防火墙(英文:Firewall)是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则,来控制数据包的进出,它是一台专属的硬件或者是架设在一般硬件上的一套软件。

硬件防火墙,把“软件防火墙”嵌入在硬件中,把“防火墙程序”加入到芯片里面,由硬件执行这些功能,能减少计算机或服务器的CPU负担,使路由更稳定。一般的软件安全厂商所提供的“硬件防火墙”,便是在硬件服务器厂商定制硬件,然后再把linux系统与自己的软件系统嵌入。

软件防火墙,一般基于某个操作系统平台开发,直接在计算机上进行软件的安装和配置。由于客户之间操作系统的多样性,软件防火墙需要支持多种操作系统,如“Unix、Linux、SCO-Unix、Windows”等。

硬件防火墙,是通过硬件和软件的组合,来达到隔离内外部网络的目的;而软件防火墙,是通过纯软件的的方式,实现隔离内外部网络的目的。

一、硬件防火墙主要有什么功能和作用?

1、包过滤功能

根据对防火墙的定义,凡是能够有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者是阻止。包过滤,是很重要的一种特性,虽然防火墙技术发展到现在已经有了很多新的理念提出,但是“包过滤”依然是非常重要的一环,如同四层交换机,首要的仍然要具备“包的快速转发”这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个IP的流量和连接数。

2、包的透明转发

事实上,由于硬件防火墙一般架设在提供某些服务的服务器之前,用示意图来表示就是:Server(服务器)—FireWall(防火墙)—Guest(用户/访客),所以用户对服务器的访问请求与服务器返回给用户的信息,都需要经过防火墙的转发,因此,硬件防火墙具备网关的能力。

3、阻挡外部攻击

如果用户发送的信息,是防火墙的设置所不允许的,防火墙会立即将其阻断,避免这些信息进入防火墙之后的服务器中。

4、记录攻击

其实防火墙是完全可以将攻击行为都记录下来的,但出于效率上的考虑,目前一般记录攻击的事情,都交给IDS(入侵检测系统)来完成了。

二、硬件防火墙的例行检查

硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定,直接关系到整个内部网络的安全。因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。

系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。

一般来说,硬件防火墙的例行检查主要针对以下内容:

1、 配置文件

不管你在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙投入到实际使用环境中,情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着,配置参数也会时常有所改变。作为网络安全管理人员,最好能够编写一套修改防火墙配置和规则的安全策略,并严格实施。所涉及的硬件防火墙配置,最好能详细到类似哪些流量被允许,哪些服务要用到代理这样的细节。

在安全策略中,要写明修改硬件防火墙配置的步骤,如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分,如某人具体做修改,另一人负责记录,第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化,并能尽量避免因修改配置所造成的错误和安全漏洞。

2、磁盘使用情况

如果在硬件防火墙上保留日志记录,那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录,那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下,磁盘占用量的异常增长很可能表明日志清除过程存在问题,这种情况相对来说还好处理一些。在不保留日志的情况下,如果磁盘占用量异常增长,则说明硬件防火墙有可能是被人安装了Rootkit工具,已经被人攻破。

因此,网络安全管理人员首先需要了解在正常情况下,防火墙的磁盘占用情况,并以此为依据,设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线,就意味着系统遇到了安全或其他方面的问题,需要进一步的检查。

3、 CPU负载

和磁盘使用情况类似,CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员,必须了解硬件防火墙系统CPU负载的正常值是多少,过低的负载值不一定表示一切正常,但出现过高的负载值则说明防火墙系统肯定出现问题了。

过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。

4、精灵程序

每台防火墙在正常运行的情况下,都有一组精灵程序(Daemon),比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行,如果发现某些精灵程序没有运行,则需要进一步检查是什么原因导致这些精灵程序不运行,还有哪些精灵程序还在运行中。

5、系统文件

关键的系统文件的改变不外乎三种情况:管理人员有目的、有计划地进行的修改,比如计划中的系统升级所造成的修改;管理人员偶尔对系统文件进行的修改;攻击者对文件的修改。
经常性地检查系统文件,并查对系统文件修改记录,可及时发现防火墙所遭到的攻击。此外,还应该强调一下,最好在硬件防火墙配置策略的修改中,包含对系统文件修改的记录。

6、异常日志

硬件防火墙日志记录了所有允许或拒绝的通信的信息,是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大,所以,检查异常日志通常应该是一个自动进行的过程。当然,什么样的事件是异常事件,得由管理员来确定,只有管理员定义了异常事件并进行记录,硬件防火墙才会保留相应的日志备查。

上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患,但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。如果有必要,管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否,甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击,以考核硬件防火墙的能力。

三、硬件防火墙与软件防火墙,哪个防黑能力更强?

软件防火墙,一般是“包过滤机制”,过滤规则简单,只能检查到第三层“网络层”,只对源或目的IP做检查,防火墙的能力远不及硬件防火墙,连最基本的黑客攻击手法:“IP伪装”,都无法解决,并且要对所经过的所有数据包做检查,所以速度比较慢。

硬件防火墙,主要采用第四代“状态检测机制”,“状态检测”是在通信发起连接时,就检查规则是否允许建立连接,然后在缓存的状态检测表中添加一条记录,以后就不必去检查规则了,只要查看状态检测表就OK了,速度上有了很大的提升。

因为工作的层次有了提高,所以硬件防火墙的防黑客功能,比软件防火墙,强了很多。硬件防火墙的“状态检测机制”,跟踪的不仅是“数据包”中包含的信息,为了跟踪“数据包”的状态,防火墙还记录有用的信息以帮助识别“数据包”,例如“已有的网络连接、数据的传出请求”等。

例如,如果传入的数据包,包含了视频数据流,而防火墙可能已经记录了有关信息,并进行匹配,数据包就可以被允许通过。

硬件防火墙和软件防火墙,在实现的机制上,有很大的不同,因此,也带来了软硬件防火墙在防黑能力上的很大差异。

为了更加精准有效地防御DDoS攻击,并降低用户的防御成本,亿速云为用户提供专业抗DDoS攻击的高防云服务器、高防香港服务器、高防裸金属服务器,具有“超大防护带宽、超强清洗能力、全业务场景支持” 的特点与优势。采用“智能硬件防火墙 + 流量牵引技术”,并为用户配置相对应的高防IP,在用户面临DDoS攻击时,可精准识别出恶意流量,并将恶意流量引流到高防IP。恶意流量在高防IP上进行清洗、过滤后,高防IP会将正常流量返回给源站IP,从而达到“防御DDoS攻击,保证用户网站正常稳定运行”的目的。