硬件防火墙有哪些功能？硬件防火墙能发挥多大作用？

硬件防火墙是保证内部网络安全的重要屏障。TA的作用和软件防火墙一样重要，但比前者更重要。它注重安全性和稳定性，直接关系到整个内部网络的安全。硬件防火墙能发挥多大作用？它是如何维护的？

系统中的很多隐患和故障都会在疫情爆发前以这样或那样的方式出现。例行检查的任务是发现这些隐患，尽可能定位问题，便于问题的解决。

一、硬件防火墙的例行检查主要针对以下内容：

　　1、硬件防火墙的配置文件

无论你在安装硬件防火墙时有多全面、多严格，一旦硬件防火墙投入实际使用环境，情况随时都会发生变化。硬件防火墙的规则会一直变化调整，配置参数也会时不时的变化。作为网络安全管理员，最好编写一套修改防火墙配置和规则的安全策略，并严格执行。所涉及的硬件防火墙配置应该与允许哪些流量以及哪些服务需要代理一样详细。

在安全策略中，应说明修改硬件防火墙配置的步骤，例如需要修改哪些授权，谁可以进行此类修改，何时可以修改，以及如何记录这些修改。安全策略还应规定职责分工。如果有人做了具体的修改，另一个人负责记录，第三个人会检查测试修改后的设置是否正确。详细的安全策略应确保硬件防火墙配置的修改是程序化的，尽可能避免配置修改带来的错误和安全漏洞。

　　2、硬件防火墙的磁盘使用情况

如果日志记录保存在硬件防火墙上，检查硬件防火墙的磁盘使用情况非常重要。如果没有保留日志记录，检查硬件防火墙的磁盘使用情况就变得更加重要。在保留日志记录的情况下，磁盘占用的异常增加很可能说明日志清理过程中出现了问题，相对容易处理。不保留日志，如果磁盘占用异常增加，说明硬件防火墙可能已经安装了Rootkit工具，已经被攻破。

因此，网络安全管理人员需要了解正常情况下防火墙的磁盘占用情况，并以此为基础设置检查基线。一旦硬件防火墙的磁盘占用率超过这个基线，就意味着系统遇到了安全或其他问题，需要进一步检查。

　　3、硬件防火墙的CPU负载

与磁盘使用情况类似，CPU负载也是判断硬件防火墙系统运行是否正常的重要指标。作为一个安全管理员，必须知道硬件防火墙系统的CPU负载正常值。负载值过低不一定意味着一切正常，但负载值过高意味着防火墙系统一定存在问题。CPU负载过大很可能是硬件防火墙受到DoS攻击或者外部网络断开造成的。

　　4、硬件防火墙系统的精灵程序

系统文件的关键系统文件的变化无非是三种情况：管理者有目的、有计划的修改，如有计划的系统升级引起的修改；管理人员偶尔修改系统文件；攻击者修改文件。

经常检查系统文件，查看系统文件的修改记录，可以及时发现对防火墙的攻击。另外需要强调的是，硬件防火墙配置策略的修改最好包含系统文件修改的记录。

以上几个方面的常规检查，可能并不能立即检查出硬件防火墙可能遇到的所有问题和隐患，但是持续的检查对于硬件防火墙的稳定可靠运行是非常重要的。

二、硬件防火墙能够作到些什么？

　　1、包过滤

防火墙是带包过滤的？是的，没错！根据防火墙的定义，任何能够有效防止非法网络连接的方式都是防火墙。早期的防火墙通常使用设置的条件来监控通过的数据包的特征，以决定是释放还是阻止它们。包过滤是一个重要的功能。虽然自防火墙技术发展以来，人们提出了许多新的想法，但包过滤仍然是非常重要的一部分，就像四层交换机的首要任务是具备数据包快速转发的基本功能一样。通过包过滤，防火墙可以阻止攻击，禁止对某些站点的外部/内部访问，并限制每个ip的流量和连接。

　　2、包的透明转发

事实上，防火墙通常设置在提供特定服务的服务器前面。服务器-防火墙-来宾，如示意图所示。用户访问服务器的请求和服务器反馈的信息需要通过防火墙转发。因此，许多防火墙都具有网关功能。

　　3、阻挡外部攻击

如果用户发送的信息不被防火墙设置允许，防火墙会立即屏蔽，防止其进入防火墙后的服务器。

　　4、记录攻击

如果有必要，防火墙其实可以记录所有的攻击，但是为了效率，目前一般由IDS负责记录攻击，后面我们会提到。

这些是所有防火墙的基本特征。虽然很简单，但是防火墙技术就是在这个基础上逐渐发展起来的。

三、防火墙有哪些缺点和不足？

　　1、防火墙可以阻断攻击，但不能消灭攻击源。

“扫你家门前的雪，不顾别人身上的霜”是目前网络安全的现状。互联网上有很多由病毒、木马、恶意诱惑等引起的攻击。适当设置的防火墙可以阻止它们，但不能清除攻击源。即使防火墙设置得很好，使得攻击无法穿透防火墙，各种攻击也会继续向防火墙发送尝试。例如，一个网络带宽为10M的站点连接到主干网，其日流量平均约为512K，这是一种攻击。那么，即使防火墙设置成功，512K的攻击流量也丝毫不会减少。

　　2、防火墙不能抵抗最新的未设置策略的攻击漏洞

就像杀毒软件和病毒一样，病毒总是最先出现。反病毒软件只能通过分析病毒的特征码并将其添加到病毒数据库中来杀死病毒。在专家分析攻击模式后，还设置了各种防火墙策略。如果世界上新发现主机漏洞的黑客选择你的网络作为第一攻击对象，那么防火墙帮不了你。

　　3、防火墙的并发连接数限制容易导致拥塞或者溢出

由于每一个流经防火墙的数据包都需要经过判断和处理，防火墙很容易导致拥塞，成为整个网络的瓶颈，在一些流量大、并发请求多的情况下影响性能。当防火墙溢出时，整个防线就像一个假人，原本被禁止的连接可以轻松通过。

　　4、防火墙对服务器合法开放的端口的攻击大多无法阻止

在某些情况下，攻击者利用服务器提供的服务进行缺陷攻击。比如利用开放的3389端口获取sp未打补丁的win2k的超级权限，利用asp程序进行脚本攻击等。因为它的行为在防火墙层面是“合理”和“合法”的，所以就简单的发布了。

　　5、防火墙对待内部主动发起连接的攻击一般无法阻止

“外紧内松”是一般局域网的特点。也许是严密守护的防火墙内的网络混乱了。通过社会工程发送带有木马的邮件和带有木马的URL，再由木马机主动连接攻击者，瞬间像铜墙铁壁一样摧毁防火墙。此外，对于防火墙内主机之间的攻击，防火墙只能像旁观者一样无动于衷。

　　6、防火墙本身也会出现问题和受到攻击

防火墙也是一个有硬件系统和软件的os，所以还是有漏洞和bug的。因此，它也可能受到攻击并出现软件/硬件故障。

　　7、防火墙不处理病毒

不管是funlove病毒还是CIH病毒。当内网用户下载外网有毒文件时，防火墙不为所动(这里的防火墙并不是指单/企业杀毒软件中的实时监控功能，虽然很多被称为“病毒防火墙”)。

看到这，也许你原来的防火墙已经被我拆掉了。是的，防火墙是网络安全的重要组成部分，但并不意味着设置防火墙就能保证网络安全。“真正的安全是一种意识，而不是技术！”请记住这句话。

无论如何，防火墙还是有它积极的一面。在构建任何网络的防御工事时，除了物理隔离和新提出的网门概念，首选绝对是防火墙。

以上是关于硬件防火墙，但是硬件防火墙一般用于服务器，可以更好的防御来自外围的攻击，对于个人电脑来说没有意义。