|
關(guān)于服務(wù)器安全��,新手最常遇到的一個(gè)問題就是:該選擇哪種防火墻����?面對種類如此繁多的服務(wù)器防火墻��,在選擇的時(shí)候��,是考慮廠商的知名度還是防火墻本身的性能����?是選擇國內(nèi)防火墻好還是國外防火墻?該使用收費(fèi)的企業(yè)級防火墻還是嘗試免費(fèi)的防火墻���?這些問題����,都讓人十分頭痛。
不同應(yīng)用環(huán)境和不同的使用需求����,對防火墻性能的要求各不一樣。所以要真正找到一款合適的服務(wù)器防火墻�����,重點(diǎn)便是在選擇服務(wù)器防火墻的時(shí)候��,認(rèn)真分析自身的需求�,綜合考慮各種不同類型的服務(wù)器防火墻的優(yōu)缺點(diǎn)���。為了幫助新手在選擇服務(wù)器防火墻的時(shí)候�,能夠有一個(gè)比較大概的方向����,我們將介紹服務(wù)器防火墻的大致分類,以及不同類型服務(wù)器防火墻各自的優(yōu)缺點(diǎn)���。
一�����、按照組成結(jié)構(gòu)劃分�,服務(wù)器防火墻的種類可以分為硬件防火墻和軟件防火墻。
硬件防火墻本質(zhì)上是把軟件防火墻嵌入在硬件中����,硬件防火墻的硬件和軟件都需要單獨(dú)設(shè)計(jì),使用專用網(wǎng)絡(luò)芯片來處理數(shù)據(jù)包�,同時(shí),采用專門的操作系統(tǒng)平臺��,從而避免通用操作系統(tǒng)的安全漏洞導(dǎo)致內(nèi)網(wǎng)安全受到威脅��。也就是說硬件防火墻是把防火墻程序做到芯片里面�����,由硬件執(zhí)行服務(wù)器的防護(hù)功能��。因?yàn)閮?nèi)嵌結(jié)構(gòu)����,因此比其他種類的防火墻速度更快,處理能力更強(qiáng)���,性能更高��。
軟件防火墻���,顧名思義便是裝在服務(wù)器平臺上的軟件產(chǎn)品���,它通過在操作系統(tǒng)底層工作來實(shí)現(xiàn)網(wǎng)絡(luò)管理和防御功能的優(yōu)化。軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上�����,它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持��,一般來說這臺計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)�。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。
硬件防火墻性能上優(yōu)于軟件防火墻���,因?yàn)樗凶约旱膶S锰幚砥骱蛢?nèi)存,可以獨(dú)立完成防范網(wǎng)絡(luò)攻擊的功能�����,不過價(jià)格會貴不少����,更改設(shè)置也比較麻煩����。而
軟件防火墻是在作為網(wǎng)關(guān)的服務(wù)器上安裝的����,利用服務(wù)器的CPU和內(nèi)存來實(shí)現(xiàn)防攻擊的能力,在攻擊嚴(yán)重的情況下可能大量占用服務(wù)器的資源�����,但是相對而言便宜得多����,設(shè)置起來也很方便。
二����、除了從結(jié)構(gòu)上可以把服務(wù)器防火墻分為軟件防火墻和硬件防火墻以外,還可以從技術(shù)上分為“包過濾型”���、“應(yīng)用代理型”和“狀態(tài)監(jiān)視”三類��。一個(gè)防火墻的實(shí)現(xiàn)過程多么復(fù)雜����,歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進(jìn)行功能擴(kuò)展的。
1. 包過濾型
包過濾是最早使用的一種防火墻技術(shù)���,它的第一代模型是靜態(tài)包過濾����,工作在OSI模型中的網(wǎng)絡(luò)層上��,之后發(fā)展出來的動(dòng)態(tài)包過濾則是工作在OSI模型的傳輸層上����。包過濾防火墻工作的地方就是各種基于TCP/IP協(xié)議的數(shù)據(jù)報(bào)文進(jìn)出的通道,它把這網(wǎng)絡(luò)層和傳輸層作為數(shù)據(jù)監(jiān)控的對象��,對每個(gè)數(shù)據(jù)包的頭部���、協(xié)議��、地址��、端口、類型等信息進(jìn)行分析���,并與預(yù)先設(shè)定好的防火墻過濾規(guī)則進(jìn)行核對���,一旦發(fā)現(xiàn)某個(gè)包的某個(gè)或多個(gè)部分與過濾規(guī)則匹配并且條件為“阻止”的時(shí)候����,這個(gè)包就會被丟棄�����。
基于包過濾技術(shù)的防火墻的優(yōu)點(diǎn)是對于小型的�、不太復(fù)雜的站點(diǎn),比較容易實(shí)現(xiàn)�。但是其缺點(diǎn)是很顯著的,首先面對大型的�����,復(fù)雜站點(diǎn)包過濾的規(guī)則表很快會變得很大而且復(fù)雜��,規(guī)則很難測試���。隨著表的增大和復(fù)雜性的增加��,規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會增加���。其次是這種防火墻依賴于一個(gè)單一的部件來保護(hù)系統(tǒng)��。如果這個(gè)部件出現(xiàn)了問題�,或者外部用戶被允許訪問內(nèi)部億恩科技主機(jī)��,則它就可以訪問內(nèi)部網(wǎng)上的任何億恩科技主機(jī)���。
2. 應(yīng)用代理型
應(yīng)用代理防火墻�,實(shí)際上就是一臺小型的帶有數(shù)據(jù)檢測過濾功能的透明代理服務(wù)器�,但是它并不是單純的在一個(gè)代理設(shè)備中嵌入包過濾技術(shù),而是一種被稱為應(yīng)用協(xié)議分析的新技術(shù)���。應(yīng)用代理防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的����,實(shí)時(shí)的監(jiān)測����,能夠有效地判斷出各層中的非法侵入。同時(shí)��,這種防火墻一般還帶有分布式探測器����, 能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時(shí)對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用����。
應(yīng)用代理型防火墻基于代理技術(shù),通過防火墻的每個(gè)連接都必須建立在為之創(chuàng)建的代理程序進(jìn)程上��,而代理進(jìn)程自身是要消耗一定時(shí)間�����,于是數(shù)據(jù)在通過代理防火墻時(shí)就不可避免的發(fā)生數(shù)據(jù)遲滯現(xiàn)象�,代理防火墻是以犧牲速度為代價(jià)換取了比包過濾防火墻更高的安全性能。
3. 狀態(tài)監(jiān)視型
這種防火墻技術(shù)通過一種被稱為“狀態(tài)監(jiān)視”的模塊����,在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)測,并根據(jù)各種過濾規(guī)則作出安全決策�。狀態(tài)監(jiān)視可以對包內(nèi)容進(jìn)行分析,從而擺脫了傳統(tǒng)防火墻僅局限于幾個(gè)包頭部信息的檢測弱點(diǎn)�,而且這種防火墻不必開放過多端口,進(jìn)一步杜絕了可能因?yàn)殚_放端口過多而帶來的安全隱患����。
由于狀態(tài)監(jiān)視技術(shù)相當(dāng)于結(jié)合了包過濾技術(shù)和應(yīng)用代理技術(shù),因此是最先進(jìn)的,但是由于實(shí)現(xiàn)技術(shù)復(fù)雜��,在實(shí)際應(yīng)用中還不能做到真正的完全有效的數(shù)據(jù)安全檢測��,而且在一般的計(jì)算機(jī)硬件系統(tǒng)上很難設(shè)計(jì)出基于此技術(shù)的完善防御措施���。
三��、主流服務(wù)器軟件防火墻推薦
在選擇軟件防火墻的時(shí)候��,應(yīng)該注意軟件防火墻本身的安全性及高效性���。同時(shí),要考慮軟件防火墻的配置及管理的便利性����。一個(gè)好的軟件防火墻產(chǎn)品必須符合用戶的實(shí)際需要,比如良好的用戶交互界面���,既能支持命令行方式管理�、又能支持GUI和集中式管理等���。以下我們推薦幾款比較知名的軟件防火墻供大家參考:
1. 卡巴斯基軟件防火墻 Anti-Hacker
這是卡巴斯基公司出品的一款非常優(yōu)秀的網(wǎng)絡(luò)安全防火墻�,它和著名的殺毒軟件AVP是同一個(gè)公司的產(chǎn)品。所有網(wǎng)絡(luò)資料存取的動(dòng)作都會經(jīng)由它對用戶產(chǎn)生提示����,存取動(dòng)作是否放行都由用戶決定���,而且可以抵擋來自于內(nèi)部網(wǎng)絡(luò)或網(wǎng)際網(wǎng)絡(luò)的黑客攻擊�����。此軟件的另一特色就是病毒庫更新的及時(shí)�����?ò退够镜牟《緮(shù)據(jù)庫每天更新兩次,用戶可根據(jù)自己的需要任意預(yù)設(shè)軟件的更新頻率�。此款產(chǎn)品唯一不足的是,其無論是殺毒還是監(jiān)控��,都會占用較大的系統(tǒng)資源����。
2. 諾頓防火墻企業(yè)版
諾頓防火墻企業(yè)版,適用于企業(yè)服務(wù)器��、電子商務(wù)平臺及VPN環(huán)境。此款可以提供安全故障轉(zhuǎn)移和最長的正常運(yùn)轉(zhuǎn)時(shí)間等��。這款軟件防火墻采用經(jīng)過驗(yàn)證的防火墻管理維護(hù)��、監(jiān)測和報(bào)告來提供細(xì)致周到的周邊保護(hù)�����,其靈活的服務(wù)能夠支持任意數(shù)目的防火墻���,既可以支持單個(gè)防火墻�,也可以支持企業(yè)的全球范圍防火墻部署�����。同時(shí)�,軟件還提供了包括 Windows NT Domain、Radius��、數(shù)字認(rèn)證��、LDAP�����、S/Key、Defender���、SecureID 在內(nèi)的一整套強(qiáng)大的用戶身份驗(yàn)證方法���,使管理員可以從用戶環(huán)境中靈活地選擇安全數(shù)據(jù)。
3. 服務(wù)器安全狗
服務(wù)器安全狗是為IDC運(yùn)營商���、虛擬億恩科技主機(jī)服務(wù)商、企業(yè)億恩科技主機(jī)�、服務(wù)器管理者等用戶提供服務(wù)器安全防范的實(shí)用系統(tǒng)。是一款集DDOS防護(hù)�����、ARP防護(hù)���、查看網(wǎng)絡(luò)連接��、網(wǎng)絡(luò)流量���、IP過濾為一體的服務(wù)器安全防護(hù)工具。具備實(shí)時(shí)的流量監(jiān)測����,服務(wù)器進(jìn)程連接監(jiān)測����,及時(shí)發(fā)現(xiàn)異常連接進(jìn)程監(jiān)測機(jī)制��。同時(shí)該防火墻還具備智能的DDOS攻擊防護(hù)����,能夠抵御 CC攻擊、UDP Flood���、TCP Flood��、SYN Flood�、ARP等類型的服務(wù)器惡意攻擊���。該防火墻還提供詳盡的日志追蹤功能�,方便查找攻擊來源��。
4. KFW傲盾服務(wù)器版
KFW傲盾防火墻系統(tǒng)是一套全面�、創(chuàng)新、高安全性�、高性能的網(wǎng)絡(luò)安全系統(tǒng)�。它根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則(Security Rules)把守企業(yè)網(wǎng)絡(luò)�,提供強(qiáng)大的訪問控制、狀態(tài)檢測��、網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)��、信息過濾�、流量控制等功能。提供完善的安全性設(shè)置���,通過高性能的網(wǎng)絡(luò)核心進(jìn)行訪問控制��。
5. McAfee Firewall Enterprise
McAfee Firewall Enterprise 的高級功能如應(yīng)用程序監(jiān)控、基于信譽(yù)的全球情報(bào)��、自動(dòng)化的威脅更新���、加密流量檢測����、入侵防護(hù)�����、病毒防護(hù)以及內(nèi)容過濾等,能夠及時(shí)攔截攻擊使其無法得逞����。
6. 冰盾專業(yè)抗DDOS防火墻軟件
冰盾防火墻軟件具備較好的兼容性、穩(wěn)定性和增強(qiáng)的抗DDOS能力�,適用于傳奇服務(wù)器、奇跡服務(wù)器���、網(wǎng)站服務(wù)器����、游戲服務(wù)器��、音樂服務(wù)器�、電影服務(wù)器、聊天服務(wù)器���、論壇服務(wù)器�、電子商務(wù)服務(wù)器等多種億恩科技主機(jī)服務(wù)器���。該防火墻軟件能夠智能識別各種DDOS攻擊和黑客入侵行為�����。在防黑客入侵方面�����,軟件可智能識別Port掃描���、Unicode惡意編碼�、SQL注入攻擊���、Trojan木馬上傳����、Exploit漏洞利用等2000多種黑客入侵行為���。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)���!虛擬主機(jī)域名注冊頂級提供商�����!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
