防火牆與CDN效能及抵抗攻擊程度?

2021-10-08 03:02:18 字數 1838 閱讀 3520

作為保障網路安全的主要裝置,經過多年的發展,防火牆技術已逐漸成熟。即便如此,使用者在購買防火牆時仍需擦亮眼睛。

防火牆是一種在內外網邊界上部署的訪問控制裝置,用於防止未經授權的內部網路和外部網路的通訊。防火牆主要分為三種型別:簡單的包過濾防火牆、狀態/動態檢測防火牆、應用**防火牆。

防火牆控制是網路資料的物件,通過對使用者的2到7層的策略進行檢查,根據檢查結果決定接受,下降或限制流量。雖然實際的防火牆也可以取代路由器和交換機的一部分,但對這些功能的結果太多的重點只能是物物交換。

由於防火牆裝置在網路中的引入,防火牆的必然要求可以提供相應的支援,包括管理,環境適應能力,與現有的交換機/路由器的互連,吞吐能力和適當的延遲。這種防火牆不會網路瓶頸。這些功能實際上是對防火牆的附加要求,雖然它是必要的,但不給使用者帶來附加值,它的整體要求是最好的。

雖然防火牆的開發時間比較長,但技術相對比較成熟,但新的防火牆概念,新技術仍在層出不窮。那麼,如何對防火牆進行真正的評價呢?還必須從使用者使用角度進行深入的分析,從功能、效能、管理、穩定性三個方面進行調查。

功能,表現為「雙層皮」

具體的評價應該從以下幾個方面展開:

•2~7層的訪問控制功能,特別是濾波層深度的應用。函式應該能夠位址對映、埠對映、主幹vlan支援、使用者認證、動態包過濾,對使用任意組合的流量控制等功能。

•安全功能,重點放在抗synflood攻擊。目前,在「黑客」的攻擊行為,最常用的,最有效的是ddos(分布式拒絕服務攻擊),這是由於伺服器拒絕服務。防火牆作為網路的乙個渠道,來保證網路的安全保護,需要重點關注的安全保護功能可以過濾攻擊的同時保證正常訪問,是否源位址攻擊和真實源位址攻擊同時有效地欺騙,可以保護伺服器免受衝擊。這個函式應該能夠位址對映、埠對映、主幹vlan支援、使用者認證、動態包過濾、流量控制等同時或任意組合。

•實際效能。效能測試一般包括六個方面:吞吐量、延遲、丟包率、回接、併發連線數、新連線率,實際效能是在接近實際使用者使用效能的。

•新連線率。由於網路應用的波動較大,即在不同的時間訪問特性的差異,防火牆也能適應這種情況,相應的指標,新的連線速率。考慮到使用者網路的複雜性和應用,還需要開啟常用的功能,如:資料報過濾、內容過濾、抗攻擊等情況,測試新的連線速率。

管理是關鍵

使用者要使用安全的防火牆系統,就要實現一套防火牆的安全策略,這是對防火牆的實際操作人員提出了更高的要求。由於不同防火牆的管理存在差異,因此,管理者的管理難度可能會導致錯誤配置,從而使網路安全風險。因為每個網路管理員都不能被要求成為網路安全專家,所以管理是網路安全的關鍵。刪除許可權管理、通訊加密等,還需要把重點放在管理上的方便性和集中管理的這2個方面。

單一管理方便,防火牆應該提供各種管理,為管理員在不同的使用場合,如高階別的管理員進行全面管理防火牆的串列埠命令列模式;遠端維護和管理ssh方式;網路遠端配置;圖形使用者介面的遠端配置和監控。

其中,網頁模式無需安裝客戶端軟體,更方便靈活;圖形使用者介面安裝更麻煩,但靈活性強。早期:很多伺服器管理員,當伺服器受到攻擊的時候直接安裝個軟體防火牆。實際上這樣的作用並不大,因為已經到了伺服器的應用層。不管怎樣,流量已經是到伺服器的網絡卡,比如攻擊者一旦加大流量,頻寬耗盡自然全部掛了。

針對早幾年攻擊流量小作用是非常明顯,而且優點是成本低,也許幾百塊就可以解決問題。現在時代不同了,動不動就是幾十g上百g的攻擊無處不在。高防cdn是從接入層以及網路層+應用層來解決問題,比較適合於現在的大流量攻擊。攻擊者發起攻擊後,流量會直接到高防接入硬體防火牆,集群防火牆會過濾過99%以上的攻擊應用,仍有大量的cc可能沒有辦法完全過濾。cc流量到了cdn節點伺服器,通過限制訪問頻率以及其它防cc策略實現封停無效的ip。

工業防火牆與傳統防火牆的區別

傳統防火牆的功能 訪問控制功能,往往用於實現工控網路的橫向隔離要求。主要功能體現在網路層的控制,包括根據ip 埠 mac位址進行限制資料傳輸。工業防火牆的功能 首先具有傳統防火牆的主要功能,另外最突出的一點是內建工業通訊協議的過濾模組,支援各種工業協議識別及過濾,彌補商業防火牆不支援工業協議過濾的不...

硬體防火牆與軟體防火牆的區別

硬體防火牆是通過硬體和軟體的組合來達到隔離內外部網路的目的,而軟體防火牆是通過純軟體的的方式實現隔離內外部網路的目的。硬體防火牆的抗攻擊能力比軟體的高很多,首先因為是通過硬體實現的功能,所以效率就高,其次因為它本身就是專門為了防火牆這乙個任務設計的,核心針對性很強。內建作業系統也www.cppcns...

IDS與防火牆

學習記錄 1.入侵檢測 intrusion detection 顧名思義,就是對入侵行為的發覺。他通過對 計算機網路 或計算機系統 中若干關鍵點收集 資訊並對其進行分析,從中發現網路或系統中是否有違反 安全策略 的行為和被攻擊的跡象。入侵檢測 作為一種積極主動地安全防護技術,提供了對內部攻擊 外部攻...