压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　如何為服務器應用發布選擇防火墻網關？是UTM防火墻（UTMWALL）？下一代防火墻（NGFW）？還是下下一代防火墻？本文為您列舉了8個關鍵性功能，是服務器降低遭受高持續性滲透攻擊（APT）風險的最佳解決方案，也是公安部最新頒布的第二代防火墻標準的具體解讀，請大家在選擇時參考。

　　根據網絡規模及用戶實際，這8個功能可以集中在一臺防火墻上，并將各服務器與局域網劃分成不同的安全域（如上圖所示），這樣可以保證即使一個安全域內的服務器被黑也不會影響到內網PC或其它服務器，將損失控制在最小范圍內，同時也方便管理，節省空間，降低總體擁有成本（TCO）；也可以將這8個功能分布于多臺串聯或并聯的安全設備中，做到專機專用，應付大流量網絡的需求。以下是這8大關鍵性功能詳述：

　　一、基于策略的NAT規則（DNAT）及管理請求的訪問控制（ACL）

　　用于為各種來源IP、目的IP、例外IP、請求時間的網絡請求提供不同的端口轉發策略，方便服務器的管理及部署，方便內網用戶通過公網IP或域名訪問架設在自家內網里的服務器；提供虛擬IP（VIP）功能，實現對多個公網IP資源的充分利用；面向公網訪問的移動管理員用戶、分支機構、合作伙伴提供精細的ACL控制策略，防止FTP、SSH、遠程桌面等內部應用被非法、越權訪問，避免被掃描或暴力破解。

　　二、WAN口多鏈路接入（M-WAN）

　　用于為電信、網通、教育網等不同ISP網絡的用戶提供本地化接入，對來自不同ISP網絡的請求按接入線路返回服務器數據包，可以優化網絡速度，提高服務質量。

　　三、服務器負載均衡（SLB）及反向代理（R-Proxy）

　　用于將網絡請求流量平均分配到DMZ區內2臺或以上的服務器上，并負責對服務器進行健康檢查，可以提高服務器響應速度、保障24小時在線率，保障網站的可擴展性，提高服務質量；對于內網幾臺獨立的WEB服務器共用一個公網IP的情況，可以開啟反向代理功能實現連通。

　　四、WEB防火墻（WAF）或及入侵檢測與防御（IDP）

　　用于實時攔截黑客通過SQL注入、XSS等方式掃描、入侵服務器，阻止黑客掃描管理后臺網址及備份文件等敏感文件，阻止黑客上傳并利用WEBSHELL后門程序，或通過白名單的方式100%保障政府、公司等展示型網站的安全；IDC服務商可以利用WAF，以白名單的方式屏蔽沒有在國內備案的域名，既符合了通信局的法規同時也節省了管理成本。

　　五、抗SYN洪水、CC攻擊

　　用于阻攔黑客發送SYN洪水、CC攻擊包攻擊服務器，合理分配每用戶可用資源，防止出現服務器資源耗竭，可以剔除有害流量，保證服務器的接通率。

　　六、異常流量檢測

　　用于檢測、定位內外網用戶發出的各種持續流量（掃描、攻擊、WEBSHELL、直接連接數據庫服務器）、上傳流量（黑頁、掛馬）、超大流量（拖庫）和DDOS流量，且能夠提供Netflow數據流，方便集中存儲及管理，可以保證服務器的接通率，快速排除故障隱患。

　　七、內網上網行為控制

　　用于記錄內網服務器、PC的上網行為，防止內網ARP病毒攻擊，防止黑客留下的木馬、后門程序，防止內部員工未經授權的FTP上傳等破壞服務器原始內容的行為，可以方便地查找來自內網的入侵行為，保障服務器的完整性；開啟POP3郵件過濾功能，屏蔽危險或所有附件，防止木馬攻擊。

　　八、至少60天的本地日志存儲

　　用于在防火墻內部記錄用戶方發出的WEB URL、POST等請求信息，上級ISP路由器連通性檢測結果以及防火墻自身CPU、內存、網絡吞吐量、會話數、并發用戶數等24小時運行趨勢圖，防止因黑客刪除服務器日志、服務器硬件故障等導致的日志丟失，可以為本單位及公安局日后查找上網記錄提供可靠的日志“黑匣子”服務。

    文章來源：http://70365.blog.51cto.com/60365/1593624