防火牆,怎麼選? 篇一
防火牆在保護網路和資料免受內部和外部威脅,發揮著至關重要的作用。防火牆是將網路與網際網路分開的虛擬牆。可過濾流量,限制對內部網路的訪問,以及阻止拒絕服務(DoS)等威脅。如果沒有部署有效的防火牆,網路可能容易遭遇資料洩露事故以及其他惡意威脅,最終可能導致企業面臨鉅額損失,甚至失去客戶。
因此,在選購防火牆時,必須做足功課。在選擇防火牆時,應該考慮以下問題,從而選出最符合需求的網路安全解決方案。
它是否提供DoS/DDoS保護?
選擇具有DDoS檢測和緩解功能的防火牆很重要,防火牆可幫助在最基本層面識別及阻止DDoS攻擊。如果結合防火牆與其他服務(例如入侵檢測系統),就會得到一個更先進的解決方案。
防火牆是否會發送攻擊警報?
雖然您依靠防火牆來阻止攻擊,但同樣重要的是,它們可幫助您瞭解攻擊何時發生或者正在進行的攻擊。所以,您應該考慮可在發生重大攻擊時向管理員傳送警報的防火牆。
警報可作為提醒,讓管理員去檢查防火牆和路由器日誌,這可幫助確定攻擊的方法。在利用這些知識以及防火牆的幫助下,您可在攻擊造成停機以及損失之前快速緩解攻擊。
您需要為關鍵服務設定備用埠嗎?
攻擊者可利用埠來傳播惡意軟體,考慮到大部分服務都有標準埠,這是一個很大的問題。如果您有特別想要保護的關鍵服務,您可以為這些服務使用備用埠,也被稱為偽裝埠。
您需要遠端訪問嗎?
最近遠端工作非常流行,特別是在IT部門。然而,允許員工遠端訪問公司的網路帶來安全風險。這也是為什麼需要使用虛擬專用網路(v_n)等解決方案的原因。防火牆可結合v_n處理很多日常工作,例如授權和支援。
雖然您可以購買輔助系統或者v_n解決方案,但整合v_n的硬體防火牆解決方案可能更具成本效益。
供應商的客戶支援是否強大?
對於防火牆,供應商提供的支援也非常重要。不正確的防火牆配置和設定可能會導致嚴重的問題,如果您對防火牆有疑問或者對某些功能不確定,您需要能夠快速與供應商聯絡。強大的供應商應該提供必要的支援和資源,以確保網路安全。
艾塔(艾塔品牌服務網站)作為浙江聯泰資訊系統有限公司旗下服務品牌,依託強大的技術專家團隊,和個性化專屬定製服務,結合企業具體需求,制定切實可行的IT服務解決方案,我們將本著責任、專業、貼心的服務宗旨,為企業使用者提供全方位的IT服務。
防火牆有哪些分類?不同防火牆有什麼特點? 篇二
正規的資料中心中,防火牆是必不可少的,要了解防火牆我們先要知道什麼是防火牆,以及它的工作原理。
什麼是防火牆?
防火牆是監視網路流量的安全裝置。它通過根據一組既定規則過濾傳入和傳出的流量來保護內部網路。設定防火牆是在系統和惡意攻擊之間新增安全層的最簡單方法。
防火牆如何工作?
防火牆放置在系統的硬體或軟體級別,以保護其免受惡意流量的攻擊。根據設定,它可以保護單臺計算機或整個計算機網路。裝置根據預定義規則檢查傳入和傳出流量。
通過從傳送方請求資料並將其傳輸到接收方來進行Internet上的通訊。由於無法整體傳送資料,因此將其分解為組成初始傳輸實體的可管理資料包。防火牆的作用是檢查往返主機的資料包。
不同型別的防火牆具有不同的功能,我們專注於伺服器租用/託管14年,接下來網盾小編來談談防火牆有哪些分類以及他們有哪些特點。
軟體防火牆
軟體防火牆是寄生於操作平臺上的,軟體防火牆是通過軟體去實現隔離內部網與外部網之間的一種保護屏障。由於它連線到特定裝置,因此必須利用其資源來工作。所以,它不可避免地要耗盡系統的某些RAM和CPU。並且如果有多個裝置,則需要在每個裝置上安裝軟體。
由於它需要與主機相容,因此需要對每個主機進行單獨的配置。主要缺點是需要花費大量時間和知識在每個裝置管理和管理防火牆。另一方面,軟體防火牆的優勢在於,它們可以在過濾傳入和傳出流量的同時區分程式。因此,他們可以拒絕訪問一個程式,同時允許訪問另一個程式。
硬體防火牆
顧名思義,硬體防火牆是安全裝置,代表放置在內部和外部網路(Internet)之間的單獨硬體。此型別也稱為裝置防火牆。
與軟體防火牆不同,硬體防火牆具有其資源,並且不會佔用主機裝置的任何CPU或RAM。它是一種物理裝置,充當用於進出內部網路的流量的閘道器。
擁有在同一網路中執行多臺計算機的中型和大型組織都使用它們。在這種情況下,使用硬體防火牆比在每個裝置上安裝單獨的軟體更為實際。配置和管理硬體防火牆需要知識和技能,因此請確保有一支熟練的團隊來承擔這一責任。
包過濾防火牆
根據防火牆的操作方法來劃分防火牆的型別時,最基本的型別是資料包篩選防火牆。它用作連線到路由器或交換機的內聯安全檢查點。顧名思義,它通過根據傳入資料包攜帶的資訊過濾來監控網路流量。
如上所述,每個資料包包括一個報頭和它傳送的資料。此類防火牆根據標頭資訊來決定是允許還是拒絕訪問資料包。為此,它將檢查協議,源IP地址,目標IP,源埠和目標埠。根據數字與訪問控制列表的匹配方式(定義所需/不需要的流量的規則),資料包將繼續傳遞或丟棄。
防火牆技術透析 篇三
一、Internet 常見的安全威脅分類
隨著網路技術的普及,網路攻擊行為出現的越來越頻繁。通過各種攻擊軟體,只要具有一般計算機知識的初學者也能完成對網路的攻擊。各種網路病毒的泛濫,也加劇了網路被攻擊的危險。目前,Internet網路上常見的安全威脅分為一下幾類。
1、非法使用:資源被未授權的使用者(也可以稱為非法使用者)或以未授權方式(非法許可權)使用。例如:攻擊者通過猜測帳戶和密碼的組合,從而進入計算機系統以非法使用資源。
2、拒絕服務:伺服器拒絕合法永福正常訪問資訊或資源的請求。例如,攻擊者短時間內使用大量資料包或畸形報文向伺服器發起連線或請求迴應,致使伺服器負荷過重而不能處理合法任務
3、資訊盜竊:攻擊者不直接入侵目標系統,而是通過竊聽網路來獲取重要資料或資訊。
4、資料篡改:攻擊者對系統資料或訊息流進行有選擇的修改、刪除、延誤、重排序及插入虛假訊息等操作,而使資料的一致性被破壞。
因此:
網路安全是Internet必須面對的一個實際問題
網路安全是一個綜合性的技術
網路安全具有兩層含義:
保證內部區域網的安全(不被非法侵入)
保護和外部進行資料交換的安全
網路安全技術需要不斷地完善和更新
二、網路安全關注點
作為負責網路安全的管理人員主要關注(並不侷限於)以下8個方面:
保護網路物理線路不會輕易遭受攻擊
有效識別合法的和非法的使用者(AAA)
實現有效的訪問控制(ACL)
保證內部網路的隱蔽性(NAT)
有效的防偽手段,重要的資料重點保護(v_n)
對網路裝置、網路拓撲的安全管理(防火牆集中管理)
病毒防範(蠕蟲病毒智慧防範)
提高安全防範意識
三、防火牆的必備技術
針對網路存在的各種安全隱患,防火牆必須具有如下安全特性:
1、網路隔離及訪問控制:能夠有效防止對外公開的伺服器被黑客用於控制內網的一個跳板。
2、攻擊防範:能夠保護網路免受黑客對伺服器、內部網路的攻擊。
3、地址轉換:在解決網路地址不足的前提下實現對外的網路訪問,同時能夠實現對外隱藏內部網路地址和專用伺服器。
4、應用層狀態監測:可以實現單向訪問。
5、身份認證:可以確保資源不會被未授權的使用者(也可以稱為非法使用者)或以授權方式(非法許可權)使用。例如,攻擊者通過猜測帳號和密碼的組合,進入計算機系統非法使用資源的行為。
6、內容過濾:能夠過濾掉內部網路對非法網站/色情網站的訪問,以及阻止通過郵件傳送機密檔案所造成的洩密行為。
7、安全管理:主要指日誌審計和防火牆的集中管理。
四、網路隔離與訪問控制
防火牆的主要作用是實現網路隔離和訪問控制。
防火牆從安全管理的角度出發,一般將裝置本身劃分為不同的安全區域,通過將埠和網路裝置接到不同的區域裡,從而達到網路隔離的目的:
1、不受信區域:一般指的是Internet,主要攻擊都來自於這個區域。
2、受信區域:一般指的是內網區域,這個區域是可控的。
3、DMZ區域:放置公共伺服器的區域,一般情況下,這個區域接受外部的訪問,但不會主動去訪問外部資源。
防火牆通常使用ACL訪問控制列表、ASPF應用層狀態檢測包過濾的方法來實現訪問控制的目的。
圖1-1通過一個實際網路典型案例表示了局域網通過防火牆與網際網路的連線,電子郵件伺服器接在DMZ區域接受內外部的訪問。圖中用語言描述了防火牆所實現的網路隔離和訪問控制的功能。
五、攻擊防範
防火牆主要關注邊界安全,因此一般防火牆提供比較豐富的安全攻擊防範的特性:
1、DOS拒絕服務攻擊防範功能
包括對諸如ICMP Flood、UDP Flood、SYS Flood、分片攻擊等Dos拒絕服務攻擊方式進行檢測,丟棄攻擊報文,保護網路內部的主機不受侵害。
2、防止常見網路層攻擊行為
防火牆一般應該支援對IP地址欺騙、WinNuke、Land攻擊、Tear Drop等常見的網路攻擊行為,主動發現丟棄報文。
WinNuke也稱為“藍色炸彈”,它是導致你所與之交流使用者的 Windows作業系統突然的崩潰或終止。“藍色炸彈”實際上是一個帶外傳輸網路資料包,其中包括作業系統無法處理的資訊;這樣便會導致作業系統提前崩潰或終止。
land 攻擊是一種使用相同的源和目的主機和埠傳送資料包到某臺機器的攻擊。結果通常使存在漏洞的機器崩潰。
Tear drop類的攻擊利用UDP包重組時重疊偏移(假設資料包中第二片IP包的偏移量小於第一片結束的位移,而且算上第二片IP包的Data,也未超過第一片的尾部,這就是重疊現象。)的漏洞對系統主機發動拒絕服務攻擊,最終導致主機菪掉。
3、針對畸形報文的防範
通過一些畸形報文,如果超大的ICMP報文,非法的分片報文,TCP標誌混亂的報文等,可能會造成比較驗證的危害,防火牆應該可以識別出這些報文。
4、針對ICMP重定向、不可達等具有安全隱患的報文應該具有過濾、關閉的能力。
六、地址轉換(NAT)
1、地址轉換是在IP地址日益短缺的情況下提出的。
2、一個區域網內部有很多臺主機,可是不能保證每臺主機都擁有合法的IP地址,為了到達所有的內部主機都可以連線Internet網路的目的,可以使用地址轉換。
3、地址轉換技術可以有效的隱藏內部區域網中的主機,因此同時是一種有效的網路安全保護技術。
4、地址轉換可以按照使用者的需要,在內部區域網內部提供給外部FTP、WWW、Telnet服務。
防火牆同路由器一樣,必須具備NAT地址轉換功能,因此在NAT的細節上必須具備:
支援NAT/PAT,支援地址池;
支援策略NAT,根據不同的策略進行不同的NAT;
支援NAT server 模式,可以向外對映內部伺服器;
提供埠級別的NAT server 模式,可以將伺服器的埠對映為外部的一個埠,不開放伺服器的所有埠,增加伺服器的安全性。
支援多種ALG: 包括H323/MGCP/SIP/H248/RTSP/HWCC,還支援ICMP、FTP、DNS、PPTP、NBT、ILS等協議。
七、應用層狀態檢測包過濾(ASPF)
aspf(application specific packet filter)是針對應用層的包過濾,即基於狀態的報文過濾。它和普通的靜態防火牆協同工作,以便於實施內部網路的安全策略。
aspf能夠檢測試圖通過防火牆的應用層協議會話資訊,阻止不符合規則的資料報文穿過。
為保護網路安全,基於acl規則的包過濾可以在網路層和傳輸層檢測資料包,防止非法入侵。aspf能夠檢測應用層協議的資訊,並對應用的流量進行監控。