高防服务器(1)
胡经国高防服务器
“高防服务器”高硬防服务器”是指高硬防”机房
“硬防”是指硬件防火墙ardwareFirewall)。硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行防火墙程序功能,减少CPU的负担,使路由更稳定。
硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定直接关系到整个内部网络的安全。因此,日常例行检查对于保证硬件防火墙的安全是非常重要的。防御10G以上的硬防都高硬防”因为防御1G的硬防的投资10万元左右,而10G的话就100万。目前市场上最多的都是“单线机房”有硬防,“双线机房”大多都是没有硬防的。
市场上用最多的硬防集群要数金盾和傲盾硬防集除此之外还有冰盾,黑洞,黑盾,绿盾,威盾rafficAttack),别称DDoS攻击
由于DDoSDistributed?Denial?of?Service,分布式拒绝服务攻击往往采取合法的数据请求技术,再加上傀儡机器,造成DDoS攻击成为目前最难防御的网络攻击之一。据美国最新的安全损失调查报告,DDoS攻击所造成的经济损失已经跃居第一。传统的网络设备和周边安全技术,例如防火墙和IDSsIntrusionDetectionSystems,入侵检测系统),速率限制,接入限制等均无法提供非常有效的针对DDoS攻击的保护,需要一个新的体系结构和技术来抵御复杂的DDoS拒绝服务攻击。DDoS攻击主要是利用了internet协议和internet基本优点无偏差地从任何的源头传送数据包到任意目的地。单线机房
在IT业,机房普遍是电信、网通、移动、电力以及政府或者企业等存放服务器为用户以及员工提供IT服务的地方小的几十平米,一般放置二三十个机柜大的上万平米放置上千个机柜,甚至更多机房里面通常放置各种服务器和小型机,例如IBM小型机,HP小型机,SUN小型机等等机房的温度和湿度以及防静电措施都有严格的要求,非专业项目人员一般不能购进入机房里的服务器运行着很多业务,如移动的彩信、短消息,通话业务等。机房很重要,没有了机房,工作、生活都会受到极大影响所以每个机房都要有专业人员管理,保证业务正常运行。在现今社会,机房就是互联网数据中心,简称IDC。
双线机房是指有两条线,比如一条电信线和一条网通线。而单线机房只有一条线,电信或者网通。
双线机房优于单线机房;对于双线机房,电信和网通的用户都可以访问,速度更快。
高防服务器是指这台服务器所在的机房是有高硬防的可以防御攻击它属于服务器的一种因为各个IDC互联网数据中心机房的环境不同有的提供有硬防有的不带硬防如果是普通的网站可以选择带硬防或者不带硬防的都行如果网站有攻击建议选择带硬防的使用
独立高防服务器,主要是指具有下列防御10G,15G,20G,25G,30G,35G,40G左右。它可以为单个客户提供安全维护
这种高防以前主要是企业客户主要是为高端企业客户服务,一直以来都为企业客户提供安全保证。随着互联网的快速发展个人客户的发展,单独个人客户对网络安全的要求也越来越高,这种高防为单个客户提供服务。东莞高防服务器,640GB骨干网络带宽保障,采用金盾千兆硬件防火墙120GB集群实时防护机房标准:电信A类机房、双路UPSUninterruptiblePowerSystem,不间断电源电力保证、恒温恒湿、烟雾探测;专注于为用户解决遭受DDS攻击难题,致力于为推动中国信息产业的健康发展作贡献。集群高防服务器
在高防服务器的分类中,其实可以分为单机硬防和集群硬防两种
由于防火墙的资源比较贵,通常在租用高防服务器时都是以集群高防服务器为主如果用户在服务器租用的过程中看到一些广告提供单机硬防多少G时,用户就需要对其机房的真实信息进行衡量了。下面我们就介绍一下什么是集群高防服务器。高防服务器高防服务器其实就是通过服务器集群技术进行高防网络架构的搭建,将服务器所承受的防御能力进行集群处理这样不但能解决服务商的成本,而且还能有效增加总体的防御性能,减少网络出现D攻击时网络受影响的风险。,Hostpace高防服务器所承受的流量防御为10G如果两台高防服务器进行集群,就能将网络中所出现的流量分散到两台服务器中这时所受到的整体防御就为20G。因而与此类似,如果将多个服务器进行集群处理,就能提供很高范围的保护。需要注意的是,虽然通过硬防集群能够在很大程度增加高防服务器的防御能力,但是在防御D的过程中,除了需要防火墙资源之外,还要需要宽带的资源作为支持而每个机房所提供的宽带资源是有一定限制的因而集群高防服务器所承受的流量防御其实也有一定的限制如果有需要的用户,在租用高防服务器的过程中要注意咨询机房所能承受的防御范围。
很多用户在选择高防服务器时常常会比较看重单机防御范围但是单机硬防所承受的流量攻击有一定的限制,而且所需要的费用还非常高。集群高防服务器在租用的费用相对会低很多,而且还能有效解决出现高流量D攻击时服务器所的宕机现象。
目前国有些不错的机房,主要是网通和电信两个机房
网通大硬防机房大连网通8G硬防集,辽宁网通10G硬防集,河南网通8G硬防集
电信大硬防机房江苏南通40G硬防集浙江电信12G),金华10G)。
此外,韩国大硬防机房韩国LG16G硬防集
“硬防”硬件防火墙,是指把防火墙程序做到芯片里面,由硬件执行防火墙程序功能,减少CPU的负担,使路由更稳定。它是保障内部网络安全的一道重要屏障。它的安全和稳定,直接关系到整个内部网络的安全。因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
硬防就是硬件防火墙软防就是软件防火墙硬件防火墙系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。
一般来说,硬件防火墙的例行检查主要针对以下内容
2、硬防配置
不管你在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙投入到实际使用环境中,情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着,配置参数也会时常有所改变。
作为网络安全管理人员,最好能够编写一套修改防火墙配置和规则的安全策略,并严格实施。所涉及的硬件防火墙配置,最好能详细到类似哪些流量被允许,哪些服务要用到代理这样的细节。
在安全策略中,要写明修改硬件防火墙配置的步骤,如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分,如某人具体做修改,另一人负责记录,第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化,并能尽量避免因修改配置所造成的错误和安全漏洞。
3、硬防应用
如果在硬件防火墙上保留日志记录,那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录,那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下,磁盘占用量的异常增长很可能表明日志清除过程存在问题这种情况相对来说还好处理一些。在不保留日志的情况下,如果磁盘占用量异常增长,说明硬件防火墙有可能是被人安装了Rootkit工具,已经被人攻破。
因此,网络安全管理人员首先需要了解在正常情况下,防火墙的磁盘占用情况并以此为依据,设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线,就意味着硬件防火墙系统遇到了安全或其他方面的问题,需要进一步的检查。Rootkit
Rootkit是一种特殊的恶意软件它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。
Rootkit最高权限工具箱获取权限和隐藏文件黑客软件木马程序4、硬防负载
和磁盘使用情况类似,CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员,必须了解硬件防火墙系统CPU负载的正常值是多少过低的负载值不一定表示一切正常但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到D攻击或外部网络连接断开等问题造成的。
5、硬防程序
每台防火墙在正常运行的情况下,都有一组精灵程序Daemon)在运行,比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行如果发现某些精灵程序没有在运行,那么需要进一步检查是什么原因导致这些精灵程序不运行,还有哪些精灵程序还在运行中。
精灵程序是一种守护程序,也就是服务程序和后台程序是在程序设计中的一种被挂起的进程它等待某种事件发生然后自动地被激活、执行作业然后终止或将自身挂起,等待下一事件6、系统文件
关键的防火墙系统文件的改变不外乎三种情况管理人员有目的、有计划地进行的修改,比如计划中的系统升级所造成的修改管理人员偶尔对系统文件进行的修改攻击者对文件的修改。
经常性地检查系统文件,并查对系统文件修改记录,可及时发现防火墙所遭到的攻击。此外,还应该强调一下,最好在硬件防火墙配置策略的修改中,包含对系统文件修改的记录。
7、异常日志
硬件防火墙日志记录了所有允许或拒绝的通信的信息,是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大,检查异常日志通常应该是一个自动进行的过程。当然,什么样的事件是异常事件,得由管理员来确定只有管理员定义了异常事件并进行记录,硬件防火墙才会保留相应的日志备查。
上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患,但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。如果有必要,管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否,甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击,以考核硬件防火墙的能力。
“软防”是指软件防火墙顾名思义,软件防火墙是一个安装在PC上当然,这里是指可以在PC上安装,但具体使用的时候最好用服务器的一个软件而且一般的防火墙都带了ateway(网关)功能。防火墙在没有定规则以前也就是一个路由。Gateway
网关Gateway),又称网间连接器、协议转换器。网关在传输层上以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似,不同的是互连层。网关既可以用于广域网互连,也可以用于局域网互连。8、防火墙的作用
软件防火墙能防黑客吗能,前提是,你必须及时升级,及定制正确的策略。
软件防火墙能防DS攻击吗能,绝对可以现在DS攻击已经不再可怕。
软件防火墙能防DDS攻击吗也许可能。看攻击量是否很大,结合你的带宽。
软件防火墙能防反射性DDS攻击吗不能。所谓反射性DDS攻击,所攻击的对象不是防火墙,而是你的带宽你将面临的是几千、几万甚至更多的服务器,来对你一条10M、100M或者1000M的带宽进行攻击在理论上,任何防火墙都无法做到完全防止这种攻击至于在使用IPv4的时候,软件防火墙还做不到。除非你不用TCP/IP协议。IPv4
IPv4,是互联网协议InternetProtocol,IP的第四版,也是第一个被广泛使用构成现今互联网技术的基石的协议。那么说到底,防火墙到底能做些什么呢在这里就说一下比较常用的。内网对外网
一般而言,一个企业都会对用户访问外网做限制。如是否允许使用HTTPHyperTextTransferProtocol,超文本传输协议、FTPFileTransferProtocol,文件传输协议、T远程终端协议,都可以在防火墙策略、规则。外网对内网
跟上面相反,内网的资源是否允许外网进来防问。一般而言是禁止的即使要问的话,一般也用到VPNVirtualPrivateNetwork,虚拟专用网络。只这样才能最大可能保证内网的安全。内网与DMZ
内网与DMZ都是属于防火保护区。一般而言都是允许内网对DMZ进行访问但不允许DMZ对内网访问。DMZ
DMZ(DeMilitarizedZone,隔离区,也称非军事化区是为了解决安装防火墙后外部网络用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。DMZ与外网
DMZ的服务器一般都是以NATNetworkAddressTranslation,网络地址转换到Internet。DMZ的保护
对从Internet来访问DMZ数据做的一些限制,如eb服务器只许访问eb资源、ail服务器只允许防问ail资源等。
一般而言,这是防火墙建立起来后常常要做的一些规则、策略。并不是说防火墙只能做到这些。当然,还有VPNVirtualPrivateNetwork,虚拟专用网络等防火墙与防火墙的会话等都是可以做限制的。软件防火墙与硬件防火墙相关区别
其实说到底,软件防火墙与硬件防火墙是没有区别的,几乎硬件防火墙有的功能都有了。
不同点在于软件防火墙是基于操作系统的如2000/linux/Sun等。而硬件防火墙是基于硬件的当然它也带有系统,但并不是像2000/Linux/Sun这类的。一个简单的例子。相信大家都知道刻录机吧它就分为内置和外置的。系统配置可以直接影响到刻盘的的效果比如内置刻录机在刻盘的时候,你在玩游戏星际、雷神等的时候,可能刻出的光盘会有很多你意想不到的问题。而外置刻录机,一般都是带有缓存的就是说,你可以把看作是一个独立的系统的工作是在操作系统之外的,但是必须有操作系统支配。软件防火墙也一样,服务器的性能也可以直接影响到的性能比如在装有防火墙的机器上上网、玩游戏等都是可能给防火墙带来负面影响。
网络攻击可分为拒绝服务型攻击、扫描窥探攻击和畸形报文攻击三大类拒绝服务型攻击
拒绝服务oS,enialofService)型攻击是使用大量的数据包攻击系统,使系统无法接受正常用户的请求,或者主机挂起不能提供正常的。主要的oS攻击有ynFlood、raggle等。拒绝服务攻击和其他类型的攻击不同之处在于攻击者并不是去寻找进入内部网络的入口,而是阻止合法用户访问网络资源。扫描窥探攻击
扫描窥探攻击是利用ping扫包括icmp和tcp来标识网络上存活着的系统,从而准确指出潜在的目标。利用tcp和udp端口扫描,就能检测出操作系统和监听着的潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入系统做好准备。畸形报文攻击
畸形报文攻击是通过向目标系统发送有缺陷的报文,使得目标系统在处理这样的报文时会崩溃,给目标系统带来损失。主要的畸形报文攻击有ingofDeath、eardrop等。
6
|
|
