Chinaunix首页 | 论坛 | 博客
  • 博客访问: 140526
  • 博文数量: 148
  • 博客积分: 8040
  • 博客等级: 中将
  • 技术积分: 1990
  • 用 户 组: 普通用户
  • 注册时间: 2009-06-16 16:24
文章分类

全部博文(148)

文章存档

2011年(47)

2010年(60)

2009年(41)

我的朋友
最近访客

分类:

2009-11-02 12:05:09

    网络信息世界里什么最重要?相信有许多朋友都会想到安全。的确,在安全的基础上才能保障系统正常运行,保证自己的内容私密性,保证不会因为受攻击而DOWN机。那么,既然是最重要的部分,那一定就是最贵的吧。这次应该很多朋友会想错,用马云的话来说:“服务是全世界最贵的产品,所以最佳的服务就是不要服务,最好的服务就是不需要服务。”为了节约开支,为了“不需要服务”,在服务器领域里了硬防的概念,IDC服务器租赁商通常免费赠送硬防来争取赢得客户。
   服务器硬防的简单介绍
  服务器的硬防是指硬件防火墙,硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。 硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定,直接关系到整个内部网络的安全。因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
  系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。
  硬件防火墙的例行检查主要内容
  1.硬件防火墙的配置文件
  不论我们在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙投入到实际使用环境中,情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着,配置参数也会时常有所改变。作为网络安全管理人员,最好能够编写一套修改防火墙配置和规则的安全策略,并严格实施。所涉及的硬件防火墙配置,最好能详细到类似哪些流量被允许,哪些服务要用到代理这样的细节。
  在安全策略中,要写明修改硬件防火墙配置的步骤,如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分,如某人具体做修改,另一人负责记录,第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化,并能尽量避免因修改配置所造成的错误和安全漏洞。
  2.硬件防火墙的磁盘使用情况
  如果在硬件防火墙上保留日志记录,那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录,那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下,磁盘占用量的异常增长很可能表明日志清除过程存在问题,这种情况相对来说还好处理一些。在不保留日志的情况下,如果磁盘占用量异常增长,则说明硬件防火墙有可能是被人安装了Rootkit工具,已经被人攻破。
  因此,网络安全管理人员首先需要了解在正常情况下,防火墙的磁盘占用情况,并以此为依据,设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线,就意味着系统遇到了安全或其他方面的问题,需要进一步的检查。
  3.硬件防火墙的CPU负载
  和磁盘使用情况类似,CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员,必须了解硬件防火墙系统CPU负载的正常值是多少,过低的负载值不一定表示一切正常,但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。
  4.硬件防火墙系统的精灵程序
  每台防火墙在正常运行的情况下,都有一组精灵程序(Daemon),比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行,如果发现某些精灵程序没有运行,则需要进一步检查是什么原因导致这些精灵程序不运行,还有哪些精灵程序还在运行中。
  5.系统文件
  关键的系统文件的改变不外乎三种情况:管理人员有目的、有计划地进行的修改,比如计划中的系统升级所造成的修改;管理人员偶尔对系统文件进行的修改;攻击者对文件的修改。
  经常性地检查系统文件,并查对系统文件修改记录,可及时发现防火墙所遭到的攻击。此外,还应该强调一下,最好在硬件防火墙配置策略的修改中,包含对系统文件修改的记录。
  6.异常日志
  硬件防火墙日志记录了所有允许或拒绝的通信的信息,是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大,所以,检查异常日志通常应该是一个自动进行的过程。当然,什么样的事件是异常事件,得由管理员来确定,只有管理员定义了异常事件并进行记录,硬件防火墙才会保留相应的日志备查。
  上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患,但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。如果有必要,管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否,甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击,以考核硬件防火墙的能力。
  服务器租用与高硬防服务器
  服务器租用:是指用户无须自己购买服务器,只需根据自己业务的需要,提出对硬件配置的要求。主机服务器由IDC服务商配置。用户采取租用的方式,安装相应的系统软件及应用软件以实现用户独享专用高性能服务器,实现WEB+FTP+MAIL+VDNS全部网络服务功能,用户的初期投资减轻了,可以更专著于自己业务的研发。
  高硬防服务器:是指一些专门提供高硬防的机房,10G以上的硬防都为高硬防,因为1G硬防的投资10万元左右,10G的话就是100万。日前市场上最多的都是单线机房有硬防,双线机房大多都是没有硬防的。
  现在市场上针对这些攻击的有很多知名的硬防,如:金盾硬防集,傲盾硬防集,以及冰盾,黑洞,黑盾,绿盾,威盾,等等。
  综上所述,服务器的硬防通常跟服务器租赁联系在一起,目前IDC服务器租赁商纷纷把赠送高硬防的服务作为一个卖点,希望消费者更加信赖自己的服务器产品,相信在未来,服务器硬防会做的更强更好,可以有效的保护服务器系统的安全,为网络环境创造一个更加安静健康的局面。
 
 
         
阅读(185) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~