用于服務(wù)器接入的防火墻網(wǎng)關(guān)的八個關(guān)鍵性功能
責(zé)編:admin |2014-12-30 10:21:18如何為服務(wù)器應(yīng)用發(fā)布選擇防火墻網(wǎng)關(guān)?是UTM防火墻(UTMWALL)?下一代防火墻(NGFW)?還是下下一代防火墻?本文為您列舉了8個關(guān)鍵性功能,是服務(wù)器降低遭受高持續(xù)性滲透攻擊(APT)風(fēng)險的最佳解決方案,也是公安部最新頒布的第二代防火墻標(biāo)準(zhǔn)的具體解讀,請大家在選擇時參考。
根據(jù)網(wǎng)絡(luò)規(guī)模及用戶實際,這8個功能可以集中在一臺防火墻上,并將各服務(wù)器與局域網(wǎng)劃分成不同的安全域(如上圖所示),這樣可以保證即使一個安全域內(nèi)的服務(wù)器被黑也不會影響到內(nèi)網(wǎng)PC或其它服務(wù)器,將損失控制在最小范圍內(nèi),同時也方便管理,節(jié)省空間,降低總體擁有成本(TCO);也可以將這8個功能分布于多臺串聯(lián)或并聯(lián)的安全設(shè)備中,做到專機專用,應(yīng)付大流量網(wǎng)絡(luò)的需求。以下是這8大關(guān)鍵性功能詳述:
一、基于策略的NAT規(guī)則(DNAT)及管理請求的訪問控制(ACL)
用于為各種來源IP、目的IP、例外IP、請求時間的網(wǎng)絡(luò)請求提供不同的端口轉(zhuǎn)發(fā)策略,方便服務(wù)器的管理及部署,方便內(nèi)網(wǎng)用戶通過公網(wǎng)IP或域名訪問架設(shè)在自家內(nèi)網(wǎng)里的服務(wù)器;提供虛擬IP(VIP)功能,實現(xiàn)對多個公網(wǎng)IP資源的充分利用;面向公網(wǎng)訪問的移動管理員用戶、分支機構(gòu)、合作伙伴提供精細(xì)的ACL控制策略,防止FTP、SSH、遠(yuǎn)程桌面等內(nèi)部應(yīng)用被非法、越權(quán)訪問,避免被掃描或暴力破解。
二、WAN口多鏈路接入(M-WAN)
用于為電信、網(wǎng)通、教育網(wǎng)等不同ISP網(wǎng)絡(luò)的用戶提供本地化接入,對來自不同ISP網(wǎng)絡(luò)的請求按接入線路返回服務(wù)器數(shù)據(jù)包,可以優(yōu)化網(wǎng)絡(luò)速度,提高服務(wù)質(zhì)量。
三、服務(wù)器負(fù)載均衡(SLB)及反向代理(R-Proxy)
用于將網(wǎng)絡(luò)請求流量平均分配到DMZ區(qū)內(nèi)2臺或以上的服務(wù)器上,并負(fù)責(zé)對服務(wù)器進行健康檢查,可以提高服務(wù)器響應(yīng)速度、保障24小時在線率,保障網(wǎng)站的可擴展性,提高服務(wù)質(zhì)量;對于內(nèi)網(wǎng)幾臺獨立的WEB服務(wù)器共用一個公網(wǎng)IP的情況,可以開啟反向代理功能實現(xiàn)連通。
四、WEB防火墻(WAF)或及入侵檢測與防御(IDP)
用于實時攔截黑客通過SQL注入、XSS等方式掃描、入侵服務(wù)器,阻止黑客掃描管理后臺網(wǎng)址及備份文件等敏感文件,阻止黑客上傳并利用WEBSHELL后門程序,或通過白名單的方式100%保障政府、公司等展示型網(wǎng)站的安全;IDC服務(wù)商可以利用WAF,以白名單的方式屏蔽沒有在國內(nèi)備案的域名,既符合了通信局的法規(guī)同時也節(jié)省了管理成本。
五、抗SYN洪水、CC攻擊
用于阻攔黑客發(fā)送SYN洪水、CC攻擊包攻擊服務(wù)器,合理分配每用戶可用資源,防止出現(xiàn)服務(wù)器資源耗竭,可以剔除有害流量,保證服務(wù)器的接通率。
六、異常流量檢測
用于檢測、定位內(nèi)外網(wǎng)用戶發(fā)出的各種持續(xù)流量(掃描、攻擊、WEBSHELL、直接連接數(shù)據(jù)庫服務(wù)器)、上傳流量(黑頁、掛馬)、超大流量(拖庫)和DDOS流量,且能夠提供Netflow數(shù)據(jù)流,方便集中存儲及管理,可以保證服務(wù)器的接通率,快速排除故障隱患。
七、內(nèi)網(wǎng)上網(wǎng)行為控制
用于記錄內(nèi)網(wǎng)服務(wù)器、PC的上網(wǎng)行為,防止內(nèi)網(wǎng)ARP病毒攻擊,防止黑客留下的木馬、后門程序,防止內(nèi)部員工未經(jīng)授權(quán)的FTP上傳等破壞服務(wù)器原始內(nèi)容的行為,可以方便地查找來自內(nèi)網(wǎng)的入侵行為,保障服務(wù)器的完整性;開啟POP3郵件過濾功能,屏蔽危險或所有附件,防止木馬攻擊。
八、至少60天的本地日志存儲
用于在防火墻內(nèi)部記錄用戶方發(fā)出的WEB URL、POST等請求信息,上級ISP路由器連通性檢測結(jié)果以及防火墻自身CPU、內(nèi)存、網(wǎng)絡(luò)吞吐量、會話數(shù)、并發(fā)用戶數(shù)等24小時運行趨勢圖,防止因黑客刪除服務(wù)器日志、服務(wù)器硬件故障等導(dǎo)致的日志丟失,可以為本單位及公安局日后查找上網(wǎng)記錄提供可靠的日志“黑匣子”服務(wù)。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧