服務器的安全至關重要,有人想要保障它的安全卻苦於無從下手,知道防火牆對安全的保護有一定的作用,但是選擇哪種防火牆或者說防火牆如何選擇也是個難題,今天就教教大家怎麼選擇。
不同應用環境和不同的使用需求,對防火牆性能的要求各不一樣。所以要真正找到一款合適的服務器防火牆,重點便是在選擇服務器防火牆的時候,認真分析自身的需求,綜合考慮各種不同類型的服務器防火牆的優缺點。為了幫助新手在選擇服務器防火牆的時候,能夠有一個比較大概的方向,我們將介紹服務器防火牆的大致分類,以及不同類型服務器防火牆各自的優缺點。
一、按照組成結構劃分,服務器防火牆的種類可以分為硬件防火牆和軟件防火牆。
硬件防火牆本質上是把軟件防火牆嵌入在硬件中,硬件防火牆的硬件和軟件都需要單獨設計,使用專用網絡芯片來處理數據包,同時,采用專門的操作系統平台,從而避免通用操作系統的安全漏洞導致內網安全受到威脅。也就是說硬件防火牆是把防火牆程序做到芯片裡面,由硬件執行服務器的防護功能。因為內嵌結構,因此比其他種類的防火牆速度更快,處理能力更強,性能更高。
軟件防火牆,顧名思義便是裝在服務器平台上的軟件產品,它通過在操作系統底層工作來實現網絡管理和防御功能的優化。軟件防火牆運行於特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這台計算機就是整個網絡的網關。軟件防火牆就像其它的軟件產品一樣需要先在計算機上安裝並做好配置才可以使用。
硬件防火牆性能上優於軟件防火牆,因為它有自己的專用處理器和內存,可以獨立完成防范網絡攻擊的功能,不過價格會貴不少,更改設置也比較麻煩。而
軟件防火牆是在作為網關的服務器上安裝的,利用服務器的CPU和內存來實現防攻擊的能力,在攻擊嚴重的情況下可能大量占用服務器的資源,但是相對而言便宜得多,設置起來也很方便。
二、除了從結構上可以把服務器防火牆分為軟件防火牆和硬件防火牆以外,還可以從技術上分為“包過濾型”、“應用代理型”和“狀態監視”三類。一個防火牆的實現過程多麼復雜,歸根結底都是在這三種技術的基礎上進行功能擴展的。
1. 包過濾型
包過濾是最早使用的一種防火牆技術,它的第一代模型是靜態包過濾,工作在OSI模型中的網絡層上,之後發展出來的動態包過濾則是工作在OSI模型的傳輸層上。包過濾防火牆工作的地方就是各種基於TCP/IP協議的數據報文進出的通道,它把這網絡層和傳輸層作為數據監控的對象,對每個數據包的頭部、協議、地址、端口、類型等信息進行分析,並與預先設定好的防火牆過濾規則進行核對,一旦發現某個包的某個或多個部分與過濾規則匹配並且條件為“阻止”的時候,這個包就會被丟棄。
基於包過濾技術的防火牆的優點是對於小型的、不太復雜的站點,比較容易實現。但是其缺點是很顯著的,首先面對大型的,復雜站點包過濾的規則表很快會變得很大而且復雜,規則很難測試。隨著表的增大和復雜性的增加,規則結構出現漏洞的可能性也會增加。其次是這種防火牆依賴於一個單一的部件來保護系統。如果這個部件出現了問題,或者外部用戶被允許訪問內部主機,則它就可以訪問內部網上的任何主機。
