连接缓冲区，使用一些特制的程序(可以设置TCP报文段的首部，使整个T0P拉文与正常报文类似，但无法建立连接)，向服务器端不断地成倍发送仅有SYN标志的TCP连接请求，当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中，这样就会使服务器端的TCP资源迅速耗尽，当缓冲区队列满时，服务器就不再接收新的连接请求了。其他合法用户的连接都会被拒绝，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。 　　2．4．3ACK Hood攻击 　　用户和服务器之间建立了TCP连接后，所有TCP报文都会带有ACK标志位，服务器接受到报文时，会检查数据包中表示连接的数据是否存在，如果存在，在检查连接状态是否合法，合法就将数据传送给应用层，非法则服务器操作系统协议栈会回应RST包给用户。对于JSP服务器来说，小的ACK包冲击就会导致服务器艰难处理正常得连接请求，而大批量高密度的ACKFlood会让A．pache或IIS服务器出现高频率的网卡中断和过重负载，最终会导致网卡停止响应。ACKFlood会对路由器等网络设备以及服务器造成影响。 　　2．4．4UDPFlood攻击 　　UDPFlood攻击是利用UDP协议无连接的特点，伪造大量客户端IP地址向服务器发起UDP连接，一旦服务器有一个端口响应并提供服务，就会遭到攻击，UDPFlood会对视频服务器和DNS服务器等造成攻击。 （转载自中国评价网.nseac.） 　　2．4．5ICM PFlood攻击 　　ICMPFlood通过Ping产生的大量数据包，发送给服务器，服务器收到大量ICMP数据包，使CPU占用率满载继而引起该TCP／IP栈瘫痪，并停止响应TCP／IP请求，从而遭受攻击，因此运行逐渐变慢，进而死机。 　　除了以上几种攻击手段，在网络中还存在一些其他攻击手段，如宽带DOS攻击，自身消耗DOS攻击，将服务器硬盘装满，利用安全策略漏洞等等，这些需要硬件防火墙对其做出合理