首先,根據組成結構,服務器防火墻的類型可以分為硬件防火墻和軟件防火墻。
本質上,硬件防火墻將軟件防火墻嵌入到硬件中。硬件防火墻的硬件和軟件需要分開設計,使用專門的網絡芯片處理數據包,采用專門的操作系統平臺,避免內部網絡安全受到通用操作系統安全漏洞的威脅。也就是說,硬件防火墻就是把防火墻程序放在芯片內部,硬件執行服務器的保護功能。由於采用嵌入式結構,它比其他類型的防火墻速度更快、功能更強大、性能更高。
軟件防火墻,顧名思義,是安裝在服務器平臺上的軟件產品。它工作在操作系統的底層,優化網絡管理和防禦功能。軟件防火墻運行在特定的計算機上,需要客戶預裝的計算機操作系統的支持。壹般來說,這臺電腦是整個網絡的網關。軟件防火墻和其他軟件產品壹樣,需要在電腦上安裝配置後才能使用。
硬件防火墻在性能上優於軟件防火墻,因為它有自己專用的處理器和內存,可以獨立完成防止網絡攻擊的功能,但是價格會貴很多,更改設置也會比較麻煩。但是
軟件防火墻作為網關安裝在服務器上,利用服務器的CPU和內存實現防止攻擊的能力。在受到嚴重攻擊的情況下,可能會占用大量的服務器資源,但相對來說要便宜很多,架設也方便很多。
二、服務器防火墻在結構上可分為軟件防火墻和硬件防火墻,在技術上也可分為包過濾、應用代理和狀態監控三大類。壹個防火墻的實現過程有多復雜,歸根結底就是基於這三種技術來擴展它的功能。
1.包過濾類型
包過濾是最早的防火墻技術。它的第壹代模型是靜態包過濾,工作在OSI模型的網絡層,後來開發的動態包過濾工作在OSI模型的傳輸層。包過濾防火墻的工作場所是基於TCP/IP協議的各種數據報文的訪問通道。它以網絡層和傳輸層為數據監控對象,分析每個數據包的報頭、協議、地址、端口和類型,並與預設的防火墻過濾規則進行核對。壹旦發現數據包的壹個或多個部分符合過濾規則,並且條件為“阻塞”,該數據包將被丟棄。
基於包過濾技術的防火墻的優點是對於小型且不復雜的站點易於實現。然而,它的缺點是顯而易見的。首先,大型復雜站點包過濾的規則表很快就會變得龐大復雜,規則很難測試。隨著表格和復雜程度的增加,規則結構出現漏洞的可能性也會增加。其次,這種防火墻依靠單壹組件來保護系統。如果此組件出現問題,或者如果允許外部用戶訪問內部主機,它就可以訪問內部網絡上的任何主機。
2.應用程序代理類型
應用代理防火墻實際上是壹個小型的透明代理服務器,具有數據檢測和過濾的功能,但它是壹種叫做應用協議分析的新技術,而不是簡單地在代理設備中嵌入包過濾技術。代理防火墻的應用可以主動實時監控各層數據,並能有效判斷各層的非法入侵。同時,這種防火墻壹般都配有分布式檢測器,可以檢測來自網絡外部的攻擊,對來自內部的惡意破壞也有很強的防範作用。
代理防火墻的應用是基於代理技術的,每壹次通過防火墻的連接都必須基於為其創建的代理進程,而代理進程本身需要壹定的時間,所以數據在通過代理防火墻時必然會有滯後,而代理防火墻比包過濾防火墻有更高的安全性能,但代價是速度。
3.狀態監控類型
這種防火墻技術在不影響網絡安全正常工作的情況下,通過壹個名為“狀態監控”的模塊對網絡通信的各個層面進行監控,並根據各種過濾規則做出安全決策。條件監控可以分析數據包的內容,從而擺脫傳統防火墻只局限於少數包頭信息的弱點,而且這種防火墻不需要開放太多端口,進壹步消除了開放端口過多可能帶來的安全隱患。
因為狀態監控技術相當於結合了包過濾技術和應用代理技術,所以是最先進的。但由於實現技術復雜,在實際應用中仍然無法實現真正完全有效的數據安全檢測,在通用計算機硬件系統上也很難設計出基於該技術的完善防禦措施。
三、主流服務器軟件防火墻推薦
在選擇軟件防火墻時,要註意軟件防火墻本身的安全性和效率。同時要考慮軟件防火墻配置和管理的便利性。好的軟件防火墻產品必須滿足用戶的實際需求,比如好的用戶界面,既能支持命令行管理,又能支持GUI和集中管理。下面我們推薦幾款知名的軟件防火墻,供大家參考:
1.卡巴斯基軟件防火墻反黑客
這是卡巴斯基公司出品的壹款優秀的網絡安全防火墻。它與著名的殺毒軟件AVP是同壹家公司的產品。所有的網絡數據訪問動作都會通過它提示用戶,訪問動作是否發布由用戶決定,它可以抵禦來自內網或互聯網的黑客攻擊。這個軟件的另壹個特點是病毒庫更新及時。卡巴斯基的病毒庫每天更新兩次,用戶可以根據自己的需求隨意預設軟件的更新頻率。這個產品唯壹的缺點就是無論是殺毒還是監控都會占用大量的系統資源。
2.諾頓防火墻企業版
諾頓防火墻企業版適用於企業服務器、電子商務平臺和VPN環境。這種模式可以提供安全的故障轉移和最長的正常運行時間。該軟件防火墻采用經過驗證的防火墻管理、維護、監控和報告,提供細致周到的外圍保護。其靈活的服務可以支持任意數量的防火墻,不僅是單個防火墻,還可以支持企業的全局防火墻部署。同時,該軟件還提供了壹套強大的用戶認證方法,包括Windows NT域、Radius、數字認證、LDAP、S/Key、Defender和SecureID,讓管理員可以靈活地從用戶環境中選擇安全數據。
3.服務器安全狗
服務器安全狗是壹個為IDC運營商、虛擬主機服務提供商、企業主機、服務器管理者和其他用戶提供服務器安全的實用系統。它是壹款服務器安全防護工具,集DDOS防護、ARP防護、檢查網絡連接、網絡流量和IP過濾於壹體。具有實時流量監控、服務器進程連接監控、及時發現異常連接進程監控機制。同時,防火墻還具有智能DDOS攻擊防護,可以抵禦CC攻擊、UDP Flood、TCP Flood、SYN Flood、ARP等多種類型的服務器惡意攻擊。防火墻還提供了詳細的日誌跟蹤功能,方便查找攻擊來源。
4.KFW傲盾服務器版
KFW奧頓防火墻系統是壹個全面的、創新的、高安全性和高性能的網絡安全系統。它根據系統管理員設置的安全規則守護企業網絡,提供訪問控制、狀態檢測、網絡地址轉換、信息過濾、流量控制等強大功能。通過高性能網絡核心提供完善的安全設置和訪問控制。
5.邁克菲防火墻企業版
McAfee Firewall Enterprise的高級功能,如應用程序監控、基於信譽的全球智能、自動威脅更新、加密流量檢測、入侵防禦、病毒防護和內容過濾,可以及時攔截攻擊並使其失敗。
6.冰盾專業反DDOS防火墻軟件
冰盾防火墻軟件具有良好的兼容性、穩定性和增強的抗DDOS能力,適用於傳奇服務器、奇跡服務器、網站服務器、遊戲服務器、音樂服務器、電影服務器、聊天服務器、論壇服務器、電商服務器等各種主機服務器。防火墻軟件可以智能識別各種DDOS攻擊和黑客入侵。在防範黑客入侵方面,軟件可以智能識別端口掃描、Unicode惡意編碼、SQL註入攻擊、特洛伊木馬上傳、Exploit漏洞利用等2000多種黑客入侵行為