关于服务器安全,新手最常碰到的一个题目就是:该选择哪种防火墙?面临种类如斯繁多的服务器防火墙,在选择的时候,是考虑厂商的着名度仍是防火墙本身的机能?是选择海内防火墙好仍是国外防火墙?该使用收费的企业级防火墙仍是尝试免费的防火墙?这些题目,都让人十分头痛。
不同应用环境和不同的使用需求,对防火墙机能的要求各不一样。所以要真正找到一款合适的服务器防火墙,重点便是在选择服务器防火墙的时候,当真分析自身的需求,综合考虑各种不同类型的服务器防火墙的优缺点。为了匡助新手在选择服务器防火墙的时候,能够有一个比较大概的方向,我们将先容服务器防火墙的大致分类,以及不同类型服务器防火墙各自的优缺点。
一、按照组成结构划分,服务器防火墙的种类可以分为硬件防火墙和软件防火墙。
硬件防火墙本质上是把软件防火墙嵌入在硬件中,硬件防火墙的硬件和软件都需要单独设计,使用专用网络芯片来处理数据包,同时,采用专门的操纵系统平台,从而避免通用操纵系统的安全漏洞导致内网安全受到威胁。也就是说硬件防火墙是把防火墙程序做到芯片里面,由硬件执行服务器的防护功能。由于内嵌结构,因此比其他种类的防火墙速度更快,处理能力更强,机能更高。
软件防火墙,顾名思义便是装在服务器平台上的软件产品,它通过在操纵系统底层工作来实现网络治理和防备功能的优化。软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操纵系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
硬件防火墙机能上优于软件防火墙,由于它有自己的专用处理器和内存,可以独立完成防范网络攻击的功能,不外价格会贵不少,更改设置也比较麻烦。而
软件防火墙是在作为网关的服务器上安装的,利用服务器的CPU和内存来实现防攻击的能力,在攻击严峻的情况下可能大量占用服务器的资源,但是相对而言便宜得多,设置起来也很利便。
二、除了从结构上可以把服务器防火墙分为软件防火墙和硬件防火墙以外,还可以从技术上分为“包过滤型”、“应用代办代理型”和“状态监督”三类。一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础长进行功能扩展的。
1. 包过滤型
包过滤是最早使用的一种防火墙技术,它的第一代模型是静态包过滤,工作在OSI模型中的网络层上,之后发展出来的动态包过滤则是工作在OSI模型的传输层上。包过滤防火墙工作的地方就是各种基于TCP/IP协议的数据报文进出的通道,它把这网络层和传输层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则进行核对,一旦发现某个包的某个或多个部门与过滤规则匹配并且前提为“阻止”的时候,这个包就会被丢弃。
基于包过滤技术的防火墙的长处是对于小型的、不太复杂的站点,比较轻易实现。但是其缺点是很明显的,首先面临大型的,复杂站点包过滤的规则表很快会变得很大而且复杂,规则很难测试。跟着表的增大和复杂性的增加,规则结构泛起漏洞的可能性也会增加。其次是这种防火墙依靠于一个单一的部件来保护系统。假如这个部件泛起了题目,或者外部用户被答应访问内部主机,则它就可以访问内部网上的任何主机。
2. 应用代办代理型
应用代办代理防火墙,实际上就是一台小型的带有数据检测过滤功能的透明代办代理服务器,但是它并不是单纯的在一个代办代理设备中嵌入包过滤技术,而是一种被称为应用协议分析的新技术。应用代办代理防火墙能够对各层的数据进行主动的,实时的监测,能够有效地判定出各层中的非法侵入。同时,这种防火墙一般还带有分布式探测器, 能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
应用代办代理型防火墙基于代办代理技术,通过防火墙的每个连接都必需建立在为之创建的代办代理程序进程上,而代办代理进程自身是要消耗一定时间,于是数据在通过代办代理防火墙时就不可避免的发生数据迟滞现象,代办代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全机能。