嵌入式網絡防火墻安全策略的探討

楊遠興

摘 要：主要對嵌入式網絡防火墻的安全策略展開了探討，系統分析了既有網絡安全系統的主要構成和存在的缺陷，詳細闡述了嵌入式網絡承受的主要網絡攻擊的類型和特點，并提出了一些有效的安全策略，以期為有關方面的需要提供參考和借鑒。

關鍵詞：嵌入式防火墻；安全策略；網絡安全系統；數據包

中圖分類號：TP393.08 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2015.19.096

1 網絡安全系統的主要構成和缺陷

既有網絡安全系統采用的安全策略是將多層次的安全作為前提，以對應的防護手段和防火墻，構建典型的安全管理網絡系統，從而形成科學、合理的網絡安全處理流程，保護網絡系統中的數據。

1.1 既有網絡安全系統的主要構成

1.1.1 網絡控制代理功能

該功能在網關管理過程中起到了十分關鍵的作用，可針對數據包進行對應的安全管理工作。

1.1.2 網絡檢測代理

該系統的主要作用是對網絡入侵行為進行檢測，并及時獲得相關入侵信息和數據包，發現來自網絡的各種入侵行為，進而為網絡管理人員提供有力的信息支持。

1.1.3 主機代理安全管理

主機代理安全管理的主要功能在于對流動的數據包進行威脅評估，同時，分析和評估主機中存留的相關記錄，以提高系統自身的整體安全性能。

1.1.4 管理中心

系統網絡安全管理中心是系統管理人員與用戶溝通的渠道。管理人員利用管理中心的不同功能可開展安全威脅評估、安全威脅分析和安全策略實施等工作，是實現系統與用戶良好溝通的重要平臺。

1.2 既有網絡安全系統的主要特點和缺陷

1.2.1 既有網絡安全系統的主要特點

在既有網絡安全系統中，利用網絡控制代理和網絡監測代理對對應的硬件進行安全管理，但主機安全代理和安全管理網絡中心主要通過軟件管理。

1.2.2 既有網絡安全系統中存在的缺陷

因網絡安全系統屬于應用程序級別，在使用過程中易受到攻擊。因此，在嵌入式網絡安全管理中存在一定的安全隱患。

2 主要網絡攻擊的類型

2.1 偽裝攻擊

偽裝攻擊行為是指攻擊方偽裝成為其他具有迷惑性的實體，通過與其他主動攻擊方式的配合攻擊，尤其是在消息重疊時比較常見，存在差異明顯的實體，往往與主動攻擊形式共同使用。

2.2 重演和篡改攻擊

重演是指消息在未授權的情況下通過循環流通的方式在消息傳遞過程中持續重演，導致系統運行超負荷，進而造成系統崩潰；篡改攻擊是指在不被用戶發現、未授權的情況下修改消息。

2.3 拒絕服務

拒絕服務通常指在實體無法履行自身功能，且實體活動影響到其他相關嵌入式設備的正常功能后出現的攻擊方式。這種攻擊方式具有一般性，部分實體會阻礙其他相關功能的發揮，在通信、物流行業的嵌入式系統中較為常見。

2.4 網絡系統內部攻擊

當用戶采取不正當途徑或不正當行為操作系統時，可能導致系統內部遭到攻擊。通常情況下，導致嵌入式網絡系統產生內部攻擊的主要原因是計算機犯罪導致的系統破壞。

2.5 外部攻擊

嵌入式系統所承受的外部攻擊主要包括：①搭線。包括主動和被動兩種形式。②輻射。③黑客偽裝成為授權用戶或直接偽裝成為網絡自身的構成部分，進入網絡系統中對系統數據安全造成威脅。

2.6 實體攻擊

實體攻擊直接影響了系統硬件設備的安全，會限制正常的使用，進而對嵌入式網絡實體造成了直接影響，破壞性較大。

3 嵌入式網絡安全的主要特點

由于嵌入式網絡設備的存儲空間有限，因此，處理信息的能力較差，易成為黑客的攻擊對象，且在一般的攻擊下易出現安全問題。對于一些小型的嵌入式系統，一般只設置了簡單的防火墻軟件，對安全威脅的防范能力較差。正因其在網絡中處于較低層級，且嵌入式系統中的設備大多不具備安全防范能力，導致嵌入式系統不需要應對低水平的多元化攻擊。此外，嵌入式設備一般是根據相關的用戶要求而開發的，因此，其網絡化功能較差，這間接地降低了外網訪問的可能性，降低了其被攻擊的概率。

嵌入式系統的管理層次較低，導致部分計算機攻擊病毒無法長時間留在系統中，但易受到內存消耗型攻擊的侵擾。由于嵌入式網絡設備的功能具有很強的針對性，導致設備功能規劃存在明顯差異，一般的攻擊行為可能無法奏效。

4 嵌入式網絡防火墻平臺的構建

4.1 處理器的選擇

目前，市場中主要的嵌入式處理器包括ARM、MIPS處理器、X86處理器和DSP處理器等。ARM處理器的性價比較高，在普通用戶中得到了廣泛應用。在嵌入式網絡系統的應用中，個人電子產品、無線通信、數據處理和控制等產品中都用到了ARM處理器。ARM處理器屬于32位處理器，同時配置了16位的指令集，其中，以ARM9最為典型。因此，本文選擇ARM9作為嵌入式網絡防火墻平臺的處理器。

4.2 EOS的選擇

EOS是專門用于嵌入式系統的操作系統，是應用廣泛的系統操作軟件，具有GUI的圖形用戶操作界面和對應的地層硬件驅動程序。同時，其內部集成了各種類型的數據通信協議、瀏覽器等。目前，其他類型的嵌入式操作系統包括嵌入式Linux、WindowsCE等。

4.3 防火墻的過濾規則和過濾處理機理

嵌入式網絡系統防火墻構建中的關鍵之一是確定防火墻的過濾處理規則和機理，即確定防火墻如何識別某個具體的數據包最終順利通過還是被丟棄。在實際操作過程中，通常利用對應的過濾規則實現該功能。