什麼是硬件防火牆

硬件防火牆是指把防火牆程序作到芯片裏面，由硬件執行這些功能，能減小CPU的負擔，使路由更穩定。

硬件防火牆是保障內部網絡安全的一道重要屏障。它的安全和穩定，直接關係到整個內部網絡的安全。所以，平常例行的檢查對於保證硬件防火牆的安全是很是重要的。

系統中存在的不少隱患和故障在暴發前都會出現這樣或那樣的苗頭，例行檢查的任務就是要發現這些安全隱患，並儘量將問題定位，方便問題的解決。

通常來講，硬件防火牆的例行檢查主要針對如下內容：

1.硬件防火牆的配置文件

無論你在安裝硬件防火牆的時候考慮得有多麼的全面和嚴密，一旦硬件防火牆投入到實際使用環境中，狀況卻隨時都在發生改變。硬件防火牆的規則總會不斷地變化和調整着，配置參數也會時常有所改變。做爲網絡安全管理人員，最好可以編寫一套修改防火牆配置和規則的安全策略，並嚴格實施。所涉及的硬件防火牆配置，最好能詳細到相似哪些流量被容許，哪些服務要用到代理這樣的細節。

在安全策略中，要寫明修改硬件防火牆配置的步驟，如哪些受權須要修改、誰能進行這樣的修改、何時才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分，如某人具體作修改，另外一人負責記錄，第三我的來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬件防火牆配置的修改工做程序化，並能儘可能避免因修改配置所形成的錯誤和安全漏洞。

2.硬件防火牆的磁盤使用狀況

若是在硬件防火牆上保留日誌記錄，那麼檢查硬件防火牆的磁盤使用狀況是一件很重要的事情。若是不保留日誌記錄，那麼檢查硬件防火牆的磁盤使用狀況就變得更加劇要了。保留日誌記錄的狀況下，磁盤佔用量的異常增加極可能代表日誌清除過程存在問題，這種狀況相對來講還好處理一些。在不保留日誌的狀況下，若是磁盤佔用量異常增加，則說明硬件防火牆有多是被人安裝了Rootkit工具，已經被人攻破。

所以，網絡安全管理人員首先須要瞭解在正常狀況下，防火牆的磁盤佔用狀況，並以此爲依據，設定一個檢查基線。硬件防火牆的磁盤佔用量一旦超過這個基線，就意味着系統遇到了安全或其餘方面的問題，須要進一步的檢查。

3.硬件防火牆的CPU負載

和磁盤使用狀況相似，CPU負載也是判斷硬件防火牆系統運行是否正常的一個重要指標。做爲安全管理人員，必須瞭解硬件防火牆系統CPU負載的正常值是多少，太低的負載值不必定表示一切正常，但出現太高的負載值則說明防火牆系統確定出現問題了。太高的CPU負載極可能是硬件防火牆遭到DoS***或外部網絡鏈接斷開等問題形成的。

4.硬件防火牆系統的精靈程序

每臺防火牆在正常運行的狀況下，都有一組精靈程序（Daemon），好比名字服務程序、系統日誌程序、網絡分發程序或認證程序等。在例行檢查中必須檢查這些程序是否是都在運行，若是發現某些精靈程序沒有運行，則須要進一步檢查是什麼緣由致使這些精靈程序不運行，還有哪些精靈程序還在運行中。

5.系統文件

關鍵的系統文件的改變不外乎三種狀況：管理人員有目的、有計劃地進行的修改，好比計劃中的系統升級所形成的修改；管理人員偶爾對系統文件進行的修改；***者對文件的修改。

常常性地檢查系統文件，並查對系統文件修改記錄，可及時發現防火牆所遭到的***。此外，還應該強調一下，最好在硬件防火牆配置策略的修改中，包含對系統文件修改的記錄。

6.異常日誌

硬件防火牆日誌記錄了全部容許或拒絕的通訊的信息，是主要的硬件防火牆運行情況的信息來源。因爲該日誌的數據量龐大，因此，檢查異常日誌一般應該是一個自動進行的過程。固然，什麼樣的事件是異常事件，得由管理員來肯定，只有管理員定義了異常事件並進行記錄，硬件防火牆纔會保留相應的日誌備查。

上述6個方面的例行檢查也許並不能馬上檢查到硬件防火牆可能遇到的全部問題和隱患，但鍥而不捨地檢查對硬件防火牆穩定可靠地運行是很是重要的。若是有必要，管理員還能夠用數據包掃描程序來確認硬件防火牆配置的正確與否，甚至能夠更進一步地採用漏洞掃描程序來進行模擬***，以考覈硬件防火牆的能力。