語天電子
先普及什麼是防火牆:
防火牆分類:
第一種:軟件防火牆
軟件防火牆運行於特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這臺計算機就是整個網絡的網關。軟件防火牆就象其它的軟件產品一樣需要先在計算機上安裝並做好配置才可以使用。
第二種:芯片級防火牆它們基於專門的硬件平臺,沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火牆速度更快,處理能力更強,性能更高。這類防火牆由於是專用OS,因此防火牆本身的漏洞比較少,不過價格相對高出很多,不接觸這類產品不知道價格很是“可觀”所以一般只有在“確實需要”的情況下才考慮。
防火牆工作原理:
防火牆有硬件和軟件防火牆兩類,硬件防火牆允許您通過端口的傳輸控制協議(TCP)或用戶數據報協議(UDP)來定義阻塞規則,例如禁止不必要的端口(3389)和IP地址的訪問。軟件防火牆就像互連內部網絡和外部網絡的代理服務器,它可以讓內部網絡不直接與外部網絡進行通信,但是很多企業和數據中心會將這兩種類型的防火牆進行組合,主要是因為這樣做可以更加有效地提升網絡的安全性。
優缺點:
1、防火牆可以阻斷攻擊,但不能消滅攻擊源。
互聯網上病毒、木馬、惡意試探...造成的攻擊行為層出不群,花樣繁多。設置得當的防火牆能夠阻擋他們,但是無法清除攻擊源。即使防火牆進行了良好的設置,使得攻擊無法穿透防火牆,但各種攻擊仍然會源源不斷地向防火牆發出嘗試。
2、防火牆不能抵抗最新的未設置策略的攻擊漏洞
就如殺毒軟件與病毒一樣,總是先出現病毒,殺毒軟件經過分析出特徵碼後加入到病毒庫內才能查殺。防火牆的各種策略,也是在該攻擊方式經過專家分析後給出其特徵進而設置的。這也是說防火牆需要時時更新,以便有新病毒的出現及時阻止。
3、防火牆的併發連接數限制容易導致擁塞或者溢出
由於要判斷、處理流經防火牆的每一個包,因此防火牆在某些流量大、併發請求多的情況下,很容易導致擁塞,成為整個網絡的瓶頸影響性能。而當防火牆溢出的時候,整個防線就如同虛設,原本被禁止的連接也能從容通過了。
4、防火牆對服務器合法開放的端口的攻擊大多無法阻止
某些情況下,攻擊者利用服務器提供的服務進行缺陷攻擊。例如利用開放了3389端口取得沒打過sp補丁的win2k的超級權限、利用asp程序進行腳本攻擊等。由於其行為在防火牆一級看來是“合理”和“合法”的,因此就被簡單地放行了。
5、防火牆對待內部主動發起連接的攻擊一般無法阻止
“外緊內松”是一般局域網絡的特點。也許一道嚴密防守的防火牆內部的網絡是一片混亂也有可能。通過社會工程學發送帶木馬的郵件、帶木馬的網址連接地址等方式,然後由中木馬的機器主動對攻擊者連接,將鐵壁一樣的防火牆瞬間破壞掉。
6、防火牆本身也會出現問題和受到攻擊
防火牆也是一個os,也有著其硬件系統和軟件,因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現軟/硬件方面的故障。
7、防火牆不處理病毒
不管是funlove病毒也好,還是CIH也好。在內部網絡用戶下載外網的帶毒文件的時候,防火牆是不為所動的(這裡的防火牆不是指單機/企業級的殺毒軟件中的實時監控功能,雖然它們不少都叫“病毒防火牆”)。
防火牆是網絡安全的重要一環,但不代表設置了防火牆就能一定保證網絡的安全。安全是一種意識,即使技術很強大,硬件足夠NB,但有人的地方就會出現漏洞,請謹記!
(本文僅適用入門瞭解,觀點來自網絡,僅供參考)
言吾時刻
部署防火牆需謹慎 更新很重要
防火牆作為企業安全的重要保障已經被各企業廣泛認同,幾乎每時每刻都會有企業將部署防火牆提上網絡安全議程。那麼,是不是部署了防火牆之後就可以毫無後顧之憂了呢?本篇文章將講述部署防火牆過程中的六大誤區。
誤區之一:部署了防火牆並不等於絕對安全
防火牆對於企業網絡的保護作用是每位企業網管所共知的,可是,企業網絡部署了防火牆,並不意味著企業網絡就不再有安全威脅。舉個最簡單的例子,防火牆的功能僅僅能夠對來自外部網絡的數據進行過濾,如果有人在企業網絡內部搞破壞,防火牆是沒有任何防範作用的。
另外,防火牆對來自外部數據的過濾檢查是按照過濾規則進行的。如果一種網絡攻擊模式不在防火牆過濾規則之內,防火牆對於這種網絡攻擊也是沒有任何防範能力的。為此,企業網管不要認為網絡中部署了防火牆,企業網絡就絕對安全,不再有任何安全隱患,部署了防火牆並不等於絕對安全。
誤區之二:長期不更新防火牆安全策略
防火牆可以阻擋來自外界的網絡攻擊,以及過濾一些網絡病毒,這都得益於防火牆設備的安全策略。如同殺毒軟件一樣,憑藉防火牆自帶默認的安全策略,防火牆設備能夠阻擋已知的網絡攻擊模式,以及一部分網絡病毒;對於新的網絡攻擊模式,以及新的網絡病毒,防火牆是沒有任何防範能力的。要想讓防火牆能夠具備非常強大的防範能力,企業網管必須定期的更新防火牆的安全策略。
在網絡安全漏洞呈爆炸式增長的今天,如果長期不更新防火牆的安全策略,防火牆無疑會成為一個擺設。每當遇到新的網絡安全漏洞,企業網管必須及時的更新防火牆的安全策略,只有這樣,防火牆才能真正成為企業網絡的安全保護神。
誤區之三:安裝防火牆設備的所有組件
眾所周知,部署防火牆這款網絡安全設備時,很多企業網管為了保障企業網絡的安全,通常會將防火牆所有的功能組件都安裝到防火牆設備中。從表面看,安裝了所有組件的防火牆,安全更有保障。可是,安裝了一些多餘的防火牆組件之後,反而會降低防火牆的安全性能。
從技術角度來講,防火牆的工作過程與普通PC相似。對於一臺普通的PC來說,如果安裝了過多的功能組件,其系統響應速度會變慢,尤其是PC開機時如果啟動了太多的項目,PC可能會因為不堪重負而死機。防火牆亦是如此,防火牆中的組件都是隨防火牆啟動而啟動的,如果網管部署防火牆時安裝了所有組件,勢必會耗費防火牆太多的資源,在網絡數據交換繁忙時,防火牆設備可能會因為系統資源不足而當機。一旦防火牆當機,防火牆將失去了作用,企業網絡也將失去防火牆的保護,其後果不難想象。為此,部署防火牆時,不要安裝防火牆設備的所有組件。
誤區之四:把防火牆當成防病毒的武器
從理論上說,防火牆當然可以防病毒,但防火牆只能防範通過網絡傳播的一部分病毒。道理很簡單,防火牆是位於網絡通路上的一道關卡,對於一切經過它的數據包,它都可以過濾出禁止傳輸的數據。可是,大多數病毒在傳播過程中是非常隱蔽的,防火牆的過濾規則很難有效的防範病毒入侵,看一下病毒傳播的過程就明白了。
病毒在隱蔽在網絡應用層中的,在通過防火牆時,病毒被分為若干個數據包。不可否認,防火牆雖然可以過濾一些數據包,但分割為多個數據包的病毒,防火牆是很難識別的,除非防火牆能夠將若干個數據包重新拼裝起來進行檢查,否則防火牆是不可能發現病毒的。防火牆對數據包的過濾,僅僅是決定轉發還是放棄,為此,防火牆的過濾規則很難防範通過網絡傳播的病毒。
不過,對於一些特徵非常明顯的病毒,防火牆是可以過濾的。例如震盪波病毒,在傳播過程中是佔用TCP的某些端口,這時,只要企業網管將防火牆的端口封閉,震盪波病毒將無法進入企業網絡中。在實際應用中,能夠像震盪波這樣有如此明顯特徵的病毒很少。總的來說,防火牆對於病毒有一定的防範能力,但防範能力是非常有限的,為此,不要把防火牆當成防病毒的有效武器。
誤區之五:忽略防火牆日誌文件的作用
與任何一款網絡設備一樣,防火牆工作過程中也會自動生成日誌。在企業網絡的日常維護中,很多企業網管認識防火牆日誌的存在,更沒有意識到防火牆工作日誌的重要性。對於防火牆的日誌,企業網管存在著諸多誤區。
由於防火牆每天在過濾數百萬甚至上千萬的報文數據包,其生成的日誌也是數量眾多。面對密密麻麻的日誌文件,企業網管該從何處入手呢?其實,對於正常過濾的數據包記錄,企業網管是無需理會的。諸如丟棄、告警、日誌等動作,企業網管需要慎重的進行審核,並且進行分析,以確定是否有非法的網絡攻擊存在,切莫忽視防火牆日誌文件的作用。
誤區之六:過濾規則中有太多拒絕規則
對於防火牆的過濾規則,每位企業網管都非常熟悉。防火牆工作過程中,對於允許的數據包直接放行,而對於拒絕的規則,將直接拋棄。毫無疑問,如果防火牆的過濾規則中有太多的拒絕規則,將會浪費防火牆的系統資源,因為防火牆需要不斷的拒絕不符合規則的數據包,並且禁止其通過。為此,在配置防火牆的過濾規則時,要少用拒絕規則。
總結:防火牆有保護企業網絡安全的功能,可是,防火牆並不是萬能的,也會有漏洞。加之防火牆是一個機器,其保護功能需要人的設置才能提高。也就是說,要想讓防火牆的保護功能更加完善,部署防火牆時必須躲開上述誤區。
服務器硬件防火牆 選擇有方法
硬件防火牆對於企業服務器安全來說可謂是必不可少的設備,配置硬件防火牆可以使企業所面臨的安全威脅得到一定成都的遏制。那麼本篇文章就來分析一下企業服務器硬件防火牆的主要內容。
服務器硬件防火牆的簡單介紹
服務器的硬防是指硬件防火牆,硬件防火牆是指把防火牆程序做到芯片裡面,由硬件執行這些功能,能減少CPU的負擔,使路由更穩定。 硬件防火牆是保障內部網絡安全的一道重要屏障。它的安全和穩定,直接關係到整個內部網絡的安全。因此,日常例行的檢查對於保證硬件防火牆的安全是非常重要的。
系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭,例行檢查的任務就是要發現這些安全隱患,並儘可能將問題定位,方便問題的解決。
硬件防火牆的例行檢查主要內容
1.硬件防火牆的配置文件
不論我們在安裝硬件防火牆的時候考慮得有多麼的全面和嚴密,一旦硬件防火牆投入到實際使用環境中,情況卻隨時都在發生改變。硬件防火牆的規則總會不斷地變化和調整著,配置參數也會時常有所改變。作為網絡安全管理人員,最好能夠編寫一套修改防火牆配置和規則的安全策略,並嚴格實施。所涉及的硬件防火牆配置,最好能詳細到類似哪些流量被允許,哪些服務要用到代理這樣的細節。
在安全策略中,要寫明修改硬件防火牆配置的步驟,如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分,如某人具體做修改,另一人負責記錄,第三個人來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬件防火牆配置的修改工作程序化,並能儘量避免因修改配置所造成的錯誤和安全漏洞。
2.硬件防火牆的磁盤使用情況
如果在硬件防火牆上保留日誌記錄,那麼檢查硬件防火牆的磁盤使用情況是一件很重要的事情。如果不保留日誌記錄,那麼檢查硬件防火牆的磁盤使用情況就變得更加重要了。保留日誌記錄的情況下,磁盤佔用量的異常增長很可能表明日誌清除過程存在問題,這種情況相對來說還好處理一些。在不保留日誌的情況下,如果磁盤佔用量異常增長,則說明硬件防火牆有可能是被人安裝了Rootkit工具,已經被人攻破。
因此,網絡安全管理人員首先需要了解在正常情況下,防火牆的磁盤佔用情況,並以此為依據,設定一個檢查基線。硬件防火牆的磁盤佔用量一旦超過這個基線,就意味著系統遇到了安全或其他方面的問題,需要進一步的檢查。
3.硬件防火牆的CPU負載
和磁盤使用情況類似,CPU負載也是判斷硬件防火牆系統運行是否正常的一個重要指標。作為安全管理人員,必須瞭解硬件防火牆系統CPU負載的正常值是多少,過低的負載值不一定表示一切正常,但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬件防火牆遭到DoS攻擊或外部網絡連接斷開等問題造成的。
4.硬件防火牆系統的精靈程序
每臺防火牆在正常運行的情況下,都有一組精靈程序(Daemon),比如名字服務程序、系統日誌程序、網絡分發程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行,如果發現某些精靈程序沒有運行,則需要進一步檢查是什麼原因導致這些精靈程序不運行,還有哪些精靈程序還在運行中。
5.系統文件
關鍵的系統文件的改變不外乎三種情況:管理人員有目的、有計劃地進行的修改,比如計劃中的系統升級所造成的修改;管理人員偶爾對系統文件進行的修改;攻擊者對文件的修改。
經常性地檢查系統文件,並查對系統文件修改記錄,可及時發現防火牆所遭到的攻擊。此外,還應該強調一下,最好在硬件防火牆配置策略的修改中,包含對系統文件修改的記錄。
6.異常日誌
硬件防火牆日誌記錄了所有允許或拒絕的通信的信息,是主要的硬件防火牆運行狀況的信息來源。由於該日誌的數據量龐大,所以,檢查異常日誌通常應該是一個自動進行的過程。當然,什麼樣的事件是異常事件,得由管理員來確定,只有管理員定義了異常事件並進行記錄,硬件防火牆才會保留相應的日誌備查。
上述6個方面的例行檢查也許並不能立刻檢查到硬件防火牆可能遇到的所有問題和隱患,但持之以恆地檢查對硬件防火牆穩定可靠地運行是非常重要的。如果有必要,管理員還可以用數據包掃描程序來確認硬件防火牆配置的正確與否,甚至可以更進一步地採用漏洞掃描程序來進行模擬攻擊,以考核硬件防火牆的能力。
服務器租用與高硬防服務器
服務器租用:是指用戶無須自己購買服務器,只需根據自己業務的需要,提出對硬件配置的要求。主機服務器由IDC服務商配置。用戶採取租用的方式,安裝相應的系統軟件及應用軟件以實現用戶獨享專用高性能服務器,實現WEB+FTP+MAIL+VDNS全部網絡服務功能,用戶的初期投資減輕了,可以更專著於自己業務的研發。
高硬防服務器:是指一些專門提供高硬防的機房,10G以上的硬防都為高硬防,因為1G硬防的投資10萬元左右,10G的話就是100萬。日前市場上最多的都是單線機房有硬防,雙線機房大多都是沒有硬防的。
服務器的硬防通常跟服務器租賃聯繫在一起,目前IDC服務器租賃商紛紛把贈送高硬防的服務作為一個賣點,希望消費者更加信賴自己的服務器產品,相信在未來,服務器硬防會做的更強更好,可以有效的保護服務器系統的安全,為網絡環境創造一個更加安靜健康的局面。
Microphone吳
安裝防火牆的目的主要是為了防止來自外部的攻擊,因為隨著電腦的普及,惡意的攻擊程序也逐漸增多,俗話說得好,有需求就有市場,最早的操作系統其實是沒有防火牆的,只是前些年,病毒氾濫,後來操作系統開發者,才考慮加入防火牆機制的。
huzibbs
在這個數據化的時代,數據的重要性不言而喻,毫無疑問數據就是企業的命。數據的安全性直接影響著一個企業業務的成長髮展,所以每個做著和數據相關行業的人都對“計算機安全”不陌生。
說到計算機安全,就會無法避免討論到隔離。隔離計算機最簡單的方式就是安裝防火牆,這樣能有效保護服務器以防受到直接攻擊。像每個Windows版本都自帶基礎且能夠提供用戶使用的防火牆產品,這種防火牆能夠鎖定所有不需要訪問的目標內容。但是Windows自帶的防火牆並沒有對通訊本身提供保護。所以為了實現更高安全級別的保護,我們需要安裝其他防火牆。但在安裝其它防火牆之前,我們必須先要關閉掉系統自帶的防火牆,以避免多個防火牆系統發生相互衝突。
