从企业安全发掘硬件防火墙应用

发布时间：2014-08-13 15:58:31作者：知识屋

网络安全威胁给企业用户带来危害最直接的表现就是经济损失。除去可用金钱来计算的直接损失，由于安全导致的工作效率降低、机密情报数据泄露、系统不正常、修复系统而导致工作无法进行等间接损失恐怕更让企业担心，因为这种损失往往是无法用数字衡量的。导致这种损失的，则首推网络的企业安全所经常遇到的外部入侵和非法访问。

　　而硬件防火墙的存在恰好为企业用户减少了间接损失的机会。这篇文章里我们就让我们了解一下硬件防火墙在企业网络安全中的“强悍”作用。

　　首先让我们先认识一下硬件防火墙。通俗地讲，硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，以减少CPU负担的一种设备。硬件防火墙是保障内部网络安全的一道重要屏障，它的安全和稳定，直接关系到整个内部网络的安全。由于网络威胁愈发复杂，单一的防火墙已经不能满足企业用户的需求，多功能防火墙开始悄然流行。

　　所谓硬件防火墙实现多功能，就是在硬件防火墙中集成本不是其主要组成的功能如VPN、NAT等，从而使得防火墙更好地执行网络“巡逻”、阻止各种外部攻击和禁止非法访问。

　　到这里，我们已经看到了硬件防火墙帮助企业解决安全威胁的几种典型应用。

　　1、NAT（网络地址转换）应用

　　网络地址转换（NAT）是用于将一个地址域（如：专用Intranet）映射到另一个地址域（如：Internet）的标准方法。NAT允许一个机构专用Intranet中的主机透明地连接到公共域中的主机，无需内部主机拥有注册的（以及越来越缺乏的）Internet地址。

　　这个原本属于路由器的功能越来越多地被硬件防火墙所利用，并且成为其标准功能之一，效果是十分明显的。在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

　　应用NAT进行地址转换有两个好处：其一是隐藏内部网络真正的IP，这可以使无法直接攻击内部网络，这也是笔者之所以要将其列入防火墙典型应用的原因；另一个好处是可以让内部使用保留的IP，这对许多IP不足的企业是有益的。

　　2、防止DDos攻击

　　DDoS是Distributed Denial of Service的缩写，由英文的字面意思就可以看出，它其实是利用多个客户或者服务器端联合起来作为攻击释放者，向攻击目标发送大量无用请求，导致正常的资源请求无法获得通过，网络带宽被垃圾数据占满，系统无法正常工作。

　　DDos攻击是黑客们目前最喜欢的攻击手段之一，也是造成企业计算机系统“工作效率低下”的元凶。

　　在硬件防火墙方面可以进行的配置主要包括：禁止对主机的非开放服务的访问；限制同时打开的SYN最大连接数；限制特定IP地址的访问；启用防火墙的防DDoS的属性；严格限制对外开放的服务器向外访问。

　　配置好防火墙的安全规则基本上可以过滤掉所有可能的伪造数据包，减少DDoS攻击的成功率。

　　3、日志记录功能