服务器防火墙,简而言之,就是专门给服务器提供防御、保障数据安全的防火墙。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,集中安全管理更经济。在网络访问时,一次一密口令系统和其它的身份认证系统可以不必分散,可以集中在防火墙一身上。服务器防火墙能记录所有访问信息并作出日志记录,入侵者必须穿越防火墙的安全防线,才能接触目标服务器,最大程度保护服务器里面的隐私数据。
一、硬件防火墙和软件防火墙;
韩国高防服务器防火墙分硬件防火墙和软件防火墙,硬件防火墙主要是通过硬件设备组合专用软件进行防御,软件防火墙仅仅是通过软件程序设置防御,比如系统防火墙和各类杀毒软件。这两类防火墙各有优点,缺一不可;通常来说,软件防火墙受限于服务器的系统,而硬件防火墙能保障整个区域网络安全;另外硬件防火墙的抗DDOS等流量攻击能力更强,价格也更贵。软件防火墙的优点是定制灵活,升级快捷。倘若经常被攻击,还是依靠硬件防火墙更稳定。
二、网络层防火墙和应用层防火墙;
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,使用浏览器时所产生的数据流或使用FTP时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
网络层防火墙保护整个网络不受非法入侵,其典型技术是包过滤技术,即检查进入网络的分组, 将不符合预先设定标准的分组丢掉,而让符合标准的分组通过。包过滤技术主要是基于路由的技术,它依据静态的或动态的过滤逻辑, 在对数据包进行转发前根据数据包的目的地址、源地址及端口号来过滤数据包。
三、硬件防火墙的性能指标:
1、吞吐量:服务器防火墙能同时处理的最大数据量;衡量标准,吞吐量越大,性能越高。
2、时延:数据包的第一个比特进入服务器防火墙到最后一个比特输出服务器防火墙的时间间隔指标,衡量标准:延时越小,性能越高。
3、丢包率:在连续负载的情况下,服务器防火墙由于资源不足,应转发但是未转发的百分比;衡量标准:丢包率越小,服务器防火墙的性能越高。
4、背靠背:缓存,主要是指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量(例如:NFS,备份,路由更新等),而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。
5、并发连接数:访问量,并发连接数指标越大,抗攻击能力也越强
当然,服务器防火墙不是万能的,攻击手段不断变化,新病毒不断涌现,防火墙也需要经常维护更新,才能与时俱进,更好的保护服务器。