防火牆與CDN效能及抵抗攻擊程度？

作為保障網路安全的主要裝置，經過多年的發展，防火牆技術已逐漸成熟。即便如此，使用者在購買防火牆時仍需擦亮眼睛。

防火牆是一種在內外網邊界上部署的訪問控制裝置，用於防止未經授權的內部網路和外部網路的通訊。防火牆主要分為三種型別：簡單的包過濾防火牆、狀態/動態檢測防火牆、應用**防火牆。

防火牆控制是網路資料的物件，通過對使用者的2到7層的策略進行檢查，根據檢查結果決定接受，下降或限制流量。雖然實際的防火牆也可以取代路由器和交換機的一部分，但對這些功能的結果太多的重點只能是物物交換。

由於防火牆裝置在網路中的引入，防火牆的必然要求可以提供相應的支援，包括管理，環境適應能力，與現有的交換機/路由器的互連，吞吐能力和適當的延遲。這種防火牆不會網路瓶頸。這些功能實際上是對防火牆的附加要求，雖然它是必要的，但不給使用者帶來附加值，它的整體要求是最好的。

雖然防火牆的開發時間比較長，但技術相對比較成熟，但新的防火牆概念，新技術仍在層出不窮。那麼，如何對防火牆進行真正的評價呢？還必須從使用者使用角度進行深入的分析，從功能、效能、管理、穩定性三個方面進行調查。

功能，表現為「雙層皮」

具體的評價應該從以下幾個方面展開：

•2～7層的訪問控制功能，特別是濾波層深度的應用。函式應該能夠位址對映、埠對映、主幹vlan支援、使用者認證、動態包過濾，對使用任意組合的流量控制等功能。

•安全功能，重點放在抗synflood攻擊。目前，在「黑客」的攻擊行為，最常用的，最有效的是ddos（分布式拒絕服務攻擊），這是由於伺服器拒絕服務。防火牆作為網路的乙個渠道，來保證網路的安全保護，需要重點關注的安全保護功能可以過濾攻擊的同時保證正常訪問，是否源位址攻擊和真實源位址攻擊同時有效地欺騙，可以保護伺服器免受衝擊。這個函式應該能夠位址對映、埠對映、主幹vlan支援、使用者認證、動態包過濾、流量控制等同時或任意組合。

•實際效能。效能測試一般包括六個方面：吞吐量、延遲、丟包率、回接、併發連線數、新連線率，實際效能是在接近實際使用者使用效能的。

•新連線率。由於網路應用的波動較大，即在不同的時間訪問特性的差異，防火牆也能適應這種情況，相應的指標，新的連線速率。考慮到使用者網路的複雜性和應用，還需要開啟常用的功能，如：資料報過濾、內容過濾、抗攻擊等情況，測試新的連線速率。

管理是關鍵

使用者要使用安全的防火牆系統，就要實現一套防火牆的安全策略，這是對防火牆的實際操作人員提出了更高的要求。由於不同防火牆的管理存在差異，因此，管理者的管理難度可能會導致錯誤配置，從而使網路安全風險。因為每個網路管理員都不能被要求成為網路安全專家，所以管理是網路安全的關鍵。刪除許可權管理、通訊加密等，還需要把重點放在管理上的方便性和集中管理的這2個方面。

單一管理方便，防火牆應該提供各種管理，為管理員在不同的使用場合，如高階別的管理員進行全面管理防火牆的串列埠命令列模式；遠端維護和管理ssh方式；網路遠端配置；圖形使用者介面的遠端配置和監控。

其中，網頁模式無需安裝客戶端軟體，更方便靈活；圖形使用者介面安裝更麻煩，但靈活性強。早期：很多伺服器管理員，當伺服器受到攻擊的時候直接安裝個軟體防火牆。實際上這樣的作用並不大，因為已經到了伺服器的應用層。不管怎樣，流量已經是到伺服器的網絡卡，比如攻擊者一旦加大流量，頻寬耗盡自然全部掛了。

針對早幾年攻擊流量小作用是非常明顯，而且優點是成本低，也許幾百塊就可以解決問題。現在時代不同了，動不動就是幾十g上百g的攻擊無處不在。高防cdn是從接入層以及網路層+應用層來解決問題，比較適合於現在的大流量攻擊。攻擊者發起攻擊後，流量會直接到高防接入硬體防火牆，集群防火牆會過濾過99%以上的攻擊應用，仍有大量的cc可能沒有辦法完全過濾。cc流量到了cdn節點伺服器，通過限制訪問頻率以及其它防cc策略實現封停無效的ip。

防火牆與CDN效能及抵抗攻擊程度？

工業防火牆與傳統防火牆的區別

硬體防火牆與軟體防火牆的區別

IDS與防火牆

防火牆與CDN效能及抵抗攻擊程度？

工業防火牆與傳統防火牆的區別

硬體防火牆與軟體防火牆的區別

IDS與防火牆

相關推薦