一、按照组成结构划分,服务器防火墙的种类可以分为硬件防火墙和软件防火墙。
硬件防火墙本质上是把软件防火墙嵌入在硬件中,硬件防火墙的硬件和软件都需要单独设计,使用专用网络芯片来处理数据包,同时,采用专门的 *** 作系统平台,从而避免通用 *** 作系统的安全漏洞导致内网安全受到威胁。也就是说硬件防火墙是把防火墙程序做到芯片里面,由硬件执行服务器的防护功能。因为内嵌结构,因此比其他种类的防火墙速度更快,处理能力更强,性能更高。
软件防火墙,顾名思义便是装在服务器平台上的软件产品,它通过在 *** 作系统底层工作来实现网络管理和防御功能的优化。软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机 *** 作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
硬件防火墙性能上优于软件防火墙,因为它有自己的专用处理器和内存,可以独立完成防范网络攻击的功能,不过价格会贵不少,更改设置也比较麻烦。而
软件防火墙是在作为网关的服务器上安装的,利用服务器的CPU和内存来实现防攻击的能力,在攻击严重的情况下可能大量占用服务器的资源,但是相对而言便宜得多,设置起来也很方便。
二、除了从结构上可以把服务器防火墙分为软件防火墙和硬件防火墙以外,还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类。一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。
1 包过滤型
包过滤是最早使用的一种防火墙技术,它的第一代模型是静态包过滤,工作在OSI模型中的网络层上,之后发展出来的动态包过滤则是工作在OSI模型的传输层上。包过滤防火墙工作的地方就是各种基于TCP/IP协议的数据报文进出的通道,它把这网络层和传输层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个包就会被丢弃。
基于包过滤技术的防火墙的优点是对于小型的、不太复杂的站点,比较容易实现。但是其缺点是很显著的,首先面对大型的,复杂站点包过滤的规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能性也会增加。其次是这种防火墙依赖于一个单一的部件来保护系统。如果这个部件出现了问题,或者外部用户被允许访问内部主机,则它就可以访问内部网上的任何主机。
2 应用代理型
应用代理防火墙,实际上就是一台小型的带有数据检测过滤功能的透明代理服务器,但是它并不是单纯的在一个代理设备中嵌入包过滤技术,而是一种被称为应用协议分析的新技术。应用代理防火墙能够对各层的数据进行主动的,实时的监测,能够有效地判断出各层中的非法侵入。同时,这种防火墙一般还带有分布式探测器, 能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
应用代理型防火墙基于代理技术,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象,代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能。
3 状态监视型
这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施。
三、主流服务器软件防火墙推荐
在选择软件防火墙的时候,应该注意软件防火墙本身的安全性及高效性。同时,要考虑软件防火墙的配置及管理的便利性。一个好的软件防火墙产品必须符合用户的实际需要,比如良好的用户交互界面,既能支持命令行方式管理、又能支持GUI和集中式管理等。以下我们推荐几款比较知名的软件防火墙供大家参考:
1 卡巴斯基软件防火墙 Anti-Hacker
这是卡巴斯基公司出品的一款非常优秀的网络安全防火墙,它和著名的杀毒软件AVP是同一个公司的产品。所有网络资料存取的动作都会经由它对用户产生提示,存取动作是否放行都由用户决定,而且可以抵挡来自于内部网络或网际网络的黑客攻击。此软件的另一特色就是病毒库更新的及时。卡巴斯基公司的病毒数据库每天更新两次,用户可根据自己的需要任意预设软件的更新频率。此款产品唯一不足的是,其无论是杀毒还是监控,都会占用较大的系统资源。
2 诺顿防火墙企业版
诺顿防火墙企业版,适用于企业服务器、电子商务平台及环境。此款可以提供安全故障转移和最长的正常运转时间等。这款软件防火墙采用经过验证的防火墙管理维护、监测和报告来提供细致周到的周边保护,其灵活的服务能够支持任意数目的防火墙,既可以支持单个防火墙,也可以支持企业的全球范围防火墙部署。同时,软件还提供了包括 Windows NT Domain、Radius、数字认证、LDAP、S/Key、Defender、SecureID 在内的一整套强大的用户身份验证方法,使管理员可以从用户环境中灵活地选择安全数据。
3 服务器安全狗
服务器安全狗是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统。是一款集DDOS防护、ARP防护、查看网络连接、网络流量、IP过滤为一体的服务器安全防护工具。具备实时的流量监测,服务器进程连接监测,及时发现异常连接进程监测机制。同时该防火墙还具备智能的DDOS攻击防护,能够抵御 CC攻击、UDP Flood、TCP Flood、SYN Flood、ARP等类型的服务器恶意攻击。该防火墙还提供详尽的日志追踪功能,方便查找攻击来源。
4 KFW傲盾服务器版
KFW傲盾防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。它根据系统管理者设定的安全规则(Security Rules)把守企业网络,提供强大的访问控制、状态检测、网络地址转换(Network Address Translation)、信息过滤、流量控制等功能。提供完善的安全性设置,通过高性能的网络核心进行访问控制。
5 McAfee Firewall Enterprise
McAfee Firewall Enterprise 的高级功能如应用程序监控、基于信誉的全球情报、自动化的威胁更新、加密流量检测、入侵防护、病毒防护以及内容过滤等,能够及时拦截攻击使其无法得逞。
6 冰盾专业抗DDOS防火墙软件
冰盾防火墙软件具备较好的兼容性、稳定性和增强的抗DDOS能力,适用于传奇服务器、奇迹服务器、网站服务器、游戏服务器、音乐服务器、服务器、聊天服务器、论坛服务器、电子商务服务器等多种主机服务器。该防火墙软件能够智能识别各种DDOS攻击和黑客入侵行为。在防黑客入侵方面,软件可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为。
服务器是网吧是企业的生命中枢!它的性能好坏、稳定性、可靠性直接主宰着网吧或是企业的生命。
大家都知道,网吧是一个营业场所,网管或者网吧维护商或者老板,这三类人都是可以参与维护,这点与企业不同的!
而且网吧受大量政府部门管辖管制,如何在最苛刻的情况下 确保整个网吧服务器系统 能正常稳定,我想这是大多数网吧维护人员所必须考虑的!
在配置服务器前应该仔细想清楚
1、服务器配好 谁维护?是本人受老板嘱咐单独维护(第三方个人维护)?是网吧维护商派的技术含量偏低的打工仔(第三方团体维护)?还是老板亲力亲为?还是服务器供应商负责维护?
2、面对最苛刻的情况,整台服务器被 很强大的相关部门扛走后,得应急处理方式
3、硬件性能是否能满足服务所需,这里还必须考虑有1组中1台服务器故障后的性能是否能撑得过30天故障时间!
4、服务器成本
5、硬件故障后的更换难度(主要体现在重新购置方面)
6、网吧停业倒闭后服务器、客户机变卖的价值
7、服务器运行期间产生的额外消耗(浪费电的体现)
8、2年以后的网吧整体升级后或者扩张后 服务器改造方案
9、4年以后服务器硬件置换方案
10、如何规避法律问题(某些地区)
1、考虑面向群体不同,主要是为了考虑其后续维护中的简便性
网管个人(或者就是自己):应该选择其相对熟悉的硬件设备,不同角色的服务器可以采用完全不同硬件设备,以控制开销,甚至人为制造一点服务器维护难度!以体现自己的价值!使得不被排斥
网吧维护团体:团体往往都是一条很强大的技术支持链,但是其有一个最大的问题就是,当前维护人员素质问题,因为团体的人员通常都不是那么稳定,要如何确保维护简便?那么就得在服务器上下功夫,最简便的方法就是所有角色服务器 硬件配置统一,最大程度避免拆装、作系统!这样无论哪台服务器被扛走,都可以瞬间恢复!甚至由专业人员远程控制实现不关机的服务器角色交替
硬件供应商:在中国!此类团体最大的毛病就是推托!它会想法设法使自己脱离责任!遇到这种维护团体!那么配置服务器的时候就要想方设法避免其推卸责任!统一采购其自主品牌!不要混着搭配!出问题都是他的事情
网吧老板:网吧老板是最复杂的一个团体,面对不同的网吧老板也必须有不同的对应办法!可能要做很多表面功夫!如服务器配件品牌之类!还有就是视老板的水平来选择服务器方案,水平好的 每种角色不同的配置,水平差的就全部统一配置
2、面对最苛刻的情况,整台服务器被 很强大的相关部门扛走后,得应急处理方式
往往企业服务器对数据是最重视的!而且其托管到机房,是按照 1机位/年 来算钱的!要控制开销最少,并在1台服务器上保证数据安全?那么RAID-5 RAID-6无疑是最好的选择,而且还要选择高品质的硬件以确保关键部分故障率降低!因为服务器维护商都是专业人员,你没有必要考虑专业品质设备带来的拆装难度
但是网吧,网吧面临的不仅仅是数据和故障率!其面临的是很强大的相关部门将计算机扛走后的处理方式,所以说多台服务器不关机多角色交替无疑是网吧最好的选择!
专业人员可以做到不拆装不重起,远程1分钟内恢复!然后再慢慢花时间排除服务器故障或者跟很强大的部门磨嘴皮子
这样就要确保每一台服务器都能同时担任2个角色!当然硬件上相对投入就要大点
3、硬件性能是否能满足服务所需,这里还必须考虑有1组中1台服务器故障后的性能是否能撑得过30天故障时间!
性能也是比较重要的!尤其是多角色服务性能,以及高峰期故障!所以越是大的网吧服务器数量往往就多过小网吧!
正常情况下可以发挥良好性能!故障情况下能够多角色运行并以最小的性能损失撑30天时间(排查性能、磨嘴皮子最长真的可能要花30天,尤其是远程异地维护)
所以这也是为什么 一家500台网吧最少要配3台服务器
平时 能保证良好的性能
1台更新
2台虚拟
故障时 每台服务器都能充当2个角色
1台更新
1台虚拟
我们要确保1台服务器故障!网吧该怎么办?难道你真想用1台服务器本地虚拟全部带完?
同样!就算小网吧也要考虑如何面对这样的情况?
4、服务器成本
作为服务器也是要综合考虑性价比问题的,如果我买一块技嘉的p45主板还要买显卡……¥1000+¥100那我为何不买一块INTEL小型服务器主板么?也是¥1200 而且2PCI-E网卡 性能怎么比不上技嘉?
还有就是CPU!我掏钱买I7为什么不买志强?志强才是面向服务器的产品!
我花钱买一块¥7000多的阵列卡做raid5也不就是为了能随时恢复一块硬盘!那为什么不多增加一台服务器呢?平时可以一起拖!故障可以立刻切换!一举两得!为什么要阵列卡?
要选对的,不能盲目!从这点看来服务器成本控制是很重要的
5、硬件故障后的更换难度(主要体现在重新购置方面)
比如 我知道 有块主板 C H I N A没货,而我的亲戚在美国,我就叫我亲戚买了!而且这个服务器有些设备是专门针对这一块主板设计的!
而且这个主板做的阵列只有这种主板才能认出!一旦故障无论换板还是换设备还是数据转移,还是故障后重组,其难度是相当的大!
硬件不好买,数据也不好移动
还有就是阵列卡!阵列卡硬盘或者阵列卡故障?怎么能快速恢复数据并重新提供服务呢?要知道数据跟着阵列卡或者主板走!转移非常麻烦。
6、网吧停业倒闭后服务器、客户机变卖的价值
一般来说服务器都是卖给二手市场或者直接卖给个人,这样的话就得充分考虑应用价值
比如说你现在花¥20500块把500台机器硬盘升级了!那么在卖掉以后最少能返回¥10500(根据当初80G硬盘和40G硬盘的差价计算出)就是5000
而如果你没有这么做,你是把10000 投资到了服务器硬盘上,那么变卖价值可能就没有¥5000块了!
这样你就亏损了!
7、服务器运行期间产生的消耗
电老虎电老虎……很多人会选择二手的服务器!其不知道硬件设备老化后耗电量是相当的恐怖!而且制造工艺落后,使得第一期投入少,但是使用中开销大!这里提醒 尽量采用新的服务器!
同样这也是变相标志着 二手服务器不好变卖处理的一个重大原因
独立显卡的服务器 尤其会产生更加大量电力消耗!
高转速SAS硬盘也是如此!硬盘时时刻刻都是转的!无论是高峰期还是非高峰期
还有就是一台备用服务器整天空闲等着备用而不处理数据也是浪费电的一种体现
多硬盘!在网吧相对空闲时候(尤其是分楼层而且在学校周边面临3个月假期的网吧),所有硬盘都要开着!那么为什么起初不配2台服务器,遇到空闲楼上不能经营我连服务器一起关闭!
8、2年以后的网吧整体升级后或者扩张后 服务器改造方案
网吧运营2年了 赚了不少钱了!该扩张了吧?加了机器 加了数据资源?服务器还能不能扛得住?扛不住了?怎么升级?相关配件还能不能买到?比如我用了这种板子才能上的RAMBUS内存!2年后还能不能买到?CPU也是?我还能不能额外添加一个一样的?
升级还方不方便?比如说服务器就能上6个硬盘+4个硬盘 我开始为了性能好就上了6块320G+4块160G还额外插了网卡插满了内存,一台服务器主板插的严严实实
满载 本地虚拟 双拖!好了现在要升级了?怎么办?硬盘往哪加?网卡往哪插?要关机拆拆装装?要重新考数据?
再配台新的?那么为什么当初不配2台!还要1台服务器冒着风险 多角色 运行。
9、4年以后服务器硬件置换方案
随着科技不断进步 人们需求日益提升!原本顶了2年后升级的服务器已经再次出现需要升级的情况!而且这次已经被插的严严实实!实在没有地方插了!那么就应该进行一部分硬件置换了!若当初节省成本采用的主板是过渡产品或者是将要淘汰的产品,现在已经没有硬件可以配得到了!。。。。。。那么就只有整台换完!当初也就差那么¥50,如今变成了几W快
“如果上天再给我一次机会,我一定会对硬件供应商说
“不要这块AM2,要旁边那个AM3的”
“不要这块不能上库瑞的,要旁边那个能上的”
“不要这块PCI-E插槽少的精简版,要旁边那个PCI-E插槽多点的”--注意是PCI-E不是一般的PCI
“不要这块只有4个SATA口的,要旁边那个6个的”
“不要这块只有2个内存条口的,要旁边那个4个的”
10、如何规避法律问题(某些地区)
规避法律问题,也许部分地区要采用正版!这时就应该选择品牌服务器,从而以OEM的说法尽可能的把责任推向硬件供应商。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)