租用服务器的用户在获得服务器后需要做的重要事情是配置防火墙。但是,不同的防火墙都面临着一次攻击,因此维护人员需要采用全面的防御策略。
要多少个防火墙?
防火墙防火墙的设计原理一直存在很多争议。辩论的主要问题之一是最好是否具有多个防火墙。我认为两个防火墙通常不会比一个防火墙好多少。因为在大多数攻击中,防火墙本身的漏洞很少成为问题。黑客通常不需要突破防火墙,因为他们可以通过开放的端口进入并利用防火墙后面的服务器上的漏洞。此外,防火墙本身也没有吸引黑客的东西,因为任何明智的管理员都会将防火墙配置为放弃尝试连接到防火墙的尝试。例如,即使用户防火墙中存在已知的SSH漏洞,威胁也只能来自由防火墙指定的受良好保护的管理工作站,更不用说工作站被关闭的情况了。实际上,防火墙的最大问题是维护不力,策略差和网络设计。在与防火墙相关的安全事件中,人为因素造成的损失约占99%。更糟糕的是,如果您从多个供应商处运行防火墙,则成本将迫使用户放弃需要特别注意的问题。用户最好将有限的资源用于加固平台,而不是全盘攻击。
目标防火墙的设计目标
良好的防火墙策略和网络设计应能够减少(而不是消除)以下安全风险:
1来自互联网的DMZ服务攻击
2公司网络的任何部分都会攻击Internet
3企业用户或服务器攻击DMZ服务器
4DMZ服务器会攻击用户,服务器或对其自身造成伤害。
来自合作伙伴和外联网的5种威胁
来自通过WAN连接的远程部门的6种威胁
目标这些目标听起来可能有点过分,因为这基本上不是传统方法,但是有其自身的原因。
第一点很明显,那就是限制试图通过Internet访问DMZ服务器的服务端口,这大大降低了它们受到攻击的机会。例如,在SMTP邮件服务器上,仅允许通过TCP端口25的Internet通信。因此,如果此SMTP服务器的服务器服务或程序恰好具有漏洞,则它将不会暴露于Internet以及蠕虫和黑客始终关心端口80的漏洞。
下一个听起来可能有些怪异,为什么我们要关心通过我们自己的网络保护公共网络?当然,任何公民都不得传播恶意代码,这是最低要求。但这也是为了更好地保护我们自己的网络连接。以SQL Slammer蠕虫为例,如果部署更好的防火墙策略,则可以防止Internet上的拒绝服务攻击,并节省Internet资源。
最糟糕的事情是内部威胁。最昂贵的防火墙无法依靠传统设计来保护网络免受内部攻击者的侵害。例如,可以想象到恶意用户将感染了恶意代码的便携式计算机挂接到家中或其他地方的网络的后果。好的网络设计和防火墙策略应该能够保护DMZ服务器免受服务器和用户带来的风险,就像防御Internet的风险一样。
这件事还有另一方面。由于DMZ服务器在公共Internet上公开,因此很可能会被黑客或蠕虫破坏。管理员采取措施限制DMZ服务器可能对内部服务器或用户工作站构成的威胁至关重要。此外,强大的防火墙策略可以防止DMZ服务器进一步损害自身。如果服务器由于某个已知或未知漏洞而被黑客入侵,则他们要做的第一件事就是使服务器下载rootkit。防火墙策略应防止下载此类内容。
它可以进一步减少来自Extranet合作伙伴和远程办公室WAN的威胁。连接这些网络的路由器受到WAN技术(例如帧中继,VPN隧道和租用专用线)的保护。这些路由器也可以通过防火墙保护。在每个路由器上使用防火墙功能来实现安全性太昂贵,这不仅导致高昂的硬件成本,而且更重要的是,难以设置和管理。企业防火墙可以提供简单而集中的WAN和扩展网络安全管理,并具有传统防火墙以外的其他功能。
关键在于防火墙可以限制不同网络区域的通信。这些区域根据逻辑组织和功能目的划分。但是,防火墙无法限制主机并使之免受同一子网中的其他主机的影响,因为数据永远不会通过防火墙进行检查。这就是为什么防火墙支持的区域越多,在科学设计的公司网络中它越有用的原因。由于一些主要的供应商支持接口的融合,因此实现区域化要简单得多。单个千兆端口可以轻松支持多个区域,并且比几个快速以太网端口执行得更快。
以上就是防火墙的设置,创新互联为大家提供专业的国内外服务器托管,服务器租用,主机托管,云服务器租用,宽带租用等服务器相关服务,详情可咨询客服了解。
