过去写过那么多服务器管理和服务器防御的文章,里面多涵盖了“服务器防火墙”这一词,相信每位朋友的电脑多安装或者打开过——服务器防火墙。或者说当你在电脑上安装软件后,想要打开却收到一个弹窗,对话框提示连接失败,请检查您的网络防火墙。没错,这就是我们所说的服务器防火墙。和高防服务器一样,单说防防御,服务器防火墙是用来保护我们服务器机密数据的一道防线。
一、服务器防火墙的作用
①防火墙是保护网站的工具:入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
②防止内部信息的外泄:通过利用防火墙对内部网络的划分,实现重点网段隔离,限制局部重点或敏感网络安全问题对全局网络造成的影响。避免暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS,用户的注册名、真名,最后登录时间和使用shell类型等。防火墙可以同样阻塞有关内部网络中的DNS信息。
③服务器防火墙能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据:当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
④服务器防火墙具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
防火墙的是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,集中安全管理更经济。在网络访问时,一次一密口令系统和其它的身份认证系统可以不必分散,可以集中在防火墙一身上。
二、以下是两种常见的服务器防火墙:
网络层防火墙和 应用层防火墙。 这两类型防火墙也许重叠; 的确, 单一系统会两个一起实施。网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP
协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段…等属性来进行过滤。
应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。
XML 防火墙是一种新型态的应用层防火墙。
三、高防服务器防火墙的性能指标:
1、吞吐量:服务器防火墙能同时处理的最大数据量;衡量标准,吞吐量越大,性能越高。
2、时延:数据包的第一个比特进入服务器防火墙到最后一个比特输出服务器防火墙的时间间隔指标,衡量标准:延时越小,性能越高。
3、丢包率:在连续负载的情况下,服务器防火墙由于资源不足,应转发但是未转发的百分比;衡量标准:丢包率越小,服务器防火墙的性能越高。
4、背靠背:缓存,主要是指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量(例如:NFS,备份,路由更新等),而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。
5、并发连接数:访问量,并发连接数指标越大,抗攻击能力也越强
总结 :建设防火墙需要仔细的选择和配置一个解决方案来满足你的需求,然后不断的去维护它。需要做很多的决定,对一个站点是正确的解决方案往往对另外站点来说是错误的。并不要指望防火墙靠自身就能够给予你安全。防火墙保护你免受一类攻击的威胁,但是却不能防止从LAN内部的攻击,它甚至不能保护你免受所有那些它能检测到的攻击。做好最坏的心理准备。
最后提醒大家,防火墙不是万能的,对一些新出现的病毒和木马可能没有反映,要时常的更新.机器可能会停止运行,有恶意动机的用户可能做坏的事情并成功的打败你。但是你可以选择互联数据,知名度高、口碑好,以硬软件构建服务器防火墙,针对DDoS攻击的防御体系,能有效应对DOSS攻击,做好事前安全、事中抵抗、事后分析,然后分析总结出结论后,再进行下一轮的事情安全循环。
其实无论是思科防火墙还是其他品牌的防火墙,既然都叫防火墙,它们的功能其实都是差不多的,都是对流量进行控制,防止一些非法流量的入侵等。
现在比较常见的防火墙都是可以当做网关使用的,但是和路由器不同的是,防火墙的主要目的是控制,而路由器则是转发。所以我们在使用防火墙的时候需要注意一个点:防火墙默认是不通的,也就是拒绝所有流量的,所以我们需要给在防火墙的不同接口配置上不同的域,然后通过域和域之间不同的策略来允许其互通。
一般来说防火墙的域设置有3个:内网用户所在的域,即安全域Trust:该域中一般包含所有的内网用户主机,且优先级很高。
外网用户所在的域,即非安全域Untrust:该域中一般包含的是所有公网用户,即连接internet的公网接口,优先级最低。
内网中服务器所在的域,即非军事化管理区域DMZ:该域中一般包含的是所有内网服务器,且该服务器会同时服务于公网和内网用户,优先级适中。
当然,我们也可以自定义域,然后针对于每个域进行用户的行为管理和控制以及流量的控制等,而控制的目的则主要是防止公网中的攻击流量或者病毒威胁到内网安全,以至于整个内网崩坏。现在的防火墙很多都有一些基于数据包、数据流乃至于针对于应用的控制,比如自维病毒库等,具体的功能要基于型号而定,如果是想要进行设备选购的话,建议去cisco官网去详细的看一下产品序列。
原创文章,作者:普尔小编,如若转载,请注明出处:http://www.puerpx.cn/pxwd/4955.html