サーバーファイアウォールの選択

サーバーセキュリティに関して、初心者が遭遇する最も一般的な問題の1つは、次のとおりです。どのファイアウォールを選択すればよいですか。選択するとき、そのような幅広い種類のサーバーファイアウォールに直面して、それはベンダーの可視性またはファイアウォール自体のパフォーマンスを考慮していますか？国内のファイアウォールか外部のファイアウォールを選択するのが良いですか？料金を使用するエンタープライズファイアウォールは、まだ無料のファイアウォールを試していますか？これらの問題は非常に頭痛の種です。

アプリケーション環境や使用要件が異なると、ファイアウォールのパフォーマンスに対する要件も異なります。そのため、適切なサーバーファイアウォールを実際に見つけるための重要なポイントは、サーバーファイアウォールのニーズを慎重に分析し、さまざまな種類のサーバーファイアウォールの長所と短所を考慮することです。サーバーファイアウォールを選択する際に、初心者がより一般的な方向性を持つようにするために、サーバーファイアウォールの一般的な分類と、さまざまな種類のサーバーファイアウォールの長所と短所を紹介します。

まず、構造の構成に応じて、サーバーファイアウォールの種類をハードウェアファイアウォールとソフトウェアファイアウォールに分類できます。

ハードウェアファイアウォールは基本的にソフトウェアファイアウォールをハードウェアに組み込み、ハードウェアファイアウォールのハードウェアとソフトウェアは別々に設計する必要がありますデータパケットの処理には専用のネットワークチップを使用します。一般的なオペレーティングシステムのセキュリティの脆弱性により、内部ネットワークセキュリティが危険にさらされています。つまり、ハードウェアファイアウォールはチップ内にファイアウォールプログラムを作成することであり、ハードウェアはサーバーの保護機能を実行します。埋め込み構造のため、他の種類のファイアウォールよりも高速、強力、そして強力です。

ソフトウェアファイアウォールは、その名のとおり、オペレーティングシステムの下部で機能することでネットワーク管理と防御機能を最適化するサーバープラットフォームにインストールされるソフトウェア製品です。ソフトウェアファイアウォールは特定のコンピュータ上で動作し、プレインストールされたコンピュータオペレーティングシステムのサポートを必要とします一般的に言って、このコンピュータはネットワーク全体のゲートウェイです。ソフトウェアファイアウォールは、他のソフトウェア製品と同様に、使用する前にコンピュータにインストールして設定する必要があります。

ハードウェアファイアウォールのパフォーマンスはソフトウェアファイアウォールより優れています。専用のプロセッサとメモリがあり、ネットワーク攻撃を防止する機能を独立して実行できますが、価格がはるかに高くなり、設定を変更するのが面倒です。深刻な攻撃の場合には、サーバーのCPUとメモリを使用してアンチ攻撃機能を達成し、

ソフトウェアファイアウォールをゲートウェイとしてサーバーにインストールしますが、比較的安価ですが、比較的安価ですさらに、設定するのもとても便利です。

第二に、サーバーのファイアウォールの構造に加えて、ソフトウェアのファイアウォールとハードウェアのファイアウォールに分けることができます、また技術的に "パッケージフィルタタイプ"、 "'アプリケーションエージェントタイプ"と "と"に分けることができますステータス監視 - 3つのカテゴリ最終的な分析では、機能を拡張するためのこれら3つのテクノロジに基づくファイアウォールの実装はどれほど複雑です。

1.パケットフィルタリング

パケットフィルタリングは初期のファイアウォール技術の1つで、その第1世代モデルは静的パケットフィルタリングで、これはOSIモデルのネットワーク層で機能します。開発された動的パケットフィルタリングは、OSIモデルのトランスポート層で機能します。パケットフィルタリングファイアウォールは、TCP /IPプロトコルに基づいて送受信データパケット用のさまざまなチャネルで機能し、パケットヘッダー、プロトコル、アドレス、およびポートごとに、このネットワーク層とトランスポート層をデータ監視オブジェクトとして使用します。タイプ、タイプなどの分析、および事前設定されたファイアウォールのフィルタリング規則との照合パッケージの1つ以上の部分がフィルタリング規則と一致することが判明し、条件が「ブロック」になると、パッケージは次のようになります。破棄されます。

パケットフィルタリングテクノロジをベースにしたファイアウォールの利点は、小規模で複雑度の低いサイトに簡単に実装できることです。第一に、大規模で複雑なサイトのパケットフィルタリングのためのルールテーブルはすぐに非常に大きく複雑になり、ルールをテストするのが困難になります。テーブルが大きくなり複雑さが増すにつれて、ルール構造における抜け穴の可能性が高まります。次に、このファイアウォールはシステムを保護するために単一のコンポーネントに依存しています。このコンポーネントに問題がある場合、または外部ユーザーが内部ホストへのアクセスを許可されている場合は、内部ネットワーク上の任意のホストにアクセスできます。

2.アプリケーションプロキシ

アプリケーションプロキシファイアウォールは、実際にはデータ検出フィルタリングを備えた小型の透過的なプロキシサーバーですが、純粋にプロキシデバイス内にあるわけではありません。組み込みパケットフィルタリング技術、しかしアプリケーションプロトコル分析と呼ばれる新しい技術。アプリケーションプロキシファイアウォールは、各層でデータのアクティブかつリアルタイムの監視を実行でき、各層の不正侵入を効果的に判断できます。同時に、そのようなファイアウォールは一般的にネットワークの外側からの攻撃を検出することができ、また内側からの悪意のある攻撃に対して強い防御を持つことができるディテクタを持っています。

アプリケーションプロキシファイアウォールはプロキシテクノロジに基づいており、ファイアウォールを介した各接続は、そのために作成されたエージェントプロセス上で確立される必要があり、プロキシプロセス自体がある程度の時間を消費するため、データはプロキシファイアウォールを通過します。データの遅れが避けられない場合、プロキシファイアウォールはパケットフィルタリングファイアウォールよりも高いセキュリティと引き換えにスピードを犠牲にします。

3.ステータスモニタリング

このファイアウォール技術は、「ステータスモニタリング」と呼ばれるモジュールを使用して、ネットワークのセキュリティや通常の運用に影響を与えることなく関連データを抽出します。この方法は、あらゆるレベルのネットワーク通信を監視し、さまざまなフィルタリング規則に基づいてセキュリティを決定します。ステータスモニタリングはパッケージの内容を分析することができます、それで伝統的なファイアウォールはいくつかのパケットヘッダー情報の検出の弱さに制限され、そしてファイアウォールはあまりにも多くのポートを開く必要はありません。隠された危険

状態監視テクノロジは、パケットフィルタリングテクノロジとアプリケーションプロキシテクノロジを組み合わせたものと同等であるため、最も先進的ですが、実装テクノロジの複雑さのため、実際のアプリケーションで真に完全に有効なデータセキュリティ検出を達成できません。そして一般的なコンピュータハードウェアシステム上でこの技術に基づいて完璧な防御を設計することは困難です。

3番目に、主流のサーバーソフトウェアファイアウォールが推奨されます。

ソフトウェアファイアウォールを選択するときは、ソフトウェアファイアウォール自体のセキュリティと効率性に注意を払う必要があります。同時に、ソフトウェアファイアウォールの設定と管理の利便性も考慮してください。優れたソフトウェアファイアウォール製品は、コマンドライン管理、GUIサポート、および集中管理をサポートできる優れたユーザーインターフェイスなど、ユーザーの実際のニーズを満たす必要があります。以下に、参考のためにいくつかの有名なソフトウェアファイアウォールをお勧めします。

1. Norton Firewall Enterprise Edition

Norton Firewall EnterpriseEdition。エンタープライズサーバー、eコマースプラットフォーム、VPN環境に適しています。このモデルは安全なフェイルオーバーと最大稼働時間を提供します。ソフトウェアファイアウォールは、実績のあるファイアウォール管理、保守、監視、および報告を使用して、綿密な境界保護を提供し、単一のファイアウォールをサポートするか、企業のグローバルファイアウォール展開をサポートします。同時に、このソフトウェアは、Windows NTドメイン、Radius、デジタル認証、LDAP、S /Key、Defender、SecureIDなどの強力なユーザー認証方法を提供し、管理者がユーザー環境から安全なデータを柔軟に選択できるようにします。 。

2. Server Security Dog

Server Security Dogは、IDC事業者、仮想ホストサービスプロバイダ、企業ホスト、サーバー管理者、その他のユーザーにサーバーセキュリティを提供するための実用的なシステムです。これは、DDOS保護、ARP保護、ネットワーク接続、ネットワークトラフィック、およびIPフィルタリングを統合するサーバーセキュリティ保護ツールです。リアルタイムトラフィック監視、サーバープロセス接続監視、異常接続プロセス監視メカニズムのタイムリーな検出同時に、ファイアウォールにはインテリジェントなDDOS攻撃防御機能もあり、CC攻撃、UDPフラッド、TCPフラッド、SYNフラッド、ARPなどのサーバー攻撃から防御できます。ファイアウォールは、攻撃の原因を突き止めるための詳細なログ追跡機能も提供します。

3. KFW誇りのあるシールドサーバーバージョン

KFW誇りのあるシールドファイアウォールシステムは、包括的で革新的な、高セキュリティ、高性能のネットワークセキュリティシステムです。システム管理者によって設定されたセキュリティルールに従って企業ネットワークを保護し、強力なアクセス制御、状態検出、ネットワークアドレス変換（ネットワークアドレス変換）、情報フィルタリング、およびフロー制御を提供します。高性能ネットワークコアを介したアクセス制御のための包括的なセキュリティ設定を提供します。

4. McAfee Firewall Enterprise

アプリケーション監視、評判ベースのグローバルインテリジェンス、自動脅威更新、暗号化トラフィック検出、侵入防止、ウイルス対策、コンテンツなどのMcAfee Firewall Enterpriseの高度な機能フィルタリングなどは、攻撃を間に合わせて失敗させることがあります。

5. Ice Shield ProfessionalアンチDDOSファイアウォールソフトウェア

Ice Shieldファイアウォールソフトウェアは、Legendary Server、Miracle Server、Webサイトに対して、優れた互換性、安定性、および強化されたDDOS対策機能を備えています。サーバー、ゲームサーバー、音楽サーバー、映画サーバー、チャットサーバー、フォーラムサーバー、電子商取引サーバーおよび他の多くのホストサーバー。ファイアウォールソフトウェアは、さまざまなDDOS攻撃およびハッキング行為をインテリジェントに識別します。ハッキング防止に関しては、ソフトウェアはポートスキャン、Unicode悪意のあるエンコーディング、SQLインジェクション攻撃、トロイの木馬トロイの木馬アップロード、エクスプロイトエクスプロイトなど、2000を超えるハッキング行為をインテリジェントに識別できます。