淺析企業(yè)硬件防火墻典型應(yīng)用
網(wǎng)絡(luò)安全問題一直是個(gè)企業(yè)所面臨的難題,如何提升自己企業(yè)的網(wǎng)絡(luò)安全性成了每個(gè)企業(yè)安全管理員頭疼的問題。部署防火墻是一個(gè)不錯(cuò)的想法,防火墻可以使企業(yè)安全程度的到一定的提升,那么本篇文章就來淺析企業(yè)硬件防火墻典型應(yīng)用。
企業(yè)硬件防火墻典型應(yīng)用:NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)應(yīng)用
網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是用于將一個(gè)地址域(如:專用Intranet)映射到另一個(gè)地址域(如:Internet)的標(biāo)準(zhǔn)方法。NAT允許一個(gè)機(jī)構(gòu)專用Intranet中的主機(jī)透明地連接到公共域中的主機(jī),無需內(nèi)部主機(jī)擁有注冊(cè)的(以及越來越缺乏的)Internet地址。
這個(gè)原本屬于路由器的功能越來越多地被硬件防火墻所利用,并且成為其標(biāo)準(zhǔn)功能之一,效果是十分明顯的。在防火墻上實(shí)現(xiàn)NAT后,可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部拓?fù)浣Y(jié)構(gòu),在一定程度上提高網(wǎng)絡(luò)的安全性。如果反向NAT提供動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換功能,還可以實(shí)現(xiàn)負(fù)載均衡等功能。
應(yīng)用NAT進(jìn)行地址轉(zhuǎn)換有兩個(gè)好處:其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP,這可以使黑客無法直接攻擊內(nèi)部網(wǎng)絡(luò),這也是筆者之所以要將其列入防火墻典型應(yīng)用的原因;另一個(gè)好處是可以讓內(nèi)部使用保留的IP,這對(duì)許多IP不足的企業(yè)是有益的。
企業(yè)硬件防火墻典型應(yīng)用:防止DDos攻擊
DDoS是Distributed Denial of Service的縮寫,由英文的字面意思就可以看出,它其實(shí)是利用多個(gè)客戶或者服務(wù)器端聯(lián)合起來作為攻擊釋放者,向攻擊目標(biāo)發(fā)送大量無用請(qǐng)求,導(dǎo)致正常的資源請(qǐng)求無法獲得通過,網(wǎng)絡(luò)帶寬被垃圾數(shù)據(jù)占滿,系統(tǒng)無法正常工作。
DDos攻擊是黑客們目前最喜歡的攻擊手段之一,也是造成企業(yè)計(jì)算機(jī)系統(tǒng)“工作效率低下”的元兇。
在硬件防火墻方面可以進(jìn)行的配置主要包括:禁止對(duì)主機(jī)的非開放服務(wù)的訪問;限制同時(shí)打開的SYN最大連接數(shù);限制特定IP地址的訪問;啟用防火墻的防DDoS的屬性;嚴(yán)格限制對(duì)外開放的服務(wù)器向外訪問。
配置好防火墻的安全規(guī)則基本上可以過濾掉所有可能的偽造數(shù)據(jù)包,減少DDoS攻擊的成功率。
企業(yè)硬件防火墻典型應(yīng)用:日志記錄功能
只要是人為的設(shè)備就存在著被攻陷的可能。而防火墻的日志記錄功能可以比較全面地記錄流量狀態(tài),并且防止日志被篡改,還可定期將日志備份到指定機(jī)器。這樣,即使某日企業(yè)安全被破壞,企業(yè)也還有著追究攻擊者法律責(zé)任的機(jī)會(huì),保證將損失降到最低。
另外,硬件防火墻較容易的配置規(guī)則也為企業(yè)節(jié)省了相當(dāng)一部分的人力成本,為中小企業(yè)帶來不少便利。
對(duì)一個(gè)信息網(wǎng)絡(luò)而言,安全問題涉及的設(shè)備種類比較多,但是考慮到成本、功能、企業(yè)安全受到威脅時(shí)產(chǎn)生的一些現(xiàn)象,使用硬件防火墻在目前對(duì)中小企業(yè)永華來說是比較實(shí)在的安全對(duì)策。
【編輯推薦】
- Web專用網(wǎng)站服務(wù)器的安全設(shè)置
- 怎樣進(jìn)行路由器的安全設(shè)置
- 安全設(shè)置策略及自帶防火墻介紹
- 企業(yè)如何對(duì)員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
- 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險(xiǎn)
