关于嵌入式网络防火墙安全性分析

◆杜国真 王利祥

（河南护理职业学院 河南 455000）

嵌入式系统限于自身构造的特点，在应用过程中具有一定的风险性，在当前嵌入式系统开发及应用中，提高安全性能是嵌入式网络安全研究的重点方向。保证信息安全传输，加强保密能力从而提升网络防火墙的安全，防止恶意信息的侵袭是最为重要的。

1 现行网络防火墙构成方式与缺陷

1.1 现行网络防火墙的构成方式和性能

现行网络防火墙的构成方式为：网络控制代理功能、网络检测代理功能、主机代理安全管理、管理中心。其中网络控制代理能够针对信息数据包进行全面的安全管理工作；网络检测代理功能可以对通过网络渠道进行入侵的信息进行检查，发现异常行为后通过跟踪入侵痕迹和信息数据包进行追踪，从而查找到危险信息的来源；主机代理安全管理对所有处于流动状态的信息数据包的行为进行监测，评估其可能造成的危险等级，与此同时，该功能还能对主机内留存的数据痕迹进行分析及评审，用以提高系统自身的安全性能；现行网络防火墙管理中心是管理者与用户进行沟通的主要方式，管理人员可以通过其中的功能对数据信息进行安全评估，有效地分析出相关内容的危险级别并制定出针对性的安全保护方案，在很大程度上促进系统与用户间的交流[1]。

现行网络防火墙的主要特点在于，通过网络控制代理功能和网络检测代理功能对相应的硬件进行安全检测，此项操作一般情况下需要取得管理员授权，但普遍存在的情况是管理员权限获取较为容易。主机安全代理和安全管理网络中心需要通过相应的管理软件实施安全检测和监控功能。

1.2 现行网络防火墙的缺陷

现行网络防火墙大多属于应用程序软件，很多用户的使用习惯比较差，经常人为卸载或长期处于关闭状态，所以在计算机设备运行时很容易受到网络攻击。比如木马等程序通过伪装的形式潜藏下来，经常通过Windows 系统窗口面向用户，但在程序应用端，木马程序一旦以任何形式被用户点击或接收，潜藏的木马病毒会自动运行，达到盗取用户重要信息或破坏系统程序的目的。因此用户需要形成良好的设备使用习惯，切不可听信网络上的不实言论，必须保证杀毒软件的正常运行。不仅如此，黑客针对网络安全体系的不同阶段进行大量信息数据包的传递，增大网络监测代理系统的工作量，使之在负载过重的情况下出现瘫痪，导致系统丢包率急速上升，此时系统防火墙功能已经被破坏，网络黑客趁机发动攻击，因为无法检测到入侵痕迹，难以形成有效防护，使系统遭受损失。

2 嵌入式网络防火墙面对的攻击方式

嵌入式设备连入互联网之后，由于其自身不具备安全防护功能，面临的网络入侵风险相对较高，主要面对的攻击方式如下：第一，伪装攻击，此种攻击方式是伪装成与重要信息相似的应用实体，与其他攻击方式紧密配合。第二，重复性篡改攻击。此种攻击方式在信息没有授权的情况下频繁出现，其内部的程序设置具有循环模块，系统内出现任何正常的信息流通时均可以激活这个模块，使该攻击行为持续不断的出现，造成系统崩溃。在此之后，未取得权限的情况下对用户重要信息进行篡改，导致重要程序缺失，情况严重时会导致系统关键文件被破坏，从而造成系统不可逆的损失。第三，功能丢失。此种攻击方式是对软件功能执行程序进行破坏，使相关功能无法正常运转，通常在实体影响到嵌入式设备的正常功能之后才会出现此种功能丢失、拒绝服务的情况[2]。

3 嵌入式网络防火墙安全性能分析

嵌入式网络存储空间较小，因此其自身无法设置较强的信息分析筛选功能，很容易成为黑客的攻击目标，且由于构造相对简单，非常容易出现安全故障。特别是一些规模极小的嵌入式系统，只安装了初级的防火墙软件，对网络入侵行为的防护能力极为低下，且由于其存储不足，很多攻击通过简单的伪装致使防火墙无法有效识别，轻而易举地入侵系统。

但是从反方向来看，嵌入式系统在网络中处于防护水平较低的层次，而嵌入式系统中的设备虽然类型多样、功能多种且大都不具备安全防护功能，随之而来的攻击程序在设置上往往也是非常简单。更多时候，嵌入式系统甚至不需要面对攻击。嵌入式设备的针对功能性极强，往往采用即插即用的方式，根据特定用户的要求开发而成，因此具有单机性。其特点决定了网络化功能性较弱，在很大程度上避免了与网络接触，从而极大地降低了外网访问次数，能够躲过很多的攻击。针对其数据传输的单向性，很多公司的门禁装置采用的都是嵌入式设备，简单的结构往往破绽极少，无法成为黑客攻击对象。

嵌入式的管理水平较低，处于系统的底层，很多时候与应用层相对，由于存储空间有限且功能单一，导致计算机病毒无法长时间存在于嵌入式系统中，从某种程度上看，嵌入式系统本身就是防火墙。然而有利也有弊，基于此种特性，内存消耗型攻击病毒能够对其造成一定的攻击[3]。

除此之外，嵌入式网络设备的针对性较强，针对特定功能的实现制定出相应的程序框架，与其他功能差别较大，常见的攻击方式无法对嵌入式网络防火墙造成伤害。市场上出现的绝大多数嵌入式设备没有配备网络连接功能，从根源上切断了嵌入式设备遭受网络攻击侵蚀的可能性，从而提高了嵌入式网络系统的安全水平。

4 嵌入式网络防火墙的构建方式

嵌入式网络防火墙构建的主要过程是确定防火墙中的过滤处理规则及相关的机理，其原理在于确定防火墙如何识别某个特定的数据包，最后执行通过还是丢弃选项，在具体操作中采用针对性过滤规则进行实现。通常情况下，规则必须包括处理命令，存在以下三种类型：Allow、Deny、Reject。Allow 意即允许，即为得到防火墙认可的数据包，具有安全性，在针对特定功能信息时，用户也可自行操作，将一些安全性存疑的文件手动添加到Allow 允许命令区域。Deny 命令是防火墙不予认可的数据包，其安全性成疑且用户没有后续操作，因此防火墙拒绝该数据包的通过。Reject 命令则是检测出非常严重的威胁，此种威胁可能跳过系统普通区域，直接对核心程序进行攻击，目的性非常强烈，一旦得手整个系统会瞬间崩溃，因此无须人为确认或观察待确认，直接将数据包从系统中清除，避免系统受到威胁。不仅如此，过滤规则中还应该加入禁止循环功能。数据包进入系统之后，通过以上三种命令检测，前两种必须执行权限限制，确保数据包不能与系统内其他程序进行数据交换，达到避免持续向处理器发送对接请求的功能，能够有效保护系统对询问的处理频率，避免负载过重导致崩溃，从而为后续攻击提供方便[4]。

5 结语

嵌入式系统设计已经得到了广泛应用，华为公司研制成功的鸿蒙系统以及苹果、安卓等智能设备操作系统均是基于嵌入式系统开发而成，因此提高防火墙抵抗一切安全威胁的能力对嵌入式网络发展具有重要意义，在后续研究工作中，技术人员应该从嵌入式网络自身的可靠性出发，实现对防火墙的升级。