而硬件防火墻的存在恰好為企業用戶減少了間接損失的機會。這篇文章里我們就讓我們了解一下硬件防火墻在企業網絡安全中的“強悍”作用。

    首先讓我們先認識一下硬件防火墻。通俗地講，硬件防火墻是指把防火墻程序做到芯片里面，由硬件執行這些功能，以減少CPU負擔的一種設備。 硬件防火墻是保障內部網絡安全的一道重要屏障，它的安全和穩定，直接關系到整個內部網絡的安全。由于網絡威脅愈發復雜，單一的防火墻已經不能滿足企業用戶的需求，多功能防火墻開始悄然流行。

    所謂硬件防火墻實現多功能，就是在硬件防火墻中集成本不是其主要組成的功能如VPN、NAT等，從而使得防火墻更好地執行網絡“巡邏”、阻止各種外部攻擊和禁止非法訪問。

    到這里，我們已經看到了硬件防火墻幫助企業解決安全威脅的幾種典型應用。

    1、NAT（網絡地址轉換）應用

    網絡地址轉換（NAT）是用于將一個地址域（如：專用Intranet）映射到另一個地址域（如：Internet）的標準方法。NAT允許一個機構專用Intranet中的主機透明地連接到公共域中的主機，無需內部主機擁有注冊的（以及越來越缺乏的）Internet地址。

    這個原本屬于路由器的功能越來越多地被硬件防火墻所利用，并且成為其標準功能之一，效果是十分明顯的。在防火墻上實現NAT后，可以隱藏受保護網絡的內部拓撲結構，在一定程度上提高網絡的安全性。如果反向NAT提供動態網絡地址及端口轉換功能，還可以實現負載均衡等功能。

    應用NAT進行地址轉換有兩個好處：其一是隱藏內部網絡真正的IP，這可以使黑客無法直接攻擊內部網絡，這也是筆者之所以要將其列入防火墻典型應用的原因；另一個好處是可以讓內部使用保留的IP，這對許多IP不足的企業是有益的。

    2、防止DDos攻擊

    DDoS是Distributed Denial of Service的縮寫，由英文的字面意思就可以看出，它其實是利用多個客戶或者服務器端聯合起來作為攻擊釋放者，向攻擊目標發送大量無用請求，導致正常的資源請求無法獲得通過，網絡帶寬被垃圾數據占滿，系統無法正常工作。

    DDos攻擊是黑客們目前最喜歡的攻擊手段之一，也是造成企業計算機系統“工作效率低下”的元兇。

    在硬件防火墻方面可以進行的配置主要包括：禁止對主機的非開放服務的訪問；限制同時打開的SYN最大連接數；限制特定IP地址的訪問；啟用防火墻的防DDoS的屬性；嚴格限制對外開放的服務器向外訪問。

    配置好防火墻的安全規則基本上可以過濾掉所有可能的偽造數據包，減少DDoS攻擊的成功率。

    3、日志記錄功能

    只要是人為的設備就存在著被攻陷的可能。而防火墻的日志記錄功能可以比較全面地記錄流量狀態，并且防止日志被篡改，還可定期將日志備份到指定機器。這樣，即使某日企業安全被破壞，企業也還有著追究攻擊者法律責任的機會，保證將損失降到最低。

    另外，硬件防火墻較容易的配置規則也為企業節省了相當一部分的人力成本，為中小企業帶來不少便利。

    對一個信息網絡而言，安全問題涉及的設備種類比較多，但是考慮到成本、功能、企業安全受到威脅時產生的一些現象，使用硬件防火墻在目前對中小企業永華來說是比較實在的安全對策。