随着网络内电脑、笔记本、移动终端等越来越多,各种新型网络应用和服务越来越多,网络规模愈加庞大,由此造成网络越来越复杂;并且,病毒与黑客的结合度越来越紧密,网络攻击与内部泄密的网络愈加防不胜防,使得网络危害愈加多变。
软件防火墙是安装在计算机操作平台的软件产品,它通过在操作系统底层工作来实现管理网络和优化防御功能。
将软件防火墙装人内部网络的每台设备和内部服务器中来保护网络安全的工作量是巨大的,在实际操作比较困难。首先,大中型网络需要稳定高速运行,而基于操作系统的软件防火墙运行将会给CPU增加超重负荷,造成路由不稳定,势必影响网络。其次,大中型网络会是黑客们攻击的对象,面对高速密集的DOS(拒绝服务)攻击,显然,单凭软件防火墙本身承受能力是无法做到抵御黑客,保护网络安全的。再次,软件防火墙在兼容性方面不及硬件防火墙。正是软件防火墙存在这些缺点.在大中型网络中一般会采用硬件防火墙。
硬件防火墙防御攻击的策略
1、伪造IP欺骗攻击的防御策略
当IP数据包出内网时检验其IP源地址,每一个连接内网的硬件防火墙在决定是否允许本网内部的IP数据包发出之前,先对来自该IP数据包的IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址,该IP包就被拒绝,不允许该包离开内网。这样一来,攻击者至需要使用自己的IP地址才能通过连接网关或路由器。这样过滤和检验内网发出数据包的IP源地址的方法基本可以做到预防伪造IP欺骗攻击。
2、SYN FLo0D攻击防御策略
硬件防火墙对于SYNFLOOD攻击防御基本上有三种,一是阻断新建的连接,二是释放无效连接,三是SYNCookie和SafeRe.set技术。
阻断新建连接就是在防火墙发现连半开连接数阈值和新建连接数阈值被超时时,SYNFLOOD攻击检测发现攻击,暂时阻止客户向服务器发出的任何请求。防火墙能在服务器处理新建连接报文之前将其阻断,削弱了网络攻击对服务器的影响,但无法在服务器被攻击时有效提升服务器的服务能力。因此,一般配合防火墙SYNFlood攻击检测,避免瞬间高强度攻击使服务器系统崩溃。释放无效链接是当服务器上半开连接过多时,要警惕冒充客户端的虚假IP发起无效连接,防火墙要在这些连接中识别那些是无效的.向服务器发送复位报文,让服务器进行释放,协助服务器恢复服务能力。
SYNCo0kie和SafeReset是验证发起连接客户的合法性。防火墙要保护服务器入口的关键位置,对服务器发出的报文进行严格检查。
3、ACK Flood攻击防御策略
防火墙对网络进行分析,当收包异常大于发包时,攻击者一般采用大量ACK包,小包发送,提高速度,这种判断方法是对称性判断.可以作为ACKFlood攻击的依据。防火墙建立hash表存放TCP连接状态,从而大致上知道网络状况。
4、UDPHood攻击防御策略
UDPF1ood攻击防御比较困难,因为UDP是无连接的,防火墙应该判断UDP包的大小,大包攻击则采用粉碎UDP包的方法,或者对碎片进行重组。还有比较专业的防火墙在攻击端口不是业务端口是丢弃UDP包,抑或将UDP也设一些和TCP类似的规则。
5、ICM PFlood攻击防御策略
对于ICMPFlood的防御策略,硬件防火墙采用过滤ICMP报文的方法。
硬件防火墙还对网络中其他的一些攻击手段进行着安全有效的防御,保护着网络的安全。
综合来说,硬件防火墙在大中型网络中起到了保卫安全的重要作用,大中型网络的安全关乎到企业社会和国家的信息安全。
对于大中型网络来说,硬件防火墙相当重要,因此选购硬件防火墙也是很重要的。首先品牌很重要,好的硬件防火墙需要资金和技术作为后盾,而且售后服务也会更好。其次是安全性能,网络的安全是信息安全的生命.只有硬件防火墙本身安全,没有漏洞才能保护好大中型网络内部安全。再次,防火墙的数据处理能力是主要性能标准,尤其是在大型网络中,如果没有一定的数据吞吐量是无法完成保护网络安全的目的的。最后就是硬件防火墙的兼容性,良好的兼容性也是网络安全的重要前提。DTK睿谷思创的硬件防火墙就是不错的选择。
