【小Y 提示】文章部分內(nèi)容摘自網(wǎng)絡(luò)，不代表本站觀點(diǎn)！若有了解“防火墻攻擊”等相關(guān)問(wèn)題，請(qǐng)立即咨詢YINGSOO客服，為您答疑解惑！

　　【精品主機(jī)】新加坡物理服務(wù)器 | 德國(guó)云服務(wù)器 | 日本物理服務(wù)器

　　【文章推薦】云主機(jī)能玩游戲嗎？答案有兩種

　　我們?cè)谶x擇高防服務(wù)器租用時(shí)會(huì)了解到，大多數(shù)都是針對(duì)DDoS/CC等流量型攻擊，通過(guò)防火墻等技術(shù)對(duì)流量型攻擊進(jìn)行削弱的，但是對(duì)于防火墻的基本特性，我們又了解多少呢?

　　一、內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻

　　這是防火墻所處網(wǎng)絡(luò)位置特性，同時(shí)也是一個(gè)前提。因?yàn)橹挥蟹阑饓ψ鳛閮?nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以更加全面、有效地保護(hù)企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)不受侵害。

　　防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。

　　二、只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻

　　防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。

　　原始的防火墻是一臺(tái)“雙穴主機(jī)”，即具備兩個(gè)網(wǎng)絡(luò)接口，同時(shí)擁有兩個(gè)網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過(guò)相應(yīng)的網(wǎng)絡(luò)接口接收上來(lái)，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問(wèn)規(guī)則和安全審查，然后將符合通過(guò)條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對(duì)于那些不符合通過(guò)條件的報(bào)文則予以阻斷。

　　三、防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力

　　防火墻處于網(wǎng)絡(luò)邊緣，它就像一個(gè)邊界衛(wèi)士一樣，每時(shí)每刻都要面對(duì)黑客的入侵，這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。

它之所以具有這么強(qiáng)的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專門的防火墻嵌入系統(tǒng)外，再?zèng)]有其它應(yīng)用程序在防火墻上運(yùn)行。當(dāng)然這些安全性也只能說(shuō)是相對(duì)的。

　　四、應(yīng)用層防火墻具備更細(xì)致的防護(hù)能力

　　自從Gartner提出下一代防火墻概念以來(lái)，信息安全行業(yè)越來(lái)越認(rèn)識(shí)到應(yīng)用層攻擊成為當(dāng)下取代傳統(tǒng)攻擊，最大程度危害用戶的信息安全，而傳統(tǒng)防火墻由于不具備區(qū)分端口和應(yīng)用的能力，以至于傳統(tǒng)防火墻僅僅只能防御傳統(tǒng)的攻擊，基于應(yīng)用層的攻擊則毫無(wú)辦法。

　　從2011年開(kāi)始，國(guó)內(nèi)廠家通過(guò)多年的技術(shù)積累，開(kāi)始推出下一代防火墻，下一代防火墻具備應(yīng)用層分析的能力，能夠基于不同的應(yīng)用特征，實(shí)現(xiàn)應(yīng)用層的攻擊過(guò)濾，在具備傳統(tǒng)防火墻、IPS、防毒等功能的同時(shí)，還能夠?qū)τ脩艉蛢?nèi)容進(jìn)行識(shí)別管理，兼具了應(yīng)用層的高性能和智能聯(lián)動(dòng)兩大特性，能夠更好的針對(duì)應(yīng)用層攻擊進(jìn)行防護(hù)。

　　五、數(shù)據(jù)庫(kù)防火墻針對(duì)數(shù)據(jù)庫(kù)惡意攻擊的阻斷能力

　　虛擬補(bǔ)丁技術(shù)：針對(duì)CVE公布的數(shù)據(jù)庫(kù)漏洞，提供漏洞特征檢測(cè)技術(shù)。

　　高危訪問(wèn)控制技術(shù)：提供對(duì)數(shù)據(jù)庫(kù)用戶的登錄、操作行為，提供根據(jù)地點(diǎn)、時(shí)間、用戶、操作類型、對(duì)象等特征定義高危訪問(wèn)行為。

　　SQL注入禁止技術(shù)：提供SQL注入特征庫(kù)。

　　返回行超標(biāo)禁止技術(shù)：提供對(duì)敏感表的返回行數(shù)控制。

　　SQL黑名單技術(shù)：提供對(duì)非法SQL的語(yǔ)法抽象描述。

　　了解防火墻的基本特性，能夠使我們?cè)诟叻婪?wù)器租用中不至于處于被動(dòng)位置，更好地進(jìn)行服務(wù)的選擇。如果親們有服務(wù)器租用或者托管需求隨時(shí)聯(lián)系小Y，提供技術(shù)協(xié)助等服務(wù)。

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。