怎样为高防服务器利用布局选用防火墙网关?是UTM防火墙(UTMWALL)?下一代防火墙(NGFW)?还是下下一代防火墙?文中为您例举了八个核心性功效,是服务器降低遭到高持续性渗透性攻击(APT)风险的最好解决方法,也是国家公安部最新颁发的第二代防火墙标准的具体讲解。
服务器防火墙
一、基于策略的NAT规矩(DNAT)及管理恳求的访问把持(ACL)
用于为各种各样起源IP、目地IP、例外IP、恳求时间的网络恳求供给不一样的端口转发策略,便捷服务器的管理方法及安排,方便内网用户利用公网IP或域名访问搭建在自家内网里的服务器;供给虚拟IP(VIP)功效,建立对多个公网IP资源的充分运用;面向公网访问的移动管理员用户、分支机构、合作伙伴供给过细的ACL把持策略,避免FTP、SSH、远程桌面等内部利用被非法、越权访问,防止被扫描或暴力破解密码。
二、WAN口多链路接入(M-WAN)
用于为电信、网通、教导网等不一样ISP网络的用户供给本地化连接,对起源于不同ISP网络的恳求按接入线路回到服务器数据包,可以优化网络速度,提升服务质量管理。
三、服务器负载均衡(SLB)及反向代理(R-Proxy)
用于将网络恳求流量平均分配到DMZ区内2台或以上的网站服务器上,并承担对服务器进行健康检查,还可以提升服务器响应时间、确保24小时在线率,确保网站的可扩大性,提升服务质量;对于内网几台独立的WEB服务器共用一个公网IP的情况,还可以开启反向代理功效建立连通。
四、WEB防火墙(WAF)或及入侵检测与防御(IDP)
用于实时拦阻网络黑客利用SQL注入、XSS等方法扫描、入侵网站服务器,阻拦黑客扫描后台管理系统网址及备份数据等敏感文件,拦阻黑客上传并利用WEBSHELL后门程序,或利用白名单的方法100%安全保障政府、公司等展现型网站的安全;IDC公司还可以利用WAF,以白名单的方法屏蔽掉没有在国内办理备案的域名,既符合了通信局的法规同时也节俭了管理成本费用。
五、抗SYN洪水、CC攻击
用于拦阻网络黑客发送SYN洪水、CC攻击包攻击服务器,有效分配每用户可用网络资源,避免涌现服务器资源耗竭,还可以剔除有害流量,确保服务器的接通率。
六、异常流量检测
用于检测、精准定位内外网用户发出的各种各样持续流量(扫描、攻击、WEBSHELL、直接连接数据库服务器)、上传流量(黑页、挂马)、超大流量(拖库)和DDOS流量,且可以供给Netflow数据流,便捷集中存储及管理,可以保证服务器的接通率,迅速故障检测隐患。
七、内网上网行动把持
用于记载内网服务器、PC的上网行动,避免内网ARP病毒攻击,避免网络黑客留下来的木马、后门程序,避免内部员工未经允许授权的FTP上传等损坏服务器最原始内容的行动,可以方便地查找文件来自内网的入侵行动,安全保障服务器的完整性;开启POP3邮件过滤功效,屏蔽掉危险或所有附件,避免木马攻击。
八、至少60天的本地日志存储
用于在防火墙内部记载用户方传出的WEB URL、POST等恳求信息,上级ISP路由器连通性检测成果以及防火墙自身CPU、内存、网络吞吐量、会话数、并发用户数量等24小时运行趋势图,避免因网络黑客删除服务器系统日志、服务器硬件故障等造成的系统日志丧失,还可认为本单位及公安局日后查找上网记载供给可靠的日志“黑匣子”服务。
