億恩科技總結(jié)如何選擇服務(wù)器的防火墻 |
發(fā)布時(shí)間: 2012/9/29 15:07:18 |
億恩科技總結(jié)如何選擇服務(wù)器的防火墻
相信每個(gè)企業(yè)都會(huì)注重企業(yè)安全,當(dāng)然網(wǎng)絡(luò)安全也在其中,維護(hù)網(wǎng)絡(luò)安全是個(gè)技術(shù)活,像服務(wù)器的安全,這就需要我們選擇一款安全值得新來(lái)的防火墻,究竟該怎么挑選呢,我們來(lái)跟IDC頂級(jí)服務(wù)商億恩科技一起來(lái)了解學(xué)習(xí)關(guān)于挑選服務(wù)器防火墻的課題,服務(wù)器的安全問(wèn)題是新手比較頭痛的一個(gè)問(wèn)題,不知該選擇哪種防火墻?市場(chǎng)上服務(wù)器防火墻惹得人眼花繚亂,億恩科技從客觀分析,給大家一些挑選服務(wù)器防火墻的建議和注意事項(xiàng)。
不同應(yīng)用環(huán)境和不同的使用需求,對(duì)防火墻性能的要求各不一樣。所以要真正找到一款合適的服務(wù)器防火墻,重點(diǎn)便是在選擇服務(wù)器防火墻的時(shí)候,認(rèn)真分析自身的需求,綜合考慮各種不同類型的服務(wù)器防火墻的優(yōu)缺點(diǎn)。為了幫助新手在選擇服務(wù)器防火墻的時(shí)候,能夠有一個(gè)比較大概的方向,我們將介紹服務(wù)器防火墻的大致分類,以及不同類型服務(wù)器防火墻各自的優(yōu)缺點(diǎn)。
一、按照組成結(jié)構(gòu)劃分,服務(wù)器防火墻的種類可以分為硬件防火墻和軟件防火墻。
硬件防火墻本質(zhì)上是把軟件防火墻嵌入在硬件中,硬件防火墻的硬件和軟件都需要單獨(dú)設(shè)計(jì),使用專用網(wǎng)絡(luò)芯片來(lái)處理數(shù)據(jù)包,同時(shí),采用專門的操作系統(tǒng)平臺(tái),從而避免通用操作系統(tǒng)的安全漏洞導(dǎo)致內(nèi)網(wǎng)安全受到威脅。也就是說(shuō)硬件防火墻是把防火墻程序做到芯片里面,由硬件執(zhí)行服務(wù)器的防護(hù)功能。因?yàn)閮?nèi)嵌結(jié)構(gòu),因此比其他種類的防火墻速度更快,處理能力更強(qiáng),性能更高。
軟件防火墻,顧名思義便是裝在服務(wù)器平臺(tái)上的軟件產(chǎn)品,它通過(guò)在操作系統(tǒng)底層工作來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)管理和防御功能的優(yōu)化。軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上,它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持,一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。
硬件防火墻性能上優(yōu)于軟件防火墻,因?yàn)樗凶约旱膶S锰幚砥骱蛢?nèi)存,可以獨(dú)立完成防范網(wǎng)絡(luò)攻擊的功能,不過(guò)價(jià)格會(huì)貴不少,更改設(shè)置也比較麻煩。而軟件防火墻是在作為網(wǎng)關(guān)的服務(wù)器上安裝的,利用服務(wù)器的CPU和內(nèi)存來(lái)實(shí)現(xiàn)防攻擊的能力,在攻擊嚴(yán)重的情況下可能大量占用服務(wù)器的資源,但是相對(duì)而言便宜得多,設(shè)置起來(lái)也很方便。
二、除了從結(jié)構(gòu)上可以把服務(wù)器防火墻分為軟件防火墻和硬件防火墻以外,還可以從技術(shù)上分為“包過(guò)濾型”、“應(yīng)用代理型”和“狀態(tài)監(jiān)視”三類。一個(gè)防火墻的實(shí)現(xiàn)過(guò)程多么復(fù)雜,歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進(jìn)行功能擴(kuò)展的。
1. 包過(guò)濾型
包過(guò)濾是最早使用的一種防火墻技術(shù),它的第一代模型是靜態(tài)包過(guò)濾,工作在OSI模型中的網(wǎng)絡(luò)層上,之后發(fā)展出來(lái)的動(dòng)態(tài)包過(guò)濾則是工作在OSI模型的傳輸層上。包過(guò)濾防火墻工作的地方就是各種基于TCP/IP協(xié)議的數(shù)據(jù)報(bào)文進(jìn)出的通道,它把這網(wǎng)絡(luò)層和傳輸層作為數(shù)據(jù)監(jiān)控的對(duì)象,對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行分析,并與預(yù)先設(shè)定好的防火墻過(guò)濾規(guī)則進(jìn)行核對(duì),一旦發(fā)現(xiàn)某個(gè)包的某個(gè)或多個(gè)部分與過(guò)濾規(guī)則匹配并且條件為“阻止”的時(shí)候,這個(gè)包就會(huì)被丟棄。
基于包過(guò)濾技術(shù)的防火墻的優(yōu)點(diǎn)是對(duì)于小型的、不太復(fù)雜的站點(diǎn),比較容易實(shí)現(xiàn)。但是其缺點(diǎn)是很顯著的,首先面對(duì)大型的,復(fù)雜站點(diǎn)包過(guò)濾的規(guī)則表很快會(huì)變得很大而且復(fù)雜,規(guī)則很難測(cè)試。隨著表的增大和復(fù)雜性的增加,規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會(huì)增加。其次是這種防火墻依賴于一個(gè)單一的部件來(lái)保護(hù)系統(tǒng)。如果這個(gè)部件出現(xiàn)了問(wèn)題,或者外部用戶被允許訪問(wèn)內(nèi)部主機(jī),則它就可以訪問(wèn)內(nèi)部網(wǎng)上的任何主機(jī)。
2. 應(yīng)用代理型
應(yīng)用代理防火墻,實(shí)際上就是一臺(tái)小型的帶有數(shù)據(jù)檢測(cè)過(guò)濾功能的透明代理服務(wù)器,但是它并不是單純的在一個(gè)代理設(shè)備中嵌入包過(guò)濾技術(shù),而是一種被稱為應(yīng)用協(xié)議分析的新技術(shù)。應(yīng)用代理防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的,實(shí)時(shí)的監(jiān)測(cè),能夠有效地判斷出各層中的非法侵入。同時(shí),這種防火墻一般還帶有分布式探測(cè)器, 能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。
應(yīng)用代理型防火墻基于代理技術(shù),通過(guò)防火墻的每個(gè)連接都必須建立在為之創(chuàng)建的代理程序進(jìn)程上,而代理進(jìn)程自身是要消耗一定時(shí)間,于是數(shù)據(jù)在通過(guò)代理防火墻時(shí)就不可避免的發(fā)生數(shù)據(jù)遲滯現(xiàn)象,代理防火墻是以犧牲速度為代價(jià)換取了比包過(guò)濾防火墻更高的安全性能。
3. 狀態(tài)監(jiān)視型
這種防火墻技術(shù)通過(guò)一種被稱為“狀態(tài)監(jiān)視”的模塊,在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)測(cè),并根據(jù)各種過(guò)濾規(guī)則作出安全決策。狀態(tài)監(jiān)視可以對(duì)包內(nèi)容進(jìn)行分析,從而擺脫了傳統(tǒng)防火墻僅局限于幾個(gè)包頭部信息的檢測(cè)弱點(diǎn),而且這種防火墻不必開放過(guò)多端口,進(jìn)一步杜絕了可能因?yàn)殚_放端口過(guò)多而帶來(lái)的安全隱患。
由于狀態(tài)監(jiān)視技術(shù)相當(dāng)于結(jié)合了包過(guò)濾技術(shù)和應(yīng)用代理技術(shù),因此是最先進(jìn)的,但是由于實(shí)現(xiàn)技術(shù)復(fù)雜,在實(shí)際應(yīng)用中還不能做到真正的完全有效的數(shù)據(jù)安全檢測(cè),而且在一般的計(jì)算機(jī)硬件系統(tǒng)上很難設(shè)計(jì)出基于此技術(shù)的完善防御措施。
三、主流服務(wù)器軟件防火墻推薦
在選擇軟件防火墻的時(shí)候,應(yīng)該注意軟件防火墻本身的安全性及高效性。同時(shí),要考慮軟件防火墻的配置及管理的便利性。一個(gè)好的軟件防火墻產(chǎn)品必須符合用戶的實(shí)際需要,比如良好的用戶交互界面,既能支持命令行方式管理、又能支持GUI和集中式管理等。以下我們推薦幾款比較知名的軟件防火墻供大家參考:
1. 卡巴斯基軟件防火墻 Anti-Hacker
這是卡巴斯基公司出品的一款非常優(yōu)秀的網(wǎng)絡(luò)安全防火墻,它和著名的殺毒軟件AVP是同一個(gè)公司的產(chǎn)品。所有網(wǎng)絡(luò)資料存取的動(dòng)作都會(huì)經(jīng)由它對(duì)用戶產(chǎn)生提示,存取動(dòng)作是否放行都由用戶決定,而且可以抵擋來(lái)自于內(nèi)部網(wǎng)絡(luò)或網(wǎng)際網(wǎng)絡(luò)的黑客攻擊。此軟件的另一特色就是病毒庫(kù)更新的及時(shí)。卡巴斯基公司的病毒數(shù)據(jù)庫(kù)每天更新兩次,用戶可根據(jù)自己的需要任意預(yù)設(shè)軟件的更新頻率。此款產(chǎn)品唯一不足的是,其無(wú)論是殺毒還是監(jiān)控,都會(huì)占用較大的系統(tǒng)資源。
2. 諾頓防火墻企業(yè)版
諾頓防火墻企業(yè)版,適用于企業(yè)服務(wù)器、電子商務(wù)平臺(tái)及VPN環(huán)境。此款可以提供安全故障轉(zhuǎn)移和最長(zhǎng)的正常運(yùn)轉(zhuǎn)時(shí)間等。這款軟件防火墻采用經(jīng)過(guò)驗(yàn)證的防火墻管理維護(hù)、監(jiān)測(cè)和報(bào)告來(lái)提供細(xì)致周到的周邊保護(hù),其靈活的服務(wù)能夠支持任意數(shù)目的防火墻,既可以支持單個(gè)防火墻,也可以支持企業(yè)的全球范圍防火墻部署。同時(shí),軟件還提供了包括 Windows NT Domain、Radius、數(shù)字認(rèn)證、LDAP、S/Key、Defender、SecureID 在內(nèi)的一整套強(qiáng)大的用戶身份驗(yàn)證方法,使管理員可以從用戶環(huán)境中靈活地選擇安全數(shù)據(jù)。
3. 服務(wù)器安全狗
服務(wù)器安全狗是為IDC運(yùn)營(yíng)商、虛擬主機(jī)服務(wù)商、企業(yè)主機(jī)、服務(wù)器管理者等用戶提供服務(wù)器安全防范的實(shí)用系統(tǒng)。是一款集DDOS防護(hù)、ARP防護(hù)、查看網(wǎng)絡(luò)連接、網(wǎng)絡(luò)流量、IP過(guò)濾為一體的服務(wù)器安全防護(hù)工具。具備實(shí)時(shí)的流量監(jiān)測(cè),服務(wù)器進(jìn)程連接監(jiān)測(cè),及時(shí)發(fā)現(xiàn)異常連接進(jìn)程監(jiān)測(cè)機(jī)制。同時(shí)該防火墻還具備智能的DDOS攻擊防護(hù),能夠抵御 CC攻擊、UDP Flood、TCP Flood、SYN Flood、ARP等類型的服務(wù)器惡意攻擊。該防火墻還提供詳盡的日志追蹤功能,方便查找攻擊來(lái)源。
4. KFW傲盾服務(wù)器版
KFW傲盾防火墻系統(tǒng)是一套全面、創(chuàng)新、高安全性、高性能的網(wǎng)絡(luò)安全系統(tǒng)。它根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則(Security Rules)把守企業(yè)網(wǎng)絡(luò),提供強(qiáng)大的訪問(wèn)控制、狀態(tài)檢測(cè)、網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)、信息過(guò)濾、流量控制等功能。提供完善的安全性設(shè)置,通過(guò)高性能的網(wǎng)絡(luò)核心進(jìn)行訪問(wèn)控制。
5. McAfee Firewall Enterprise
McAfee Firewall Enterprise 的高級(jí)功能如應(yīng)用程序監(jiān)控、基于信譽(yù)的全球情報(bào)、自動(dòng)化的威脅更新、加密流量檢測(cè)、入侵防護(hù)、病毒防護(hù)以及內(nèi)容過(guò)濾等,能夠及時(shí)攔截攻擊使其無(wú)法得逞。
6. 冰盾專業(yè)抗DDOS防火墻軟件
冰盾防火墻軟件具備較好的兼容性、穩(wěn)定性和增強(qiáng)的抗DDOS能力,適用于傳奇服務(wù)器、奇跡服務(wù)器、網(wǎng)站服務(wù)器、游戲服務(wù)器、音樂(lè)服務(wù)器、電影服務(wù)器、聊天服務(wù)器、論壇服務(wù)器、電子商務(wù)服務(wù)器等多種主機(jī)服務(wù)器。該防火墻軟件能夠智能識(shí)別各種DDOS攻擊和黑客入侵行為。在防黑客入侵方面,軟件可智能識(shí)別Port掃描、Unicode惡意編碼、SQL注入攻擊、Trojan木馬上傳、Exploit漏洞利用等2000多種黑客入侵行為。
億恩科技已為國(guó)內(nèi)上百萬(wàn)家企業(yè)及個(gè)人提供了系統(tǒng)集成、網(wǎng)站開發(fā)、服務(wù)器租用、服務(wù)器托管、域名注冊(cè)、空間租用、電子商務(wù)等多種網(wǎng)絡(luò)服務(wù)。作為中國(guó)頂級(jí)的IDC運(yùn)營(yíng)商和空間域名注冊(cè)商,億恩科技目前共運(yùn)營(yíng)國(guó)內(nèi)十多家省級(jí)骨干機(jī)房,為華中地區(qū)最大,國(guó)內(nèi)頂級(jí)的IDC、空間、域名業(yè)務(wù)服務(wù)商。http://enidc.com/contactus/aboutus.aspx
本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |