免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 4329 | 回复: 4

硬件防火墙提供那些保护策略啊 [复制链接]

论坛徽章:
0
发表于 2010-06-14 13:36 |显示全部楼层
30可用积分
需要配置硬件防火墙 但是对这方面的东西一窍不通
不知道怎么配置
从网上搜索了一些看了下
硬件防火墙是不是主要来配置策略的 比如说 NAT 代理 DNS等这些 欺骗其他的用户 不给它真实的信息 这样的话 可以保护服务器的安全
而主机的防火墙软件一般是设置IP和端口什么的?

请高手指点指点

论坛徽章:
0
发表于 2010-06-17 16:01 |显示全部楼层
1、硬件防火墙的原理类似于在一台安装了linux的机器中安装了一套软件防火墙(其实就是一台安装了软件防火墙的linux终端),它与软件防火墙比起来具有执行效率高、基本不影响网络速度、被攻破的概率小等优势;工作原理其实和软件防火墙是相同的,对正常数据放行,对异常数据进行隔离,防止黑客和病毒的攻击,将病毒和黑客攻击阻击于局域网之外;
2、防火墙一般接入在路由器和交换机之间,也就是这样的结构:猫——路由器——防火墙——交换机——电脑,使用的就是双绞线(即通常意义的网线),五类线、超五类线、六类线均可,当然是越高级别越好;另外也有部分的防火墙是直接连接在交换机上,这样的好处是对网速影响小,但是执行效率则相对较低;
3、至于设置问题,则每台防火墙的设置都是不同的,不过大同小异,一般都是通过B/S结构的浏览器进行设置,这个你可以在防火墙的说明书中详细的看到;
4、防火墙的参数主要包括并发连接数、用户数、吞吐量等,详细参见这里http://www.xtit.net/post/1297/
5、其他知识详见这里:http://www.linuxeden.com/forum/thread-147562-1-7.html

论坛徽章:
0
发表于 2010-07-21 13:12 |显示全部楼层
本帖最后由 阿僚 于 2010-07-21 13:23 编辑

硬件防火墙基本上都会提供针对常见的网络攻击的保护。

目前的硬件防火墙已经不再是单纯的IP层的防护,大多都会提供应用层的防护:即所说的UTM(综合服务网关)。

三层防护仅对 IP 地址 端口(即:服务类型)设置 允许或者禁止。

应用层的防护 还会对数据报进行分析,并根据设置 允许或者禁止(当然这个功能比较有限,具体的应用层的防护需要联系厂家的售前支持)。

硬件防火墙大多是模块化结构:例如 IPS功能(不同于IDS,比IDS 增加了纪录的功能)

如果需要特殊的功能,应当提前向厂家了解情况,需要添加什么样的模块,有些模块是需要交年费的。

目前我们公司购买了一个硬件防火墙,但是公司的需要我们对URL进行过滤,需要屏蔽QQ 等聊天工具。最后不得不 软硬结合。

软件防火墙,需要对TCP/IP 有相当的认识才能使网络得到一个高标准的安全,NETFILTER + L7FILTER 功能比较强大。对付QQ XUNLEI 这样的软件,是一个可行的方案。

另外购买防火墙还需要参考一个重要的指标,每秒检测的包或者流量。目前这个指标都是厂家说了算,没有一个专门的机构进行评测。

防火墙的配置:

    基本上都差不多,首先定义网络结构(设置网络接口,设置路由),配置 NAT (动态NAT,静态NAT,NAT 豁免,等等 )然后定义服务,定义检测类型,定义策略,最后应用策略。

需要了解的知识有:
   
    基本的TCP/IP 协议,了解NAT, 了解路由, 多说一句如果网络结构比较复杂需要了解交换机,最后也是最重要,需要了解购买的防火墙策略的流程顺序,以及规则,因为策略的的顺序是至关重要的。

    像WEB界面的配置,我感觉不如命令行可以准确匹配规则。个人习惯而已。

论坛徽章:
0
发表于 2010-10-10 13:01 |显示全部楼层
a.单层防火:单层防火即仅使用一台或则一对防火墙做安全隔离,对防火墙要求为每个防火墙需要有至少4端口,对于数据流量较大的可采用GE口,或则做防火墙负载均衡。其中一个端口连接安全区域,一个端口连接全区域,一个端口连接非军事化区,最后一个端口用于防火墙双机的会话和配置同步,或则用于连接DCN网。
b.双层或多层防火:双层以上防火对于单防火墙的端口需求较低,每台防火墙可以仅配置2-3个FE端口(如果是可以仅配置2个端口).对于数据流量较大的可采用GE口,或则做防火墙负载均衡.多层防火的每层所使用的防火为不同厂商不同型号的防火墙。其中每层防火墙连接2个不同功能不同层次的网段。遵循安全级别最高的网络内层的原则。

论坛徽章:
0
发表于 2010-10-12 22:51 |显示全部楼层
防火墙最核心的功能在于包过滤,也就是对所有入站与出站的流量都能有相应的策略进行正确处理!这个处理的性能肯定是跟数据流量、配置的策略、以及设备的档次不等。当然还有产品的价格……
而其它功能都是根据设备的性能进行扩展……
比如一般都拿来做NAT啊,或者结合路由器等。当然还有多线路的策略路由等等附属功能……
主要还是根据自己的需求来选择
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP