服務(wù)器網(wǎng)絡(luò)安全如何保障
當(dāng)今時(shí)代,網(wǎng)絡(luò)安全問題得到大家的關(guān)注,為了避免自己的利益受到損失,許多人都會(huì)保障自己網(wǎng)絡(luò)的安全,那么,服務(wù)器的網(wǎng)絡(luò)安全大家清楚嗎?學(xué)習(xí)啦小編在這里給大家詳細(xì)介紹。
服務(wù)器的網(wǎng)絡(luò)安全中從頭部署新的防火墻策略是一件復(fù)雜的事情,你要綜合考慮許多方面。一般來說,防火墻有兩種工作模式,稱為路由模式和透明模式,在路由模式下,防火墻就象一個(gè)路由器,能進(jìn)行數(shù)據(jù)包的路由。
不同的是,它能識別網(wǎng)絡(luò)第四層協(xié)議(即傳輸層)的信息,因此它能基于TCP/UDP端口來進(jìn)行過濾。在該模式下,防火墻本身要配備兩個(gè)或多個(gè)網(wǎng)絡(luò)地址,你的網(wǎng)絡(luò)結(jié)構(gòu)會(huì)被改變。在透明模式下,防火墻更象一個(gè)網(wǎng)橋,它不干涉網(wǎng)絡(luò)結(jié)構(gòu),從拓?fù)渲锌磥?,它似乎是不存在?因此稱為透明)。但是,透明模式的防火墻同樣具備數(shù)據(jù)包過濾的功能。透明模式的防火墻不具備IP地址。這兩種模式的防火墻都提供網(wǎng)絡(luò)訪問控制功能,例如你可以在防火墻上設(shè)置,過濾掉來自因特網(wǎng)的對服務(wù)器的NFS端口的訪問請求。
在網(wǎng)絡(luò)中使用哪種工作模式的防火墻取決于你的網(wǎng)絡(luò)環(huán)境。一般來說,如果你的服務(wù)器使用真實(shí)IP地址(該地址一般是IDC分配給你的),會(huì)選擇防火墻的透明模式。因?yàn)樵谠撃J较拢愕姆?wù)器看起來象直接面對互聯(lián)網(wǎng)一樣,所有對服務(wù)器的訪問請求都直接到達(dá)服務(wù)器。當(dāng)然,在數(shù)據(jù)包到達(dá)服務(wù)器之前會(huì)經(jīng)過防火墻的檢測,不符合規(guī)則的數(shù)據(jù)包會(huì)被丟棄掉(從服務(wù)器編程的角度看,它不會(huì)覺察到數(shù)據(jù)包實(shí)際已被處理過)。
實(shí)際上為了安全起見,很多服務(wù)器都采用私有IP地址(例如172.16.0.0/16和192.168.0.0/24都屬于私有IP地址),如果這些服務(wù)器不必對外提供服務(wù),那么就最安全不過了,如果要對外提供服務(wù),就有必要通過防火墻的NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)來滿足來自因特網(wǎng)的訪問要求。NAT是防火墻的一項(xiàng)功能,它實(shí)際上工作在路由模式下。
大多數(shù)防火墻都會(huì)區(qū)分所謂的正向NAT和反向NAT,所謂正向NAT就是指從內(nèi)網(wǎng)出去的數(shù)據(jù)包,在經(jīng)過防火墻后,包頭會(huì)被改寫,源IP被改寫成防火墻上綁定的IP地址(或地址池,肯定是公網(wǎng)真實(shí)IP),源端口也會(huì)有所改變,回來的數(shù)據(jù)包經(jīng)過同樣處理,這樣就保證內(nèi)網(wǎng)具有私有IP的主機(jī)能夠與因特網(wǎng)進(jìn)行通信。在反向NAT的實(shí)現(xiàn)中,會(huì)將服務(wù)器的公網(wǎng)IP綁定在出口處的防火墻上,服務(wù)器只會(huì)使用一個(gè)私有IP,防火墻會(huì)在它的公網(wǎng)IP和這個(gè)私有IP之間建立一個(gè)映射,當(dāng)外網(wǎng)對這臺(tái)服務(wù)器的請求到達(dá)防火墻時(shí),防火墻會(huì)把它轉(zhuǎn)發(fā)給該服務(wù)器。當(dāng)然,在轉(zhuǎn)發(fā)之前,會(huì)先匹配防火墻規(guī)則集,不符合規(guī)則的數(shù)據(jù)包將被丟棄。
使用反向NAT,會(huì)大大提高服務(wù)器的安全性。因?yàn)槿魏斡脩舻脑L問都不是直接面對服務(wù)器,而是先要經(jīng)過防火墻才被轉(zhuǎn)交。而且,服務(wù)器使用私有IP地址,這總比使用真實(shí)地址要安全。在抗拒絕服務(wù)攻擊上,這種方式的成效更顯然。但是,相對于透明模式的防火墻,采用反向NAT方式的防火墻會(huì)影響網(wǎng)絡(luò)速度。如果你的站點(diǎn)訪問流量超大,那么就不要使用該種方式。值得一提的是,CISCO的PIX在NAT的處理上性能異常卓越。