|
服務器的網絡安全中從頭部署新的防火墻策略是一件復雜的事情�,你要綜合考慮許多方面��。一般來說�,防火墻有兩種工作模式�����,稱為路由模式和透明模式�����,在路由模式下��,防火墻就象一個路由器�,能進行數據包的路由����。
不同的是��,它能識別網絡第四層協議(即傳輸層)的信息���,因此它能基于TCP/UDP端口來進行過濾�����。在該模式下�����,防火墻本身要配備兩個或多個網絡地址�,你的網絡結構會被改變�����。在透明模式下����,防火墻更象一個網橋����,它不干涉網絡結構��,從拓撲中看來����,它似乎是不存在的(因此稱為透明)����。但是�,透明模式的防火墻同樣具備數據包過濾的功能�����。透明模式的防火墻不具備IP地址��。這兩種模式的防火墻都提供網絡訪問控制功能�,例如你可以在防火墻上設置�����,過濾掉來自因特網的對服務器的NFS端口的訪問請求��。
在網絡中使用哪種工作模式的防火墻取決于你的網絡環境��。一般來說��,如果你的服務器使用真實IP地址(該地址一般是IDC分配給你的)���,會選擇防火墻的透明模式�����。因為在該模式下��,你的服務器看起來象直接面對互聯網一樣�,所有對服務器的訪問請求都直接到達服務器�����。當然���,在數據包到達服務器之前會經過防火墻的檢測�����,不符合規則的數據包會被丟棄掉(從服務器編程的角度看��,它不會覺察到數據包實際已被處理過)���。
實際上為了安全起見���,很多服務器都采用私有IP地址(例如172.16.0.0/16和192.168.0.0/24都屬于私有IP地址)��,如果這些服務器不必對外提供服務�����,那么就最安全不過了�����,如果要對外提供服務��,就有必要通過防火墻的NAT(網絡地址轉換)來滿足來自因特網的訪問要求���。NAT是防火墻的一項功能��,它實際上工作在路由模式下�。
大多數防火墻都會區分所謂的正向NAT和反向NAT����,所謂正向NAT就是指從內網出去的數據包�,在經過防火墻后��,包頭會被改寫����,源IP被改寫成防火墻上綁定的IP地址(或地址池����,肯定是公網真實IP)�,源端口也會有所改變���,回來的數據包經過同樣處理���,這樣就保證內網具有私有IP的主機能夠與因特網進行通信�����。在反向NAT的實現中�,會將服務器的公網IP綁定在出口處的防火墻上�,服務器只會使用一個私有IP�����,防火墻會在它的公網IP和這個私有IP之間建立一個映射����,當外網對這臺服務器的請求到達防火墻時��,防火墻會把它轉發給該服務器�。當然��,在轉發之前�,會先匹配防火墻規則集���,不符合規則的數據包將被丟棄�����。
使用反向NAT�,會大大提高服務器的安全性���。因為任何用戶的訪問都不是直接面對服務器��,而是先要經過防火墻才被轉交�。而且�,服務器使用私有IP地址�,這總比使用真實地址要安全��。在抗拒絕服務攻擊上�����,這種方式的成效更顯然��。但是����,相對于透明模式的防火墻���,采用反向NAT方式的防火墻會影響網絡速度��。如果你的站點訪問流量超大�,那么就不要使用該種方式����。值得一提的是���,CISCO的PIX在NAT的處理上性能異常卓越��。
另外一種情況是�����,服務器使用真實IP地址�,防火墻配置成路由模式��,不使用它的NAT功能��。這種情況雖然可以實現���,但會使你的網絡結構變得很復雜��,似乎也不會帶來效益的提高�����。
大多數IDC的機房不提供防火墻服務��,你需要自己購買和配置使用防火墻���。你完全可以按透明模式或NAT模式來配置��,具體怎么配取決于你的實際情況�。有些IDC公司會提供防火墻服務���,作為他們吸引客戶的一個手段�。一般來說���,他們的防火墻服務會收費���。
如果你的服務器在IDC提供的公共防火墻后面�����,那么就有必要仔細考慮你的內網結構了��。如果IDC提供給你的防火墻使用透明模式��,也即是你的服務器全部使用真實IP地址�,在這種情況下��,除非你的服務器數量足夠多(象我們在北京有500多臺)����,那么在你的邏輯網段里肯定還有其他公司的主機存在���。
這樣��,雖然有防火墻�����,你的系統管理任務也不會輕松多少�,因為你要受到同一網段里其他公司主機的威脅����。例如����,你的服務器的IP地址段是211.139.130.0/24�,你使用了其中的幾個地址��,那么在這個網段里還會有200多臺其他公司的主機����,它們與你的主機同處于一個防火墻之后�,雖然防火墻可以屏蔽來自因特網的某些訪問�,然而����,內部這些主機之間的相互訪問卻沒有任何屏蔽措施��。于是���,其他公司不懷好意的人可以通過他們的主機來攻擊你��。
或者��,網絡中一臺主機被黑客入侵���,則所有服務器都會面臨嚴重威脅�����。在這樣的網絡中��,你不要運行NFS���、Sendmail����、BIND這樣的危險服務��。
這種問題的解決方法是自己購買防火墻����,并配置使用透明模式��,不要使用公用防火墻的透明模式�����。
有的IDC公司會給你提供NAT方式的防火墻���,你需要在服務器上設置私有IP地址�����,然后由防火墻來給服務器做地址轉換�。這種情況與上述情況存在同樣的問題��,那就是���,在你的服務器所在的邏輯網段里還有其他公司的主機�。
例如在172.16.16.0/24這個網段可容納254臺主機���,你的服務器使用了其中的幾個IP��,那么可能還有200多臺其他公司的主機與你的服務器在同一個網段里��。這樣��,雖然對外有防火墻保護�,但無法防范來自內網的攻擊��。
要解決這個問題�����,你不必自己購買防火墻���。既然私有IP是可以任意分配的�����,那么你可以向IDC單獨要一個網段�,例如172.16.19.0/24網段���,把你的服務器都放在這個網段里�,其中不要有其他公司的主機���。這樣一來���,你的內網也無懈可擊了���。
實際上���,如果你有一個大的UNIX主機的網絡�����,那么沒必要讓每臺主機都在防火墻上打開登陸端口�����。你可以特別設置一臺或兩臺主機做為登陸入口�,對其他主機的訪問都必須使用入口主機作為跳板��。這樣做犧牲了使用的方便性��,但帶來更強的安全性�。當然����,前提是你必須管理好入口主機�����。
有一種電子令牌卡適合這種應用���,它是一張隨身攜帶的卡���,每隔一段時間(這個時間通常很小��,幾分鐘或者幾十秒)動態產生一個口令���,你只有使用這個口令才能登陸主機�����,并且該口令很快就會失效�。
不僅是UNIX主機���,對Windows主機的終端管理也可以采用這種跳板的方式��。但Windows的終端比UNIX的shell要麻煩得多����,如果你不愿犧牲太多的方便性�,那么就不要這樣做����。
網絡安全是服務器安全中重要的部分�����,希望大家已經掌握以上的內容�����,另外�����,還希望大家多多關注防火墻的知識����,以更明白的了解服務器網絡安全����。
如果有需要服務器的租用與托管的敬請聯系QQ:1501281758(億恩星辰) 聯系電話:0371—63322220
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強�!虛擬主機域名注冊頂級提供商���!15年品質保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
