◆杜國真 王利祥

（河南護(hù)理職業(yè)學(xué)院 河南 455000）

嵌入式系統(tǒng)限于自身構(gòu)造的特點(diǎn)，在應(yīng)用過程中具有一定的風(fēng)險性，在當(dāng)前嵌入式系統(tǒng)開發(fā)及應(yīng)用中，提高安全性能是嵌入式網(wǎng)絡(luò)安全研究的重點(diǎn)方向。保證信息安全傳輸，加強(qiáng)保密能力從而提升網(wǎng)絡(luò)防火墻的安全，防止惡意信息的侵襲是最為重要的。

1 現(xiàn)行網(wǎng)絡(luò)防火墻構(gòu)成方式與缺陷

1.1 現(xiàn)行網(wǎng)絡(luò)防火墻的構(gòu)成方式和性能

現(xiàn)行網(wǎng)絡(luò)防火墻的構(gòu)成方式為：網(wǎng)絡(luò)控制代理功能、網(wǎng)絡(luò)檢測代理功能、主機(jī)代理安全管理、管理中心。其中網(wǎng)絡(luò)控制代理能夠針對信息數(shù)據(jù)包進(jìn)行全面的安全管理工作；網(wǎng)絡(luò)檢測代理功能可以對通過網(wǎng)絡(luò)渠道進(jìn)行入侵的信息進(jìn)行檢查，發(fā)現(xiàn)異常行為后通過跟蹤入侵痕跡和信息數(shù)據(jù)包進(jìn)行追蹤，從而查找到危險信息的來源；主機(jī)代理安全管理對所有處于流動狀態(tài)的信息數(shù)據(jù)包的行為進(jìn)行監(jiān)測，評估其可能造成的危險等級，與此同時，該功能還能對主機(jī)內(nèi)留存的數(shù)據(jù)痕跡進(jìn)行分析及評審，用以提高系統(tǒng)自身的安全性能；現(xiàn)行網(wǎng)絡(luò)防火墻管理中心是管理者與用戶進(jìn)行溝通的主要方式，管理人員可以通過其中的功能對數(shù)據(jù)信息進(jìn)行安全評估，有效地分析出相關(guān)內(nèi)容的危險級別并制定出針對性的安全保護(hù)方案，在很大程度上促進(jìn)系統(tǒng)與用戶間的交流[1]。

現(xiàn)行網(wǎng)絡(luò)防火墻的主要特點(diǎn)在于，通過網(wǎng)絡(luò)控制代理功能和網(wǎng)絡(luò)檢測代理功能對相應(yīng)的硬件進(jìn)行安全檢測，此項(xiàng)操作一般情況下需要取得管理員授權(quán)，但普遍存在的情況是管理員權(quán)限獲取較為容易。主機(jī)安全代理和安全管理網(wǎng)絡(luò)中心需要通過相應(yīng)的管理軟件實(shí)施安全檢測和監(jiān)控功能。

1.2 現(xiàn)行網(wǎng)絡(luò)防火墻的缺陷

現(xiàn)行網(wǎng)絡(luò)防火墻大多屬于應(yīng)用程序軟件，很多用戶的使用習(xí)慣比較差，經(jīng)常人為卸載或長期處于關(guān)閉狀態(tài)，所以在計算機(jī)設(shè)備運(yùn)行時很容易受到網(wǎng)絡(luò)攻擊。比如木馬等程序通過偽裝的形式潛藏下來，經(jīng)常通過Windows 系統(tǒng)窗口面向用戶，但在程序應(yīng)用端，木馬程序一旦以任何形式被用戶點(diǎn)擊或接收，潛藏的木馬病毒會自動運(yùn)行，達(dá)到盜取用戶重要信息或破壞系統(tǒng)程序的目的。因此用戶需要形成良好的設(shè)備使用習(xí)慣，切不可聽信網(wǎng)絡(luò)上的不實(shí)言論，必須保證殺毒軟件的正常運(yùn)行。不僅如此，黑客針對網(wǎng)絡(luò)安全體系的不同階段進(jìn)行大量信息數(shù)據(jù)包的傳遞，增大網(wǎng)絡(luò)監(jiān)測代理系統(tǒng)的工作量，使之在負(fù)載過重的情況下出現(xiàn)癱瘓，導(dǎo)致系統(tǒng)丟包率急速上升，此時系統(tǒng)防火墻功能已經(jīng)被破壞，網(wǎng)絡(luò)黑客趁機(jī)發(fā)動攻擊，因?yàn)闊o法檢測到入侵痕跡，難以形成有效防護(hù)，使系統(tǒng)遭受損失。

2 嵌入式網(wǎng)絡(luò)防火墻面對的攻擊方式

嵌入式設(shè)備連入互聯(lián)網(wǎng)之后，由于其自身不具備安全防護(hù)功能，面臨的網(wǎng)絡(luò)入侵風(fēng)險相對較高，主要面對的攻擊方式如下：第一，偽裝攻擊，此種攻擊方式是偽裝成與重要信息相似的應(yīng)用實(shí)體，與其他攻擊方式緊密配合。第二，重復(fù)性篡改攻擊。此種攻擊方式在信息沒有授權(quán)的情況下頻繁出現(xiàn)，其內(nèi)部的程序設(shè)置具有循環(huán)模塊，系統(tǒng)內(nèi)出現(xiàn)任何正常的信息流通時均可以激活這個模塊，使該攻擊行為持續(xù)不斷的出現(xiàn)，造成系統(tǒng)崩潰。在此之后，未取得權(quán)限的情況下對用戶重要信息進(jìn)行篡改，導(dǎo)致重要程序缺失，情況嚴(yán)重時會導(dǎo)致系統(tǒng)關(guān)鍵文件被破壞，從而造成系統(tǒng)不可逆的損失。第三，功能丟失。此種攻擊方式是對軟件功能執(zhí)行程序進(jìn)行破壞，使相關(guān)功能無法正常運(yùn)轉(zhuǎn)，通常在實(shí)體影響到嵌入式設(shè)備的正常功能之后才會出現(xiàn)此種功能丟失、拒絕服務(wù)的情況[2]。

3 嵌入式網(wǎng)絡(luò)防火墻安全性能分析

嵌入式網(wǎng)絡(luò)存儲空間較小，因此其自身無法設(shè)置較強(qiáng)的信息分析篩選功能，很容易成為黑客的攻擊目標(biāo)，且由于構(gòu)造相對簡單，非常容易出現(xiàn)安全故障。特別是一些規(guī)模極小的嵌入式系統(tǒng)，只安裝了初級的防火墻軟件，對網(wǎng)絡(luò)入侵行為的防護(hù)能力極為低下，且由于其存儲不足，很多攻擊通過簡單的偽裝致使防火墻無法有效識別，輕而易舉地入侵系統(tǒng)。

但是從反方向來看，嵌入式系統(tǒng)在網(wǎng)絡(luò)中處于防護(hù)水平較低的層次，而嵌入式系統(tǒng)中的設(shè)備雖然類型多樣、功能多種且大都不具備安全防護(hù)功能，隨之而來的攻擊程序在設(shè)置上往往也是非常簡單。更多時候，嵌入式系統(tǒng)甚至不需要面對攻擊。嵌入式設(shè)備的針對功能性極強(qiáng)，往往采用即插即用的方式，根據(jù)特定用戶的要求開發(fā)而成，因此具有單機(jī)性。其特點(diǎn)決定了網(wǎng)絡(luò)化功能性較弱，在很大程度上避免了與網(wǎng)絡(luò)接觸，從而極大地降低了外網(wǎng)訪問次數(shù)，能夠躲過很多的攻擊。針對其數(shù)據(jù)傳輸?shù)膯蜗蛐?，很多公司的門禁裝置采用的都是嵌入式設(shè)備，簡單的結(jié)構(gòu)往往破綻極少，無法成為黑客攻擊對象。

嵌入式的管理水平較低，處于系統(tǒng)的底層，很多時候與應(yīng)用層相對，由于存儲空間有限且功能單一，導(dǎo)致計算機(jī)病毒無法長時間存在于嵌入式系統(tǒng)中，從某種程度上看，嵌入式系統(tǒng)本身就是防火墻。然而有利也有弊，基于此種特性，內(nèi)存消耗型攻擊病毒能夠?qū)ζ湓斐梢欢ǖ墓鬧3]。

除此之外，嵌入式網(wǎng)絡(luò)設(shè)備的針對性較強(qiáng)，針對特定功能的實(shí)現(xiàn)制定出相應(yīng)的程序框架，與其他功能差別較大，常見的攻擊方式無法對嵌入式網(wǎng)絡(luò)防火墻造成傷害。市場上出現(xiàn)的絕大多數(shù)嵌入式設(shè)備沒有配備網(wǎng)絡(luò)連接功能，從根源上切斷了嵌入式設(shè)備遭受網(wǎng)絡(luò)攻擊侵蝕的可能性，從而提高了嵌入式網(wǎng)絡(luò)系統(tǒng)的安全水平。

4 嵌入式網(wǎng)絡(luò)防火墻的構(gòu)建方式

嵌入式網(wǎng)絡(luò)防火墻構(gòu)建的主要過程是確定防火墻中的過濾處理規(guī)則及相關(guān)的機(jī)理，其原理在于確定防火墻如何識別某個特定的數(shù)據(jù)包，最后執(zhí)行通過還是丟棄選項(xiàng)，在具體操作中采用針對性過濾規(guī)則進(jìn)行實(shí)現(xiàn)。通常情況下，規(guī)則必須包括處理命令，存在以下三種類型：Allow、Deny、Reject。Allow 意即允許，即為得到防火墻認(rèn)可的數(shù)據(jù)包，具有安全性，在針對特定功能信息時，用戶也可自行操作，將一些安全性存疑的文件手動添加到Allow 允許命令區(qū)域。Deny 命令是防火墻不予認(rèn)可的數(shù)據(jù)包，其安全性成疑且用戶沒有后續(xù)操作，因此防火墻拒絕該數(shù)據(jù)包的通過。Reject 命令則是檢測出非常嚴(yán)重的威脅，此種威脅可能跳過系統(tǒng)普通區(qū)域，直接對核心程序進(jìn)行攻擊，目的性非常強(qiáng)烈，一旦得手整個系統(tǒng)會瞬間崩潰，因此無須人為確認(rèn)或觀察待確認(rèn)，直接將數(shù)據(jù)包從系統(tǒng)中清除，避免系統(tǒng)受到威脅。不僅如此，過濾規(guī)則中還應(yīng)該加入禁止循環(huán)功能。數(shù)據(jù)包進(jìn)入系統(tǒng)之后，通過以上三種命令檢測，前兩種必須執(zhí)行權(quán)限限制，確保數(shù)據(jù)包不能與系統(tǒng)內(nèi)其他程序進(jìn)行數(shù)據(jù)交換，達(dá)到避免持續(xù)向處理器發(fā)送對接請求的功能，能夠有效保護(hù)系統(tǒng)對詢問的處理頻率，避免負(fù)載過重導(dǎo)致崩潰，從而為后續(xù)攻擊提供方便[4]。

5 結(jié)語

嵌入式系統(tǒng)設(shè)計已經(jīng)得到了廣泛應(yīng)用，華為公司研制成功的鴻蒙系統(tǒng)以及蘋果、安卓等智能設(shè)備操作系統(tǒng)均是基于嵌入式系統(tǒng)開發(fā)而成，因此提高防火墻抵抗一切安全威脅的能力對嵌入式網(wǎng)絡(luò)發(fā)展具有重要意義，在后續(xù)研究工作中，技術(shù)人員應(yīng)該從嵌入式網(wǎng)絡(luò)自身的可靠性出發(fā)，實(shí)現(xiàn)對防火墻的升級。