问题服务器防火墙的选择
关于服务器安全,新手最常遇到的一个问题就是:该选择哪种防火墙?面对种类如此繁多的服务器防火墙,在选择的时候,是考虑厂商的知名度还是防火墙本身的性能?是选择国内防火墙好还是国外防火墙?该使用收费的企业级防火墙还是尝试免费的防火墙?这些问题,都让人十分头痛。
不同应用环境和不同的使用需求,对防火墙性能的要求各不一样。所以要真正找到一款合适的服务器防火墙,重点便是在选择服务器防火墙的时候,认真分析自身的需求,综合考虑各种不同类型的服务器防火墙的优缺点。为了帮助新手在选择服务器防火墙的时候,能够有一个比较大概的方向,我们将介绍服务器防火墙的大致分类,以及不同类型服务器防火墙各自的优缺点。
一、按照组成结构划分,服务器防火墙的种类可以分为硬件防火墙和软件防火墙。
硬件防火墙本质上是把软件防火墙嵌入在硬件中,硬件防火墙的硬件和软件都需要单独设计,使用专用网络芯片来处理数据包,同时,采用专门的操作系统平台,从而避免通用操作系统的安全漏洞导致内网安全受到威胁。也就是说硬件防火墙是把防火墙程序做到芯片里面,由硬件执行服务器的防护功能。因为内嵌结构,因此比其他种类的防火墙速度更快,处理能力更强,性能更高。
软件防火墙,顾名思义便是装在服务器平台上的软件产品,它通过在操作系统底层工作来实现网络管理和防御功能的优化。软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
硬件防火墙性能上优于软件防火墙,因为它有自己的专用处理器和内存,可以独立完成防范网络攻击的功能,不过价格会贵不少,更改设置也比较麻烦。而
软件防火墙是在作为网关的服务器上安装的,利用服务器的CPU和内存来实现防攻击的能力,在攻击严重的情况下可能大量占用服务器的资源,但是相对而言便宜得多,设置起来也很方便。
二、除了从结构上可以把服务器防火墙分为软件防火墙和硬件防火墙以外,还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类。一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。
1. 包过滤型
包过滤是最早使用的一种防火墙技术,它的第一代模型是静态包过滤,工作在OSI模型中的网络层上,之后发展出来的动态包过滤则是工作在OSI模型的传输层上。包过滤防火墙工作的地方就是各种基于TCP/IP协议的数据报文进出的通道,它把这网络层和传输层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个包就会被丢弃。
基于包过滤技术的防火墙的优点是对于小型的、不太复杂的站点,比较容易实现。但是其缺点是很显著的,首先面对大型的,复杂站点包过滤的规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能性也会增加。其次是这种防火墙依赖于一个单一的部件来保护系统。如果这个部件出现了问题,或者外部用户被允许访问内部主机,则它就可以访问内部网上的任何主机。
2. 应用代理型
应用代理防火墙,实际上就是一台小型的带有数据检测过滤功能的透明代理服务器,但是它并不是单纯的在一个代理设备中嵌入包过滤技术,而是一种被称为应用协议分析的新技术。应用代理防火墙能够对各层的数据进行主动的,实时的监测,能够有效地判断出各层中的非法侵入。同时,这种防火墙一般还带有分布式探测器, 能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
应用代理型防火墙基于代理技术,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象,代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能。
3. 状态监视型
这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施。
三、主流服务器软件防火墙推荐
在选择软件防火墙的时候,应该注意软件防火墙本身的安全性及高效性。同时,要考虑软件防火墙的配置及管理的便利性。一个好的软件防火墙产品必须符合用户的实际需要,比如良好的用户交互界面,既能支持命令行方式管理、又能支持GUI和集中式管理等。以下我们推荐几款比较知名的软件防火墙供大家参考:
1. 卡巴斯基软件防火墙 Anti-Hacker
这是卡巴斯基公司出品的一款非常优秀的网络安全防火墙,它和著名的杀毒软件AVP是同一个公司的产品。所有网络资料存取的动作都会经由它对用户产生提示,存取动作是否放行都由用户决定,而且可以抵挡来自于内部网络或网际网络的黑客攻击。此软件的另一特色就是病毒库更新的及时。卡巴斯基公司的病毒数据库每天更新两次,用户可根据自己的需要任意预设软件的更新频率。此款产品唯一不足的是,其无论是杀毒还是监控,都会占用较大的系统资源。
2. 诺顿防火墙企业版
诺顿防火墙企业版,适用于企业服务器、电子商务平台及VPN环境。此款可以提供安全故障转移和最长的正常运转时间等。这款软件防火墙采用经过验证的防火墙管理维护、监测和报告来提供细致周到的周边保护,其灵活的服务能够支持任意数目的防火墙,既可以支持单个防火墙,也可以支持企业的全球范围防火墙部署。同时,软件还提供了包括 Windows NT Domain、Radius、数字认证、LDAP、S/Key、Defender、SecureID 在内的一整套强大的用户身份验证方法,使管理员可以从用户环境中灵活地选择安全数据。
3. 服务器安全狗
服务器安全狗是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统。是一款集DDOS防护、ARP防护、查看网络连接、网络流量、IP过滤为一体的服务器安全防护工具。具备实时的流量监测,服务器进程连接监测,及时发现异常连接进程监测机制。同时该防火墙还具备智能的DDOS攻击防护,能够抵御 CC攻击、UDP Flood、TCP Flood、SYN Flood、ARP等类型的服务器恶意攻击。该防火墙还提供详尽的日志追踪功能,方便查找攻击来源。
4. KFW傲盾服务器版
KFW傲盾防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。它根据系统管理者设定的安全规则(Security Rules)把守企业网络,提供强大的访问控制、状态检测、网络地址转换(Network Address Translation)、信息过滤、流量控制等功能。提供完善的安全性设置,通过高性能的网络核心进行访问控制。
5. McAfee Firewall Enterprise
McAfee Firewall Enterprise 的高级功能如应用程序监控、基于信誉的全球情报、自动化的威胁更新、加密流量检测、入侵防护、病毒防护以及内容过滤等,能够及时拦截攻击使其无法得逞。
6. 冰盾专业抗DDOS防火墙软件
冰盾防火墙软件具备较好的兼容性、稳定性和增强的抗DDOS能力,适用于传奇服务器、奇迹服务器、网站服务器、游戏服务器、音乐服务器、电影服务器、聊天服务器、论坛服务器、电子商务服务器等多种主机服务器。该防火墙软件能够智能识别各种DDOS攻击和黑客入侵行为。在防黑客入侵方面,软件可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为。
问题服务器防火墙的选择相关推荐
- 阿里云国际版云服务器防火墙设置
入侵防御页面为您实时展示云防火墙拦截流量的源IP.目的IP.阻断应用.阻断来源和阻断事件详情等信息.本文介绍了入侵防御页面展示的信息和相关操作,下面和87cloud一起来了解阿里云国际版云服务器防火墙 ...
- 游戏服务器为什么要选择高防服务器
游戏服务器因玩游戏的用户众多,需要更稳定的服务器性能,同时游戏类服务器也是极易受到网络攻击的,一旦宕机损失巨大,因此游戏服务器一定要选择高防服务器,同时防御能力要够强,配置够高,带宽也要足够大 1.防 ...
- 等保测评中web应用防火墙怎么选择?
随着<网络安全法>的出台,类似于金融.线上医院.物流货运等越来越多的平台被要求做等保测评工作.现阶段,大部分企业是被要求做等保二级或者等保三级工作.等保测评主要分为安全产品和测评板块,安全 ...
- 云服务器操作系统 版本选择,云服务器操作系统 版本选择
云服务器操作系统 版本选择 内容精选 换一换 Windows操作系统与Linux操作系统没有好坏之分,只有适合不适合.请根据业务需求选择Windows或Linux的操作系统.华为云提供了5个版本,且每 ...
- 设置服务器防火墙对应的出入站规则
设置服务器防火墙对应的出入站规则 创建过程如下: 1.打开电脑或者服务器的控制面板,当然打开的方式有很多种,本文采用较简单的方式: 按win+R键,然后输入control,回车,就可以看到控制面板: ...
- 服务器防火墙怎么关闭?
服务器防火墙怎么关闭?防火墙是一种保护计算机网络安全的技术性措施,在阻挡来自外部的网络入侵方面有重要作用.一般情况下,不建议关闭云服务器防火墙设置. 如果确实需求关闭云服务器防火墙,设置也是比较简单的 ...
- 服务器操作系统应该选择 Debian/Ubuntu 还是 CentOS?
来自 http://www.zhihu.com/question/19599986 服务器操作系统应该选择 Debian/Ubuntu 还是 CentOS? 想选择一个 Linux 发行版作为服务器. ...
- 服务器自定义防火墙,windows服务器防火墙设置自定义规则
安装完之后管理员还需要去手工的打开或者关闭端口与协议.现在的话,通常情况下只要采用其默认的策略就可以满足常规下的安全需求.下面是学习啦小编收集整理的windows服务器防火墙设置自定义规则,希望对大家 ...
- 为什么游戏服务器一定要选择高防御的服务器
玩游戏的用户众多,需要更稳定的服务器性能,同时游戏类网站也是极易受到网络攻击的,因此游戏服务器一定要选择高防服务器,同时防御能力要够强,配置够高,带宽也要足够大,为什么这么说呢,群英来简单分析下. 1 ...
- 免备案服务器要怎么选择?
免备案服务器要怎么选择?免备案服务器是包括香港等海外服务器不受国内互联网规则管理的称呼,这其中包含了许多国外服务器,如果我们需要免备案服务器,那么应该选择哪个免备案服务器好呢?又怎么来选择合适的免备案 ...
最新文章
- Libgdx学习笔记:分享自己写的异步加载
- python locust 能压测数据库_Locust 教程
- [转]iOS5 ARC学习笔记:strong、weak等详解
- 家长对孩子的期望 from father
- 语音情感识别----语音特征集之eGeMAPS,ComParE,09IS,BoAW
- 6.支持向量机(SVM)、什么是SVM、支持向量机基本原理与思想、基本原理、课程中关于SVM介绍
- iptables端口转发命令
- mysql 5.6 分区_Mysql5.6—分区表及独享表空间
- Xml文档添加节点和属性
- 安装和运行Maven
- SQL Server查询存储–概述
- Win10 不火不行!Edge 无缝兼容 Chrome扩展
- elasticsearch sql插件 2.4及以下版本配置
- 全网首发:怎样制作CDKEY(3)-加密
- 微信小程序支持Markdown教程
- 全国各省市区县数据整理
- 求职面试自我介绍技巧
- 通达信指标-MACD+均线交叉
- WebApp实时开源框架Clouda---认识心得
- 网页图片不能显示怎么办