网络边界防火墙是一种安全的边界,可为专用网络和其他公用网络(例如 Internet)提供主要防御。防火墙可检测并保护网络抵御不必要的流量、潜在的危险代码和入侵企图。, 网络边界可能包括:,, 边界防火墙如何工作?,防火墙是“把关者”,可以是位于公司网络与外部不信任网络之间的软件或硬件。它们采用以下一种或多种方法来控制流量:, 边界防火墙的优势是什么?,边界防火墙是所有网络安全解决方案的重要组成部分。当前的网络环境面临更加复杂的攻击,但也出现了诸如新一代防火墙 (NGFW) 等先进的解决方案,这些解决方案提供了更高的安全性,以应对新的未知威胁。, 传统防火墙的优势包括:, 边界防火墙有什么风险?,如今,企业在保护其网络并防御攻击时面临着许多风险和挑战。在规划边界防火墙时,必须考虑以下风险:, ,网络边界防火墙是一种安全的边界,可为专用网络和其他公用网络(例如 Internet)提供主要防御。防火墙可检测并保护网络抵御不必要的流量、潜在的危险代码和入侵企图。, 网络边界可能包括:,
在这篇文章的前半部分,了解 DDoS 攻击,我们讨论了 DDoS 攻击的具体细节。在这里,我们将讨论您可以如何采取实际步骤来保护您的组织免受 DDoS 的破坏。超过80% 的公司在 2017 年至少经历过一次 DDoS 攻击。这不再是是否会发生的问题,而是您所在的组织何时会受到 DDoS 攻击的问题。公司如何实施有效的策略来防御 DDoS 攻击?让我们来看看。,, 缓解 DDoS 攻击的最佳实践,2016 年,我们看到了第一次武器化的物联网僵尸网络攻击,它使用Mirai 恶意软件有效地摧毁了Netflix、Twitter、Reddit 等主流网站。从那时起,黑客可用的工具和方法只会增加。更糟糕的是,发起 DDoS 攻击的价格已经下降。它只会花费需要你的僵尸网络租用20 $有290-300吉比特保证DDoS攻击速率。,对于每个企业来说,拥有某种针对大型 DDoS 攻击的保护措施非常重要。许多经典的 DDoS 保护形式无法对数据冲击采取细致入微的方法。他们没有将合法数据与恶意数据分开,而是简单地不加选择地丢弃所有传入的数据。,但是,并非每种类型的 DDoS 保护都对每种类型的攻击都有效。基于流量的监控对于容量攻击很有效,但对于网络协议和应用程序攻击则不太有效。另一方面,数据包分析对所有三个都有效。,您的 ISP 或云提供商提供的 DDoS 保护不太可能提供您需要的全面防御系统。他们有兴趣保护自己的基础设施。您有兴趣保护您的应用程序和网络。因此,您不应完全依赖它们来提供全面的 DDoS 保护。, DDoS 防护的四个要求,现代 DDoS 防御应包括四个关键要求:,不幸的是,由于以下原因,遗留系统无法满足这些要求:, DDoS 保护的现代方法,多向量 DDoS 攻击的频率呈指数增长。IDG 的 DDoS 策略研究表明,UDP 洪水攻击占所有攻击的 20%。按层分类:,黑客对单个目标使用多种类型的攻击。对于现代 DDoS 保护解决方案来说,满足四个关键要求中的每一个都比以往任何时候都更加重要:精度、可扩展性、战时响应效率和可负担性。如果不全面,有效的 DDoS 保护策略将达不到要求。公司应该优先考虑多层混合解决方案,这些解决方案可以为任何类型的 DDoS 攻击提供持续保护。,一种现代的、自上而下的 DDoS 保护方法使用多种工具并实现多个目标:,公司通常实施三种部署模式之一。,为了从现代 DDoS 保护方法中获益并充分防御多向量攻击,通常建议组织采用混合部署模式。, DDoS 云清理,公司还需要寻找提供 DDoS 云清理的解决方案。这需要一种云服务,用于在攻击期间从组织的数据中心转移流量。然后,云清理服务将消除恶意流量,然后再通过 ISP 将合法流量发送回其正常路径。, DDoS 威胁情报,威胁情报是 DDoS 防御策略的另一个重要方面。没有它,公司将被迫使用猜测和盲目缓解来对抗攻击。借助威胁情报,组织可以在攻击其网络之前识别任何类型的常见威胁。公司努力从不完整和过时的威胁情报数据中找到重要的见解。公司必须关注可操作的威胁情报数据的实时馈送,以主动监控对象(例如僵尸网络、反射攻击代理的 IP 地址等)。, 正确的 DDoS 防御工具,公司不应低估找到合适的 DDoS 防御工具来使用的重要性。组织必须首先了解哪些类型的攻击最常见,哪些类型越来越流行。放大攻击是目前最常见的,紧随其后的是状态洪水,通常由僵尸网络发起。这包括物联网僵尸网络,例如Mirai 攻击中使用的僵尸网络。总之,融合技术和流程的综合 DDoS 解决方案将取得成功,这要归功于:, DDoS 防御的六个步骤,在 DDoS 攻击期间,有效的防御将包括:, ,在这篇文章的前半部分,了解 DDoS 攻击,我们讨论了 DDoS 攻击的具体细节。在这里,我们将讨论您可以如何采取实际步骤来保护您的组织免受 DDoS 的破坏。超过80% 的公司在 2017 年至少经历过一次 DDoS 攻击。这不再是是否会发生的问题,而是您所在的组织何时会受到 DDoS 攻击的问题。公司如何实施有效的策略来防御 DDoS 攻击?让我们来看看。,,公司不应低估找到合适的 DDoS 防御工具来使用的重要性。组织必须首先了解哪些类型的攻击最常见,哪些类型越来越流行。放大攻击是目前最常见的,紧随其后的是状态洪水,通常由僵尸网络发起。这包括物联网僵尸网络,例如Mirai 攻击中使用的僵尸网络。总之,融合技术和流程的综合 DDoS 解决方案将取得成功,这要归功于:
边界网关协议 (BGP)是一种标准化的外部网关协议,旨在在 Internet 上的自治系统 (AS) 之间交换路由和可达性信息。从最基本的意义上讲,BGP 是一种将 Internet 连接在一起的路由协议。它负责为数据包通过多个自治系统选择从其源到目的地的最佳路由。,, 什么是BGP?,当 Internet 的概念最初形成时,以及随后的几年中,Internet 只是一个小小的云。因此,以静态路由为代价实现了连接性,即路由器上的路由表是预先配置的,不考虑动态更改。但随着 Internet 的激增,静态路由已不再足够。路由协议需要更加动态,并根据各种因素(如流量水平、路由器跳数、带宽、可靠性等)在现有路由中加入新路由/更改。这种补偿网络拓扑变化的能力使动态路由成为基础对于互联网。, 什么是自治系统?,随着 Internet 上设备数量的增加,路由数量也随之增加。当跟踪大量路由变得越来越困难时,网络世界决定使用自治系统。自治系统的概念源于互联网的基本定义,互联网是互连计算机网络的全球系统。一个自治系统(AS)在因特网上是一个网络或一组使用相同路由策略的网络,通常由相同的互联网服务提供商(ISP)提供服务。每个自治系统都分配有一个唯一的标识号,称为自治系统号 (ASN),由各种路由协议使用。,BGP 允许 Internet 上的不同自治系统共享路由信息。自治系统的网关称为自治系统边界路由器 (ASBR)。ASBR 负责从邻居那里收集路由信息,维护 BGP 路由表,并进一步将它们通告给对等体。,让我们考虑一个简单的例子来理解 BGP 如何将 Internet 绑定在一起。AS 51 和AS 49 是BGP 对等体,并建立了旨在相互交换路由信息的邻居关系。AS 49 和AS 234、AS 51 和AS 110、AS 234 和AS 110 建立了类似的邻居关系。BGP 允许每个对等方从其相邻对等方收集路由信息,然后进一步完整地通告该信息。因此,AS 51 中的 ASBR 知道它如何将数据包路由到 AS 234,即使它们没有直接连接。BGP 是一种路径向量路由协议,因为 ASBR 中的路由表包含网络前缀到构成路径的自治系统列表的映射。,让我们假设驻扎在印度的设备 1 想要连接到驻扎在美国的设备 2。设备 1 订阅了网络自治号为 51 的 ISP 的服务,设备 2 订阅了网络自治号为 234 的 ISP 的服务。 当连接到设备 2 时,设备 1 发送带有源的数据包IP 是它自己的 IP 地址,目标 IP 是设备 2 的 IP 地址。数据包首先到达 AS 51 的网关,那里的路由器断定数据包的目的地不在其自己的网络中。它通过 AS 51 的内部路由器路由这个数据包。,,请注意,自治系统内部的路由过程是使用内部网关路由协议 (IGRP)、开放最短路径优先 (OSPF)、路由信息协议 (RIP)、中间系统到中间系统 (IS-IS) 等协议实现的。与 BGP 不同,它不能在外部使用。,在示例拓扑中,观察到有两条从 AS 51 到 AS 234 的路由。,当到达目的地的路径有多条时,BGP 能够根据组织的路由策略收集的信息(基于负载、延迟、可靠性、成本等指标)将所有路径从最首选到最不首选进行排序. 这些指标本质上是动态的,因此,BGP 路由表会根据现有网络条件反映到达目的地的最佳路径。ASN 51 的 ASBR 查找到数据包目的地的路径,并通过 AS 49 或 AS 110 将其转发,以当时最优先的为准。如果没有 BGP,ASN 51 的 ASBR...
网络防火墙是用于阻止或减少对连接到 Internet 的专用网络(尤其是 Intranet)的未授权访问的安全设备。网络上允许的唯一流量是通过防火墙策略定义的——任何其他尝试访问网络的流量都被阻止。网络防火墙位于网络的前线,充当内部和外部设备之间的通信联络人。,可以配置网络防火墙,以便任何进入或退出网络的数据都必须通过它——它通过检查每个传入的消息并拒绝那些不符合定义的安全标准的消息来实现这一点。正确配置后,防火墙允许用户访问他们需要的任何资源,同时将不受欢迎的用户、黑客、病毒、蠕虫或其他试图访问受保护网络的恶意程序拒之门外。,, 软件与硬件防火墙,防火墙可以是硬件也可以是软件。除了限制对受保护计算机和网络的访问之外,防火墙还可以记录进出网络的所有流量,并通过安全身份验证证书和登录管理对专用网络的远程访问。,防火墙被认为是一种端点保护技术。在保护隐私信息方面,防火墙可以被认为是第一道防线,但它不能是唯一的一道防线。, 防火墙类型,依靠防火墙来保护家庭和企业网络。一个简单的防火墙程序或设备将筛选通过网络传递的所有信息——这个过程也可以根据用户的需求和防火墙的功能进行定制。有许多主要的防火墙类型可以防止有害信息通过网络:,所有这些网络防火墙类型对高级用户都很有用,而且许多防火墙允许将这些技术中的两种或多种相互配合使用。,, 为什么网络防火墙很重要,如果没有防火墙,如果一台计算机有一个可公开寻址的 IP——例如,如果它通过以太网直接连接——那么当前在该设备上运行的任何网络服务都可以被外界访问。任何连接到 Internet 的计算机网络也有遭受攻击的潜在风险。如果没有防火墙,这些网络就容易受到恶意攻击。例如:,为了全方位的安全,防火墙应该放置在任何连接到互联网的网络之间,企业应该制定明确的计算机安全计划,对外部网络和数据存储制定政策。在云时代,网络防火墙可以做的不仅仅是保护网络。它们还可以帮助确保您拥有不间断的网络可用性和对云托管应用程序的可靠访问。, ,网络防火墙是用于阻止或减少对连接到 Internet 的专用网络(尤其是 Intranet)的未授权访问的安全设备。网络上允许的唯一流量是通过防火墙策略定义的——任何其他尝试访问网络的流量都被阻止。网络防火墙位于网络的前线,充当内部和外部设备之间的通信联络人。,可以配置网络防火墙,以便任何进入或退出网络的数据都必须通过它——它通过检查每个传入的消息并拒绝那些不符合定义的安全标准的消息来实现这一点。正确配置后,防火墙允许用户访问他们需要的任何资源,同时将不受欢迎的用户、黑客、病毒、蠕虫或其他试图访问受保护网络的恶意程序拒之门外。,
防火墙是一个基本但必不可少的安全层,充当您的专用网络和外部世界之间的屏障。从第一代无状态防火墙到下一代防火墙,防火墙架构在过去的四年里发生了巨大的变化。今天,组织可以在多种类型的防火墙之间进行选择——包括应用程序级网关(代理防火墙)、状态检测防火墙和电路级网关——甚至可以同时使用多种类型的防火墙,以获得更深层、全面的安全解决方案。了解有关各种类型防火墙的基础知识、它们之间的差异以及每种类型如何以不同方式保护您的网络。,, 什么是防火墙,它的用途是什么?,防火墙是一种安全工具,可监控传入和/或传出的网络流量,以根据预定义的规则检测和阻止恶意数据包,只允许合法流量进入您的专用网络。作为硬件、软件或两者兼而有之,防火墙通常是您抵御恶意软件、病毒和试图进入组织内部网络和系统的攻击者的第一道防线。,就像建筑物主入口处的穿行式金属探测器门一样,物理或硬件防火墙会在让每个数据包进入之前对其进行检查。它会检查源地址和目标地址,并根据预定义的规则确定数据包是否应该通过与否。一旦数据包进入组织的 Intranet,软件防火墙可以进一步过滤流量,以允许或阻止访问计算机系统上的特定端口和应用程序,从而更好地控制和安全抵御内部威胁。,访问控制列表可以定义无法信任的特定 Internet 协议 (IP) 地址。防火墙将丢弃来自这些 IP 的任何数据包。或者,访问控制列表可以指定可信源 IP,防火墙将只允许来自这些列出的 IP 的流量。有几种设置防火墙的技术。它们提供的安全范围通常还取决于防火墙的类型及其配置方式。, 软件和硬件防火墙,在结构上,防火墙可以是软件、硬件或软件和硬件的组合。, 软件防火墙,软件防火墙单独安装在各个设备上。它们提供更精细的控制,因为它们可以允许访问一个应用程序或功能,同时阻止其他应用程序或功能。但是它们在资源方面可能很昂贵,因为它们使用安装它们的设备的 CPU 和 RAM,并且管理员必须为每个设备单独配置和管理它们。此外,Intranet 中的所有设备可能无法与单个软件防火墙兼容,并且可能需要多个不同的防火墙。, 硬件防火墙,另一方面,硬件防火墙是物理设备,每个设备都有自己的计算资源。它们充当内部网络和互联网之间的网关,将来自私有网络之外的不受信任来源的数据包和流量请求保留下来。物理防火墙对于在同一网络上拥有许多设备的组织来说很方便。虽然它们在恶意流量到达任何端点之前就阻止了它,但它们不能提供针对内部攻击的安全性。因此,软件和硬件防火墙的组合可为您组织的网络提供最佳安全性。,防火墙还根据其运行方式进行分类,每种类型都可以设置为软件或物理设备。根据它们的操作方法,有四种不同类型的防火墙。, 1.包过滤防火墙,包过滤防火墙是最古老、最基本的防火墙类型。在网络层操作,他们只是根据预定义的规则检查数据包的源 IP 和目标 IP、协议、源端口和目标端口,以确定是通过还是丢弃数据包。数据包过滤防火墙本质上是无状态的,独立监控每个数据包,而不会跟踪已建立的连接或之前通过该连接的数据包。这使得这些防火墙在防御高级威胁和攻击方面的能力非常有限。,数据包过滤防火墙快速、廉价且有效。但是它们提供的安全性是非常基本的。由于这些防火墙无法检查数据包的内容,因此它们无法防范来自受信任源 IP 的恶意数据包。由于是无状态的,它们也容易受到源路由攻击和小片段攻击。但是,尽管它们的功能最少,包过滤防火墙为提供更强大和更深入安全性的现代防火墙铺平了道路。, 2. 电路级网关,在会话层工作,电路级网关验证已建立的传输控制协议 (TCP) 连接并跟踪活动会话。它们与包过滤防火墙非常相似,因为它们执行单一检查并使用最少的资源。但是,它们在开放系统互连 (OSI) 模型的更高层起作用。首先,它们确定已建立连接的安全性。当内部设备发起与远程主机的连接时,电路级网关代表内部设备建立虚拟连接,以隐藏内部用户的身份和IP地址。,电路级网关经济高效、简单并且对网络性能几乎没有任何影响。然而,它们无法检查数据包的内容,这使它们本身成为一个不完整的安全解决方案。如果包含合法的 TCP 握手,包含恶意软件的数据包可以轻松绕过电路级网关。这就是为什么通常在电路级网关之上配置另一种类型的防火墙以增加保护的原因。, 3. 状态检测防火墙,领先于电路级网关的状态检测防火墙除了验证和跟踪已建立的连接外,还执行数据包检测以提供更好、更全面的安全性。一旦建立连接,它们通过创建包含源 IP、目标 IP、源端口和目标端口的状态表来工作。他们动态创建自己的规则以允许预期的传入网络流量,而不是依赖基于此信息的硬编码规则集。它们可以方便地丢弃不属于经过验证的活动连接的数据包。,状态检查防火墙检查合法连接以及源和目标 IP,以确定哪些数据包可以通过。尽管这些额外检查提供了高级安全性,但它们会消耗大量系统资源并且会显着降低流量。因此,它们容易受到 DDoS(分布式拒绝服务攻击)的影响。, 4. 应用层网关(代理防火墙),应用层网关,也称为代理防火墙,是通过代理设备在应用层实现的。连接是通过代理防火墙建立的,而不是外部人员直接访问您的内部网络。外部客户端向代理防火墙发送请求。在验证请求的真实性后,代理防火墙代表客户端将其转发到内部设备或服务器之一。或者,内部设备可以请求访问网页,代理设备将转发请求,同时隐藏内部设备和网络的身份和位置。,与包过滤防火墙不同,代理防火墙执行状态和深度包检查,以根据一组用户定义的规则分析数据包的上下文和内容。根据结果,他们要么允许,要么丢弃数据包。它们通过阻止内部系统和外部网络之间的直接连接来保护敏感资源的身份和位置。但是,配置它们以实现最佳网络保护可能有点困难。您还必须牢记权衡——代理防火墙本质上是主机和客户端之间的额外屏障,会导致相当大的速度减慢。, ,防火墙是一个基本但必不可少的安全层,充当您的专用网络和外部世界之间的屏障。从第一代无状态防火墙到下一代防火墙,防火墙架构在过去的四年里发生了巨大的变化。今天,组织可以在多种类型的防火墙之间进行选择——包括应用程序级网关(代理防火墙)、状态检测防火墙和电路级网关——甚至可以同时使用多种类型的防火墙,以获得更深层、全面的安全解决方案。了解有关各种类型防火墙的基础知识、它们之间的差异以及每种类型如何以不同方式保护您的网络。,,状态检查防火墙检查合法连接以及源和目标 IP,以确定哪些数据包可以通过。尽管这些额外检查提供了高级安全性,但它们会消耗大量系统资源并且会显着降低流量。因此,它们容易受到 DDoS(分布式拒绝服务攻击)的影响。
自1980 年代后期问世以来,可用的防火墙类型已经发生了巨大的变化,以对抗对计算机网络日益复杂的攻击。许多客户知道某种类型的防火墙对于完善的网络安全系统是必要的,但不知道这些行业不可或缺的工具是如何工作的。这篇文章回顾了两种主要的防火墙类型——基本的流量扫描设备和交互式层检查机。目前市场上的防火墙技术种类:包过滤、电路级网关、状态检测、应用级网关、多层检测和UTM。,, 包过滤防火墙,扫描数据包标头并将其与网络安全团队提出的访问控制列表或 ACL 进行比较的防火墙类型被称为数据包过滤器。防火墙分解位于数据包头中的信息,例如 IP 地址和端口号,以查看数据包是否被允许/安全用于网络。如果数据包未通过此防火墙类型的设置标准,则会被丢弃并且无法进入网络。包过滤防火墙快捷方便,但并非万无一失。它们本质上是肤浅的,并且可能/已经被黑客破坏,他们操纵数据包头使其看起来无害,从而愚弄过滤器。, 电路级网关防火墙,电路级网关防火墙的工作方式与其同名防火墙类似——通过网关。这些类型的防火墙只允许请求的信息进入网络,充当传入信息的“看门人”。他们将工作站的 IP 地址重新路由到防火墙的 IP 地址,通过隐藏该网络中所有计算机的 IP 地址来进一步保护网络。电路级网关防火墙类型还会关闭网络内用户未请求使用的端口。用户未请求的所有传入流量将立即丢弃并且无法到达网络。在用户访问不安全的站点或文件之前,这些类型的防火墙是安全的。那么网络很容易被攻破。, 状态检查防火墙,状态检查类型的防火墙,也称为动态包过滤,类似于包过滤防火墙,但更强大。这些防火墙类型不仅仅扫描数据包。它们能够在整个应用层分析数据包的内容。他们还会查看以前的通信模式,并将传入的数据包与过去已批准的数据包进行比较。状态检查防火墙类型也会关闭任何未使用的端口。这通过欺骗始终打开的端口地址来防止黑客访问您的网络,从而增加了另一层保护。这些类型的防火墙通常需要更多内存才能运行,并且可能更难安装。因此,加载新连接可能需要更长的时间。, UTM 防火墙,UTM 防火墙比一般的防火墙类型更进了一步,因为它们在设计中包含了更多的安全程序。UTM 类型的防火墙通常提供的一些额外功能包括反恶意软件、反间谍软件、防病毒、VPN 和 DOS/DDOS 保护。, 应用级网关防火墙,与电路级网关类似,应用级网关类型的防火墙也隐藏了公司内部网络中计算机的 IP 地址。然而,在分析传入流量时,应用程序级网关防火墙类型会一直扫描整个应用程序层。它们也是特定于应用程序的。这意味着这些类型的防火墙不允许传入流量进入网络,除非它是在指定的应用程序中创建的。应用级网关在数据包扫描能力方面比电路级网关更彻底,因为它们扫描通过的数据包的实际内容。然而,应用级网关类型防火墙的用户在进入网络之前可能必须多次登录网络,从而降低了此类技术的便利性。由于可能存在代理,这些类型的防火墙也会降低网络速度。, ,自1980 年代后期问世以来,可用的防火墙类型已经发生了巨大的变化,以对抗对计算机网络日益复杂的攻击。许多客户知道某种类型的防火墙对于完善的网络安全系统是必要的,但不知道这些行业不可或缺的工具是如何工作的。这篇文章回顾了两种主要的防火墙类型——基本的流量扫描设备和交互式层检查机。目前市场上的防火墙技术种类:包过滤、电路级网关、状态检测、应用级网关、多层检测和UTM。,,
当谈到防止私有网络中第三方未经授权的访问时,使用防火墙。这些是网络安全系统(基于硬件/软件),可根据一组用户定义的规则监控和控制 Internet 和专用网络之间的流量。防火墙保护组织的计算机网络免受未经授权的传入或传出访问,并提供最佳的网络安全性。,公司使用三种基本类型的防火墙来保护他们的数据和设备,以防止破坏性元素进入网络,即。数据包过滤器、状态检查和代理服务器防火墙。让我们为您简要介绍其中的每一个。,, 数据包过滤器,数据包过滤防火墙通过分析传出和传入的数据包来控制网络访问。它通过将数据包与预先建立的标准(如允许的 IP 地址、数据包类型、端口号等)进行比较来允许数据包通过或阻止其通过。数据包过滤技术适用于小型网络,但在大型网络中实施时会变得复杂。需要注意的是,这些类型的防火墙不能阻止所有类型的攻击。他们既不能解决利用应用层漏洞的攻击,也不能对抗欺骗攻击。, 状态检查,状态数据包检测 (SPI),有时也称为动态数据包过滤,是一种强大的防火墙架构,可以检查端到端的流量流。这些智能且快速的防火墙通过分析数据包头和检查数据包的状态以及提供代理服务,使用一种智能方式来阻止未经授权的流量。这些防火墙工作在 OSI 模型中的网络层,比基本的包过滤防火墙更安全。, 代理服务器防火墙,代理服务器防火墙也称为应用层网关,是最安全的防火墙类型,通过在应用层过滤消息来有效保护网络资源。代理防火墙会屏蔽您的 IP 地址并限制流量类型。它们为它们支持的协议提供完整的协议感知安全分析。代理服务器可提供最佳的 Internet 体验并导致网络性能改进。,这就是配置为保护专用网络的基本防火墙的全部内容。无论您选择哪种防火墙,都要确保正确配置,因为任何漏洞都比完全没有防火墙对您造成的损害更大。创建安全网络并部署合适的防火墙以限制对您的计算机和网络的访问。, ,当谈到防止私有网络中第三方未经授权的访问时,使用防火墙。这些是网络安全系统(基于硬件/软件),可根据一组用户定义的规则监控和控制 Internet 和专用网络之间的流量。防火墙保护组织的计算机网络免受未经授权的传入或传出访问,并提供最佳的网络安全性。,公司使用三种基本类型的防火墙来保护他们的数据和设备,以防止破坏性元素进入网络,即。数据包过滤器、状态检查和代理服务器防火墙。让我们为您简要介绍其中的每一个。,
一、防火墙的类型:防火墙是人们对网络安全的需要而产生的。主要有三种类型的防火墙:网络层防火墙、应用层防火墙和数据库防火墙。, 网络层防火墙:网络层防火墙可以看作是一个 IP 包过滤器,运行在底层的 TCP/IP 协议栈中。我们可以列举只允许符合一定规则的数据包通过,其余的都禁止穿越防火墙(病毒除外,它不阻止病毒入侵)。这些规则通常可以由管理员定义或修改,但某些防火墙设备可能只应用内置规则。我们还可以以不同的、更宽松的方式制定防火墙规则,只要数据包不属于任何“否定规则”。大多数操作系统和网络设备都有内置的防火墙功能。较新的防火墙可以过滤数据包的各种属性,例如源 IP 地址、源端口号、目标 IP 地址或端口号以及服务类型(例如 HTTP 或 FTP)。也可以通过通信协议、TTL 值、原产地域名或网段等进行过滤。,, 应用层防火墙:应用层防火墙在 TCP/IP 堆栈的“应用层”上工作,您在使用浏览器或使用 FTP 时生成的数据流属于这一层。应用级防火墙可以阻止所有进出应用程序的数据包并阻止其他数据包(通常直接丢弃数据包)。理论上,这种类型的防火墙完全阻止了外部数据流向受保护机器。通过监控所有防火墙数据包,找出不符合规则的内容,可以防止计算机蠕虫或木马程序的快速传播。但是,在实现方面,这种方法很复杂(有成千上万的软件!),所以大多数防火墙不会考虑这种方法来设计。XML 防火墙是一种新型的应用层防火墙。根据侧重点不同,可分为:包过滤防火墙、应用层网关防火墙、服务器类防火墙。, 数据库防火墙:数据库防火墙是一种基于数据库协议分析和控制技术的数据库安全系统。它基于主动防御机制,实现对数据库访问行为的控制、危险操作的阻断、可疑行为的审计。数据库防火墙通过SQL协议分析,根据预谋的禁止和许可策略,允许合法的SQL操作通过,阻断非法操作,构建数据库外围防御圈,实现对SQL危险操作的主动防范和真实- 时间审计。数据库防火墙面向外部入侵,提供禁止SQL注入和数据库虚拟补丁功能。, 二、提示:选择防火墙时的 5 个注意事项,既然有多种类型的防火墙,哪一种最适合您的网络?这里有一些你不能做的提示。, 不要太相信实验数据:防火墙有一些规范,例如吞吐量、抗病毒功能等。但是,我们不能太相信这些数据,因为它们只是一些实验数据。换句话说,它是基于相对合理的干扰因素数量。但是,说实话,今天任何一家公司的网络环境都达不到他们测试产品的水平。当业务主机数量较多时,如果碎片化不合理,就会造成网络广播较多,进而影响最终的有效吞吐量。, 不要选择有额外功能的防火墙:防火墙市场的竞争越来越激烈。因此,防火墙厂商为了提供自己的产品在市场上的竞争力,往往在自己的防火墙产品中集成更多的功能,以增加市场的卖点。一方面,我们需要知道是否需要这些附加功能。有一些防火墙产品会集成VPN等功能。但是,企业是否需要这个功能?网络管理员需要考虑,因为VPN服务不仅可以在防火墙上实现,也可以在路由器上实现。另一方面,一些附加功能会消耗防火墙资源。这些额外的功能会使防火墙速度变慢。,, 不要忽视您公司的需求:许多网络管理员在选择网络设备时都有一个坏习惯。他们不首先考虑企业到底需要实现什么,而是首先考察网络设备。他们首先考察防火墙市场,看看各种防火墙产品之间的差异,可以实现什么等等。然而,他们忽视了公司的需求。, 不要太相信评论:我们只把那些评论网站和论坛作为参考,因为这些地方可能会有一些广告。并非所有评论都是真实的。, 不要太相信品牌:毫无疑问,思科是最好的网络产品品牌。无论是防火墙还是路由器,都是行业中的佼佼者。甚至有人将其视为网络设备市场的指南针,在其背后发展。但是,它的价格也是业内最高的。对于一些富有的企业来说,这可能不是问题。几十万的网络设备,他们眼睛都不眨一下,直接买了。但是,对于一些资金相对紧张的企业来说,价格是首先要考虑的。总之,我们需要选择价格最优惠、功能合适的防火墙。, , 一、防火墙的类型:防火墙是人们对网络安全的需要而产生的。主要有三种类型的防火墙:网络层防火墙、应用层防火墙和数据库防火墙。, 网络层防火墙:网络层防火墙可以看作是一个 IP 包过滤器,运行在底层的 TCP/IP 协议栈中。我们可以列举只允许符合一定规则的数据包通过,其余的都禁止穿越防火墙(病毒除外,它不阻止病毒入侵)。这些规则通常可以由管理员定义或修改,但某些防火墙设备可能只应用内置规则。我们还可以以不同的、更宽松的方式制定防火墙规则,只要数据包不属于任何“否定规则”。大多数操作系统和网络设备都有内置的防火墙功能。较新的防火墙可以过滤数据包的各种属性,例如源 IP 地址、源端口号、目标 IP 地址或端口号以及服务类型(例如 HTTP 或 FTP)。也可以通过通信协议、TTL 值、原产地域名或网段等进行过滤。,
根据Akamai 的2015 年第三季度安全报告,DDoS 攻击总数增加了 179.66%!该数字表明,在过去两年中,犯罪分子、激进主义者和黑客出于恶意原因攻击了数量惊人的企业。它不仅会拒绝为企业用户提供服务,还会导致昂贵的账单。一些 DDoS 攻击甚至可能对企业造成经济损失!从尝试使用基于 ping 命令的 ICMP 回声请求来淹没目标到多向量攻击,多年来,DDoS 攻击变得越来越复杂。在这篇文章中,我们将看看不同类型的 DDoS 攻击。以下是不同 DDoS 攻击类型的列表。,, 1、应用级攻击,DDoS 攻击可以针对特定应用程序或编码错误的网站来利用其弱点并因此关闭整个服务器。WordPress(我们现在提供网络上最好的 WordPress 托管)和 Joomla 是两个可以针对耗尽服务器资源(RAM、CPU 等)的应用程序示例。数据库也可以通过旨在利用这些漏洞的 SQL 注入进行攻击。由于资源耗尽,耗尽的服务器将无法处理合法请求。存在安全漏洞的网站和应用程序也容易受到希望窃取信息的黑客的攻击。, 2、零日 (0day) DDoS,这是一个标准术语(如 John Doe),用于描述利用新漏洞的攻击。这些零日 DDoS 漏洞没有补丁或有效的防御机制。, 3、平洪水,作为 ICMP 洪水的演进版本,这种 DDoS 攻击也是特定于应用程序的。当服务器从非常大的源 IP 集收到大量欺骗性 Ping 数据包时,它就会成为 Ping Flood 攻击的目标。这种攻击的目标是用 ping 数据包淹没目标,直到它脱机。它旨在消耗网络中所有可用的带宽和资源,直到它完全耗尽并关闭。这种类型的 DDoS 攻击也不容易被检测到,因为它很容易类似于合法流量。, 4、IP空攻击,数据包包含 IPv4 标头,这些标头携带有关正在使用的传输协议的信息。当攻击者将此字段的值设置为零时,这些数据包可以绕过旨在扫描 TCP、IP 和 ICMP 的安全措施。当目标服务器尝试放置处理这些数据包时,它最终会耗尽其资源并重新启动。, 5、CharGEN 洪水,这是一个非常古老的协议,可用于执行放大攻击。CharGEN 放大攻击是通过向运行 CharGEN 的支持互联网的设备发送携带目标欺骗 IP 的小数据包来执行的。然后使用这些对此类设备的欺骗请求将 UDP 泛洪作为这些设备的响应发送到目标。大多数支持 Internet 的打印机、复印机等默认启用此协议,可用于执行 CharGEN 攻击。这可用于在端口 19 上使用 UDP 数据包泛洪目标。当目标尝试理解这些请求时,它会失败。服务器最终将耗尽其资源并脱机或重新启动。, 6、SNMP泛洪,与 CharGEN 攻击一样,SNMP 也可用于放大攻击。SNMP 主要用于网络设备。SNMP 放大攻击是通过向运行 SNMP 的支持 Internet 的设备发送携带目标欺骗 IP 的小数据包来执行的。然后使用这些对此类设备的欺骗请求将 UDP 泛洪作为这些设备的响应发送到目标。但是,与CHARGEN 和DNS 攻击相比,SNMP 中的放大效果可能更大。当目标试图理解这种大量的请求时,它最终将耗尽其资源并离线或重新启动。, 7、NTP洪水,NTP 协议是另一种可公开访问的网络协议。NTP 放大攻击还通过向运行 NTP 的启用 Internet 的设备发送携带目标欺骗 IP 的小数据包来执行。然后使用这些对此类设备的欺骗请求将 UDP 泛洪作为这些设备的响应发送到目标。当目标试图理解这种大量的请求时,它最终将耗尽其资源并离线或重新启动。, 8、SSDP 洪水,支持 SSDP 的网络设备也可以从 Internet 访问 UPnP,这些设备是生成 SSDP 放大泛洪的简单来源。SSDP 放大攻击也是通过向设备发送带有欺骗目标 IP 的小数据包来进行的。这些对此类设备的欺骗请求用于将 UDP 泛洪作为这些设备的响应发送到目标。当目标试图理解这种大量的请求时,它最终将耗尽其资源并离线或重新启动。, 9、碎片化的 HTTP Flood,在这个针对已知漏洞的复杂攻击示例中,具有有效 IP 的 BOT...
拒绝服务 (DoS) 攻击使服务器充满流量,导致网站或资源不可用。分布式拒绝服务 (DDoS) 攻击是一种 DoS攻击,它使用多台计算机或机器来淹没目标资源。这两种类型的攻击都以中断服务为目标,使服务器或 Web 应用程序过载。由于服务器充斥着超过其处理能力的传输控制协议/用户数据报协议 (TCP/UDP) 数据包,它可能会崩溃,数据可能会损坏,资源可能会被误导甚至耗尽以致系统瘫痪。,, DoS和DDoS攻击有什么区别?,DoS和DDoS之间的主要区别在于,前者是系统对系统攻击,而后者涉及多个系统攻击单个系统。但是,还有其他差异,涉及它们的性质或检测,包括:, DoS和DDoS攻击的类型,DoS 和DDoS攻击可以采取多种形式并用于各种手段。它可以是让公司失去业务、削弱竞争对手、分散对其他攻击的注意力,或者只是制造麻烦或发表声明。以下是此类攻击的一些常见形式。,,, 如何提高DoS和DDoS攻击防护,以下是 DoS 和DDoS 保护的一些高级最佳实践 :,DDoS攻击不断发展,变得越来越复杂和强大,因此组织需要使用综合策略(例如高级报告工具和分析)来同时监控无数威胁参数的解决方案。为了保护组织免受已知攻击并为潜在的零日攻击做好准备 ,需要多层 DDoS 保护。, ,拒绝服务 (DoS) 攻击使服务器充满流量,导致网站或资源不可用。分布式拒绝服务 (DDoS) 攻击是一种 DoS攻击,它使用多台计算机或机器来淹没目标资源。这两种类型的攻击都以中断服务为目标,使服务器或 Web 应用程序过载。由于服务器充斥着超过其处理能力的传输控制协议/用户数据报协议 (TCP/UDP) 数据包,它可能会崩溃,数据可能会损坏,资源可能会被误导甚至耗尽以致系统瘫痪。,,