用于服务器接入的防火墙网关的八个关键性功能

      如何为服务器应用发布选择防火墙网关?是第一代防火墙(FIREWALL)?还是第二代/下一代防火墙(UTMWALL/NGFW)?或是下下一代防火墙☺?武汉中神通为您列举了8个关键性功能,是降低服务器遭受高持续性渗透攻击(APT)风险的最佳解决方案,请大家在选择时参考。


用于服务器接入的防火墙网关的部署示意图

      根据网络规模及用户实际,这8个功能可以集中在一台防火墙上设置,并将各服务器与局域网划分成不同的安全域(如上图所示),这样可以保证即使一个安全域内的服务器被入侵也不会影响到内网PC或其它服务器,将损失控制在最小范围内,同时也方便管理,节省空间,降低总体拥有成本(TCO);也可以将这8个功能分布于多台串联或并联的安全设备中,做到专机专用,应付大流量网络的需求。以下是这8大关键性功能详述:

一、基于策略的NAT规则(DNAT)、访问控制(ACL)及用户认证(AAA)
      用于为各种来源IP、目的IP、例外IP、请求时间的网络请求提供不同的端口转发策略,方便服务器的管理及部署,方便内网用户通过公网IP或域名访问架设在自家内网里的服务器;提供虚拟IP(VIP)功能,实现对多个公网IP资源的充分利用;面向公网访问的移动管理员用户、分支机构、合作伙伴提供精细的ACL控制策略,防止数据库、API调用、FTP、SSH、远程桌面等内部应用被非法、越权访问,避免被扫描或暴力破解;如果用户IP是动态的,无法事先确定ACL中的源IP,则可以运用用户认证技术,为用户提供WEB认证门户,让认证过的用户访问内部应用,还可以通过批处理、源代码编程实现认证自动化,由此构成的资源访问控制系统比VPN性能好、稳定性高、维护简单、部署也更快捷,适合大规模的广域网用户安全、高效地访问内网应用或局域网中内部应用的安全访问。 

二、
WAN口链路接入(M-WAN)及DMZ区链路接入(M-DMZ)

      多WAN口链路接入用于为电信、网通、教育网等不同ISP网络的用户提供本地化接入,对来自不同ISP网络的请求按接入线路返回服务器数据包,可以优化网络速度,提高服务质量。同时启用线路健康检查,屏蔽、恢复失效线路,实时保障可用性。

     多DMZ区链路接入(M-DMZ)用于接入并隔离DMZ区的服务器,每一台服务器均接入防火墙网关的一块物理网卡上,服务器之间一般不允许通讯,除非有需求(除非允许,否则拒绝),防止一台服务器被黑后(绕过堡垒机等)成为跳板,攻击其它服务器。

三、服务器负载均衡(SLB)及反向代理(R-Proxy)

      用于将网络请求流量平均分配到DMZ区内2台或以上的服务器上,并负责对服务器进行健康检查,可以提高服务器响应速度、保障24小时在线率,保障网站的可扩展性,提高服务质量;对于内网几台独立的WEB服务器共用一个公网IP的情况,可以开启反向代理功能实现连通。

四、WEB防火墙(WAF)、入侵检测与防御(IDP)
或及蜜罐检测(HoneyPot)
      用于实时拦截黑客通过SQL注入、XSS等方式扫描、入侵服务器,阻止黑客扫描管理后台网址及备份文件等敏感文件,阻止黑客上传并利用WEBSHELL后门程序,或通过白名单的方式100%保障政府、公司等展示型网站的安全;IDC服务商可以利用WAF,以白名单的方式屏蔽没有在国内备案的域名,既符合了通信局的法规同时也节省了管理成本。用户可根据网上权威信息自定义7层IDP特征码用于防御应用厂家未能及时发布补丁的0day攻击,或者开启蜜罐检测+网络审计功能,用于发现、诱捕、阻拦潜在的黑客(C段扫描)或僵尸网络。

五、抗SYN
洪水、CC攻击
      用于阻拦黑客发送SYN洪水、CC攻击包攻击服务器,合理分配每用户可用资源,防止出现服务器资源耗竭,可以剔除有害流量,保证服务器的接通率。

六、异常流量检测

      用于检测、定位内外网用户发出的各种持续流量(扫描、攻击、WEBSHELL、暴力猜测用户密码、撞库——用第三方数据库猜测用户信息、直接连接数据库服务器)、上传流量(黑页、挂马)、超大流量(拖库)和DDOS流量,且能够提供Netflow数据流,方便集中存储及管理,可以保证服务器的接通率,快速排除故障隐患;

七、内网上网行为控制
      用于记录内网PC、DMZ服务器C的上网行为,防止内网ARP病毒攻击,防止黑客留下的木马、后门程序;启用DNS防火墙,过滤dnslog查询、C2C服务器域名等涉黑查询;防止内部员工未经授权的FTP上传等破坏服务器原始内容的行为,可以方便地查找来自内网的入侵行为,保障服务器的完整性;开启POP3邮件过滤功能,屏蔽危险或所有附件,防止木马攻击。

八、至少60天的本地日志存储

      用于在防火墙内部记录用户方发出的WEB URL、POST等请求信息,上级ISP路由器连通性检测结果以及防火墙自身CPU、内存、网络吞吐量、会话数、并发用户数等24小时运行趋势图,防止因黑客删除服务器日志、服务器硬件故障等导致的日志丢失,可以为本单位及公安局日后查找上网记录提供可靠的日志“黑匣子”服务。必要时,开启远程syslog日志输出,实时输出日志记录到远程syslog服务器,还可以防止本机日志被破坏。

 

更多信息请查看:

1)WORD全文下载: 

http://www.trustcomputing.com.cn/utmwall-rom/Key_Function_of_a_IDC_Firewall.doc

2)下一代SSLVPN——中神通SSLVPN优点描述:

http://www.trustcomputing.com.cn/cn/index.php/support/techdocs/113-ngsslvpn

3)中神通UTMWALL-OS常见问答FAQ: 

http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=609