關於伺服器安全,新手最常遇到的一個問題就是:該選擇哪種防火牆?面對種類如此繁多的伺服器防火牆,在選擇的時候,是考慮廠商的知名度還是防火牆本身的效能?是選擇國內防火牆好還是國外防火牆?該使用收費的企業級防火牆還是嘗試免費的防火牆?這些問題,都讓人十分頭痛。
不同應用環境和不同的使用需求,對防火牆效能的要求各不一樣。所以要真正找到一款合適的伺服器防火牆,重點便是在選擇伺服器防火牆的時候,認真分析自身的需求,綜合考慮各種不同型別的伺服器防火牆的優缺點。為了幫助新手在選擇伺服器防火牆的時候,能夠有一個比較大概的方向,我們將介紹伺服器防火牆的大致分類,以及不同型別伺服器防火牆各自的優缺點。
一、按照組成結構劃分,伺服器防火牆的種類可以分為硬體防火牆和軟體防火牆。
硬體防火牆本質上是把軟體防火牆嵌入在硬體中,硬體防火牆的硬體和軟體都需要單獨設計,使用專用網路晶片來處理資料包,同時,採用專門的操作系統平臺,從而避免通用作業系統的安全漏洞導致內網安全受到威脅。也就是說硬體防火牆是把防火牆程式做到晶片裡面,由硬體執行伺服器的防護功能。因為內嵌結構,因此比其他種類的防火牆速度更快,處理能力更強,效能更高。
軟體防火牆,顧名思義便是裝在伺服器平臺上的軟體產品,它透過在作業系統底層工作來實現網路管理和防禦功能的最佳化。軟體防火牆執行於特定的計算機上,它需要客戶預先安裝好的計算機作業系統的支援,一般來說這臺計算機就是整個網路的閘道器。軟體防火牆就像其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。
硬體防火牆效能上優於軟體防火牆,因為它有自己的專用處理器和記憶體,可以獨立完成防範網路攻擊的功能,不過價格會貴不少,更改設定也比較麻煩。而
軟體防火牆是在作為閘道器的伺服器上安裝的,利用伺服器的CPU和記憶體來實現防攻擊的能力,在攻擊嚴重的情況下可能大量佔用伺服器的資源,但是相對而言便宜得多,設定起來也很方便。
二、除了從結構上可以把伺服器防火牆分為軟體防火牆和硬體防火牆以外,還可以從技術上分為“包過濾型”、“應用代理型”和“狀態監視”三類。一個防火牆的實現過程多麼複雜,歸根結底都是在這三種技術的基礎上進行功能擴充套件的。
1. 包過濾型
包過濾是最早使用的一種防火牆技術,它的第一代模型是靜態包過濾,工作在OSI模型中的網路層上,之後發展出來的動態包過濾則是工作在OSI模型的傳輸層上。包過濾防火牆工作的地方就是各種基於TCP/IP協議的資料包文進出的通道,它把這網路層和傳輸層作為資料監控的物件,對每個資料包的頭部、協議、地址、埠、型別等資訊進行分析,並與預先設定好的防火牆過濾規則進行核對,一旦發現某個包的某個或多個部分與過濾規則匹配並且條件為“阻止”的時候,這個包就會被丟棄。
基於包過濾技術的防火牆的優點是對於小型的、不太複雜的站點,比較容易實現。但是其缺點是很顯著的,首先面對大型的,複雜站點包過濾的規則表很快會變得很大而且複雜,規則很難測試。隨著表的增大和複雜性的增加,規則結構出現漏洞的可能性也會增加。其次是這種防火牆依賴於一個單一的部件來保護系統。如果這個部件出現了問題,或者外部使用者被允許訪問內部主機,則它就可以訪問內部網上的任何主機。
2. 應用代理型
應用代理防火牆,實際上就是一臺小型的帶有資料檢測過濾功能的透明代理伺服器,但是它並不是單純的在一個代理裝置中嵌入包過濾技術,而是一種被稱為應用協議分析的新技術。應用代理防火牆能夠對各層的資料進行主動的,實時的監測,能夠有效地判斷出各層中的非法侵入。同時,這種防火牆一般還帶有分散式探測器, 能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。
應用代理型防火牆基於代理技術,透過防火牆的每個連線都必須建立在為之建立的代理程式程式上,而代理程式自身是要消耗一定時間,於是資料在透過代理防火牆時就不可避免的發生資料遲滯現象,代理防火牆是以犧牲速度為代價換取了比包過濾防火牆更高的安全效能。
3. 狀態監視型
這種防火牆技術透過一種被稱為“狀態監視”的模組,在不影響網路安全正常工作的前提下采用抽取相關資料的方法對網路通訊的各個層次實行監測,並根據各種過濾規則作出安全決策。狀態監視可以對包內容進行分析,從而擺脫了傳統防火牆僅侷限於幾個包頭部資訊的檢測弱點,而且這種防火牆不必開放過多埠,進一步杜絕了可能因為開放埠過多而帶來的安全隱患。
由於狀態監視技術相當於結合了包過濾技術和應用代理技術,因此是最先進的,但是由於實現技術複雜,在實際應用中還不能做到真正的完全有效的資料安全檢測,而且在一般的計算機硬體系統上很難設計出基於此技術的完善防禦措施。
三、主流伺服器軟體防火牆推薦
在選擇軟體防火牆的時候,應該注意軟體防火牆本身的安全性及高效性。同時,要考慮軟體防火牆的配置及管理的便利性。一個好的軟體防火牆產品必須符合使用者的實際需要,比如良好的使用者互動介面,既能支援命令列方式管理、又能支援GUI和集中式管理等。以下我們推薦幾款比較知名的軟體防火牆供大家參考:
1. 卡巴斯基軟體防火牆 Anti-Hacker
這是卡巴斯基公司出品的一款非常優秀的網路安全防火牆,它和著名的防毒軟體AVP是同一個公司的產品。所有網路資料存取的動作都會經由它對使用者產生提示,存取動作是否放行都由使用者決定,而且可以抵擋來自於內部網路或網際網路的駭客攻擊。此軟體的另一特色就是病毒庫更新的及時。卡巴斯基公司的病毒資料庫每天更新兩次,使用者可根據自己的需要任意預設軟體的更新頻率。此款產品唯一不足的是,其無論是防毒還是監控,都會佔用較大的系統資源。
2. 諾頓防火牆企業版
諾頓防火牆企業版,適用於企業伺服器、電子商務平臺及VPN環境。此款可以提供安全故障轉移和最長的正常運轉時間等。這款軟體防火牆採用經過驗證的防火牆管理維護、監測和報告來提供細緻周到的周邊保護,其靈活的服務能夠支援任意數目的防火牆,既可以支援單個防火牆,也可以支援企業的全球範圍防火牆部署。同時,軟體還提供了包括 Windows NT Domain、Radius、數字認證、LDAP、S/Key、Defender、SecureID 在內的一整套強大的使用者身份驗證方法,使管理員可以從使用者環境中靈活地選擇安全資料。
3. 伺服器安全狗
伺服器安全狗是為IDC運營商、虛擬主機服務商、企業主機、伺服器管理者等使用者提供伺服器安全防範的實用系統。是一款集DDOS防護、ARP防護、檢視網路連線、網路流量、IP過濾為一體的伺服器安全防護工具。具備實時的流量監測,伺服器程式連線監測,及時發現異常連線程式監測機制。同時該防火牆還具備智慧的DDOS攻擊防護,能夠抵禦 CC攻擊、UDP Flood、TCP Flood、SYN Flood、ARP等型別的伺服器惡意攻擊。該防火牆還提供詳盡的日誌追蹤功能,方便查詢攻擊來源。
4. KFW傲盾伺服器版
KFW傲盾防火牆系統是一套全面、創新、高安全性、高效能的網路安全系統。它根據系統管理者設定的安全規則(Security Rules)把守企業網路,提供強大的訪問控制、狀態檢測、網路地址轉換(Network Address Translation)、資訊過濾、流量控制等功能。提供完善的安全性設定,透過高效能的網路核心進行訪問控制。
5. McAfee Firewall Enterprise
McAfee Firewall Enterprise 的高階功能如應用程式監控、基於信譽的全球情報、自動化的威脅更新、加密流量檢測、入侵防護、病毒防護以及內容過濾等,能夠及時攔截攻擊使其無法得逞。
6. 冰盾專業抗DDOS防火牆軟體
冰盾防火牆軟體具備較好的相容性、穩定性和增強的抗DDOS能力,適用於傳奇伺服器、奇蹟伺服器、網站伺服器、遊戲伺服器、音樂伺服器、電影伺服器、聊天伺服器、論壇伺服器、電子商務伺服器等多種主機伺服器。該防火牆軟體能夠智慧識別各種DDOS攻擊和駭客入侵行為。在防駭客入侵方面,軟體可智慧識別Port掃描、Unicode惡意編碼、SQL隱碼攻擊、Trojan木馬上傳、Exploit漏洞利用等2000多種駭客入侵行為。