嵌入式网络防火墙安全策略的探讨

杨远兴

摘 要：主要对嵌入式网络防火墙的安全策略展开了探讨，系统分析了既有网络安全系统的主要构成和存在的缺陷，详细阐述了嵌入式网络承受的主要网络攻击的类型和特点，并提出了一些有效的安全策略，以期为有关方面的需要提供参考和借鉴。

关键词：嵌入式防火墙；安全策略；网络安全系统；数据包

中图分类号：TP393.08 文献标识码：A DOI：10.15913/j.cnki.kjycx.2015.19.096

1 网络安全系统的主要构成和缺陷

既有网络安全系统采用的安全策略是将多层次的安全作为前提，以对应的防护手段和防火墙，构建典型的安全管理网络系统，从而形成科学、合理的网络安全处理流程，保护网络系统中的数据。

1.1 既有网络安全系统的主要构成

1.1.1 网络控制代理功能

该功能在网关管理过程中起到了十分关键的作用，可针对数据包进行对应的安全管理工作。

1.1.2 网络检测代理

该系统的主要作用是对网络入侵行为进行检测，并及时获得相关入侵信息和数据包，发现来自网络的各种入侵行为，进而为网络管理人员提供有力的信息支持。

1.1.3 主机代理安全管理

主机代理安全管理的主要功能在于对流动的数据包进行威胁评估，同时，分析和评估主机中存留的相关记录，以提高系统自身的整体安全性能。

1.1.4 管理中心

系统网络安全管理中心是系统管理人员与用户沟通的渠道。管理人员利用管理中心的不同功能可开展安全威胁评估、安全威胁分析和安全策略实施等工作，是实现系统与用户良好沟通的重要平台。

1.2 既有网络安全系统的主要特点和缺陷

1.2.1 既有网络安全系统的主要特点

在既有网络安全系统中，利用网络控制代理和网络监测代理对对应的硬件进行安全管理，但主机安全代理和安全管理网络中心主要通过软件管理。

1.2.2 既有网络安全系统中存在的缺陷

因网络安全系统属于应用程序级别，在使用过程中易受到攻击。因此，在嵌入式网络安全管理中存在一定的安全隐患。

2 主要网络攻击的类型

2.1 伪装攻击

伪装攻击行为是指攻击方伪装成为其他具有迷惑性的实体，通过与其他主动攻击方式的配合攻击，尤其是在消息重叠时比较常见，存在差异明显的实体，往往与主动攻击形式共同使用。

2.2 重演和篡改攻击

重演是指消息在未授权的情况下通过循环流通的方式在消息传递过程中持续重演，导致系统运行超负荷，进而造成系统崩溃；篡改攻击是指在不被用户发现、未授权的情况下修改消息。

2.3 拒绝服务

拒绝服务通常指在实体无法履行自身功能，且实体活动影响到其他相关嵌入式设备的正常功能后出现的攻击方式。这种攻击方式具有一般性，部分实体会阻碍其他相关功能的发挥，在通信、物流行业的嵌入式系统中较为常见。

2.4 网络系统内部攻击

当用户采取不正当途径或不正当行为操作系统时，可能导致系统内部遭到攻击。通常情况下，导致嵌入式网络系统产生内部攻击的主要原因是计算机犯罪导致的系统破坏。

2.5 外部攻击

嵌入式系统所承受的外部攻击主要包括：①搭线。包括主动和被动两种形式。②辐射。③黑客伪装成为授权用户或直接伪装成为网络自身的构成部分，进入网络系统中对系统数据安全造成威胁。

2.6 实体攻击

实体攻击直接影响了系统硬件设备的安全，会限制正常的使用，进而对嵌入式网络实体造成了直接影响，破坏性较大。

3 嵌入式网络安全的主要特点

由于嵌入式网络设备的存储空间有限，因此，处理信息的能力较差，易成为黑客的攻击对象，且在一般的攻击下易出现安全问题。对于一些小型的嵌入式系统，一般只设置了简单的防火墙软件，对安全威胁的防范能力较差。正因其在网络中处于较低层级，且嵌入式系统中的设备大多不具备安全防范能力，导致嵌入式系统不需要应对低水平的多元化攻击。此外，嵌入式设备一般是根据相关的用户要求而开发的，因此，其网络化功能较差，这间接地降低了外网访问的可能性，降低了其被攻击的概率。

嵌入式系统的管理层次较低，导致部分计算机攻击病毒无法长时间留在系统中，但易受到内存消耗型攻击的侵扰。由于嵌入式网络设备的功能具有很强的针对性，导致设备功能规划存在明显差异，一般的攻击行为可能无法奏效。

4 嵌入式网络防火墙平台的构建

4.1 处理器的选择

目前，市场中主要的嵌入式处理器包括ARM、MIPS处理器、X86处理器和DSP处理器等。ARM处理器的性价比较高，在普通用户中得到了广泛应用。在嵌入式网络系统的应用中，个人电子产品、无线通信、数据处理和控制等产品中都用到了ARM处理器。ARM处理器属于32位处理器，同时配置了16位的指令集，其中，以ARM9最为典型。因此，本文选择ARM9作为嵌入式网络防火墙平台的处理器。

4.2 EOS的选择

EOS是专门用于嵌入式系统的操作系统，是应用广泛的系统操作软件，具有GUI的图形用户操作界面和对应的地层硬件驱动程序。同时，其内部集成了各种类型的数据通信协议、浏览器等。目前，其他类型的嵌入式操作系统包括嵌入式Linux、WindowsCE等。

4.3 防火墙的过滤规则和过滤处理机理

嵌入式网络系统防火墙构建中的关键之一是确定防火墙的过滤处理规则和机理，即确定防火墙如何识别某个具体的数据包最终顺利通过还是被丢弃。在实际操作过程中，通常利用对应的过滤规则实现该功能。