萬盛學電腦網

 萬盛學電腦網 >> 網絡基礎知識 >> 服務器網絡安全如何保障

服務器網絡安全如何保障

id="conbox">

  當今時代,網絡安全問題得到大家的關注,為了避免自己的利益受到損失,許多人都會保障自己網絡的安全,那麼,服務器的網絡安全大家清楚嗎?學習啦小編在這裡給大家詳細介紹。

  服務器的網絡安全中從頭部署新的防火牆策略是一件復雜的事情,你要綜合考慮許多方面。一般來說,防火牆有兩種工作模式,稱為路由模式和透明模式,在路由模式下,防火牆就象一個路由器,能進行數據包的路由。

  不同的是,它能識別網絡第四層協議(即傳輸層)的信息,因此它能基於TCP/UDP端口來進行過濾。在該模式下,防火牆本身要配備兩個或多個網絡地址,你的網絡結構會被改變。在透明模式下,防火牆更象一個網橋,它不干涉網絡結構,從拓撲中看來,它似乎是不存在的(因此稱為透明)。但是,透明模式的防火牆同樣具備數據包過濾的功能。透明模式的防火牆不具備IP地址。這兩種模式的防火牆都提供網絡訪問控制功能,例如你可以在防火牆上設置,過濾掉來自因特網的對服務器的NFS端口的訪問請求。

  在網絡中使用哪種工作模式的防火牆取決於你的網絡環境。一般來說,如果你的服務器使用真實IP地址(該地址一般是IDC分配給你的),會選擇防火牆的透明模式。因為在該模式下,你的服務器看起來象直接面對互聯網一樣,所有對服務器的訪問請求都直接到達服務器。當然,在數據包到達服務器之前會經過防火牆的檢測,不符合規則的數據包會被丟棄掉(從服務器編程的角度看,它不會覺察到數據包實際已被處理過)。

  實際上為了安全起見,很多服務器都采用私有IP地址(例如172.16.0.0/16和192.168.0.0/24都屬於私有IP地址),如果這些服務器不必對外提供服務,那麼就最安全不過了,如果要對外提供服務,就有必要通過防火牆的NAT(網絡地址轉換)來滿足來自因特網的訪問要求。NAT是防火牆的一項功能,它實際上工作在路由模式下。

  大多數防火牆都會區分所謂的正向NAT和反向NAT,所謂正向NAT就是指從內網出去的數據包,在經過防火牆後,包頭會被改寫,源IP被改寫成防火牆上綁定的IP地址(或地址池,肯定是公網真實IP),源端口也會有所改變,回來的數據包經過同樣處理,這樣就保證內網具有私有IP的主機能夠與因特網進行通信。在反向NAT的實現中,會將服務器的公網IP綁定在出口處的防火牆上,服務器只會使用一個私有IP,防火牆會在它的公網IP和這個私有IP之間建立一個映射,當外網對這台服務器的請求到達防火牆時,防火牆會把它轉發給該服務器。當然,在轉發之前,會先匹配防火牆規則集,不符合規則的數據包將被丟棄。

  使用反向NAT,會大大提高服務器的安全性。因為任何用戶的訪問都不是直接面對服務器,而是先要經過防火牆才被轉交。而且,服務器使用私有IP地址,這總比使用真實地址要安全。在抗拒絕服務攻擊上,這種方式的成效更顯然。但是,相對於透明模式的防火牆,采用反向NAT方式的防火牆會影響網絡速度。如果你的站點訪問流量超大,那麼就不要使用該種方式。值得一提的是,CISCO的PIX在NAT的處理上性能異常卓越。

copyright © 萬盛學電腦網 all rights reserved