該選擇哪種防火墻?面對種類如此繁多的服務(wù)器防火墻 |
發(fā)布時間: 2012/5/18 19:22:29 |
關(guān)于服務(wù)器安全,新手最常遇到的一個問題就是:該選擇哪種防火墻?面對種類如此繁多的服務(wù)器防火墻,在選擇的時候,是考慮廠商的知名度還是防火墻本身的性能?是選擇國內(nèi)防火墻好還是國外防火墻?該使用收費的企業(yè)級防火墻還是嘗試免費的防火墻?這些問題,都讓人十分頭痛。 不同應(yīng)用環(huán)境和不同的使用需求,對防火墻性能的要求各不一樣。所以要真正找到一款合適的服務(wù)器防火墻,重點便是在選擇服務(wù)器防火墻的時候,認(rèn)真分析自身的需求,綜合考慮各種不同類型的服務(wù)器防火墻的優(yōu)缺點。為了幫助新手在選擇服務(wù)器防火墻的時候,能夠有一個比較大概的方向,我們將介紹服務(wù)器防火墻的大致分類,以及不同類型服務(wù)器防火墻各自的優(yōu)缺點。 一、按照組成結(jié)構(gòu)劃分,服務(wù)器防火墻的種類可以分為硬件防火墻和軟件防火墻。 硬件防火墻本質(zhì)上是把軟件防火墻嵌入在硬件中,硬件防火墻的硬件和軟件都需要單獨設(shè)計,使用專用網(wǎng)絡(luò)芯片來處理數(shù)據(jù)包,同時,采用專門的操作系統(tǒng)平臺,從而避免通用操作系統(tǒng)的安全漏洞導(dǎo)致內(nèi)網(wǎng)安全受到威脅。也就是說硬件防火墻是把防火墻程序做到芯片里面,由硬件執(zhí)行服務(wù)器的防護(hù)功能。因為內(nèi)嵌結(jié)構(gòu),因此比其他種類的防火墻速度更快,處理能力更強(qiáng),性能更高。 軟件防火墻,顧名思義便是裝在服務(wù)器平臺上的軟件產(chǎn)品,它通過在操作系統(tǒng)底層工作來實現(xiàn)網(wǎng)絡(luò)管理和防御功能的優(yōu)化。軟件防火墻運(yùn)行于特定的計算機(jī)上,它需要客戶預(yù)先安裝好的計算機(jī)操作系統(tǒng)的支持,一般來說這臺計算機(jī)就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機(jī)上安裝并做好配置才可以使用。 硬件防火墻性能上優(yōu)于軟件防火墻,因為它有自己的專用處理器和內(nèi)存,可以獨立完成防范網(wǎng)絡(luò)攻擊的功能,不過價格會貴不少,更改設(shè)置也比較麻煩。而 軟件防火墻是在作為網(wǎng)關(guān)的服務(wù)器上安裝的,利用服務(wù)器的CPU和內(nèi)存來實現(xiàn)防攻擊的能力,在攻擊嚴(yán)重的情況下可能大量占用服務(wù)器的資源,但是相對而言便宜得多,設(shè)置起來也很方便。 二、除了從結(jié)構(gòu)上可以把服務(wù)器防火墻分為軟件防火墻和硬件防火墻以外,還可以從技術(shù)上分為“包過濾型”、“應(yīng)用代理型”和“狀態(tài)監(jiān)視”三類。一個防火墻的實現(xiàn)過程多么復(fù)雜,歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進(jìn)行功能擴(kuò)展的。 1. 包過濾型 包過濾是最早使用的一種防火墻技術(shù),它的第一代模型是靜態(tài)包過濾,工作在OSI模型中的網(wǎng)絡(luò)層上,之后發(fā)展出來的動態(tài)包過濾則是工作在OSI模型的傳輸層上。包過濾防火墻工作的地方就是各種基于TCP/IP協(xié)議的數(shù)據(jù)報文進(jìn)出的通道,它把這網(wǎng)絡(luò)層和傳輸層作為數(shù)據(jù)監(jiān)控的對象,對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行分析,并與預(yù)先設(shè)定好的防火墻過濾規(guī)則進(jìn)行核對,一旦發(fā)現(xiàn)某個包的某個或多個部分與過濾規(guī)則匹配并且條件為“阻止”的時候,這個包就會被丟棄。 基于包過濾技術(shù)的防火墻的優(yōu)點是對于小型的、不太復(fù)雜的站點,比較容易實現(xiàn)。但是其缺點是很顯著的,首先面對大型的,復(fù)雜站點包過濾的規(guī)則表很快會變得很大而且復(fù)雜,規(guī)則很難測試。隨著表的增大和復(fù)雜性的增加,規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會增加。其次是這種防火墻依賴于一個單一的部件來保護(hù)系統(tǒng)。如果這個部件出現(xiàn)了問題,或者外部用戶被允許訪問內(nèi)部億恩科技主機(jī),則它就可以訪問內(nèi)部網(wǎng)上的任何億恩科技主機(jī)。 2. 應(yīng)用代理型 應(yīng)用代理防火墻,實際上就是一臺小型的帶有數(shù)據(jù)檢測過濾功能的透明代理服務(wù)器,但是它并不是單純的在一個代理設(shè)備中嵌入包過濾技術(shù),而是一種被稱為應(yīng)用協(xié)議分析的新技術(shù)。應(yīng)用代理防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的,實時的監(jiān)測,能夠有效地判斷出各層中的非法侵入。同時,這種防火墻一般還帶有分布式探測器, 能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。 應(yīng)用代理型防火墻基于代理技術(shù),通過防火墻的每個連接都必須建立在為之創(chuàng)建的代理程序進(jìn)程上,而代理進(jìn)程自身是要消耗一定時間,于是數(shù)據(jù)在通過代理防火墻時就不可避免的發(fā)生數(shù)據(jù)遲滯現(xiàn)象,代理防火墻是以犧牲速度為代價換取了比包過濾防火墻更高的安全性能。 3. 狀態(tài)監(jiān)視型 這種防火墻技術(shù)通過一種被稱為“狀態(tài)監(jiān)視”的模塊,在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各個層次實行監(jiān)測,并根據(jù)各種過濾規(guī)則作出安全決策。狀態(tài)監(jiān)視可以對包內(nèi)容進(jìn)行分析,從而擺脫了傳統(tǒng)防火墻僅局限于幾個包頭部信息的檢測弱點,而且這種防火墻不必開放過多端口,進(jìn)一步杜絕了可能因為開放端口過多而帶來的安全隱患。 由于狀態(tài)監(jiān)視技術(shù)相當(dāng)于結(jié)合了包過濾技術(shù)和應(yīng)用代理技術(shù),因此是最先進(jìn)的,但是由于實現(xiàn)技術(shù)復(fù)雜,在實際應(yīng)用中還不能做到真正的完全有效的數(shù)據(jù)安全檢測,而且在一般的計算機(jī)硬件系統(tǒng)上很難設(shè)計出基于此技術(shù)的完善防御措施。 三、主流服務(wù)器軟件防火墻推薦 在選擇軟件防火墻的時候,應(yīng)該注意軟件防火墻本身的安全性及高效性。同時,要考慮軟件防火墻的配置及管理的便利性。一個好的軟件防火墻產(chǎn)品必須符合用戶的實際需要,比如良好的用戶交互界面,既能支持命令行方式管理、又能支持GUI和集中式管理等。以下我們推薦幾款比較知名的軟件防火墻供大家參考: 1. 卡巴斯基軟件防火墻 Anti-Hacker 這是卡巴斯基公司出品的一款非常優(yōu)秀的網(wǎng)絡(luò)安全防火墻,它和著名的殺毒軟件AVP是同一個公司的產(chǎn)品。所有網(wǎng)絡(luò)資料存取的動作都會經(jīng)由它對用戶產(chǎn)生提示,存取動作是否放行都由用戶決定,而且可以抵擋來自于內(nèi)部網(wǎng)絡(luò)或網(wǎng)際網(wǎng)絡(luò)的黑客攻擊。此軟件的另一特色就是病毒庫更新的及時?ò退够镜牟《緮(shù)據(jù)庫每天更新兩次,用戶可根據(jù)自己的需要任意預(yù)設(shè)軟件的更新頻率。此款產(chǎn)品唯一不足的是,其無論是殺毒還是監(jiān)控,都會占用較大的系統(tǒng)資源。 2. 諾頓防火墻企業(yè)版 諾頓防火墻企業(yè)版,適用于企業(yè)服務(wù)器、電子商務(wù)平臺及VPN環(huán)境。此款可以提供安全故障轉(zhuǎn)移和最長的正常運(yùn)轉(zhuǎn)時間等。這款軟件防火墻采用經(jīng)過驗證的防火墻管理維護(hù)、監(jiān)測和報告來提供細(xì)致周到的周邊保護(hù),其靈活的服務(wù)能夠支持任意數(shù)目的防火墻,既可以支持單個防火墻,也可以支持企業(yè)的全球范圍防火墻部署。同時,軟件還提供了包括 Windows NT Domain、Radius、數(shù)字認(rèn)證、LDAP、S/Key、Defender、SecureID 在內(nèi)的一整套強(qiáng)大的用戶身份驗證方法,使管理員可以從用戶環(huán)境中靈活地選擇安全數(shù)據(jù)。 3. 服務(wù)器安全狗 服務(wù)器安全狗是為IDC運(yùn)營商、虛擬億恩科技主機(jī)服務(wù)商、企業(yè)億恩科技主機(jī)、服務(wù)器管理者等用戶提供服務(wù)器安全防范的實用系統(tǒng)。是一款集DDOS防護(hù)、ARP防護(hù)、查看網(wǎng)絡(luò)連接、網(wǎng)絡(luò)流量、IP過濾為一體的服務(wù)器安全防護(hù)工具。具備實時的流量監(jiān)測,服務(wù)器進(jìn)程連接監(jiān)測,及時發(fā)現(xiàn)異常連接進(jìn)程監(jiān)測機(jī)制。同時該防火墻還具備智能的DDOS攻擊防護(hù),能夠抵御 CC攻擊、UDP Flood、TCP Flood、SYN Flood、ARP等類型的服務(wù)器惡意攻擊。該防火墻還提供詳盡的日志追蹤功能,方便查找攻擊來源。 4. KFW傲盾服務(wù)器版 KFW傲盾防火墻系統(tǒng)是一套全面、創(chuàng)新、高安全性、高性能的網(wǎng)絡(luò)安全系統(tǒng)。它根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則(Security Rules)把守企業(yè)網(wǎng)絡(luò),提供強(qiáng)大的訪問控制、狀態(tài)檢測、網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)、信息過濾、流量控制等功能。提供完善的安全性設(shè)置,通過高性能的網(wǎng)絡(luò)核心進(jìn)行訪問控制。 5. McAfee Firewall Enterprise McAfee Firewall Enterprise 的高級功能如應(yīng)用程序監(jiān)控、基于信譽(yù)的全球情報、自動化的威脅更新、加密流量檢測、入侵防護(hù)、病毒防護(hù)以及內(nèi)容過濾等,能夠及時攔截攻擊使其無法得逞。 6. 冰盾專業(yè)抗DDOS防火墻軟件 冰盾防火墻軟件具備較好的兼容性、穩(wěn)定性和增強(qiáng)的抗DDOS能力,適用于傳奇服務(wù)器、奇跡服務(wù)器、網(wǎng)站服務(wù)器、游戲服務(wù)器、音樂服務(wù)器、電影服務(wù)器、聊天服務(wù)器、論壇服務(wù)器、電子商務(wù)服務(wù)器等多種億恩科技主機(jī)服務(wù)器。該防火墻軟件能夠智能識別各種DDOS攻擊和黑客入侵行為。在防黑客入侵方面,軟件可智能識別Port掃描、Unicode惡意編碼、SQL注入攻擊、Trojan木馬上傳、Exploit漏洞利用等2000多種黑客入侵行為。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |